Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties

Er komen nauwelijks gevallen van fraude voor met DigiD. Dat zegt minister Donner van Binnenlandse Zaken in antwoord op Kamervragen. Het is overigens volgens de minister niet onmogelijk dat een kwaadwillende de DigiD van een ander bemachtigt.

In totaal zijn acht DigiD's dit jaar opgeheven in verband met fraude, zegt Donner in antwoord op Kamervragen. Daarnaast zijn er enkele tientallen meldingen geweest van vermeende fraude. VVD-Kamerlid Helma Nepperus stelde vragen naar aanleiding van berichtgeving in media over fraudegevallen, waarbij namens honderden huishoudens in Rotterdam en omgeving toeslagen waren aangevraagd.

Volgens Donner hadden die fraudegevallen niets te maken met DigiD, al kan hij niet zeggen hoe de fraudeur dan wel te werk is gegaan. "Het betreft hier het frauduleus aanvragen van toeslagen met  behulp van identiteitsgegevens van de getroffen huishoudens. Daarvoor waren de DigiD’s van de getroffen huishoudens niet nodig. De Belastingdienst heeft inmiddels maatregelen getroffen waardoor dit niet meer mogelijk is." Het is onduidelijk welke maatregelen dat zijn. Donner wil vanwege het lopende onderzoek niets kwijt over de kwestie.

Desondanks wordt DigiD in de toekomst vervangen door eNik, de elektronische Nederlandse identiteitskaart. Donner zal zijn plannen daarvoor in september ontvouwen. Eerder veegde de Nationale Ombudsman nog de vloer aan met DigiD, omdat het systeem onveilig zou zijn. Volgens de Nationale Ombudsman legt de overheid het probleem bij de burger neer, terwijl slachtoffers van DigiD-fraude bovendien niet goed worden geholpen. Slachtoffers zouden van het kastje naar de muur worden gestuurd en de dienstverlening zou te traag verlopen.

Moderatie-faq Wijzig weergave

Reacties (44)

Tijd voor een beetje Bits of Freedom

Via de nieuwe rubriek Donnerabilia wil Bits of Freedom aandacht vragen voor de deskundige meningen van minister Piet Hein Donner over privacy en burgerrechten.

Zijn visie op internet:

“Internet is een fundamenteel instrument dat anonimiseert, dat mensen loskoppelt van hun daden. Daar zit een belangrijk gevaar in, ook omdat het vrijelijk toegankelijk is en iedereen confronteert met zaken waarmee hij niet geconfronteerd zou willen worden of waarmee hij zijn kinderen niet geconfronteerd wil hebben.”

https://www.bof.nl/?s=Donnerabilia
De beste stuurlui staan aan wal, lees ik hierboven aan de reacties.

Tja, kom maar eens met een beter en veiliger systeem dan DigiD dat voor iedereen bruikbaar is. Bedenk wel dat de oplossing werkbaar moet zijn voor totale noobs, bejaarden e.d. dus al te fancy en ingewikkeld mag het niet zijn. Bedenk daarbij dat niet iedereen beschikt over een mobiel of een eigen pc dus voor deze mensen moet een oplossing ook kunnen werken.
Ga er maar aan staan en dan ook nog eens hoe je login gegevens op een veilige wijze bij al die afnemers van de oplossing gaat krijgen. Kan het veiliger? Ik denk het wel maar dat gaat vast ten koste van het gebruikers gemak. DigID werkt een stuk veiliger met een two-way authenticatie d.m.v. de extra sms authenticatie. Maar verplichten kun je het niet want niet iedereen beschikt over een mobiele telefoon. Deze groep valt dan direct buiten de boot en voor een overheid is dat niet de bedoeling.

