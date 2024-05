Het ministerie van Binnenlandse Zaken heeft een tweede deel van de DigiD-broncode via GitHub openbaar gemaakt. Demissionair staatssecretaris Van Huffelen van Digitalisering stelt wel dat de openbaar gemaakte broncode een snapshot is, een momentopname van de broncode op een bepaald moment in de tijd. "Logius streeft ernaar om de broncode op termijn als ‘film’ te kunnen publiceren, waarbij nieuwe versies steeds ook openbaar gemaakt worden", voegt de bewindsvrouw toe. Logius is de beheerder van DigiD.

De Wet digitale overheid (Wdo) schrijft voor dat de broncode van inlogmiddelen die vallen binnen de reikwijdte van de wet moet worden vrijgegeven, tenzij dat om veiligheidsredenen niet verantwoord is. Enkele fragmenten in de broncode kunnen volgens Van Huffelen een beveiligingsrisico voor de continuïteit van DigiD en gerelateerde voorzieningen opleveren (pdf).

De betreffende fragmenten zijn in de gepubliceerde broncode vervangen door de letter ‘S’ (‘security’). Daarnaast zijn fragmenten waaruit persoonsgegevens van ontwikkelaars te herleiden zijn vervangen door de letter ‘P’ (‘privacy’). Het eerste deel van de DigiD-broncode werd begin vorig jaar openbaar gemaakt en betrof de app. Dit keer gaat het om de broncode van de backend.

Beveiligingsonderzoek

Tevens is ook het beveiligingsonderzoek naar de openbaarmaking van de broncode openbaar gemaakt ( pdf ). Dit onderzoek werd uitgevoerd door securitybedrijf Secura, dat een kwetsbaarheid vond waarmee het mogelijk was om een phishinglink te maken die leek te wijzen naar DigiD, maar in werkelijkheid naar een phishingsite ging. Dit probleem is inmiddels verholpen.

"De bevinding van de doorverwijzing met een phishing-link is een kwetsbaarheid die bij een regulier broncode-onderzoek gevonden had kunnen worden. Het feit dat dit niet is gebeurd kan wijzen op een onvolledige eerder uitgevoerde review, of op ongeteste wijzigingen in de applicatie. In beide gevallen adviseert Secura daarom het test-regime van DigiD te evalueren", aldus de onderzoekers van het securitybedrijf.