DigiD-sessies bij ten minste 7 gemeentelijke websites bleken te kunnen worden gekaapt door kwaadwillenden, meldt Webwereld in zijn 'Lektober'-reeks.
DigiD-lek bij 7 gemeenten gedicht
DigiD-sessies bij ten minste 7 gemeentelijke websites bleken te kunnen worden gekaapt door kwaadwillenden door XSS aanval, meldt Webwereld…
Sessie overnemen
Het lek bij de gemeenten Arnhem, Emmeloord, Hellendoorn, Hilversum, Nijmegen, Noordoostpolder en Rotterdam betreft een zogeheten 'cross site scripting'-aanval (XSS). Daarbij kan een aanvaller een DigiD-sessie tussen burger en gemeente overnemen zonder dat die burger dat doorheeft. Journalist Brenno de Winter heeft het lek gemeld aan overheidsbeveiligingsorganisatie Govcert en aan de VNG. De betrokken gemeenten hebben daarop het lek gedicht, wat technisch gesproken vrij eenvoudig is.
Cookies
Volgens Webwereld is aanval relatief eenvoudig doordat fundamentele beveiligingslagen in DigiD ontbreken. Er wordt niet gewerkt met 'secure cookies', waardoor het mogelijk is de informatie over een DigiD-sessie te stelen en te misbruiken. DigiD controleert ook niet van welk internetadres (IP-adres) een gebruiker afkomstig is, zodat een eenmaal overgenomen DigiD-sessie overal ter wereld te misbruiken is.
VNG
Of er behalve de genoemde 7 inmiddels meer gemeenten zijn wier site gevoelig is gebleken voor een XSS-aanval is niet bekend. De VNG adviseert gemeenten in ieder geval de beveiliging van hun website kritisch te onderzoeken 'en vlot te reageren als er een melding komt bij uw gemeente dat uw gemeente 'aan de beurt' is.' Waar nodig zal VNG-dochter KING ondersteuning bieden.
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Emmeloord ligt in de gemeente Noordoostpolder.... Dus het zijn 6 gemeenten i.p.v. 7.... Helaas wordt die fout wel vaker gemaakt.