Witold Kepinski - 08 oktober 2014

DigiD websites gemeentes en zorginstellingen gehackt

Tijdens een beveiligingsaudit door DeltaISIS, uitgevoerd in opdracht van een klant, is door Security Officer Erik Westhovens (foto) een DigiD beveiligingslek gevonden in het gebruikte CMS systeem. Dit betreffende CMS systeem wordt door veel gemeenten en bedrijven gebruikt. Middels het lek kan het system account en het bijhorend wachtwoord eenvoudig uitgelezen en gebruikt worden. Op deze wijze kan een hacker zich toegang verschaffen tot het systeem en aanverwante systemen om vervolgens informatie te manipuleren en/of te misbruiken.

De server kon eenvoudig worden “geroot” en er konden sniffers en andere malware geïnstalleerd worden om gevoelige informatie bij deze organisaties te onttrekken. "Het bleek erg eenvoudig te zijn om extra beheeraccounts aan te maken die voor volledige toegang tot de omgeving zorgden. Tevens konden de verbindingen worden uitgelezen met 'Man in the Middle' software zodat het in theorie mogelijk was om DigiD accounts te 'harvesten'," aldus Erik Westhovens.

Het beveiligingslek is op 11-09-2014 in de vooravond gevonden en de volgende dag is er direct  overleg geweest met de ontwikkelaar van de software om dat bedrijf te waarschuwen voor het gevonden probleem. Vanuit de Responsible disclosure is het lek stil gehouden en zijn het NCSC en IBP Gemeenten geïnformeerd. Deze hebben samen met de ontwikkelaar het lek gedicht en gemonitord op eventuele onregelmatigheden.

DeltaISIS ondersteunt veel organisaties met het optimaliseren van de kwaliteit en veiligheid van ICT omgevingen en is dan ook blij dat ze op deze manier heeft bijgedragen aan veiliger publiek toegankelijke informatieportalen, aldus Westhovens.

 

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024