In tientallen Nederlandse gemeentesites bevinden zich beveiligingslekken waardoor een aanvaller persoonlijke gegevens kan stelen, zo laat een beveiligingsonderzoeker Security.NL weten. Zarco Zwier trof in 31 websites de mogelijkheid tot cross-site scripting aan, waardoor het mogelijk is om gegevens die tijdens de inlogsessie op de website beschikbaar zijn, te achterhalen en weg te sluizen. “Gevaarlijk is dit wanneer deze kwaadaardige URL’s in reclamebanners worden verstopt om zo DigiD of andere persoonlijke gegevens van ingelogde bezoekers te verzamelen,” aldus de onderzoeker.
Ook is het mogelijk gebruikers over te halen een link te laten bezoeken om zo andere content weer te geven in de context van het domein van de gemeente, waardoor het voor een nietsvermoedende gebruiker op een authentiek bericht van de gemeente lijkt. De gegevens in de database van de websites waren in de meeste gevallen niet toegankelijk, alhoewel hij op één website een SQL-query met geïnjecteerde code terugkreeg.
De kwetsbare gemeenten werden een maand geleden ingelicht, maar Zwier ontving pas van negen gemeenten een reactie. Het probleem wordt in de meeste gevallen veroorzaakt doordat er een ongepatcht CMS in gebruik is. Zwier ontdekte dat er vier typen URL’s zijn, wat waarschijnlijk betekent dat er minimaal vier CMS-en worden gebruikt. Of de andere gemeenten gebruikmaken van een CMS of dat er iets op maat gemaakt is, kon hij niet zo zeggen. “Ik heb er namelijk maar twee avonden aan besteed.”
De onderzoeker is inmiddels ook benaderd door de producent van één van de CMS-en. Hem werd gevraagd om met gepaste terughoudendheid informatie naar buiten te brengen, volgens Zwier omdat ze negatieve publiciteit willen voorkomen. “Dat is logisch, dat snap ik ook wel. Echter, daar er hier een maatschappelijk belang speelt, acht ik het van belang dat mensen hiervan op de hoogte worden gebracht.” De producent die Zwier niet bij name wil noemen vroeg hem ook om in plaats van de gebruikers, voortaan de producent zelf in te lichten over gevonden kwetsbaarheden. Iets waar de onderzoeker zich wel in kon vinden.
“Daar deze websites toch vrij belangrijk zijn voor de Nederlandse burger, acht ik het van belang dat de burgers worden geinformeerd over spelende problemen
en dat overheden het belang inzien van het veilig maken en houden van hun digitale systemen. Als ik in twee avonden, na een zware werkdag 31 kwetsbare websites kan vinden, ga dan maar eens na wat internetcriminelen voor schade kunnen aanrichten,” zo waarschuwt hij. De websites van onder andere Delft, Rotterdam, Schiedam, Leiden, Emmen, Almelo en Apeldoorn zijn lek.
Zwier laat weten dat hij contact met een medewerker van DigiD heeft gehad. Die dacht, net als de onderzoeker, dat ook DigiD kwetsbaar was, wat echter niet het geval (b)lijkt. De DigiD gegevens worden niet van de DigiD website doorgegeven aan de gemeenten, er wordt alleen een sessie-ID doorgestuurd. De onderzoeker was op het verkeerde been gezet door een tekst op de DigiD website waar staat: “DigiD biedt alleen zekerheid over de identiteit van de gebruiker. Tot welke gegevens hij toegang krijgt en welke transacties hij via de internetsite mag verrichten, bepaalt de overheidsinstelling zelf.” Zwier schrijft in een reactie: “Dit had ik gelezen als: indien een gemeente andere gegevens dan de identiteit van de gebruiker (bevestigd door een session-ID) wil gebruiken, kunnen zij dit. Het is niet per definitie zo dat DigiD-gegevens te stelen zijn.”