Nieuws

DigiD via lek in Nederlandse gemeentesites te stelen

Bron: Secuirty.nl - 18-04-2008
In tientallen Nederlandse gemeentesites bevinden zich beveiligingslekken waardoor een aanvaller DigiD of andere persoonlijke gegevens kan stelen, zo laat een beveiligingsonderzoeker Security.NL weten. Zarco Zwier trof in 31 websites de mogelijkheid tot cross-site scripting aan, waardoor het mogelijk is om gegevens die tijdens de inlogsessie op de website beschikbaar zijn, te achterhalen en weg te sluizen. 'Gevaarlijk is dit wanneer deze kwaadaardige URL's in reclamebanners worden verstopt om zo DigiD of andere persoonlijke gegevens van ingelogde bezoekers te verzamelen,' aldus de onderzoeker.

Ook is het mogelijk gebruikers over te halen een link te laten bezoeken om zo andere content weer te geven in de context van het domein van de gemeente, waardoor het voor een nietsvermoedende gebruiker op een authentiek bericht van de gemeente lijkt. De gegevens in de database van de websites waren in de meeste gevallen niet toegankelijk, alhoewel hij op één website een SQL-query met geïnjecteerde code terugkreeg.

De kwetsbare gemeenten werden een maand geleden ingelicht, maar van negen heeft Zwier pas een reactie ontvangen. Het probleem wordt in de meeste gevallen veroorzaakt doordat er een ongepatcht CMS in gebruik is. Zwier ontdekte dat er vier typen URL's zijn, wat waarschijnlijk betekent dat er minimaal vier CMS-en worden gebruikt. Of de andere gemeenten gebruikmaken van een CMS of dat er iets op maat gemaakt is, kon hij niet zo zeggen. 'Ik heb er namelijk maar twee avonden aan besteed.'

Mondje dicht
De onderzoeker is inmiddels ook benaderd door de producent van één van de CMS-en. Hem werd gevraagd om met gepaste terughoudendheid informatie naar buiten te brengen, volgens Zwier omdat ze negatieve publiciteit willen voorkomen. 'Dat is logisch, dat snap ik ook wel. Echter, daar er hier een maatschappelijk belang speelt, acht ik het van belang dat mensen hiervan op de hoogte worden gebracht.' De producent die Zwier niet bij name wil noemen vroeg hem ook om in plaats van de gebruikers, voortaan de producent zelf in te lichten over gevonden kwetsbaarheden. Iets waar de onderzoeker zich wel in kon vinden.

'Daar deze websites toch vrij belangrijk zijn voor de Nederlandse burger, acht ik het van belang dat de burgers worden geinformeerd over spelende problemen
en dat overheden het belang inzien van het veilig maken en houden van hun digitale systemen. Als ik in twee avonden, na een zware werkdag 31 kwetsbare websites kan vinden, ga dan maar eens na wat internetcriminelen voor schade kunnen aanrichten,' zo waarschuwt hij. De websites van onder andere Delft, Rotterdam, Schiedam, Leiden, Emmen, Almelo en Apeldoorn zijn lek.

Is uw computer veilig? Laat uw computer checken door DigiProfs!

Meer nieuws? Meld u aan voor de maandelijkse nieuwsbrief van DigiProfs.

Overzicht Security Monitor

• 03-05-2008 Filters feliciteren spam met 30ste verjaardag
• 02-05-2008 Vijf manieren om persoonlijke informatie op publieke pc's te beschermen
• 23-04-2008 AVG komt morgen met AVG Anti-Virus Free 8.0
• 23-04-2008 Europa heeft grootste aantal zombiepc's in huis
• 23-04-2008 Microsoft: Laptopdieven gevaarlijker dan hackers
• 22-04-2008 Wachtwoorden moeten sterk, slim en veilig zijn
• 22-04-2008 Steeds meer Trojaanse paarden
• 22-04-2008 Windows Live OneCare Family Safety - Uw kinderen veilig op internet?
• 21-04-2008 5000 euro voor malwarevrije en gepatchte bedrijven
• 18-04-2008 DigiD via lek in Nederlandse gemeentesites te stelen
• 17-04-2008 Helft vrouwen ruilt wachtwoord voor chocoladereep
• 17-04-2008 Mail achterlaten op pornosite levert weinig spam op
• 17-04-2008 Safari-update dicht vier lekken
• 16-04-2008 Helft Duitsers internet zonder actuele virusscanner
• 16-04-2008 'Elke 4 seconden een nieuwe spamwebpagina'