image

Ombudsman: DigiD zeer zwak beschermd systeem

maandag 8 augustus 2011, 09:04 door Redactie, 13 reacties

DigiD is een "zeer zwak beschermd systeem", aldus Nationale Ombudsman Alex Brenninkmeijer. Hij verwijst naar alle klachten die hij binnenkrijgt en het aantal slachtoffers van van DigiD-fraude. "Als de overheid een bank was, zou die failliet zijn", zegt hij in een interview met het AD. Onlangs kwam de krant met een artikel waarin het stelde dat de er bij honderden Nederlanders voor miljoenen euro's met DigiD is gefraudeerd.

Internetcriminaliteit
De overheid kwam vervolgens met een verklaring waarin het stelde dat het systeem niet was gekraakt. Toch is er volgens Brenninkmeijer een verband tussen cybercrime en DigiD-fraude. "Voor mensen die verstand hebben van internetcriminaliteit is het blijkbaar makkelijk om fraude te plegen. Als de overheid een bank was, zou die failliet zijn."

De Ombudsman heeft ook kritiek op de overheid, die zou te traag werken en te weinig oog voor de problemen van de burger hebben. "Mensen worden van het kastje naar de muur gestuurd. Omdat zoveel overheidsdiensten gebruik maken van DigiD, is onduidelijk wie verantwoordelijk is."

Reacties (13)
08-08-2011, 09:19 door Anoniem
Omdat zoveel overheidsdiensten gebruik maken van DigiD, is onduidelijk wie verantwoordelijk is.

DigiD is een soort federatief systeem. Je moet inloggen op een website en wordt, om in te kunnen loggen, doorgestuurd naar de DigiD website. Vergelijkbaar dus met Ideal. In principe krijgt de website waarvoor je je moet authentiseren alleen een GOED of FOUT terug. De verantwoordelijkheid voor de beveiliging rond DigiD ligt bij de beheerder van de DigiD website. De verantwoordelijkheid voor de juiste interpretatie van GOED of FOUT ligt bij de andere website. Die moet ervoor zorgen dat de redirect e.d. niet is te misbruiken. Maar dan is het nog alleen zijn website die kwetsbaar is en niet het hele DigiD systeem.

Peter
08-08-2011, 10:00 door Anoniem
Had je die ook niet nodig om bij je 'veilige' EPD te kunnen?
08-08-2011, 12:32 door AlexK
De humor ligt op straat. Mijn gegevens ook.
08-08-2011, 14:02 door Anoniem
Als je je DigiD naam en/of wachtwoord vergeet, moet je een nieuwe DigiD aanvragen.
Hiervoor is nodig "burgerservicenummer (BSN), geboortedatum en postcode" (zie http://www.digid.nl/vraag-en-antwoord/?nodeid=1962).

Geboortedatum kan je op sociale media wel vinden. Je postcode is ook niet zo geheim als je uit brievenbussen gaat vissen. Maar het BSN zou toch niet algemeen bekend moeten zijn?

Dus hoe is deze fraude van de ombudsman dan gepleegd? Ik begrijp dat deze in bepaalde steden zijn gepleegd, dus met een gemeenschappelijk postcode gebied? Wie (behalve de overheid) heeft allemaal toegang tot je BSN?
08-08-2011, 14:13 door Anoniem
Door Anoniem: [/iDus hoe is deze fraude van de ombudsman dan gepleegd? Ik begrijp dat deze in bepaalde steden zijn gepleegd, dus met een gemeenschappelijk postcode gebied? Wie (behalve de overheid) heeft allemaal toegang tot je BSN?
[/quote]
Er is een hele lijst van instanties die ook werken met je BSN. Denk aan onderwijs (ook niet-openbare scholen), artsen, ziekenhuizen en andere zorginstellingen. Eigenlijk overal waar ze, door gebruik te maken van jouw burgerservicenummer kunnen besparen op de servicekosten.

Peter
08-08-2011, 14:38 door Anoniem
BSN staat o.a. op je "zorgverzekeringspas"
08-08-2011, 14:38 door Night
Door Anoniem: ..
Maar het BSN zou toch niet algemeen bekend moeten zijn?...

