Lekken in pilot DigiD-alternatief snel gevonden

Studenten Security en Network Engineering van de Universiteit van Amsterdam hebben veiligheidsrisico's gevonden in Digidentity, een mogelijk alternatief voor inloggen bij de overheid naast DigiD. Hoewel het om een pilot gaat, zeggen de onderzoekers tegen NOS 'geschrokken' te zijn.

Digidentity
De lekken werden al in 2016 gevonden, maar het onderzoek dat deze beschrijft is nu pas naar buiten gebracht. De lekken zijn inmiddels gedicht. Diverse bedrijven zijn bezig met het ontwikkelen van nieuwe manieren om in te loggen bij de overheid, naast DigiD. Digidentity is er daar één van. Lange tijd was dit bedrijf ontwikkelaar van DigiD, daardoor was de pilot van Digidentity extra interessant voor de onderzoekers.

Geautomatiseerde inlogpogingen
Volgens NOS lukte het de studenten om geautomatiseerd pogingen te doen om in te loggen op de loginpagina van Digidentity. Daardoor kunnen er heel veel pogingen om in te loggen bij een account worden gedaan en is de kans groter dat een hacker daarin slaagt. Afhankelijk van de hoeveelheid informatie over hun slachtoffer zou inloggen op een account tussen de 7 uur en 48 dagen slagen, zo berekenden de studenten.

Problemen opgelost

Digidentity zegt in een reactie aan NOS blij te zijn met de aangetoonde kwetsbaarheden. De problemen zijn vorig jaar al opgelost. 'Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen.' Hoewel het om een pilot ging, was 'echt' inloggen bij de Belastingdienst via het geteste middel wel mogelijk.

Het onderzoek is hier in te zien.