‘Politiewebsites maakten kapen DigiD mogelijk’

Dat blijkt uit onderzoek van Reporter Radio in samenwerking met beveiligingsonderzoeker Wouter Slotboom.


Slotboom ontdekte dat er bij de overstap van 300 verschillende politiewebsites naar het domein ‘politie.nl’ diverse domeinnamen over het hoofd waren gezien.


Veel wijkagenten blijven daarnaast verwijzen naar deze oude internetdomeinen, waarvan de registratie inmiddels is verlopen. Ook in diverse andere uitingen en artikelen blijft de politie naar deze domeinen verwijzen. Hierdoor lopen mensen die op deze websites komen risico.




DigiD


Slotboom registreerde vijftien van de verlopen domeinennamen en plaatste een kopie van de echte politiewebsite op drie van die domeinen als demonstratie. Omdat het mogelijk is om online aangifte te doen, kon Slotboom de DigiD-logingegevens van gebruikers verkrijgen.


Om het voor de gebruiker zo echt mogelijk te laten lijken, had Slotboom ook een beveiligingscertificaat voor de websites geïnstalleerd. Hierdoor ziet de gebruiker bij het bezoeken van het domein een groene balk en lijkt de website authentiek en veilig.




Malware


Tijdens een demonstratie laat Slotboom zien dat het ook mogelijk is om malware bij gebruikers te installeren, door bijvoorbeeld te vragen of de bezoeker de flash-plugin wil updaten. Degenen die de malafide software-update downloaden, installeren dan ook malware.


Slotboom benadrukt dat de overheid miljoenen besteedt om te waarschuwen voor identiteitsdiefstal. “Juist een vertrouwde organisatie als de nationale politie zou hier scherper op moeten zijn”, aldus de beveiligingsonderzoeker.




Overdragen


Slotboom heeft de bevindingen eind december van vorig jaar gemeld bij de politie. Inmiddels zijn de domeinen van Slotboom aan de politie overgedragen.


“Ik ben blij dat ik dit heb gezien, het is heel belangrijk”, zegt Ron de Milde, de verantwoordelijke voor de overstap naar politie.nl. Volgens De Milde zijn de domeinen aan de aandacht ontsnapt: “Ik ben blij dat u ons in de gelegenheid heeft gesteld dit te herstellen.”


De politie zegt agenten erop te wijzen alleen nog maar naar politie.nl te verwijzen. Uit onderzoek van NU.nl blijkt echter dat er nog steeds naar oude domeinen wordt verwezen.

This entry was posted in tech. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>