BSN staat op alle soorten van identiteitsdocumenten. Dus als je iemand vraagt zicht te identificeren voor iets...
Er is niets geheim aan je BSN.
Je postcode en geboortedatum zijn ook op veel meer plekken bekend dan je je maar kunt voorstellen. Als je ergens aanmeld worden die gegevens vrijwel altijd gevraagd.
08-08-2011, 15:47 door [Account Verwijderd]
[Verwijderd]
08-08-2011, 17:32 door dsm314
En dat het BSN door allerlei instanties wordt opgevraagd (en vermeld in de administratie of op pasjes) is niet zo lang geleden ook al fel bekritiseerd, want strijdig met de wet.
08-08-2011, 18:02 door Anoniem
Vanwege de financiele wetgeving zijn banken ook kopieen van identiteitspapieren van hun klanten gaan verzamelen. Drie maal raden wat daar op staat. Juist, je bsn nummer (vroeger okmwel sofinummer genoemd)

De benodigde combinatie aan gegevens om een wachtwoord voor digi-d te krijgen of te wijzigen liggen zijn met de huidige technologie (of een beetje social enginering) makkelijke te verzamelen.
Bel maar wat willekeurige mensen op en geef aan dat ze een grote prijs gewonnen hebben, maar dat je ter controle wat (persoonlijke) gegevens van ze nodig hebt. Dan heb je zo wel wat controle gegevens voor digi-d verrzameld.
09-08-2011, 02:07 door monica8
Ik heb een onderzoekje gedaan naar die gevallen waar zorg en huurtoeslagen naar andere rekeningen werden overgemaakt. Er was in hoofdzaak sprake van interne fraude door mensen van een gemeentelijke belastingdienst die rekeningnummers konden veranderen in de centrale administratie van de belastingdienst, dat deden ze trouwens OOK bij mensen die geen DigID hadden en nu nog steeds niet hebben.

In geen enkel geval was er sprake van DigID misbruik, dat was slechts de logische en spannende conclusie van een aantal partijen om te denken dat het wel aan onveiligheid van de DigID of de post bezorging zou liggen.

Het is bij de belastingdienst trouwens de standaard cultuur om alle interne fraude (mogelijkheden) te ontkennen en zelfs niet over te spreken of melding van te doen, want dat is slecht voor je carrière en die van je chef,.Ook dat is waarschijnlijk mede oorzaak dat men "voor het gemak" naar de DigID heeft gewezen en dat het veel te lang heeft geduurd voordat een intern onderzoek bij de belastingdienst succesvol kon worden afgesloten.

Jammer dat de ontkennings culttuur bij de belastingdienst ook heeft geleid tot een slecht geinformeerde Ombudsman en daarmee de afhandeling van klachten door burgers, dat was niet nodig geweest.

Bij DigID vinden ze ook dat hun systeem niet veilig genoeg is, en ze gaan dus ook volgend jaar maar waarschijnlijk nog voor het einde van dit jaar een nieuwe versie van lanceren, maar dat staat los van de gevallen van fraude met huur en zorgtoeslag.
09-08-2011, 13:44 door Jacob Boersma
Door Peter V: Het systeem van Digid is heel eenvoudig te brute forcen.

In een woord: waardeloos.

Echt waar? Ik dacht dat DigiD na 3x verkeerd wachtwoord een dag lang de toegang blokkeerde (dat was vroeger in elk geval zo, mogelijk is dat later uitgeschakeld om gebruiksgemak te vergroten?)
09-08-2011, 13:53 door Jacob Boersma
Door Anoniem: De benodigde combinatie aan gegevens om een wachtwoord voor digi-d te krijgen of te wijzigen liggen zijn met de huidige technologie (of een beetje social enginering) makkelijke te verzamelen.

Maar aan die gegevens heb je niet genoeg, want de activatiecode wordt vervolgens per post naar het geregistreerde huisadres gestuurd. Fraude op dat punt is dus alleen mogelijk als je fysieke toegang tot de post/brievenbus hebt (huisgenoot, brievenbus hengelen, corrupte postbezorger). Maar via keylogger/phishing site is het ws. een stuk makkelijker om aan iemand's gebruikersnaam + passwordcombinatie te komen.

Door monica8: Bij DigID vinden ze ook dat hun systeem niet veilig genoeg is, en ze gaan dus ook volgend jaar maar waarschijnlijk nog voor het einde van dit jaar een nieuwe versie van lanceren, maar dat staat los van de gevallen van fraude met huur en zorgtoeslag.

Bron? Een hoger niveau van DigiD (met behulp van SMS authenticatie) bestaat al heel lang, alleen maken heel weinig overheidsdiensten hier dwingend gebruik van. Een nog hoger niveau op basis van chip op de identiteitskaart werd overwogen maar is in de ijskast gezet (en gaat heel lang duren om alsnog te realiseren want je moet iedereen voorzien van een pasje + cardreader).

Voor een alternatief zie bijvoorbeeld eHerkenning (http://eherkenning.nl/) wat ontwikkeld is voor identificatie van bedrijven richting overheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.