UvA-studenten ontdekken beveiligingslek in alternatief DigiD
UvA-studenten Jelte Fennema en Peter Boers hebben een lek gevonden in een van de systemen die DigiD kan vervangen. Al vorig jaar ontdekte het tweetal de veiligheidsrisico’s. ‘Maar we hebben gewacht met de publicatie van ons onderzoek totdat de problemen waren opgelost.’
Wil je checken hoe hoog je studieschuld is opgelopen of moet je belastingaangifte doen, dan log je in met je DigiD. Tenzij je natuurlijk je DigiD-wachtwoord bent vergeten. Dan moet je eerst wachten op een brief waarmee je een nieuwe kunt instellen. Om dit inlogproces te vergemakkelijken wil de overheid het nu mogelijk maken in te loggen met een account dat mensen vaker gebruiken, zoals hun bankaccount, net zoals je met je Facebookprofiel ook op verschillende platformen kunt inloggen.
Nieuwe systemen moeten ook veiliger zijn dan DigiD. Maar al snel ontdekten UvA-studenten Security & Network Engineering Jelte Fennema en Peter Boers een beveiligingslek in het systeem van Digidentity. Het bedrijf – dat overigens ook lang de ontwikkelaar van DigiD was – ontwikkelde een van de mogelijke alternatieven voor DigiD. Het tweetal onderzocht het systeem voor het vak Offensive Technology. Ten tijde van hun vondst liep er al een pilot met het systeem.
Inlogpogingen
‘Het grootste probleem was het ontbreken van een limiet op de inlogpogingen,’ zegt Fennema. ‘Normaliter moet je na een aantal foute pogingen bijvoorbeeld een bepaalde tijd wachten.’ Zonder zo’n limiet zou je met een programma dat automatisch wachtwoorden invult binnen 48 dagen een account kunnen hacken. ‘In theorie,’ vult Fennema aan. ‘We hebben het niet echt geprobeerd.’
Heb je het wachtwoord van een gebruiker al op een andere manier achterhaald, bijvoorbeeld via wachtwoordendatabases die regelmatig uitlekken, dan zou je zelfs al binnen zeven uur in een account komen. Een wachtwoord alleen is namelijk niet voldoende om in te loggen. Er is ook een code nodig als extra verificatie, bijvoorbeeld via je mobiel of mail. ‘Maar die extra inlogbeveiliging van het toesturen van een zescijferige code, bleek nog sneller te achterhalen.’
De studenten ontdekten de beveiligingsrisico’s in mei vorig jaar en meldden het toen meteen bij het bedrijf. ‘Het inlogprobleem werd door Digidentity binnen een paar dagen opgelost, maar er waren nog wat kleine andere problemen, waarvan de laatste net pas is opgelost.’ Ze wachtten niet voor niets met het publiceren van hun bevindingen; eventuele beveiligingsproblemen moesten eerst worden opgelost, om hackers geen vrij spel te geven.
