Overheid zet DigiD weer online na patchen 'ernstig' beveiligingslek

De overheid heeft de dienst voor het digitaal controleren van de identiteit van burgers, DigiD, weer online gezet. De dienst ging woensdagochtend offline vanwege een 'ernstig' beveiligingslek in Ruby On Rails, dat gebruikt wordt voor DigiD.

DigiD is na bijna een dag downtime donderdag weer beschikbaar. Burgers konden in die tijd nergens inloggen met DigiD, dat onder meer wordt gebruikt voor identificatie bij gemeenten en andere overheden. DigiD moest offline om de patch voor het beveilingslek uit te rollen en te testen voordat gebruikers de dienst weer zouden gebruiken. "We willen het zekere voor het onzekere nemen", zei Michel Groeneveld, woordvoerder van overheids-ict-dienst Logius, woensdag tegen Tweakers. "Zo willen we misbruik van het lek voorkomen."

Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie  te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

DigiD is in de nacht van dinsdag op woensdag kwetsbaar geweest; de lekken waren toen al bekend, maar DigiD was toen online. Woensdagochtend ging de identificatiedienst offline.