UvA-studenten kraken beveiliging van DigiD-alternatief Digidentity
Studenten van de Universiteit van Amsterdam (UvA) hebben verschillende beveiligingsproblemen ontdekt in een alternatief voor het identificatiesysteem DigiD van de overheid. Het gaat om een systeem dat wordt ontwikkeld door het Haagse bedrijf Digidentity.
De problemen zijn ontdekt door Peters Broers en Jelte Fennema, studenten Security en Network Engineering van de UvA. "We schrokken van wat we vonden", zegt Boers tegenover de NOS. "We zijn geen beveiligingsexperts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico’s.” De problemen werden al in de lente van 2016 ontdekt en gemeld bij Digidentity, die de problemen heeft opgelost. De studenten treden nu naar buiten met hun bevindingen.
Commerciële bedrijven als alternatief voor DigiD
Het systeem dat Digidentity ontwikkeld is onderdeel van een initiatief van de overheid om commerciële bedrijven een alternatief te laten vormen voor DigiD. Hierbij wordt gewerkt aan verschillende systemen, waaronder Idensys en IDIN. Ook Digidentity werkt aan een dergelijk systeem. Een pilot van dit systeem is door de onderzoekers van de UvA onder de loep genomen.
Uit deze proef blijkt dat de beveiliging van het systeem te wensen overliet. Zo konden de studenten een brute force-aanval uitvoeren op de inlogpagina van Digidentity, aangezien een onbeperkt aantal inlogpogingen kon worden gedaan. De studenten schatten tussen de 7 uur en 48 dagen nodig te hebben om de inloggegevens van een account bij Digidentity te kraken. Ook andere problemen werden ontdekt. Zo kunnen gebruikers hun login beschermen met behulp van een Android-app. Deze app bleek echter te kraken, al hebben aanvallers hiervoor wel root-toegang nodig tot het apparaat.
Reactie Digidentity
Directeur Walther van Bentum van Digidentity zegt in een reactie tegenover de NOS blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen”, aldus Van Bentum. Het was overigens tijdens de pilot al mogelijk met behulp van Digidentity in te loggen bij de Belastingdienst.
Meer over
Lees ook
Bedrijven sluiten ondanks zorgen geen verzekering af tegen cybercrime
Bedrijven maken zich veel zorgen over cyberbeveiliging. Slechts één of de vijf organisaties beschermt zichzelf echter tegen cyberaanvallen door hiervoor een verzekering af te sluiten. Dit blijkt uit onderzoek van de bedrijfsverzekeraar Zurich in samenwerking met FERMA en PRIMA. 76 procent van de ondervraagde bedrijven geeft aan zich in de afgelope1
Europa moet de leiding nemen in de standaardisatie van cybersecurity
Europese Instituten zouden de leiding moeten nemen in het standaadiseren van cybersecurity. Dit stelt de Cyber Security Coordination Group (CSCG) in een whitepaper, die op verzoek van Eurocommissaris Neelie Kroes is opgesteld. De CSGS doet in de whitepaper negen aanbevelingen voor het standaardiseren van cybersecurity binnen Europa. "De CSCG moedi1
ETSI gaat standaarden ontwikkelen voor cybersecurity
Het European Telecommunications Standards Institute (ETSI) richt een technische commissie op standaarden gaat ontwikkelen voor cybersecurity. De commissie moet met transparante en betrouwbare standaarden komen om de digital markt veiliger te maken. De technische commissie Cybersecurity gaat standaarden ontwikkelen voor: Cybersecurity De beveiligi1