Zeven gemeenten kwetsbaar voor diefstal DigiD-sessies

Een lek op de websites van zeven Nederlandse gemeenten maakte het tot voor kort mogelijk voor hackers om DigiD-sessies te kapen. Dat meldde website Webwereld vandaag. De onderzoekers van Webwereld hebben deze informatie eerder al doorgegeven aan de betreffende gemeenten, die het lek inmiddels hebben gedicht.

Het gaat volgens Webwereld om de websites van Arnhem, Emmeloord, Hellendoorn, Hilversum, Nijmegen, Noordoostpolder en Rotterdam.

Het nieuwe lek is er een in een lange reeks digitale missers bij de overheid. DigiNotar, de provincie Noord-Holland, de gemeente Den Helder, de Belastingdienst, het KLPD, allemaal kwamen ze de afgelopen maanden in het nieuws vanwege lekkende informatie. De problemen met de beveiliging van Nederlandse websites is zelfs zo structureel, dat je elke dag van de maand met een nieuw lek kunt vullen.

Lektober
Dat is precies wat Webwereld en onderzoeksjournalist Brenno de Winter deze maand met hun initiatief Lektober willen aantonen. De komende vier weken zullen zij elke werkdag een beveiligingslek openbaren en de verantwoordelijken tot actie dwingen.

Het gaat dan niet om de ingewikkelde hacks, maar om opslagplaatsen van gevoelige informatie waarbij de deur niet op slot zit. "Dat willen we echt blootleggen, dat op basaal niveau te weinig aan beveiliging is gedaan."

Overheid is als een klein kind
De Winter benadrukt dat Lektober geen gevoelige informatie op straat wil gooien. Overheidsdiensten en in mindere mate bedrijven worden voor publicatie gewaarschuwd zodat zij het lek kunnen dichten. Dat het voornamelijk de digitale overheid is waar de problemen spelen, is een gevolg van het 'techno-optimisme' waar ambtenaren aan lijden. "De overheid is als een kind dat twee vingers in de oren stopt en dan heel hard lalala gaat roepen, dan gaan de problemen wel weg", zegt De Winter. "Daarom falen projecten ook. De overheid heeft geen oog voor de problemen."

Dat geldt niet voor iedereen binnen de overheid. De Winter ontving al meer dan dertig berichten van ambtenaren die niet de vingers in de oren stoppen en erg gelukkig zijn met het initiatief. Dat onderstreept volgens de onderzoeksjournalist eens te meer het cultuurprobleem binnen de (semi)publieke sector.


Crimineel nalatig
Echt kwalijk vindt De Winter de manier waarop sommige organisaties reageren op het blootleggen van een lek. Als voorbeeld noemt hij de gemeente Amsterdam. Zonder enige vorm van zwarte magie kregen redacteuren van RTL toegang tot de achterkant van het digitale loket. "Nu overwegen zij een aangifte. Breng eerst je zaken maar eens op orde." De provincie Noord-Holland maakte het nog bonter. "Amerikanen zouden dat crimineel nalatig noemen", zegt De Winter. Gevoelige documenten waren 'beveiligd' met het standaard wachtwoord Welkom01. Dat werd gemeld bij de provincie, die de klokkenluider direct als hacker aangaf bij de politie.

"Op het moment dat je weigert fouten te erkennen en je je tegen de boodschapper gaat richten, begin je echt nalatig te worden", zegt De Winter. Na de melding bleek het nog dagenlang mogelijk om bij de provincie Noord-Holland met Welkom01 in te loggen.

Hoe weet je nu als burger dat er iemand over je schouder meekijkt? "Je moet heel alert zijn wat onder in de balk van je browser verschijnt als je met je muis op een link gaat staan", zegt De Winter. "Verschijnen er dan allemaal rare codes, dan zou het mis kunnen zijn." Ook belangrijk noemt hij een virusscanner, gezond wantrouwen tegen verdachte e-mailtjes en terughoudendheid bij het achterlaten van gegevens. Zelfs als het een overheidssite betreft.

Keer op keer is het raak en worden sites gekraakt


19 augustus. Op eenvoudige wijze zijn gegevens van 1600 burgers van Den Helder op te vragen.

2 september. Het systeem van DigiNotar blijkt gekraakt door hackers waardoor de certificaten die de veiligheid van onder meer overheidssites moet garanderen op slag waardeloos zijn.

9 september. Het ambtelijk informatiesysteem van de provincie Noord-Holland blijkt met een standaard wachtwoord voor iedereen toegankelijk.

12 september. De website van Zorgnet Limburg met de wachtwoorden, burgerservicenummers, adresgegevens en cv's van duizenden studenten, blijkt lek.

19 september. Honderden mensen zijn getroffen door DigiD-fraude bij de Belastingdienst.

20 september. RTL Nieuws logt in op het niet openbare deel van het digitale loket van Amsterdam.

27 september. Een database met gegevens van gepensioneerde KLPD'ers ligt op straat.

3 oktober. Op websites van 7 gemeenten is het mogelijk DigiD-sessies te stelen

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden