CBP: beveiliging DigiD moet worden aangescherpt
De beveiliging van DigiD moet worden aangescherpt, omdat erin verschillende situaties misbruik van de inloggegevens kan worden gemaakt, zo stelt het College bescherming persoonsgegevens (CBP). Uit onderzoek van het CBP blijkt dat duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD.
Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten. Het reclamebureau bleek van meer dan 8500 DigiD-accounts zowel de gebruikersnamen als wachtwoorden te hebben opgeslagen nadat DigiD-gebruikers hadden geprobeerd in te loggen op de site van het reclamebureau. Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn.
Maatregelen
Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen waardoor het veiligheidsrisico rond deze specifieke situatie is weggenomen. Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt, waardoor het niet meer mogelijk is dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens. De beheerder van DigiD, Logius, heeft de accounts van de gebruikers van wie de DigiD-inloggegevens bij het reclamebureau waren opgeslagen, geblokkeerd en de betrokken mensen geïnformeerd.
Tegelijkertijd stelt het CBP dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens. Het beveiligingsniveau van DigiD zou daarom moeten worden aangepast, aldus de toezichthouder. Het CBP heeft het verantwoordelijke ministerie van Binnenlandse Zaken (BZK) hierop gewezen en om een nadere toelichting op het huidige beveiligingsniveau van DigiD gevraagd.
Beveiligingsrisico DigiD
Volgens het CBP valt bij de huidige staat van de beveiligingssituatie niet uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing. Zo kunnen onbevoegden misbruik maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Bijvoorbeeld van belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget.
Om dit te voorkomen is een extra veiligheidsvoorziening noodzakelijk, zo stelt de toezichthouder. "Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord."
En succes ermee, jonge. jawa.
ex-'DEVOPS' - bedrijf(je) waar digid is ontwikkeld ( ondertussen in buitenlandse handen )
De overheid moet eens opschieten met het eID, daar verwacht ik veel meer van! De banken kunnen het toch ook, waarom de overheid dan niet.. Stop het in je identiteitskaart en zorg dat ook het ov er mee werkt, of vraag ik nu te veel?
Volgens mij bestaat (de huidige) DigiD over een jaar niet meer.........
Kwestie van een halve dag vrij nemen, papiertjes in plastic tasje en het ambtenaartje mag het formuliertje invullen.
Ik communiceer niet digitaal met een overheid, die blijk heeft gegeven niet te snappen hoe dit veilig te gebruiken,
maar wel alles uit de kast haalt om ons te bespioneren.
Als banken een duidelijk herkenbaar extra certificaat veilig slotje hebben?
Waarom vertikken ze dat dan bij digid nog steeds te implementeren?
Het is geen heilige graal maar zeker een stap vooruit bij wat het nu aan info oplevert.
digid.nl
which is run by
(unknown)
Unknown? Bij een bank staat tenminste de volledige naam voor het url adres en nog een keer expliciet vermeld onder de slot info.
Simpele basis informatie om te controleren en vertrouwen in de site te vergroten.
Bezuinigingsreden om niet voor iets dergelijks extra's te kiezen?
Waarom een bank wel en belangrijke overheidssites niet?
Dat is de vraag.
Voor een belangrijke site als DigiD moet je eigenlijk altijd een two-pass factor gebruiken, zodat je een extra veiligheids niveau toevoegt door het interactieve gebruik van een GSM of Smartphone.
De minister heeft de beveiliging niet heel erg serieus genomen omdat hij geen aanvullende maatregelen heeft getroffen om de Two-Factor toepassing nog steeds optioneel te houden.
Hopelijk komt daar na dit bericht toch snel verandering in. Door aan te tonen dat een Reclamebureau of Fishing site gemakkelijk DigiD-id's en Wachtwoorden kon loggen, mag je er wel van uit gaan dat dit niet de enige gelukte pogingen zijn.
Security blijft nog steeds een ondergeschoven kindje,ook voor de overheid.
Het blijft mij verbazen waarom de overheid toch zo blijft klooien. Vingerafdrukken als wachtwoord willen gebruiken. Hopeloos achter blijven met 2 of 3 factor. Je zou bijna gaan denken dat de overheid juist wil dat fraude en misbruik mogelijk blijft. Hebben de (on)veiligheidsdiensten anders geen toegang meer ofzo?
dat wordt dan verplicht een prepaid erbij aanschaffen voor digid en straks het nog meer gegevens verzamelende eid
Dit ongeacht of een aangesloten instantie wel of niet een SMS-code vereist. (toch?)
Ik communiceer niet digitaal met een overheid, die blijk heeft gegeven niet te snappen hoe dit veilig te gebruiken,
maar wel alles uit de kast haalt om ons te bespioneren.
Ik ben verbaasd dat geen strafrechtelijke stappen zijn gezet richting het digi-d reclamebureau. CPB aan de bal?
Moet http://www.eid.nl/ haar domeinnaam dan ook maar inleveren?
Noem zo'n dienst https://digid.overheid.nl/, dat is toch uit te leggen?
Met https://cak.overheid.nl/ ben je ook af van stompzinnige namen als "hetcak.nl"
(voordat iemand roept dat het een stichting is en geen overheid, waarom vragen zij dan om mijn BSN nummer?)
Off topic, waarom kan ik via http (http://www.hetcak.nl/portalserver/portals/cak-portal/pages/x1-cak-vragen-formulier?webFormID=27002&NodeID=10749&UserGroupID=27) privacygevoelige gegevens (waaronder BSN) submitten op die site?
En waarom, als ik op https://www.overheid.nl/zoeken/ "cak" intik en op "zoek" klik, krijg ik de melding "The information you have entered on this page will be sent over an insecure connection and could be read by a third party"?
Een subdomein onder overheid.nl is verstandig inderdaad.
Overigens is dat ph-cofi domein nog vrij :)
Maar de weerzin tegen subdomeinen is wijd versreid. Waarom heet gstatic.com niet static.google.com? Waarom heet ytimg.com niet img.youtube.com? Er lijkt een enorme weerstand te bestaan tegen het via een simpele hiërarchische notatie duidelijk te maken waar iets bij hoort. Ik vraag me al jaren af waarom. Ik krijg wel eens het idee dat een fors deel van de mensheid het eng vindt om duidelijk te zijn. Het lijkt verwant te zijn aan wollig taalgebruik, wat allerlei belangrijke functies heeft, zoals de indruk wekken dat je iets begrijpt of weet terwijl je het eigenlijk niet overziet, om te doen alsof je een afspraak hebt terwijl alle partijen die afspraak naar eigen goeddunken kunnen interpreteren, dat soort dingen. Misschien worden dat soort neigingen wel onbewust toegepast op de keuze van domeinnamen. Of misschien voelen mensen zich wel belangrijker als ze meer domeinnamen hebben geclaimd, dan is het een soort digitale territoriumdrift, en zijn domeinnamen een soort urinevlaggen. Ik pretendeer niet het te begrijpen, maar ik vind het wel jammer.
(voordat iemand roept dat het een stichting is en geen overheid, waarom vragen zij dan om mijn BSN nummer?)
Als besloten is dat subdomeinen van overheid.nl voor overheidsorganisaties gebruikt worden valt CAK er net niet onder. Als besloten is dat het voor overheidstaken gebruikt wordt weer wel. Met cak.semioverheid.nl zou ik helemaal geen moeite hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.