[Reactie gewijzigd door regmaster op 25 augustus 2011 16:07]

Ik denk dat de oplossing moet zijn dat totale noobs, bejaarden e.d. moeten worden uitgesloten van zo een systeem. Voldoe je niet aan de veiligheidseisen van een systeem, bv je kunt geen SMS ontvangen, dan wordt je simpel weg niet toegelaten. Ik ben van mening dat de veiligheid niet ten kosten moet gaan van het gebruikersgemak.

Om de analogie maar te maken: Als ik niet in bezit van een rijbewijs (de verplichting), dan mag ik niet in een auto stappen en daar een ritje mee maken (inloggen op het systeem).

Daarnaast hoeven er ook geen mensen buiten de boot te vallen, als de overheid zo nu en dan nog eens loket had waar je langs zou kunnen gaan om het een en ander te regelen, ipv. iedere nieuwe digitale techniek door onze strot te duwen....
Dat systeem bestaat nog niet, maar het idee is er wel: Pico (Google Docs)
Abstract. From a usability viewpoint, passwords and PINs have reached
the end of their useful life. Even though they are convenient for imple-
menters, for users they are increasingly unmanageable. The demands
placed on users (passwords that are unguessable, all different, regularly
changed and never written down) are no longer reasonable now that each
person has to manage dozens of passwords. Yet we can’t abandon pass-
words until we come up with an alternative method of user authentication
that is both usable and secure.
We present an alternative design based on a hardware token called Pico
that relieves the user from having to remember passwords and PINs.
Unlike most alternatives, Pico doesn’t merely address the case of web
passwords: it also applies to all the other contexts in which users must
at present remember passwords, passphrases and PINs. Besides relieving
the user from memorization efforts, the Pico solution scales to thousands
of credentials, provides “continuous authentication” and is resistant to
brute force guessing, dictionary attacks, phishing and keylogging.
Net even getest, maar met een redelijke brute force achtige methode kan ik een al een aantal gebruikersnamen achterhalen.
Ga naar:

http://www.digid.nl/mijn-gegevens/

en een gebruikersnaam in. Krijg je een help melding, dan bestaat de gebruikersnaam niet,
maar anders vraagt hij je in te loggen. Moet zeggen dat dit niet getuigt van een secure authenticatie mechanisme.

edit: typo

[Reactie gewijzigd door FSVZ op 25 augustus 2011 15:17]

Ok. Maar wanneer je op deze manier aan een gebruikersnaam komt, weet je dus niet van wie het is. Je hebt dus ook geen enkele informatie om een wachtwoord te achterhalen. (Bij een bekende kun je b.v. geboortedatum of iets dergelijks proberen.)

Ik ben het met je eens dat ze beter in beide gevallen een melding kunnen geven dat de combinatie gebruikersnaam en wachtwoord niet bekend is.
Dikke kans dat je door middel van wat social engineering iemand ertoe kan verleiden zijn wachtwoord te geven.

Stel, dat mijn gebruikersnaam op DigiD bv "PietVanDeBouw"is. Waarschijnlijk zal ik deze dan ook ergens anders gebruikt hebben (Hyves/Facebook/twitter/...). Met een beetje googlen zal ik dan ook wel een stel e-mail adressen kunnen achterhalen die hieraan relateren. Nu schijn ik ook nog handig te zijn met wat websites, kies de kleuren oranje, zwart en wit, en plaats een logo DigiD op deze. Stuur vervolgens mailtjes naar de gevonden e-mail adressen, om, met een of andere smoes, hun wachtwoord in te laten vullen op mijn website. Met alle gevolgen van dien.

Jij en ik weten zullen hier niet intrappen, maar er zullen genoeg mensen zijn die hier wel intrappen.
Bovendien is het volgens de minister onmogelijk dat een kwaadwillende de DigiD van een ander bemachtigt.
Dit is onzin. Als je toegang hebt tot de post van iemand je kent kan je al snel zijn digid kapen.
Hier heb je een punt, maar is het niet zo dat iemand DigiD aangetekend wordt verstuurd? Op dat moment heb je overige alleen een toegangscode..... Hier aan alleen heb je volgens mij niets....
Vergeet niet dat je bij veel gemeenten ook allerlei dingen online kunt doen met je DigiD. Bijvoorbeeld je naamsgebruik wijzigen als je getrouwd bent, allerlei vergunningen aanvragen etc. En je kunt natuurlijk belastingaangifte doen..

