Nieuwe systemen moeten ook veiliger zijn dan DigiD. Maar al snel ontdekten UvA-studenten Security & Network Engineering Jelte Fennema en Peter Boers een beveiligingslek in het systeem van Digidentity. Het bedrijf – dat overigens ook lang de ontwikkelaar van DigiD was – ontwikkelde een van de mogelijke alternatieven voor DigiD. Het tweetal onderzocht het systeem voor het vak Offensive Technology. Ten tijde van hun vondst liep er al een pilot met het systeem.

Inlogpogingen
‘Het grootste probleem was het ontbreken van een limiet op de inlogpogingen,’ zegt Fennema. ‘Normaliter moet je na een aantal foute pogingen bijvoorbeeld een bepaalde tijd wachten.’ Zonder zo’n limiet zou je met een programma dat automatisch wachtwoorden invult binnen 48 dagen een account kunnen hacken. ‘In theorie,’ vult Fennema aan. ‘We hebben het niet echt geprobeerd.’

Heb je het wachtwoord van een gebruiker al op een andere manier achterhaald, bijvoorbeeld via wachtwoordendatabases die regelmatig uitlekken, dan zou je zelfs al binnen zeven uur in een account komen. Een wachtwoord alleen is namelijk niet voldoende om in te loggen. Er is ook een code nodig als extra verificatie, bijvoorbeeld via je mobiel of mail. ‘Maar die extra inlogbeveiliging van het toesturen van een zescijferige code, bleek nog sneller te achterhalen.’

De studenten ontdekten de beveiligingsrisico’s in mei vorig jaar en meldden het toen meteen bij het bedrijf. ‘Het inlogprobleem werd door Digidentity binnen een paar dagen opgelost, maar er waren nog wat kleine andere problemen, waarvan de laatste net pas is opgelost.’ Ze wachtten niet voor niets met het publiceren van hun bevindingen; eventuele beveiligingsproblemen moesten eerst worden opgelost, om hackers geen vrij spel te geven.