Het consumentenplatform van BNNVARA. Kassa is er weer op zaterdag 4 januari met de Belbusspecial!
Veiligheidslekken gevonden in alternatief voor DigiD
27-03-2017
• leestijd 2 minuten
•
85 keer bekeken
• 
Studenten van de Universiteit van Amsterdam hebben veiligheidsrisico's gevonden in een nieuw alternatief voor DigiD. De studenten van de studie Security en Network Engineering onderzochten het nieuwe systeem, dat naast DigiD moet gaan bestaan en mensen makkelijker moet laten inloggen. De studenten vonden de kwetsbaarheden al in de lente van 2016, maar brengen hun bevindingen nu pas naar buiten. Inmiddels zijn de lekken gedicht door hen.
Commerciële inlogsystemen
De overheid wil commerciële bedrijven alternatieven laten ontwerpen voor DigiD, zodat er meer manieren komen om in te loggen. De Belastingdienst voert momenteel al testen uit. Het Haagse bedrijf Digidentity is lang de ontwikkelaar van DigiD geweest en heeft nu het alternatief ontwikkeld waar de veiligheidsrisico's in zijn gevonden. Uit de testen van de studenten in de pilot bleek dat het mogelijk was om in te loggen op andermans account. Ook was de Android-app uiteindelijk te kraken.
De overheid wil commerciële bedrijven alternatieven laten ontwerpen voor DigiD, zodat er meer manieren komen om in te loggen. De Belastingdienst voert momenteel al testen uit. Het Haagse bedrijf Digidentity is lang de ontwikkelaar van DigiD geweest en heeft nu het alternatief ontwikkeld waar de veiligheidsrisico's in zijn gevonden. Uit de testen van de studenten in de pilot bleek dat het mogelijk was om in te loggen op andermans account. Ook was de Android-app uiteindelijk te kraken.
Pilot al in gebruik Belastingdienst
Digidentity zegt in een reactie aan NOS de problemen vorig jaar al te hebben gedicht, en blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen" , zegt directeur Walther van Bentum. Het is tijdens de pilot alleen wel al mogelijk om in te loggen bij de Belastingdienst. Het ministerie van Binnenlandse Zaken zegt dat het strenge eisen stelt aan de beveiliging van het systeem.
Digidentity zegt in een reactie aan NOS de problemen vorig jaar al te hebben gedicht, en blij te zijn met onderzoekers die kwetsbaarheden melden. "Het gaat bovendien om een pilot, die juist is bedoeld om problemen op te sporen" , zegt directeur Walther van Bentum. Het is tijdens de pilot alleen wel al mogelijk om in te loggen bij de Belastingdienst. Het ministerie van Binnenlandse Zaken zegt dat het strenge eisen stelt aan de beveiliging van het systeem.
Privacy voorop
Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit noemt de lekken 'heel slordig' en noemt bedrijven als Digidentity 'authenticatiepooiers' omdat zij het inloggen regelen. Jacobs werkt daarom aan een eigen inlogsysteem, dat heel anders werkt en waarbij privacy centraal staat in plaats van het verzamelen van data. Daarbij kiest iemand zelf welke gegevens hij wel en niet wil delen.
Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit noemt de lekken 'heel slordig' en noemt bedrijven als Digidentity 'authenticatiepooiers' omdat zij het inloggen regelen. Jacobs werkt daarom aan een eigen inlogsysteem, dat heel anders werkt en waarbij privacy centraal staat in plaats van het verzamelen van data. Daarbij kiest iemand zelf welke gegevens hij wel en niet wil delen.
Bron: NOS
Praat mee
Altijd op de hoogte blijven van het laatste nieuws?
Meld je snel en gratis aan voor de Kassa nieuwsbrief!
