Uit onderzoek door het programma Opgelicht?! blijkt dat DigiD-gegevens zeer gemakkelijk te hacken zijn geweest bij 12 gemeenten en twee andere instanties. ICT beveiligingsexpert en ontdekker van het lek Erik Westhovens, slaagde erin om in te loggen in hun systeem.
Bij deze gemeenten bleek de beveiliging naar de DigiD-inlogpagina niet goed genoeg te zijn en hierdoor makkelijk te hacken. In eerste instantie ging het om 24 gemeenten waarvan website totaal niet beveiligd was. Onder de 24 gemeenten zitten grote steden als Rotterdam, Amersfoort en Apeldoorn. Potentieel treft de onveilige situatie een half tot één miljoen DigiD-gebruikers van wie de inloggegevens makkelijk op te vangen waren.
Inloggegevens openbaar
Bijna iedere gemeente in Nederland heeft een website waar met een DigiD ingelogd kan worden, dit om bijvoorbeeld een vergunning aan te vragen. De kwetsbare gemeenten maken gebruik van een computerprogramma dat bij aanschaf beveiligd is met standaard logingegevens. Deze staan openbaar vermeld op internet. De 24 gemeenten die gebruik maken van dit computerprogramma hebben hun wachtwoorden niet gewijzigd. Bij 12 van deze 24 gemeenten plus twee andere instanties, bleek de koppeling naar de DigiD-inlogpagina bar slecht beveiligd te zijn, waardoor er DigiD-gegevens opgevangen hadden kunnen worden.
Geen 100% zekerheid
DigiD-beheerder Logius beweert tegen Opgelicht?! dat het om 'een klein aantal gemeenten' zou gaan. Logius wil niet bevestigen om welke 12 gemeenten en twee instanties het gaat. Daarnaast stelt Logius dat het lek inmiddels is gedicht en dat onderzoek aangetoond heeft dat er geen misbruik heeft plaatsgevonden. Dit onderzoek is gedaan door het bedrijf Fox IT. Directeur Ronald Prins van Fox IT zegt echter tegen Opgelicht?! dat er maar bij een heel beperkt aantal gemeenten van de kwetsbare gemeenten onderzoek heeft plaats gevonden. Dus hij kan niet met 100% zekerheid zeggen dat er geen misbruik van is gemaakt.
Burgers zelf verantwoordelijk
Als burgers te maken krijgen met misbruik van hun DigiD, worden zij daar in de meeste gevallen zelf verantwoordelijk voor gehouden. De slachtoffers draaien op voor duizenden euro’s schade. In de uitzending komen meerdere mensen aan het woord die te maken hebben gehad met misbruik van hun DigiD. De gevolgen zijn groot.
Kwetsbare gemeenten
De gemeenten die maandenlang hun beveiliging niet op orde hadden zijn:
Alkmaar
Amersfoort
Apeldoorn
Haaksbergen
Hengelo
Krimpen aan den IJssel
Leidschendam
Voorburg
Lelystad
Moerdijk
Rucphen
Smallingerland
Soest
Wijdemeren
Naar aanleiding van onze berichtgeving hebben de volgende gemeenten aangegeven niet te behoren tot de 12 die zijn getroffen door het DigiD-lek:
Alphen-Chaam
Hardenberg
Helmond
Heerlen
Hoorn
Rhenen
Roermond
Rotterdam
Schiedam
Waalwijk
Weert
Update 17.50 uur: 'Hoorn en Waalwijk niet bij de 12 getroffen gemeenten'
Wij hebben inmiddels bericht ontvangen van de gemeenten Hoorn en Waalwijk dat zij niet behoren tot de 12 getroffen gemeenten.
Overheidsorganisatie Logius erkent dat 12 gemeenten kwetsbaar zijn geweest voor mogelijk DigiD-misbruik. Deze overheidsorganisatie stelt echter dat geen sporen van misbruik zijn gevonden. Evenmin zouden gegevens in verkeerde handen zijn gevallen, aldus Logius, namens de overheid belast met digitalisering en onderdeel van het ministerie van Binnenlandse Zaken. Het beveiligingsprobleem is na reparatie opgelost.
Update: 18:45 uur: Verhoeven (D66): 'Het lijkt er sterk op dat men dit lek verborgen heeft willen houden'
Tweede Kamerlid Kees Verhoeven (D66) wil dat minister Ronald Plasterk (Binnenlandse Zaken) uitleg geeft. Volgens hem moeten burgers in de getroffen gemeenten 'weten dat hun DigiD-inloggegevens te grabbel hebben gelegen'. Plasterk is volgens hem verantwoordelijk voor DigiD en de onveilige situatie. 'Het lijkt er sterk op dat men dit lek verborgen heeft willen houden, maar dat is niet gelukt. De minister moet uitleggen hoe deze blunder heeft kunnen plaatsvinden.'
Update 19:30 uur: 'Weert, Schiedam en Rotterdam niet getroffen'
De gemeenten Weert, Schiedam en Rotterdam hebben aan Opgelicht?! laten weten dat zij niet behoren tot de 12 getroffen gemeenten.
Update 21:00 uur: 'Rhenen, Alphen-Chaam niet getroffen'
De gemeenten Rhenen en Alphen-Chaam hebben aan Opgelicht?! laten weten dat zij niet behoren tot de 12 getroffen gemeenten.
Update 29-10, 11:30 uur: 'Hardenberg en Roermond niet getroffen'
De gemeenten Hardenberg, Roermond en Helmond hebben laten weten dat zij niet behoren tot de 12 getroffen gemeenten.
Update 14:30 uur:'Smallingerland, Haaksbergen en Hengelo erkennen lek'
De gemeenten Smallingerland, Haaksbergen en Hengelo erkennen getroffen te zijn door het DigiD-lek. De drie gemeenten geven aan dat het lek inmiddels is gedicht en dat er geen aanwijzingen zijn dat er misbruik is gemaakt van DigiD-gegevens.
Update 16:20 uur: 'Heerlen niet getroffen'
De gemeente Heerlen heeft ons laten weten niet getroffen te zijn door het DigiD-lek, waarover wij in onze uitzending berichtten.
Update 30-10, 12:15 uur: 'Koppeling DigiD Apeldoorn stond niet open'
Apeldoorn geeft aan wel te behoren tot een van de kwetsbare gemeenten, maar de koppeling naar DigiD stond niet open.
Update 13:10 uur: 'Moerdijk erkent kwetsbaarheid'
De gemeente Moerdijk erkent te behoren tot de 12 getroffen gemeenten. Uit extern onderzoek is gebleken dat er geen misbruik heeft plaatsgevonden op de site voordat het probleem werd ontdekt.
Update 31-10, 13:08 uur
Inmiddels heeft Opgelicht?! van de meeste gemeenten een reactie gekregen. Wij hebben een overzicht gemaakt van de laatste stand van zaken.