DigiD-sessies klein aantal gemeenten waren mogelijk te kapen - update

De websites van twaalf gemeenten waren kwetsbaar voor een probleem waarbij de root-logingegevens van de Microsoft IIS-server waren te achterhalen. Daardoor waren in theorie onder meer DigiD-sessies te onderscheppen.

Digid-logoDoor de kwetsbaarheden konden aanvallers eigen code uitvoeren op de website, en bijvoorbeeld DigiD-sessies onderscheppen. Dat bevestigt Logius, de organisatie die verantwoordelijk is voor onder meer DigiD. Ook zou een aanvaller door kunnen dringen naar het interne netwerk van de gemeente, denkt Erik Westhovens van Dinamiqs, dat het beveiligingsprobleem op het spoor kwam.

In totaal werden twaalf gemeenten getroffen door het beveiligingsprobleem. "Door dat lek kon iemand de volledige controle over een webserver verkrijgen", aldus woordvoerder Rick Bron van Logius. Volgens hem gaat het om een specifieke versie van een cms. "De makers van het cms hebben onderzoek laten doen door beveiligingsbedrijf Fox-IT, en daaruit blijkt dat er geen misbruik is gemaakt van het lek."

Logius en Dinamiqs willen niet kwijt welk content management systeem is getroffen, maar een bron rond het onderzoek zegt tegen Tweakers dat het gaat om Seneca Smartsite. Dat bedrijf wil desgevraagd niet bevestigen of ontkennen dat het een beveiligingsprobleem had. "Als we een beveiligingsprobleem hebben gehad, communiceren we dat met onze klanten, en niet in de openbaarheid", aldus Marco Konink van Seneca.

Onderzoekers van Dinamiqs kwamen het beveiligingsprobleem op het spoor bij een audit van een 'veelgebruikt cms-systeem', dat ook door de gemeenten bleek te worden gebruikt. Daarbij konden ze een bestand uitlezen waarin gegevens van de systeembeheerder van de Microsoft IIS server waren opgeslagen. "Waarom die gegevens in dat bestand stonden is een hele goede vraag", aldus Westhovens.

Het is onduidelijk hoe de DigiD-sessies zouden kunnen worden gekaapt: de gebruiker voert zijn gebruikersnaam en wachtwoord immers niet op de website van de gemeente in, maar wordt doorgestuurd naar een inlogformulier op Digid.nl. Mogelijk zouden de sessie-id's kunnen worden gestolen, of doelt het bedrijf op een scenario waarbij het DigiD-loginformulier wordt gespoofd. Logius en de ontdekker van het lek willen daar niet op ingaan.

Volgens Westhovens wordt het content management systeem door veel gemeenten gebruikt. "We denken de helft of zelfs meer van alle gemeenten", aldus Westhovens. Daaronder zouden ook vier van de tien grootste gemeenten zijn. Westhovens wil niet aangeven welke gemeenten dat zijn. "Dat vind ik niet netjes." Ook andere bedrijven en zorginstellingen zouden het cms gebruiken, al is niet duidelijk of die ook de kwetsbare versie gebruikten.

De bug is inmiddels gepatcht, maar heeft tussen de acht en twaalf maanden opengestaan. De scanningtool die Westhovens en zijn bedrijf gebruikten, Nikto, gaf bovendien aan dat de kwetsbaarheid al bekend was.

Eerder op woensdag schreef De Telegraaf al over het beveiligingsprobleem: volgens de krant moeten 'miljoenen DigiD-gebruikers' hun wachtwoord wijzigen. Dat lijkt mee te vallen, gezien het kleine aantal getroffen gemeenten. Westhovens van Dinamiqs noemt de berichtgeving van De Telegraaf dan ook te kort door de bocht.

Update, donderdag 11:15: Het getroffen cms blijkt Seneca SmartSite te zijn, heeft Tweakers van bronnen rond het onderzoek vernomen. Deze informatie is verwerkt in het artikel.

