2X DigID; Vertrouwelijke DigiD-mail naar verkeerd adres

Een bedrijf krijgt via de e-mail geregeld vertrouwelijke gegevens van burgers toegestuurd die eigenlijk zijn bedoeld voor DigiD, het digitale communicatiesysteem van de overheid. Dat zei de Nationale Ombudsman Alex Brenninkmeijer in het tv-programma Eva Jinek op zondag. De ombudsman heeft minister Donner in een brief gevraagd hoe dit kan en wat hij hieraan denkt te doen.

De naam van het bedrijf bestond al, voordat de overheid met DigiD kwam. Het gaat om een reclamebureau met vrijwel dezelfde naam.  Brenninkmeijer liet in een toelichting weten dat de onderneming al 1400 maal vertrouwelijke gegevens als inlogcodes van mensen en bedrijven heeft toegestuurd gekregen met de melding dat men het systeem niet in kon. Zelfs overheidsinstanties hebben zich volgens hem ten onrechte gemeld.

Bron; binnbestuur 

DigiD-lek bij 7 gemeenten 

DigiD-sessies bij ten minste 7 gemeentelijke websites bleken te kunnen worden gekaapt door kwaadwillenden, meldt Webwereld in zijn 'Lektober'-reeks.  Het lek betreft een zogeheten 'cross site scripting'-aanval (XSS). Daarbij kan een aanvaller een DigiD-sessie tussen burger en gemeente overnemen zonder dat die burger dat doorheeft.  

Volgens Webwereld is aanval relatief eenvoudig doordat fundamentele beveiligingslagen in DigiD ontbreken. Er wordt niet gewerkt met 'secure cookies', waardoor het mogelijk is de informatie over een DigiD-sessie te stelen en te misbruiken. DigiD controleert ook niet van welk internetadres (IP-adres) een gebruiker afkomstig is, zodat een eenmaal overgenomen DigiD-sessie overal ter wereld te misbruiken is.

Bron; binnbestuur