[Reactie gewijzigd door stefanass op 25 augustus 2011 14:58]

+zijn bsn, woonplaats waarin hij staat ingeschreven, geboorteplaats en geboortedatum

het is ook nooit ontkent dat het niet te doen is alleen dat het vrij lastig is en niet echt de moeite waard :z zeker als je kijkt naar dat handjevol fraude gevallen :Y)
Fraude bestaat uit vervalsen, niet enkel voordoen als iemand anders. Je eigen aangifte bewust incorrect invullen is ook fraude en dat doe je gewoon zelf. Niks van verzamelen voor nodig.
Dit doet me denken aan een artikel op NU.nl van enkele dagen geleden.
http://www.nu.nl/politiek...ournalisten-opvragen.html
Behalve het BSN gaat het ook om de volledige naam, de geboortedatum en de vraag of de betreffende verslaggever tot de parlementaire pers behoort. Journalisten moeten die gegevens per e-mail opsturen naar de PVV.
De partij krijgt zo inderdaad de beschikking over het BSN en andere gegevens van de journalist, maar daar kan de PVV verder niets mee, zegt de minister.
Het lijkt mij dat de PVV alle gegevens in handen heeft om identiteits-fraude te plegen, en zich voor te doen als journalist. Even een digid aanvragen, het post-adres wijzigen en het inkomen bij de belastingaangifte aanpassen. Waarom zou je iemand het leven zuur maken als je dat door de fiscus kunt laten doen?

Ik betreur dat Minister Opstelten (van Justitie notabene!) zijn incompetentie, en die van zijn adviseurs zodanig ten toon spreid.
Weer een typisch gevalletje: "Er is niets aan de hand, ik wil niets kwijt, daarom moet u maar aannemen dat alles prima in orde is."

*diepe zucht*

Overheid en ICT. Je moet ervan naar de plee.

Ben benieuwd door wie het DigiD onderzoek is uitgevoerd. De overheid zelf? Natuurlijk zijn er dan weinig meldingen.

[Reactie gewijzigd door Harsh Critic op 25 augustus 2011 14:29]

De eerste regel heeft Harsh Critic wel een punt. Al zou er redelijkerwijs wat mis zijn met de DigiD dan zou men de wijselijk zo weinig mogelijk over zeggen. Deels vanwege 'veiligheid' maar ook om geen 'paniek' te veroorzaken.
Buiten dat wil de overheid zich natuurlijk zoveel mogelijk indekken en zullen dit soort dingen zo lang mogelijk ontkennen of zeggen dat er niets aan de hand is. (zie OVchipkaart bijvoorbeeld)
DigiD draait al een flink aantal jaren mee en mocht blijken dat er grootschalige fraude is gepleegd over een langere periode dan staat de overheid mooi in haar hemd.

[Reactie gewijzigd door ManiacsHouse op 25 augustus 2011 14:34]

De criteria voor fraude die gehanteerd worden zijn natuurlijk ook arbitrair.

Een paar jaar geleden was het in ieder geval gewoon mogelijk om je belasting aangifte met de DigiD van je neef of buur te doen, en dat werd zelfs geadviseerd in verband met de toenmalige problemen omtrent de dienst.

Dus het is maar afhankelijk van de zorgvuldig gekozen criteria wat je fraude noemt.

In Japan bleven de media gewoon spelprogamma's uitzenden terwijl er 4 reactoren af stonden te fikken.

Mooi weer spelen is 1 van de beginvereisten voor een politieke carriere, behalve wanneer het om je concurrent gaat, dan komt het aan op paniekzaaien.

