UvA-studenten kraken beveiliging van DigiD-alternatief Digidentity
Studenten van de Universiteit van Amsterdam (UvA) hebben verschillende beveiligingsproblemen ontdekt in een alternatief voor het identificatiesysteem DigiD van de overheid. Het gaat om een systeem dat wordt ontwikkeld door het Haagse bedrijf Digidentity.
De problemen zijn ontdekt door Peters Broers en Jelte Fennema, studenten Security en Network Engineering van de UvA. "We schrokken van wat we vonden", zegt Boers tegenover de NOS. "We zijn geen beveiligingsexperts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico’s.” De problemen werden al in de lente van 2016 ontdekt en gemeld bij Digidentity, die de problemen heeft opgelost. De studenten treden nu naar buiten met hun bevindingen.
Commerciële bedrijven als alternatief voor DigiD
Het systeem dat Digidentity ontwikkeld is onderdeel van een initiatief van de overheid om commerciële bedrijven een alternatief te laten vormen voor DigiD. Hierbij wordt gewerkt aan verschillende systemen, waaronder Idensys en IDIN. Ook Digidentity werkt aan een dergelijk systeem. Een pilot van dit systeem is door de onderzoekers van de UvA onder de loep genomen.
Uit deze proef blijkt dat de beveiliging van het systeem te wensen overliet. Zo konden de studenten een brute force-aanval uitvoeren op de inlogpagina van Digidentity, aangezien een onbeperkt aantal inlogpogingen kon worden gedaan. De studenten schatten tussen de 7 uur en 48 dagen nodig te hebben om de inloggegevens van een account bij Digidentity te kraken. Ook andere problemen werden ontdekt. Zo kunnen gebruikers hun login beschermen met behulp van een Android-app. Deze app bleek echter te kraken, al hebben aanvallers hiervoor wel root-toegang nodig tot het apparaat.
Reactie Digidentity
Directeur Walther van Bentum van Digidentity zegt in een reactie tegenover de NOS blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen”, aldus Van Bentum. Het was overigens tijdens de pilot al mogelijk met behulp van Digidentity in te loggen bij de Belastingdienst.
Meer over
Lees ook
Den Haag krijgt internationaal cybercentrum voor cybersecurity
Een internationaal cybercentrum voor cybersecurity wordt geopend in Den Haag. Dit meldt minister Ard van der Steur van Veiligheid en Justitie tegenover ANP. Het centrum moet de digitale kloof in de wereld gaan bestrijden en kennis over cybersecurity gaan delen. Nederland gaat daarnaast investeren in de digitale veiligheid van landen die hier zelf1
NCSC waarschuwt voor houdbaarheidsdatum software
Software heeft een bepaalde houdbaarheidsdatum, ook wel de ‘End-of-Life’ genoemd. Na de End-of-Life ontvangt software geen technische ondersteuning meer van de leverancier en worden beveiligingsgaten niet langer gedicht. Dit brengt risico met zich mee voor gebruikers die deze verouderde software blijven gebruiken. Hiervoor waarschuwt het Nationaal1
‘Martieme sector moet zich beter beschermen tegen cyberrisico’s’
De maritieme sector heeft onvoldoende bescherming genomen tegen cyberrisico’s. Dit vormt dan ook een belangrijke nieuwe dreiging voor de scheepvaartsector, die in toenemende mate vertrouwt op automatisering. Dit blijkt uit het Safety and Shipping Review 2015 rapport van Allianz Global Corporate & Speciality SE. Cybercriminaliteit in de maritie1