Door Joost Schellevis

Redacteur

Feedback • 08-10-2014 16:51 50

08-10-2014 • 16:51

50

Lees meer

Lek in gemeentewebsites maakte inzien en verwijderen van afspraken mogelijk
Lek in gemeentewebsites maakte inzien en verwijderen van afspraken mogelijk Nieuws van 13 april 2016
CBP: inloggen bij DigiD is niet veilig genoeg
CBP: inloggen bij DigiD is niet veilig genoeg Nieuws van 8 oktober 2015
Huisverkoper kon eigen code toevoegen aan advertentie op Jaap.nl
Huisverkoper kon eigen code toevoegen aan advertentie op Jaap.nl Nieuws van 18 augustus 2015
Tweede Kamer wil gemeenten met onveilige DigiD-implementatie afsluiten
Tweede Kamer wil gemeenten met onveilige DigiD-implementatie afsluiten Nieuws van 11 november 2014
'Tientallen gemeenten gebruikten standaardwachtwoord cms'
'Tientallen gemeenten gebruikten standaardwachtwoord cms' Nieuws van 28 oktober 2014
Ombudsman: Nederlanders in buitenland kunnen nu ook DigiD aanvragen
Ombudsman: Nederlanders in buitenland kunnen nu ook DigiD aanvragen Nieuws van 22 juli 2014
Kabinet overweegt inloggen op DigiD-opvolger met rijbewijs
Kabinet overweegt inloggen op DigiD-opvolger met rijbewijs Nieuws van 25 juni 2014
Overheid geeft zwakke DigiD-wachtwoorden een reset
Overheid geeft zwakke DigiD-wachtwoorden een reset Nieuws van 20 mei 2014
Microsoft: nog een miljoen particuliere XP-gebruikers in Nederland
Microsoft: nog een miljoen particuliere XP-gebruikers in Nederland Nieuws van 10 maart 2014
Nederlandse overheid maakt site om gestolen paspoort te 'blokkeren'
Nederlandse overheid maakt site om gestolen paspoort te 'blokkeren' Nieuws van 5 maart 2014
Grote steden beginnen met digitale communicatie naar inwoners
Grote steden beginnen met digitale communicatie naar inwoners Nieuws van 18 februari 2014
Aanvragen DigiD wordt mogelijk ingewikkelder
Aanvragen DigiD wordt mogelijk ingewikkelder Nieuws van 11 januari 2014
Meer producten en artikelen
Politiek en recht

Reacties (50)

-Moderatie-faq
50
49
31
6
2
9
Wijzig sortering
jvanderkroon 8 oktober 2014 21:08
Ben wel heel erg benieuwd om welk CMS het hier gaat. Als ik in dit overzicht kijk http://www.200ok.nl/cms-gemeenten/ komt er niet direct een CMS uit dat aan de gegeven hints voldoet.
MIster X @jvanderkroon9 oktober 2014 04:22
De CMS'en die in meer dan 12 gemeenten worden gebruikt, zijn:
  • SIMSite: 176
  • Green Valley CMS: 57
  • TYPO3: 54
  • SmartSite: 24
  • GX Webmanager: 16
  • GO CMS: 15
  • Drupal: 14
Alleen SIMSite wordt in bijna de helft van 403 de gemeenten gebruikt.

Eén van hints was verder: "Daaronder zouden ook vier van de tien grootste gemeenten zijn."
  • Amsterdam: IPROX
  • Rotterdam: SmartSite
  • Den Haag: GX Webmanager
  • Utrecht: TYPO3
  • Eindhoven: GX Webmanager
  • Tilburg: TYPO3
  • Groningen: Plone
  • Almere: TYPO3
  • Breda: Drupal
  • Nijmegen: MMBase
Er is geen enkel CMS dat in 4 van de top-10 gemeenten wordt gebruikt. Geen enkele gebruikt SIMSite. Dinamiqs heeft dus sowieso z'n cijfers niet op orde. TYPO3 wordt in 3 van de top-10 gemeenten gebruikt, GX Webmanager in 2, en SmartSite en Drupal in 1.

Correct me if I'm wrong, maar het is voor TYPO3 en Drupal echter ongebruikelijk om IIS als webserver te gebruiken (maar wel mogelijk). Geen enkele van de TYPO3-sites geeft bij de server-response (met curl) aan IIS te gebruiken, maar dat is op zich niet uitgesloten. GX Webmanager ken ik onvoldoende, maar kan ook cross-platform worden gebruikt.