Pappen en nathouden die handel dacht hij toen hij 's morgens opstond.

[Reactie gewijzigd door E_E_F op 25 augustus 2011 14:55]

DigID was net even door het slijk gehaald:
http://www.hartvannederla...d-is-aan-alle-kanten-lek/
http://www.security.nl/artikel/37964
http://nos.nl/artikel/261...ig-en-fraudegevoelig.html
...dus daar moest de minister wel even iets positiefs tegenover zetten.

Maar, bekijk het positief: Het DigID wordt naast het verzenden van de digitale belastingaangifte ook nauwelijks gebruikt. Misschien omdat weinig mensen er het nut van inzien, of niet weten hoe het te gebruiken. Dat levert dus potentieel weinig gebruikers op, ondanks dat het DigiD 9 miljoen 'aansluitingen' heeft. Weinig gebruikers is equivalent met weinig fraude.
Weinig fraude, weinig impact.

Klinkt best logisch, toch?

Natuurlijk zijn er uitzonderingen:
http://webwereld.nl/nieuw...-fraude-in-rotterdam.html
In de meeste van deze gevallen gaat het om het inloggen met DigiD bij de Belastingdienst. Vervolgens wordt het bankrekeningnummer voor uitkeringen of teruggave veranderd, zodat het geld bij een andere persoon terecht komt.
Opzich vreemd.Want als je iets veranderd, bijv. je bankreknr. of een toeslag aanvraag wordt dat ook per brief bevestigd. Als je je post leest zie je dat dus. Dan hoef je niet te laat te zijn als het ruimschoots voor de uitbetaling is.
Maar, bekijk het positief: Het DigID wordt naast het verzenden van de digitale belastingaangifte ook nauwelijks gebruikt. Misschien omdat weinig mensen er het nut van inzien, of niet weten hoe het te gebruiken. Dat levert dus potentieel weinig gebruikers op, ondanks dat het DigiD 9 miljoen 'aansluitingen' heeft. Weinig gebruikers is equivalent met weinig fraude.
Weinig fraude, weinig impact.

Klinkt best logisch, toch?
offtopic:
Behalve dat is het erg beperkt in gebruik. Er zit wel een optie "wijzigen" in maar die werkt niet. ik gebruik het zelf voor zorg, huurtoeslag en het aanvragen van GBA uitreksels/inschrijvingen.Ik loopt echter steeds weer tegen de beperkingen aan.

[Reactie gewijzigd door Dutchphoto op 25 augustus 2011 16:57]

Welk onderzoek? Artikel rept alleen over een uitspraak van minister Donner.

Als je het bijgevoegde PDF'je even leest, zie je dat er op het moment een onderzoek naar zaken loopt door de FIOD en het Openbaar Ministerie.
Met onderzoek bedoelde ik de research van de minister zelf waarbij hij tot de conclusie is gekomen dat er acht DigiD's zijn opgeheven.

[Reactie gewijzigd door Harsh Critic op 25 augustus 2011 15:40]

Dat is dus niet goed.
Een betere stelling is dat ze weinig fraudegevallen hebben betrapt, niet dat er daadwerkelijk weinig zijn.

Het feit dat er slechts 8 (acht) gevallen zijn gevonden, laat zien dat het onderzoek niet correct is uitgevoerd. Gezien de vele meldingen van fraude zou dit minsten een 3 cijferig getal moeten zijn.
Ze hebben het immers over honderden gevallen van fraude in alleen al de regio Rotterdam, laat staan de gehele randstad of heel Nederland.


Misschien word er bedoeld dat slechts 8 gevallen zijn gevonden die op een specifieke x manier fraude pleegden, niet het totale aantal gevallen, om zo een illusie van veiligheid te scheppen.

[Reactie gewijzigd door Xanaroth op 25 augustus 2011 15:32]

Inderdaad, een illusie van veiligheid.

