'Politiewebsites maakten kapen DigiD mogelijk'

Verschillende internetdomeinen van de Nederlandse politie zijn verlopen, waardoor het mogelijk was om DigiD-logins te stelen en malware bij gebruikers te installeren.

Dat blijkt uit onderzoek van Reporter Radio in samenwerking met beveiligingsonderzoeker Wouter Slotboom.

Slotboom ontdekte dat er bij de overstap van 300 verschillende politiewebsites naar het domein 'politie.nl' diverse domeinnamen over het hoofd waren gezien.

Veel wijkagenten blijven daarnaast verwijzen naar deze oude internetdomeinen, waarvan de registratie inmiddels is verlopen. Ook in diverse andere uitingen en artikelen blijft de politie naar deze domeinen verwijzen. Hierdoor lopen mensen die op deze websites komen risico.

DigiD

Slotboom registreerde vijftien van de verlopen domeinennamen en plaatste een kopie van de echte politiewebsite op drie van die domeinen als demonstratie. Omdat het mogelijk is om online aangifte te doen, kon Slotboom de DigiD-logingegevens van gebruikers verkrijgen.

Om het voor de gebruiker zo echt mogelijk te laten lijken, had Slotboom ook een beveiligingscertificaat voor de websites geïnstalleerd. Hierdoor ziet de gebruiker bij het bezoeken van het domein een groene balk en lijkt de website authentiek en veilig.

Malware

Tijdens een demonstratie laat Slotboom zien dat het ook mogelijk is om malware bij gebruikers te installeren, door bijvoorbeeld te vragen of de bezoeker de flash-plugin wil updaten. Degenen die de malafide software-update downloaden, installeren dan ook malware.

Slotboom benadrukt dat de overheid miljoenen besteedt om te waarschuwen voor identiteitsdiefstal. "Juist een vertrouwde organisatie als de nationale politie zou hier scherper op moeten zijn", aldus de beveiligingsonderzoeker.

Overdragen

Slotboom heeft de bevindingen eind december van vorig jaar gemeld bij de politie. Inmiddels zijn de domeinen van Slotboom aan de politie overgedragen.

"Ik ben blij dat ik dit heb gezien, het is heel belangrijk", zegt Ron de Milde, de verantwoordelijke voor de overstap naar politie.nl. Volgens De Milde zijn de domeinen aan de aandacht ontsnapt: "Ik ben blij dat u ons in de gelegenheid heeft gesteld dit te herstellen."

De politie zegt agenten erop te wijzen alleen nog maar naar politie.nl te verwijzen. Uit onderzoek van NU.nl blijkt echter dat er nog steeds naar oude domeinen wordt verwezen.

Lees meer over:
Tip de redactie