AMSTERDAM - Veel overheidsites zijn kwetsbaar voor aanvallen van buitenaf waardoor DigiD-fraude mogelijk is.

Dat meldt Webwereld op basis van onderzoek van beveiligingsonderzoeker Wouter van Dongen van Dong IT. Van Dongen ontdekte eerder al een zwakheid in diverse raadsinformatiesystemen.

Overheidsites die kwetsbaar zijn cross site scripting lekken, maken het voor een hacker mogelijk een DigiD-sessie van een gebruiker over te nemen en in zijn naam rechtsgeldige transacties te maken.

Een aanval vindt plaats door de url van XSS-gevoelige sites te manipuleren. Zo kan tijdens een aanval de cookies worden gestolen en een DigiD-sessie van een onwetende gebruiker worden overgenomen.

Beveiliging

Volgens Webwereld zijn de websites kwetsbaar omdat er bepaalde beveiligingslagen in DigiD ontbreken. Zo wordt er niet gewerkt met secure cookies. Daardoor is het mogelijk de informatie over een sessie te stelen en te misbruiken.

Ook controleert DigiD niet van welk internetadres een gebruiker afkomstig is. Hierdoor kan een eenmaal overgenomen DigiD-sessie overal ter wereld worden misbruikt en wordt fraude makkelijker gemaakt.

Cross site scripting

Om fraude met DigiD te voorkomen worden de websites aan een aantal tests onderworpen, maar wordt er niet gecontroleerd op cross site scripting.

Van Dongen laat weten dat cross site scripting-kwetsbaarheden een van de meest voorkomende kwetsbaarheden is in webapplicaties. Uit een onderzoek in 2009 bleek dat maar liefst 65% van de onderzochte sites vatbaar waren.

"Door simpelweg gebruik te maken van HTTP only cookies en HTTP Trace methode uit te schakelen worden de mogelijkheden van een aanvaller al flink beperkt wanneer er een XSS kwetsbaarheid doorheen glipt", legt hij uit. "En door HTTP secure cookies worden de cookies niet over een onbeveiligde verbinding verzonden. Eenvoudig te implementeren en te controleren."

Logius

Logius, onderdeel van Binnenlandse Zaken, is verantwoordelijk voor de beveiliging van de overheidsites en komt na de problemen met DigiNotar er wederom niet goed vanaf.

Logius gaf tijdens de DigiNotar-kwestie het advies uit dat er geen reden was om te twijfelen aan de integriteit van de PKI Overheid-certificaten. Dat bleek achteraf een verkeerde inschatting aangezien de systemen voor PKI-overheid ook waren gekraakt door de inbreker.

Lektober

De onthulling van het DigiD-lek is onderdeel van het door Webwereld in het leven geroepen  Lektober, waarin de website iedere werkdag van de maand oktober een privacy-lek wil blootleggen. Hiermee willen ze de aandacht vestigen op de slechte bescherming van privacygevoelige gegevens in de semipublieke sector en bij bedrijven.