Een inlogportal die zes Nederlandse gemeenten gebruikten om burgers toegang te geven tot gemeentelijke belastingdocumenten, bleek vatbaar voor sql-injectie. Via de kwetsbaarheid waren onder andere burgerservicenummers te raadplegen. Het lek is gedicht.
Tweaker ImNotnoa wilde zijn aanslagen voor de gemeentelijke belasting vast inzien, en merkte daarbij op dat hij bij de portal waar de gemeentesite van Oldambt naar verwees, kon inloggen met alleen zijn burgerservicenummer en geboortedatum. Een burgerservicenummer wordt algemeen niet als betrouwbare inlog beschouwd omdat dit nummer niet vertrouwelijk genoeg is.
Zo waren btw-nummers van zelfstandigen lang te herleiden naar hun bsn's, al is dat bij nieuwe btw-nummers sinds vorig jaar niet meer het geval. Ook moeten burgers nog al eens scans afgeven van hun identiteitsbewijs, waar het bsn op staat. Wie het bsn en de geboortedatum van een persoon heeft, kon via de portal van de gemeente onder andere aanslagen voor de gemeentebelasting, woz-taxatieverslagen en andere persoonlijke documenten van die persoon inzien, constateerde de user.
Medetweaker Slurpgeit constateerde naar aanleiding van de posting naast deze slordigheid een kwalijker euvel: de portal bleek ook kwetsbaar voor sql-injectie. Via deze kwetsbaarheid was het mogelijk bij de database achter de portal te komen en zo de betreffende documenten te benaderen. Ook bleek het mogelijk om een tabel met burgerservicenummers te raadplegen.
Het lek zat dus niet in gemeentesites zelf, maar in een externe site waar gemeenten naar verwijzen op hun pagina voor inwoners die hun documenten in willen zien. De sql-injectie was mogelijk op getimg.php, een functie die het logo van de gemeente ophaalde, maar dankzij het lek ook toegang bood tot een database met persoonlijke gegevens.
De tweaker lichtte Data B Mailservice in over de kwetsbaarheid, het bedrijf dat verantwoordelijk is voor het portaal. Dat bedrijf is gespecialiseerd in fysieke en digitale documentstromen. "Na contact met de ontwikkelaar hebben zij adequaat gehandeld, het lek binnen enkele uren gedicht en de portalen uitgeschakeld", meldt de user.
Steven Jansen, Hoofd ICT bij Data B, bevestigt een melding gekregen te hebben over de kwetsbaarheid en deze verholpen te hebben. De gemeente Oldambt gebruikte volgens hem tegen het advies van Data B in bsn's als inlogoptie: "De gemeente in kwestie gebruikte een verouderde omgeving, waar zonder digid op ingelogd kon worden. Dit is een methode die in het AVG-tijdperk niet meer wenselijk is, en wij hebben alle gemeenten waarmee wij samenwerken eerder reeds geadviseerd een koppeling te maken met digid-login."
In totaal gebruikten zes gemeenten andere loginmethoden dan digid via het portaal, maar alleen Oldambt deed dat met bsn's. De andere vijf werkten op basis van een combinatie van aanslagnummer en bedrag, volgens Jansen. Ook bij deze gemeenten was het mogelijk om na sql-injectie de achterliggende database te raadplegen. De zes gemeenten ontsluiten hun documenten sinds deze week niet meer via het portaal maar via MijnOverheid.
In totaal hadden 189 gemeenten een portal bij Data B met als url gemeentenaam.datab.nl, blijkt uit een inventarisatie. Op al die sites was sql-injectie mogelijk, maar alleen bij de zes sites met verouderde omgeving kon daarbij de database benaderd worden, aldus Jansen. "Alle klanten die gebruikmaken van de veilige digid-variant van de portal worden op een ander platform ontsloten. Het klopt dat dit ook leidde tot een gemeentenaam.datab.nl die online staat, maar de documenten van de digid-portal staan in een andere database. Deze hangt achter een andere applicatie, die alleen vanuit de gemeentedomeinen benaderbaar is. De digid-portal wordt jaarlijks aan een verplichte audit inclusief pentests onderworpen."
Volgens Data B is geen misbruik gemaakt van de sql-injectie: "Wij hebben vastgesteld dat alleen op de portal van de betreffende gemeente requests met sql-injectie zijn afgevuurd." Het bedrijf claimt dat alleen woz-documenten in de database staan en dat deze niet ongeautoriseerd inzichtelijk waren omdat ze versleuteld in de database stonden. Niet duidelijk is van hoeveel burgers de zes gemeenten documenten ontsloten via het betreffende portaal.