Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • DigiD-fraude

    Inloggen met DigiD, hoe veilig is het? Met dit digitale systeem log je in bij verschillende instanties van de overheid. Maar is de gebruiker wel genoeg op de hoogte van de gevaren van dit systeem?

    Met je DigiD, oftewel je digitale identiteit, bestaande uit een gebruikersnaam en een wachtwoord, kan je inmiddels bij zo’n 600 instanties inloggen. Dit gaat om redelijk onschuldige websites zoals je zorgverzekering en donorregistratie, maar ook bij sites waar je je financiële zaken regelt zoals de Belastingdienst voor het aanvragen van verschillende toeslagen, het UWV voor het aanvragen van een uitkering of de Sociale Verzekeringsbank voor het storten van je AOW. 

    Als je DigiD in de verkeerde handen valt, kunnen anderen toeslagen aanvragen op jouw naam, maar vullen dan hun eigen rekeningnummer in. Als later blijkt dat je helemaal geen recht had op dit geld, kunnen de schulden flink oplopen.

    1000 keer per jaar DigiD geblokkeerd

    Het bedrijf dat namens de overheid DigiD beheert is Logius. Logius geeft aan dat ongeveer 1000 keer per jaar een DigiD geblokkeerd wordt omdat er vermoedens zijn van misbruik. In vergelijking met de hoeveelheid keren dat DigiD-fraude het nieuws haalt, lijkt 1000 keer per jaar aan de lage kant. 

    In verkeerde handen

    Je inloggegevens kunnen op verschillende manieren in de verkeerde handen vallen. Op de eerste plaats geven nog steeds veel mensen hun gebruikersnaam en wachtwoord aan mensen die ze vertrouwen. Bijvoorbeeld aan de adviseur die hen helpt met het doen van de belastingaangifte. Als je de inlogcodes na het doen van de aangifte niet wijzigt, kan deze adviseur hierna misbruik maken van je DigiD. Er kunnen toeslagen aangevraagd worden en zelfs het bankrekeningnummer kan worden gewijzigd. Als later blijkt dat je helemaal geen recht had op dit geld, is het al te laat. Het geld is weg, maar jij bent degene die het terug moet betalen.   

    Zelf je gegevens weggeven, bewust of onbewust, is niet handig. Maar wat als het buiten je medeweten om gebeurt?

    Niet waterdicht

    Een specialist in het beveiligen van websites, ontdekte op 11 september dat een computerprogramma van 24 Nederlandse gemeenten niet waterdicht is.

    Bijna elke gemeente in Nederland heeft een website waar je in kan loggen met je DigiD, bijvoorbeeld om een vergunning aan te vragen. Voor deze website maakt de gemeente gebruik van het betreffende computerprogramma. Als je dit programma aanschaft, zitten er standaard login-gegevens bij, die op internet vermeld staan. Het is de bedoeling dat de gemeente het wachtwoord wijzigt, zodra het programma in gebruik genomen wordt. Maar liefst 24 gemeenten die met dit computerprogramma werken, deden dit niet en hielden het standaard wachtwoord. Hierdoor was het voor de beveiligingsspecialist geen probleem om in te loggen als administrator. Bij 12 van die 24 gemeenten was er vervolgens geen goede beveiliging naar de DigiD inlogpagina en stond de deur wagenwijd open. Voor een hacker is het dan een koud kunstje om alle DigiD-inloggegevens op te vangen van de mensen die inloggen met hun DigiD bij de gemeente.

    Gemeenten

    De volgende gemeenten laten weten dat ze tot de kwetsbare gemeenten behoorden:

    • Hengelo
    • Moerdijk
    • Smallingerland
    • Haaksbergen
    • Apeldoorn (site was wel kwetsbaar, maar niet de koppeling naar DigiD) 
    • Lelystad (site was wel kwetsbaar, maar niet de koppeling naar DigiD)
    • Krimpen aan den IJssel (site was wel kwetsbaar, maar niet de koppeling naar DigiD)
    • Rucphen
    • Soest

    De volgende gemeenten zeggen niet tot de kwetsbare gemeenten te behoren:

    • Alkmaar
    • Alphen Chaam
    • Amersfoort
    • Hardenberg
    • Helmond
    • Heerlen
    • Hoorn
    • Leidschendam-Voorburg
    • Rhenen
    • Roermond 
    • Rotterdam
    • Schiedam
    • Waalwijk
    • Weert

    Mogelijk getroffen: 

    • Wijdemeren 

    'Klein aantal gemeenten'

    DigiD-beheerder Logius beweert tegen Opgelicht?! dat het om 'een klein aantal gemeenten' zou gaan. Het bedrijf wil niet bevestigen om welke 12 gemeenten het gaat. Daarnaast stelt Logius dat het lek inmiddels is gedicht en dat onderzoek aangetoond heeft dat er geen misbruik heeft plaatsgevonden. Dit onderzoek is gedaan door het bedrijf Fox IT.  Directeur Ronald Prins van Fox IT zegt echter tegen Opgelicht?! dat er maar bij een heel beperkt aantal van de kwetsbare gemeenten onderzoek heeft plaats gevonden. Dus hij kan niet met 100% zekerheid zeggen dat er geen misbruik van is gemaakt.

    D66 Tweede Kamerlid Kees Verhoeven wil dat de verantwoordelijke minister Ronald Plasterk naar de Kamer komt om antwoorden te geven.

    Dat een gehackte computer grote gevolgen kan hebben, staat als een paal boven water. We spreken met een gedupeerde die voor een raadsel staat. Tot drie keer toe worden verschillende toeslagen aangevraagd via haar DigiD, maar op een rekeningnummer dat ze helemaal niet kent. Ze trekt aan de bel en schakelt de hulp in van Logius, maar wordt van het kastje naar de muur gestuurd.

    Voorkom DigiD-fraude

    U kunt op verschillende manieren voorkomen dat u te maken krijgt met DigiD fraude. Opgelicht?! heeft hiervoor een stappenplan opgesteld. 

    Heeft het vermoeden dat er iets niet klopt met uw DigiD, wijzig dan onmiddellijk uw wachtwoord en meld uw vermoeden bij de helpdesk van DigiD.

    Reactie Logius

    Naar aanleiding van het onderzoek naar het lek bij DigiD, heeft Opgelicht?! een reactie gevraagd aan DigiD-beheerder Logius. Bekijk de volledige schriftelijke reactie van Logius.

    Gerelateerd

    Reacties (0)

    Op de Opgelicht?! website moet je 'overige cookies' accepteren om te reageren op artikelen.

  • Ook interessant