SmartSite daarentegen draait alleen op IIS. Dat lijkt me dan wel de hoofdverdachte. Even een snelle scan gedraaid: van de 24 gemeenten die SmartSite gebruiken, zijn er 9 die nog IIS 6.0 gebruiken (volgend jaar dus zonder hotfixes):
  • Alphen-Chaam
  • Haaksbergen
  • Halderberge
  • Leidschendam-Voorburg
  • Rhenen
  • Rotterdam
  • Soest
  • Alkmaar
  • Hengelo Ov.
Verder zijn er 4 gemeenten die nog IIS 7.0 gebruiken, en 9 die IIS 7.5 gebruiken (en 2 geven geen server-data met curl).

[Reactie gewijzigd door MIster X op 26 juli 2024 07:38]

Tjolk @MIster X9 oktober 2014 12:20
Smartsite :X
Heb er in een detacheringsperiode tegen wil en dank een paar jaar mee gewerkt. Wat een bagger vond ik dat.
Al kon ik niet zeggen of dat aan Smartsite an sich lag, of aan de specifieke implementatie ervan.
kodak
8 oktober 2014 18:14
Wellicht dat die Erik Westhovens van Dinamiqs eens heel helder kan uitleggen hoe het bericht over het kleine lek zo ongelovelijk uit zn verband gerukt in de Telegraaf verschijnt?

Alfred Monterie van De Telegraaf: "Miljoenen DigiD-gebruikers moeten hun wachtwoord wijzigen.DigiD, de authenticatiedienst waarmee Nederlanders zich bij de overheid kunnen identificeren, blijkt zeer onveilig."

Achteraf blijkt dat het slechts om een 12 gemeenten gaat en het lek niet aantoonbaar is misbruikt.

Kennelijk zaten zowel Erik Westhovens als Alfred Monterie meer verlegen om aandacht door middel van sensatie dan via correcte berichtgeving.
drdelta @kodak9 oktober 2014 07:29
Erik Westhovens moet uitleggen waarom een sensatie krant sensatie schrijft? Right
Anoniem: 626563 @drdelta9 oktober 2014 08:36
Ik (Erik Westhovens) wil hier zeker op reageren. Er is een vooraankondiging gedaan. De telegraaf wilde graag als eerste alle informatie hebben. Alle vragen werden door mij en ook door Logius niet beantwoord en daarop publiceerde de telegraaf het bericht. En dat was behoorlijk ongenuanceerd.

Helaas.
inhico @kodak8 oktober 2014 20:50
Die verklaring is simpel: de Telegraaf.
_Thanatos_ @inhico8 oktober 2014 21:22
Kranten in het algemeen eigenlijk.
Pietervs @_Thanatos_9 oktober 2014 07:57
Nou, nee. Genoeg kranten die genuanceerder bericht geven als de Telegraaf. Eigenlijk alle kranten. Niet voor niks staat de Telegraaf bekend als de krant van zwakker Nederland: veel plaatjes, veel chocoladeletters, weinig tot geen wederhoor en de waarheid mag sensatie niet in de weg staan..
_Thanatos_ @Pietervs9 oktober 2014 22:42
Toh zijn alle kranten geredigeerd. En redactie is een vorm van censuur. Dingen wegstrepen die lezers afschrikken, en dingen een beetje inkleuren die lezers aantrekken. Het gebeurt zelfs online, ook bij Tweakers.
BoringDay 8 oktober 2014 17:11
Worden de getroffen burgers ook ingelicht? of is dat ook niet zo netjes :Y)
Anoniem: 126717 @BoringDay8 oktober 2014 17:34
Daar zijn ze klaar mee voordat ze beginnen.
"We hebben onderzoek laten doen door beveiligingsbedrijf Fox-IT, en daaruit blijkt dat er geen misbruik is gemaakt van het lek."
BoringDay @Anoniem: 1267178 oktober 2014 18:38
Misschien wist een hacker zijn sporen door de logfiles aan te passen?
Dan kan je natuurlijk zoeken tot je een ons weegt.
Rutix @BoringDay8 oktober 2014 19:11
Ja maar dan kunnen ze ook geen getroffen burgers inlichten ;). Daar komt bij dat ookal was er misbruik gemaakt van de exploit door de hacker op de server hij nog steeds niet bij de servers van DigiD kan en daar dus niet zijn sporen uit kan wissen ;).
BoringDay @Rutix8 oktober 2014 19:42
Daar heb je inderdaad gelijk in.
SeatRider @BoringDay8 oktober 2014 17:36
Volgens mij lees ik in het artikel dat er geen burgers zijn getroffen. Er was een vulnerability, maar er is geen exploit geweest (voor zover FoxIT dit kon zien).
Anoniem: 363533 8 oktober 2014 16:54
'Klein aantal gemeenten'.