Hier ga je niet diep genoeg op in, imo.
Ik ben het helemaal met je eens en wel om deze redenen:

1. "Het is overigens volgens de minister niet onmogelijk dat een kwaadwillende de DigiD van een ander bemachtigt." In kopje artikel.
2. "Desondanks wordt DigiD in de toekomst vervangen door eNik, de elektronische Nederlandse identiteitskaart." Oftewel, DigiD is een opstapje naar een onfeilbaar systeem met een chip in je hand.
3. We worden met "reversed psychology" z geprogrammeerd dat we DigiD gaan haten op alle fronten. Er gaan meer van dit soort face/palm situaties plaatsvinden omtrent DigiD. (No assumption, it's history that repeats itself.)
Waarom? Zodat we kiezen voor het super goede onfeilbare hypermoderne Ik-moet-het-hebben-want-digid-zuigt-eNik.


***Edit***
Voorbeeldje van de reversed psychology die nu op ons getest word:
De overheid heeft al plannen voor eNik, lang en breed bekend.
Dus hoe willen ze ons laten overstappen daarnaartoe?

1. Een gedeelte zal het zonder aarzelen doen.
2. Een kleiner gedeelte zegt: Scrw U, niet ng meer gezeik!
3. Weer een gedeelte vind DigiD zo perfect, dat ze gewoon niet willen.
4. En de laatste groep weigert hoe dan ook de eNik.

Nou, voor die laatste 3 groepen maken ze DigiD z onaantrekkelijk dat eNik een verlossing lijkt. Vervolgens verplichten ze het stiekem voor alle overheids instellingen. (oh, dat hebben ze al gedaan :P ).

[Reactie gewijzigd door Yezpahr op 25 augustus 2011 18:30]

Er wordt in het artikel aangegeven dat de gevallen in Rotterdam niet specifiek iets met DigiD te maken hadden maar met een andere specifieke zwakte in de controle door de Belastingdienst van bepaalde aanvragen.

Wat je zegt over het onderzoek, namelijk dat het slecht is uitgevoerd, kan je met bovenstaand argument dus niet onderbouwen.

Van alle meldingen bleek er dus in 8 gevallen daadwerkelijk sprake te zijn van fraude. Dat misschien niet alle fraude gemeld is is een ander verhaal maar dat is heel wat anders dan jullie nu beweren.

Van mij mag DigiD ook wel wat beter beveiligd, maar voer de discussie gewoon op feiten, niet op aannames en bangmakerij.
Ik ben benieuwd voor het nieuws van morgen op Tweakers, "DigiD gehacked"
Bovendien is het volgens de minister onmogelijk dat een kwaadwillende de DigiD van een ander bemachtigt.
Wat ik totaal onbegrijpelijk vind is dat DigiD met een simpele username en wachtwoord al werkt. Ze bieden de SMS functie, maar die kan je in sommige gevallen niet eens gebruiken en in andere gevallen kan je gewon zeggen dat je alleen username en password wil gebruiken. Ik wil een optie zodat ik ALTIJD een SMS code krijg, zodat ik mijn verantwoordelijkheid kan nemen en fraude met mijn DigiD kan voorkomen. Nu hoeft men alleen een username en wachtwoord te onderscheppen, wat betrekkelijk eenvoudig is. Daarom vind ik een "out-of-band" authenicatie gedeelte, via SMS, een random reader of nog iets anders. Iets waarbij een gecompromiteerde computer alleen geen oorzaak kan zijn van fraude met mijn DigiD.
Ik snap dan ook niet dat die optie er gewoon niet is, zeker omdat de infrastructuur wel aanwezig is. Persoonlijk vind ik zelf dat die verplicht zou moeten zijn.
Mee eens dat SMS verificatie een eenvoudig middel is om de beveiliging naar een acceptabel nivo te tillen, echter dient de overheid er rekening mee te houden dat niet iedere Nederlander een mobiel heeft, of langer dan een jaar het zelfde nummer houd.
Zo werkt het bij telebankieren toch ook?
Je hebt een username/wachtwoord.
Eenmaal ingelogd kun je je mobiele nummer veranderen.

