UvA-studenten kraken beveiliging van DigiD-alternatief Digidentity
Studenten van de Universiteit van Amsterdam (UvA) hebben verschillende beveiligingsproblemen ontdekt in een alternatief voor het identificatiesysteem DigiD van de overheid. Het gaat om een systeem dat wordt ontwikkeld door het Haagse bedrijf Digidentity.
De problemen zijn ontdekt door Peters Broers en Jelte Fennema, studenten Security en Network Engineering van de UvA. "We schrokken van wat we vonden", zegt Boers tegenover de NOS. "We zijn geen beveiligingsexperts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico’s.” De problemen werden al in de lente van 2016 ontdekt en gemeld bij Digidentity, die de problemen heeft opgelost. De studenten treden nu naar buiten met hun bevindingen.
Commerciële bedrijven als alternatief voor DigiD
Het systeem dat Digidentity ontwikkeld is onderdeel van een initiatief van de overheid om commerciële bedrijven een alternatief te laten vormen voor DigiD. Hierbij wordt gewerkt aan verschillende systemen, waaronder Idensys en IDIN. Ook Digidentity werkt aan een dergelijk systeem. Een pilot van dit systeem is door de onderzoekers van de UvA onder de loep genomen.
Uit deze proef blijkt dat de beveiliging van het systeem te wensen overliet. Zo konden de studenten een brute force-aanval uitvoeren op de inlogpagina van Digidentity, aangezien een onbeperkt aantal inlogpogingen kon worden gedaan. De studenten schatten tussen de 7 uur en 48 dagen nodig te hebben om de inloggegevens van een account bij Digidentity te kraken. Ook andere problemen werden ontdekt. Zo kunnen gebruikers hun login beschermen met behulp van een Android-app. Deze app bleek echter te kraken, al hebben aanvallers hiervoor wel root-toegang nodig tot het apparaat.
Reactie Digidentity
Directeur Walther van Bentum van Digidentity zegt in een reactie tegenover de NOS blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen”, aldus Van Bentum. Het was overigens tijdens de pilot al mogelijk met behulp van Digidentity in te loggen bij de Belastingdienst.
Meer over
Lees ook
De digital decade: wat betekent dit voor de EU, de infrastructuur en de digitale diensten van morgen?
Het Belgisch voorzitterschap van de Raad van de Europese Unie prioriteert de digitale transitie in 2024. Wat kunnen we verwachten van de toekomst? Hoe zal technologie ten dienste staan van burgers en organisaties?
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.
Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag
Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.