Het maakt nogal veel uit of je de sessie kan kapen van Lutjebroek met 100 inwoners...of van Amsterdam, Rotterdam, Utrecht, Den Haag, Leiden etc met honderduizenden inwoners.
Civil @Anoniem: 3635338 oktober 2014 17:28
Lutjebroek is geen gemeente, maar valt onder de gemeente Stede Broec, die gemeente telt 21.478 inwoners. Per 1 januari 2015 gaat die gemeente samenwerken met Enkhuizen (18.383) en Drechterland (19.252). Dat wordt dan toch alweer een redelijke hoeveelheid inwoners ± 60.000. Ik mag voor die mensen ook hopen dat de beveiliging op orde is :)
Anoniem: 363533 @Civil8 oktober 2014 21:16
Ik bedoelde het natuurlijk als het spreekwoordelijke gehucht in de middle of nowhere. =P
Thekilldevilhil @Anoniem: 3635338 oktober 2014 21:33
Zijdewind dan iets? Ligt net boven 't veld en waarland... :P

[Reactie gewijzigd door Thekilldevilhil op 26 juli 2024 07:38]

kowapanga 8 oktober 2014 16:55
Het is wel heel erg slecht dat een tool als Nikto (zoekt naar webapps en bijbehorende bugs) zoiets vind.
Het is dus een bug die allang bekend was, vind er dan helemaal geen audit plaats voor zulke dingen live gaan?
Daar lijkt het wel op..
jaapzb @kowapanga8 oktober 2014 16:58
Ik denk eerder deploy en nooit meer updaten want "het werkt".
Anoniem: 221563 8 oktober 2014 16:56
Microsoft IIS-server... waarom geen linux bak zoals de meeste webservers? Stuk stabieler, stuk minder 'hacks' nodig om alles draaiend te krijgen.

On topic: Het zal vast niet SIM zijn geweest (het CMS systeem dat op de helft van de gemeente sites draait) aangezien die gemeente specifiek is en niet wordt ingezet bij overige bedrijven.

Tevens kun je bij alle 'feiten' die vanuit de Telegraaf komen wel quotes om de titels te plaatsen. Telegraaf is meer een achterklap tabloid dan een degelijke krant maar goed.
Rafe @Anoniem: 2215638 oktober 2014 16:59
Van de Nikto-site:
CMS Explorer currently supports module/theme discovery with the following products:
• Drupal
• Wordpress
• Joomla!
• Mambo
Edit: de tool kan zo te zien ook http://osvdb.org/ gebruiken, dus de lijst is aanzienlijk groter.

[Reactie gewijzigd door Rafe op 26 juli 2024 07:38]

Alex @Anoniem: 2215638 oktober 2014 17:05
Kun je uitleggen waarom je claimt dat Linux een stabielere webserver heeft dan IIS? Volgens mij hebben beide voordelen en nadelen. De OpenSSL exploit was een voorbeeld van een enorm problem op de Linux stack en IIS heeft vergelijkbare issues in het verleden gehad. De hacks om bijv PHP te draaien zijn ook al jaren verleden tijd.
anargeek @Anoniem: 2215638 oktober 2014 17:07
"We denken de helft of zelfs meer van alle gemeenten", aldus Westhovens.

