Het gaat om één van de systemen die door bedrijven wordt ontwikkeld als alternatief van DigiD. Om inloggen bij overheidsdiensten makkelijker te maken, wil de overheid inloggen met bijvoorbeeld de inloggegevens van internetbankieren of een ‘eRijbewijs’ mogelijk maken.
Twee studenten Security en Network Engineering van de Universiteit van Amsterdam hebben een paar van de alternatieven die nu al wordt getest onderzocht (pdf).
“We schrokken van wat we vonden”, zegt Peter Boers, een van de studenten, tegen de NOS. “We zijn geen beveiligings-experts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico’s.”
Bruteforcen
De Belastingdienst voert al proeven uit met inlogmogelijkheden van derden, waaronder een systeem van het bedrijf Digidentity. Dat systeem blijkt niet beschermd tegen het zogenoemde bruteforcen van inlogpogingen. Daarbij wordt poging na poging op het systeem afgevuurd, totdat de juiste combinatie is gevonden.
Het is eigenlijk standaard om die redelijk simpele manier van kraken onmogelijk te maken. Accounts van bijvoorbeeld Google of Facebook gaan tijdelijk op slot als te vaak een verkeerd wachtwoord wordt ingevoerd.
Omdat dat bij het systeem van Digidentity niet het geval was, hadden de UvA-studenten naar schatting in tussen de 7 uur en 48 dagen op een account kunnen inbreken, afhankelijk van hoeveel informatie van het slachtoffer zij al hadden.
Strenge eisen
De studenten hebben niet daadwerkelijk ingelogd op andermans account, maar hadden inzicht kunnen krijgen in belastinggegevens. De kwetsbaarheden werden begin 2016 al gevonden en aan onder meer Digidentity gemeld, maar worden nu pas naar buiten gebracht.
Saillant detail is overigens dat Digidentity lang de ontwikkelaar was van DigiD. Het bedrijf zegt blij te zijn met onderzoekers die kwetsbaarheden melden. “Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen” , zegt directeur Walther van Bentum tegen de NOS.
Het ministerie van Binnenlandse Zaken zegt strenge eisen te stellen aan de beveiliging van het systeem. De komende tijd worden alternatieve systemen nog op beperkte schaal getest. Een landelijke uitrol van DigiD-alternatieven wordt op zijn vroegst pas in 2018 verwacht.