CBP: Beveiliging DigiD moet aangescherpt

Duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD. Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten. Dat heeft het CBP tijdens onderzoek vastgesteld. Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn. Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen waardoor het veiligheidsrisico rond deze specifieke situatie is weggenomen. Tegelijkertijd constateert het CBP dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens. Het beveiligingsniveau van DigiD zou daarom moeten worden aangepast. Het CBP heeft het verantwoordelijke ministerie van Binnenlandse Zaken (BZK) hierop gewezen en om een nadere toelichting op het huidige beveiligingsniveau van DigiD gevraagd.

Beveiligingsrisico DigiD

Bij de huidige staat van de beveiligingssituatie valt niet uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing. Zo kunnen onbevoegden misbruik maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Bijvoorbeeld van belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget. Om dit te voorkomen is een extra veiligheidsvoorziening noodzakelijk. Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord.

Onderzoek reclamebureau Digi-D

Het CBP startte op verzoek van het ministerie van BZK een onderzoek naar de verwerking van DigiD-gegevens van burgers door het Brabantse reclamebureau Digi-D. Het reclamebureau bleek van meer dan 8500 DigiD-accounts zowel  de gebruikersnamen als wachtwoorden te hebben opgeslagen nadat DigiD-gebruikers hadden geprobeerd in te loggen op de site van het reclamebureau.

Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt waardoor het niet meer mogelijk is dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens. De beheerder van DigiD, Logius, heeft de accounts van de gebruikers van wie de DigiD-inloggegevens bij het reclamebureau waren opgeslagen, geblokkeerd en de betrokken mensen geïnformeerd. Met beide maatregelen is het veiligheidsrisico voor deze gegevens weggenomen.