Tijdens een beveiligingsaudit door DeltaISIS, uitgevoerd in opdracht van een klant, is door Security Officer Erik Westhovens een DigiD beveiligingslek gevonden in het gebruikte CMS systeem.
Dit betreffende CMS systeem wordt door veel gemeenten en bedrijven gebruikt. Middels het lek kan het system account en het bijhorend wachtwoord eenvoudig uitgelezen en gebruikt worden. Op deze wijze kan een hacker zich toegang verschaffen tot het systeem en aanverwante systemen om vervolgens informatie te manipuleren en/of te misbruiken.
De server kon eenvoudig worden “geroot” en er konden sniffers en andere malware geïnstalleerd worden om gevoelige informatie bij deze organisaties te onttrekken. “Het bleek erg eenvoudig te zijn om extra beheeraccounts aan te maken die voor volledige toegang tot de omgeving zorgden.
Tevens konden de verbindingen worden uitgelezen met ‘Man in the Middle’ software zodat het in theorie mogelijk was om DigiD accounts te ‘harvesten’,” aldus Erik Westhovens.
Lees verder via Executive-People