Datalekken vinden is inmiddels een gewilde sport geworden. Helaas is het geen topsport: terwijl instanties instellingen en bedrijven steeds meer gegevens van ons willen, zijn diezelfde dataverzamelaars vaak laks met de beveiliging ervan – wat raar is.
Juist wanneer onze gegevens zo onmisbaar zijn voor hun bedrijfsvoering, voor onze identificatie en voor het correct uitvoeren en verwerken van onze transacties, verdienen die een hoge graad van bescherming. Desondanks gaan veel websites en applicaties gebukt onder elementaire fouten. Derden kunnen daardoor makkelijk met onze gegevens aan de haal gaan. Privacyschendingen, fraude, identiteitsdiefstal en valse verdenkingen zijn het gevolg.
Zo bleek vorige maand dat je bij de Belastingdienst met een willekeurig DigiD op andermans naam een toeslag voor huur-, zorg- of kinderbijslag kon aanvragen, diens rekeningnummer in het jouwe kon veranderen en die toeslag kon wegsluizen. De Belastingdienst is zo naar schatting voor ruim een miljoen opgelicht; honderden – mogelijk duizenden – mensen zijn ofwel hun toeslag misgelopen, ofwel valselijk als fraudeurs aangemerkt.
SQL-injects en cross-site scripting (XSS) klinken ingewikkeld, maar elke skriptkiddie kan het, waardoor de achterdeur van veel site wagenwijd openstaan. Via deze weg en kun je volledige databases uitlezen of iemands inlogsessie overnemen. Door precies zo’n fout kon ik een paar jaar geleden alle 1,2 miljoen patiëntendossiers van een groot ziekenhuis bekijken, ja zelfs veranderen. Dat zulke basisfouten nog steeds bij de vleet worden gemaakt, is verontrustend.
Webwereld is het zat. Het blad heeft oktober prominent uitgeroepen tot lekmaand en wil elke dag een datalek publiceren. Alles in het nette, uiteraard: het blad zal eerst de falende instanties waarschuwen, opdat men daar de boel kan repareren. Pas dan wordt het lek daadwerkelijk gepubliceerd.
Behalve een hopelijk leerzaam lesje voor overheid, bedrijven en instellingen, is het initiatief ook een slim charme-offensief van hackers. Ze tonen er hun goede wil mee aan, laten zien dat zij vaak meer kaas hebben gegeten van beveiliging dan allerlei dure ontwikkelaars, en onderstrepen de noodzaak voor zowel een meldplicht van datalekken als bescherming van de melders ervan. (Nog vorige week deed de provincie Noord-Holland aangifte tegen iemand die braaf een lek in hun site meldde.)
Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk! Nu de ziekenhuizen, de huisartsen, de apothekers, de datingsites, de zorgcentra, de jeugdzorg, de scholen, de Belastingdienst, de politiesystemen, de ambulances, de verzekeraars, de notarissen, de advocaten en al die anderen nog.
Karin,
Volgens mij was het al in 2007 bekend, dat je met andermans DigiD kon ondertekenen.
De belastingdienst heeft het zelfs nog een poosje zelf aangegeven, dat het mogelijk was je aangifte te ondertekenen met andermans DigiD via de belastingtelefoon. ( http://webwereld.nl/nieuws/45811/fiscus-adviseerde-ten-onrechte-gebruik-andermans-digid.html )
Het is dan maar een kleine stap om te ontdekken dat het ook mogelijk zou kunnen zijn met de toeslagen. Dit omdat al de gebruikte programma’s van de belastingdienst heel veel op elkaar lijken.
Het valt me nog mee, dat het zo lang heeft geduurd eer dat er misbruik van gemaakt zou worden.
Ik heb het ooit als lek doorgegeven aan de Belastingdienst, maar volgens hun was het geen enkel probleem, omdat er voldoende controles waren, waardoor slachtoffers fraude konden ontdekken.
Ik heb het ook gemeld bij DigiD, maar zij vonden het niet hun probleem, dat je een aangifte met de DigiD van een ander kon ondertekenen, maar een probleem van de belastingdienst.
Daarom is het goed dat er zo ruim publiekelijk aandacht aan wordt gegeven.
Vaak krijg je een ook reactie als je iets meld van “Oh, meneer, zo’n vaart zal het toch niet lopen”.
Misschien krijgen klokkeluiders ook wat meer bescherming. Het lijkt er op dat de klokkenluider van het lek van de provincie Noord-Holland ook zijn baan kwijt raakt ( http://www.nu.nl/internet/2628853/provincie-noord-holland-doet-aangifte-klokkenluider.html )
Jan, ja de Belastingdienst is zelf erg laks geweest met het DigiD, wat des te meer schrijnt daar het ding bedoeld is als digitaal legitimatiebewijs.
De klokkenluiders van de NH-website lijkt zijn baan inderdaad kwijt te zijn, Tamelijk schandalig.
Dat zo’n klokkenluider ontslagen wordt completeert het beeld in feite. Het illustreert hoe de bestaande bedrijfscultuur altijd nog ernstig faalt: de reflex is het heftig onderdrukken van ongewenste signalen. Bedrijfscultuur is erg moeilijk te veranderen. Er zijn denk ik nog heel veel speldeprikken nodig her en der.
Tja, de babyboomers en iets latere generaties zijn nu meestal op hun toppunt van hun macht en dulden vaak geen enkele tegenspraak/commentaar en weten (te) weinig van computerbeveiliging…
Spaink zei:
“Een slim charme-offensief van hackers. Ze tonen er hun goede wil mee aan, laten zien dat zij vaak meer kaas hebben gegeten van beveiliging dan allerlei dure ontwikkelaars”.
Dit is toch een appel met een ei vergelijken?!
Een hacker die 24/7 naar “lekken” zoekt is waarschijnlijk een slechte ontwikkelaar, en visa versa.
Volgens mij werkt de Facebook methode het beste.
http://www.zdnet.be/news/130593/facebook-betaalt-40-000-dollar-voor-bugs/
Ahu,… ei = peer
Bingo! :
http://www.nu.nl/internet/2636345/gemeentesites-plat-lek.html