ITSA-24_Banner-stat_Visitors_750x100px_EN



UvA-studenten kraken beveiliging van DigiD-alternatief Digidentity

  1. 27 mrt 2017
  2. 0 reacties

password-1433221-m

Studenten van de Universiteit van Amsterdam (UvA) hebben verschillende beveiligingsproblemen ontdekt in een alternatief voor het identificatiesysteem DigiD van de overheid. Het gaat om een systeem dat wordt ontwikkeld door het Haagse bedrijf Digidentity.

De problemen zijn ontdekt door Peters Broers en Jelte Fennema, studenten Security en Network Engineering van de UvA. "We schrokken van wat we vonden", zegt Boers tegenover de NOS. "We zijn geen beveiligingsexperts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico’s.” De problemen werden al in de lente van 2016 ontdekt en gemeld bij Digidentity, die de problemen heeft opgelost. De studenten treden nu naar buiten met hun bevindingen.

Commerciële bedrijven als alternatief voor DigiD

Het systeem dat Digidentity ontwikkeld is onderdeel van een initiatief van de overheid om commerciële bedrijven een alternatief te laten vormen voor DigiD. Hierbij wordt gewerkt aan verschillende systemen, waaronder Idensys en IDIN. Ook Digidentity werkt aan een dergelijk systeem. Een pilot van dit systeem is door de onderzoekers van de UvA onder de loep genomen.

Uit deze proef blijkt dat de beveiliging van het systeem te wensen overliet. Zo konden de studenten een brute force-aanval uitvoeren op de inlogpagina van Digidentity, aangezien een onbeperkt aantal inlogpogingen kon worden gedaan. De studenten schatten tussen de 7 uur en 48 dagen nodig te hebben om de inloggegevens van een account bij Digidentity te kraken. Ook andere problemen werden ontdekt. Zo kunnen gebruikers hun login beschermen met behulp van een Android-app. Deze app bleek echter te kraken, al hebben aanvallers hiervoor wel root-toegang nodig tot het apparaat.

Reactie Digidentity

Directeur Walther van Bentum van Digidentity zegt in een reactie tegenover de NOS blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen”, aldus Van Bentum. Het was overigens tijdens de pilot al mogelijk met behulp van Digidentity in te loggen bij de Belastingdienst.

Meer over
Lees ook
Cybersecurity: vier eye-openers voor de CEO

Cybersecurity: vier eye-openers voor de CEO

Cybersecurity is de afgelopen jaren veel in het nieuws. Maar al te vaak lezen we over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het b1

Draadloze netwerk is meest kwetsbare deel van IT-infrastructuur

Draadloze netwerk is meest kwetsbare deel van IT-infrastructuur

Het draadloze netwerk is volgens IT-beslissers het meest kwetsbare onderdeel van hun IT-infrastructuur. Volgens bijna de helft (49%) van de deelnemers aan het onderzoek staan draadloze netwerken het meest bloot aan beveiligingsrisico’s, terwijl maar 29% van hen het bedrijfsnetwerk zelf het meest kwetsbaar vindt. Dat het draadloze netwerk gezien wo1

Rusland en China sluiten deal rond cybersecurity

Rusland en China sluiten deal rond cybersecurity

Rusland en China beloven elkaar niet digitaal aan te vallen en gaan nauwer samenwerken, waarbij het delen van informatie centraal staat. Hiervoor hebben de twee landen een verdrag gesloten. The Wall Street Journal meldt dat de landen samen willen optreden tegen technologie die de interne politieke of socio-economische atmosfeer in de landen kan de1