"DigiD onveilig en achterhaald"
Het DigiD-systeem van de overheid is onveilig en achterhaald, zo laten beveiligingsexperts tegenover het AD weten. De afgelopen tijd zou er bij honderden Nederlanders voor miljoenen euro's met DigiD zijn gefraudeerd. Zo werden rekeningen voor kinderopvangtoeslag, huur- en zorgtoeslagen veranderd, iets wat via de DigiD-code te doen is. Het geld werd vervolgens naar een andere rekening overgemaakt. Hoe de wijzigingen konden plaatsvinden kon het AD niet zeggen.
Postbode
"Wijzigingen van de inloggegevens worden door de postbode bezorgd", zegt beveiligingsexpert Hans van der Looij tegenover de krant. "Op die manier hebben criminelen verschillende manieren om gevoelige informatie te onderscheppen. Handlangers bij postbedrijven kunnen worden ingeschakeld of brieven worden uit brievenbussen gestolen."
Beveiligers pleiten dan ook om de code voor het activeren van DigiD alleen per aangetekende post te versturen. Daarnaast zou de overheid een systeem moeten invoeren zoals banken voor internetbankieren gebruiken.
Typisch geval van zo veilig als de zwakste schakel. Maar die zwakste schakel is toch al verstevigd, want je kunt toch ook authenticeren met wachtwoord in combinatie met een one-time-password via SMS?
klinkt een beetje als hete soep en eten enzo...
Of te wel: het is de noobheid van de mensen achter de knoppen die zorgen dat het systeem lek is. Dat mag wel eens in de krant. Zeker als je ziet dat diezelfde mensen denken dat ze er wel zijn met digid. Trouwens, deze kwetsbaarheid zit ook in bijv. digidmachtigingen, zelfde laken een pak.
Dat otp via sms systeem is er maar wordt niet (nauwelijks) gebruikt. Dat is dus een wassen neus. Volgens mij kan je het ook niet eens gebruiken voor alle diensten.
Jammer dat ze niet een echte review van de technologie hebben gedaan, dan hadden ze wel met meer spannende "headlines" kunnen komen.
Er zijn betere methoden om vertrouwelijke informatie uit te wisselen, maar als het teveel tijd en geld kost wordt het onwerkbaar. Een lastig dilemma in beveiliging.
De reden dat er tot nu toe weinig gebruik is gemaakt van het hogere niveau van DigiD (met SMS one time passwords) is omdat veel overheidsdiensten niet beseffen dat er uberhaupt gefraudeerd kan worden. Dit soort berichtgeving is dus goed als het ervoor zorgt dat al die diensten naar het hogere niveau overstappen. 'Tuurlijk is ook SMS verkeer te kraken, maar dat maakt het alweer een stuk lastiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Beleidsmedewerker Informatiebeveiliging en Privacy
Scholenkoepel RVKO is voor haar bestuursbureau op zoek naar een beleidsmedewerker Informatiebeveiliging en Privacy (IBP), die het voldoen aan de wet- en regelgeving ten aanzien van informatiebeveiliging en privacy, zoals de AVG, organiseert en borgt.
SOC ANALYST
Zie jij met één blik de technische kwetsbaarheden in IT/OT systemen? Heb jij thuis je zolder volstaan met IT opstellingen, en probeer je hierop je ideeën uit? Heb je het idee dat je omgeving altijd qua technische kennis op je achterloopt? Word onderdeel van onze jonge en sterk groeiende Cyber Security business unit!
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?