Het gaat (lijkt mij) er alleen om dat je een sms verificatie nodig hebt als je daadwerkelijk iets aanvraagt of iets inlevert zoals je aangifte.

En dan natuurlijk wel de post met username en wachtwoord apart versturen, of aangetekend, of af laten halen bij een postkantoor.
Waar, daarom snap ik dat het niet verplicht is. Wat ik wel graag zou willen is dat ik dat (vrijwillig) in kan stellen ergens, zodat ik in ieder geval beter beveiligd ben. Nu is die gehele SMS module onzinnig die ze aanbieden, want ze vragen nog steeds naar username en wachtwoord en voegen alleen SMS toe.
Als iemand kwaad wil, hoeft deze alleen te zeggen dat ie geen SMS identificatie wil gebruiken en hij kan zo inloggen op mijn account, als hij de username en password weet. Daar hoef ik dan verder helemaal niets van te merken. Een adere optie zou bv. kunnen zijn dat ik een SMS'je krijg wanneer iemand inlogd op mijn DigiD, want ook dan kan ik aankaarten dat er hoogstwaarschijnlijk fraude wordt gepleegd met mijn account.

Edit: Kleine toevoeging aan de laatste paragraaf.

[Reactie gewijzigd door EvilWhiteDragon op 25 augustus 2011 15:18]

Degene die de dienst aanbied (belastingdienst bijvoorbeeld) moet instellen dat hij een verhoogd betrouwbaarheidsnivo eist. Dan kom je niet binnen zonder dat je een sms verificatie hebt gedaan.
Er zijn bij mijn weten weinig diensten die dat vereisen, waarschijnlijk omdat de drempel dan hoger wordt en klanten afhaken, maar misschien worden dat er nu meer..
Desondanks vind ik dat de overheid extra alert moet zijn op veiligheidslekken in dit soort technieken. Vooral omdat de techniek niet stil staat, en men continu op de hoogte moet zijn van de ontwikkelingen op het gebied van veiligheid en risico's.

Iets wat bij de overheid nogal eens vergeten wordt, met name als iets veilig lijkt te zijn op het moment dat het bestaat.....
Ondanks alle kritiek die er op DigiD is geweest zijn er inderdaad maar weinig gevallen van froude naarboven gekomen.....

Dat kan twee dingen betekenen, het syteem is inderdaad redelijk waterdicht of het systeem heeft een dus danige backdoor die nog niet is ondenkt.....

Roepen dat iets veilig is lijkt mij altijd vragen om moeilijkheden....
Of vragen om een uitdaging natuurlijk :)
Het roepen dat iets veilig is kan nog naar mijn mening, dat iets onmogelijk is niet. Alles is mogelijk.
Bovendien is het volgens de minister onmogelijk dat een kwaadwillende de DigiD van een ander bemachtigt.
Het roepen dat iets veilig is kan nog naar mijn mening, dat iets onmogelijk is niet. Alles is mogelijk.

[...]
Lol, daarom zie de minister ook dat het NIET onmogelijk is.

En overigens is niet alles mogelijk natuurlijk maar dat zou muggeziften op muggeziften zijn.
Tja volgens mij kan je nog steeds niet een hele boel met DigiD, dan gaat er ook niet zo veel mis natuurlijk. Ik doe mijn belastingsaangifte ermee omdat het digitaal niet anders kan, en zelfs dan zet ik mijn vraagtekens bij het gebruikernaam/wachtwoord systeempje het is niet veel veiliger dan een 'gmail/live' login systeem.
Weer zo'n 'There are no Americans in Baghdad' gevalletje...
@regmaster: dat is allang gebeurd.
Wat is er allang gebeurd?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True