Zo’n 24 DigiD-website waren onvoldoende beschermd, zo bleek vorige week.

Op de website van het programma Opgelicht?!:

Een specialist in het beveiligen van websites, ontdekte op 11 september dat een computerprogramma van 24 Nederlandse gemeenten niet waterdicht is.

Bijna elke gemeente in Nederland heeft een website waar je in kan loggen met je DigiD, bijvoorbeeld om een vergunning aan te vragen. Voor deze website maakt de gemeente gebruik van het betreffende computerprogramma. Als je dit programma aanschaft, zitten er standaard login-gegevens bij, die op internet vermeld staan. Het is de bedoeling dat de gemeente het wachtwoord wijzigt, zodra het programma in gebruik genomen wordt. Maar liefst 24 gemeenten die met dit computerprogramma werken, deden dit niet en hielden het standaard wachtwoord. Hierdoor was het voor de beveiligingsspecialist geen probleem om in te loggen als administrator. Bij 12 van die 24 gemeenten was er vervolgens geen goede beveiliging naar de DigiD inlogpagina en stond de deur wagenwijd open. Voor een hacker is het dan een koud kunstje om alle DigiD-inloggegevens op te vangen van de mensen die inloggen met hun DigiD bij de gemeente.

DigiD-beheerder Logius beweert tegen Opgelicht?! dat het om ‘een klein aantal gemeenten’ zou gaan. Het bedrijf wil niet bevestigen om welke 12 gemeenten het gaat. Daarnaast stelt Logius dat het lek inmiddels is gedicht en dat onderzoek aangetoond heeft dat er geen misbruik heeft plaatsgevonden. Dit onderzoek is gedaan door het bedrijf Fox IT. Directeur Ronald Prins van Fox IT zegt echter tegen Opgelicht?! dat er maar bij een heel beperkt aantal van de kwetsbare gemeenten onderzoek heeft plaats gevonden. Dus hij kan niet met 100% zekerheid zeggen dat er geen misbruik van is gemaakt.