Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 8, views: 6.971 •

De website van de gemeente Eindhoven is weer aangesloten op DigiD nadat de beveiligingsproblemen bij de 'digitale belastingbalie' zouden zijn opgelost. Een aantal subsites van de Brabantse gemeente zijn echter nog steeds 'uit voorzorg' offline.

Digid-logoEind oktober werden diverse websites van de gemeente Eindhoven door overheidsautomatiseerder Logius losgekoppeld van DigiD omdat deze met ernstige beveiligingsproblemen kampten. Het grootste probleem zou zitten in de sectie waar inwoners van de Brabantse gemeente belastingzaken konden regelen: de beheerinterface zou zonder authenticatie in een browser zijn op te roepen. Andere sites van de gemeente Eindhoven zouden bovendien vatbaar zijn voor sql-injecties en xss-aanvallen.

De gemeente Eindhoven laat weten dat de problemen met de digitale belastingbalie zijn opgelost en dat hier weer gebruik kan worden gemaakt van DigiD. De gehele digitale dienstverlening zou eind deze week weer operationeel moeten zijn.

Enkele andere gemeentesites zijn echter nog steeds offline; het gaat om werkenbij.eindhoven.nl, bestemmingsplannen.eindhoven.nl en bereikbaar.eindhoven.nl. De content op deze subsites zal worden overgeplaatst naar een beter beveiligde omgeving. Eindhoven stelt dat er geen aanwijzingen zijn gevonden dat er van de betreffende websites gevoelige informatie is buitgemaakt.

Reacties (8)

Eindhoven, de lekste...!
Jammer dat er nog steeds websites zijn van bekende instanties en bedrijven die vatbaar zijn voor zulke eenvoudige hacks als SQL-injectie en XSS attacks, of nog veel erger een beheerinterface waar je op kunt komen zonder authenticatie...

Elk bedrijf dat zichzelf presenteert als professioneel websitebouwer en zulk soort elementaire fouten maakt zou wat mij betreft aan de schandpaal genageld mogen worden.
Inderdaad. Door marktwerking wordt dat bij bedrijven wel bijgeschaafd, bij overheden zie je vaker dat je goed moet opletten omdat er geen marktwerking is en hele basale dingen fout kunnen gaan (van dit soort fouten hoor je bij banken bijvoorbeeld nooit wat). Als je dit zo leest kan je niet anders concluderen dan dat deze gemeente hun websites helemaal niet serieus nam. Een professional zou zoiets nooit doen. Belastingzaken regelen en dan niet aan fatsoenlijke beveiliging denken, echt triest...

Ik ben dan ook blij dat er tegenwoordig meer aandacht is voor webbeveiliging, bij de overheid maar bijvoorbeeld ook bij het thuiswinkel-waarborg. De meest brakke website kon daar bij aangesloten zijn en dat gaat nu niet meer. Daar zullen DigiD-gate en lektober wel wat mee te maken hebben. De gedachte dat Henk van de buren wel even een websiteje in elkaar flanst waar je overheidstaken en financiŽle transacties op kan uitvoeren is nu misschien eindelijk een beetje verdwenen.
bereikbaar.eindhoven.nl.
Dacht het even niet. :D

[Reactie gewijzigd door bwerg op 15 november 2011 19:33]

Wat een failliet gedoe is dat toch met die DigiD...ik kan het niet beter (dus spreek mijzelf tegen) maar alsof het onmogelijk is om een goed systeem te bedenken waarbij dit soort dingen niet voor kunnen komen en -nog veel belangrijker- minder omslachtig zijn voor de gebruiker zelf. Nu zit je met zaken over de post, codes die verlopen, allerlei paswoorden voor op de computer zelf...alleen dit al moedigt het gebruik niet aan. Ik had het ooit en was blij dat de code verlopen was, weg ermee, prutzooi! Nederland-Innovatieland :')
Je wilt geen Digid, maar je wilt wel dat er lekke sites zijn? Digid was het deze keer die de sites afsloot omdat ze niet voldoende veilig waren. Als Digid er niet was geweest dan waren sommige sites misschien nog steeds lek omdat de beheerder het niet zo nauw neemt met de beveiliging.

Deze keer zeg ik dus: een pluim voor Digid om de lekke sites af te sluiten van hun verificatie.
Nou ja, geen DigiD in de huidige vorm en ook geen lekke sites- gewoon een ander systeem bij voorkeur.
Zelfs bankieren bij de ING gaat nog makkelijker en sneller, terwijl dit er sterk op lijkt (TAN-codes) en toch een soortgelijke veiligheidsgraad betreft (correct?)
Voor de rest is het natuurlijk makkelijk praten van mijzelf, maar dat ik het een log-systeem vind, doet daar niks aan af (dilemma.)
Ik ben toch wel ontzettend blij dat dit verbeterd is. Nu moet ik waarschijnlijk verhuizen van of naar Eindhoven en nu is dit veel omslachtiger geworden als dit niet meer via DigiD kan.

Zo heb ik indirect dus 'enorm' veel last van de hack van het licentie bedrijf wat alles op gang heeft gezet. Nu snap ik wel dat het allemaal weer veiliger wordt en het eigenlijk al allemaal in orde had moeten zijn maar stel dat Eindhoven de kans kreeg het gewoon op te lossen zonder er uit te moeten liggen voor een paar weken dan zou dat mijn voorkeur genieten.
Het schijnt wel een ellende voor een Gemeente te zijn om opnieuw te worden aangesloten op DigiD. Het Ministerie van Binnenlandse Zaken blijkt plotseling met een compleet nieuw eisenpakket te zijn gekomen.
Zie het artikel van Brenno de Winter op Gemeente.nu
http://www.gemeente.nu/we...-overheid-viert-feest.htm

Op dit item kan niet meer gereageerd worden.