Volgens mij is SIM (SIMgroep voor de niet-kenners) de enige die dat soort cijfers kan neerleggen, maar die draaien geen IIS en hebben ook hun eigen CMS, niet eentje die door Nikto wordt ondersteund.

Het maakt het niet duidelijker waar precies nu de bug zit.
PolarBear @Anoniem: 2215638 oktober 2014 17:33
IIS doet nauwelijks terzake, het gaat om een bug in het CMS. En we weten allemaal dat er tig CMS'en en beheertools zijn die op Apache/Linux draaien die forse lekken hebben gehad.

Overigens is IIS tegenwoordig (versies na versie 6) prima stabiele en veilige webservers. Zoek maar eens naar het aantal bugs in IIS de laatste paar jaat. Wellicht niet het allerbest maar meer dan adequaat voor een gemeente server.
_Thanatos_ @Anoniem: 2215638 oktober 2014 21:18
Als jij op IIS kan plassen, kan ik ook wel een boekje opendoen over de exploits waar IIS immuun voor is, zoals heartbleed en shellshock.

Los daarvan, IIS is prima veilig. Het probleem zit em in de beheerder, de software, of de gebruiker.
Plekuz 8 oktober 2014 17:00
Kunnen ze dan op zijn minst niet het gebruikte CMS benoemen en welke versie dit lek had, in plaats van zulke omslachtige bewoordingen te gebruiken. Daar hebben anderen die misschien hetzelfde CMS gebruiken ook wat aan.
resma 8 oktober 2014 22:15
Tweakers gebruikt nog het oude DigiD logo... laat Logius er maar niet achter komen. ;)

Veel gemeenten draaien nog de oudere CGI variant van DigiD en de integratie daarvan is veelal behoorlijk in het CMS verweven. De laatste versie van DigiD maakt gebruik van SAML en ondersteunt bijvoorbeeld ook Single Sign On. Deze variant is echter nog lang niet overal in gebruik.

Door de koppeling naar DigiD buiten het CMS te realiseren, bijvoorbeeld in een XML security gateway, kunnen dit soort zwakheden worden voorkomen. Leveranciers zoals mijn werkgever (Enable-U) bieden een dergelijke oplossing. Zo'n gateway voor je CMS plaatsen lijkt mij voor overheidsdiensten sowieso aan te raden. Services worden dan in de gateway gevirtualiseerd en gemakkelijk voorzien van een centrale beveiligingslaag. Het toepassen van een XML security gateway is niet voor niets een van de best-practices in een SOA architectuur http://en.wikipedia.org/wiki/SOA_Security
computerjunky 8 oktober 2014 17:02
Toch grappig dat er iedere keer weer digid problemen tevoorschijn komen en iedereen me toch keer na keer weer voor gek verklaard dat ik weiger digid te gebruiken.
PolarBear @computerjunky8 oktober 2014 17:34
Ik neem aan, gezien de grote hoeveelheid gestolen username/passwords, dat je weigert,sites te gebruiken waar je moet inloggen?
computerjunky @PolarBear8 oktober 2014 18:13
Ik heb een speciaal mail account voor bagger en inlog voor niet relevante sites ja en een aparte voor belangrijke accounts.
Meuk en belangrijke data gescheiden houden en een goed plan.
En dat mail adres bekijk ik ook alleen thuis en nooit via de browser.
Ozzie @computerjunky8 oktober 2014 17:09
Ook in dit geval was er helemaal geen probleem met DigiD. Het lag namelijk aan het CMS waar de websites op draaide. DigiD draait in een compleet los systeem.
Shivs @computerjunky9 oktober 2014 09:34
Dan ga je het nog zwaar krijgen met het regelen van je overheidszaken. Volgens de huidige planning moet elke gemeente in 2017 alles digitaal gaan doen.
andydewit 8 oktober 2014 17:38
Als ik het goed heb, hebben ze het over het systeem Adito, tegenwoordig OpenVPN ALS.
Rutix @andydewit8 oktober 2014 19:12
OpenVPN ALS is ten eerste geen CMS en draait meestal niet op IIS. Dus ik denk niet dat die het is :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq