Twee gevaarlijke kwetsbaarheden in de software van het Europese identificatiesysteem eIDAS stelden kwaadwillenden in staat om zich voor te doen als Europese burgers en bedrijven. Dat staat in een onderzoeksrapport dat in handen is van ZDNet.

Electronic identification, authentication and trust services (eIDAS) is een verordening die ervoor moet moet zorgen dat Europese burgers makkelijker digitaal kunnen communiceren met instellingen binnen de Europese Unie. Via het eIDAS-systeem moeten burgers ook bij overheidsinstellingen over de grens kunnen inloggen, bijvoorbeeld als zij een boete voor te hard rijden hebben gekregen in het buitenland.

Volgens het onderzoek van het beveiligingsbedrijf SEC Consult was het mogelijk om via twee kwetsbaarheden in dit eIDAS-systeem online de identiteit van een Europese burger aan te nemen. Hierdoor zouden kwaadwillenden kunnen rommelen met bijvoorbeeld belastingen, banktransacties of goederenverkeer binnen de EU.

Het is niet bekend of er ook misbruik is gemaakt van de kwetsbaarheden. Een woordvoerder van de Europese Commissie wilde op dit moment niet reageren op vragen van ZDNet naar aanleiding van het onderzoeksrapport.

Wel komt er dinsdag een update uit die de beveiligingslekken in het eIDAS-systeem moet verhelpen. De lidstaten moeten de update volgens SEC Consult zo snel mogelijk installeren.