UvA-studenten kraken beveiliging van DigiD-alternatief Digidentity
Studenten van de Universiteit van Amsterdam (UvA) hebben verschillende beveiligingsproblemen ontdekt in een alternatief voor het identificatiesysteem DigiD van de overheid. Het gaat om een systeem dat wordt ontwikkeld door het Haagse bedrijf Digidentity.
De problemen zijn ontdekt door Peters Broers en Jelte Fennema, studenten Security en Network Engineering van de UvA. "We schrokken van wat we vonden", zegt Boers tegenover de NOS. "We zijn geen beveiligingsexperts, maar we vonden vrij eenvoudig een aantal veiligheidsrisico’s.” De problemen werden al in de lente van 2016 ontdekt en gemeld bij Digidentity, die de problemen heeft opgelost. De studenten treden nu naar buiten met hun bevindingen.
Commerciële bedrijven als alternatief voor DigiD
Het systeem dat Digidentity ontwikkeld is onderdeel van een initiatief van de overheid om commerciële bedrijven een alternatief te laten vormen voor DigiD. Hierbij wordt gewerkt aan verschillende systemen, waaronder Idensys en IDIN. Ook Digidentity werkt aan een dergelijk systeem. Een pilot van dit systeem is door de onderzoekers van de UvA onder de loep genomen.
Uit deze proef blijkt dat de beveiliging van het systeem te wensen overliet. Zo konden de studenten een brute force-aanval uitvoeren op de inlogpagina van Digidentity, aangezien een onbeperkt aantal inlogpogingen kon worden gedaan. De studenten schatten tussen de 7 uur en 48 dagen nodig te hebben om de inloggegevens van een account bij Digidentity te kraken. Ook andere problemen werden ontdekt. Zo kunnen gebruikers hun login beschermen met behulp van een Android-app. Deze app bleek echter te kraken, al hebben aanvallers hiervoor wel root-toegang nodig tot het apparaat.
Reactie Digidentity
Directeur Walther van Bentum van Digidentity zegt in een reactie tegenover de NOS blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen”, aldus Van Bentum. Het was overigens tijdens de pilot al mogelijk met behulp van Digidentity in te loggen bij de Belastingdienst.
Meer over
Lees ook
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.
Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag
Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.
Onderzoek WatchGuard: sterke stijging evasive malware
Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.