Overslaan en naar de inhoud gaan

Groot lek gedicht in Europees identificatieysteem

Het Europese identificatiesysteem eIDAS (electronic Identification, Authentication and trust Services) bevatte een lek waardoor hackers zich bij een officiële transactie voor konden doen als iedere EU-burger of een Europees bedrijf. Het lek is inmiddels gedicht met een patch.
Vlag Europa
© Europa
Europa

Het identificatiesysteem eIDAS is ontwikkeld om elektronische transacties tussen EU-lidstaten, -burgers en -bedrijven over grenzen heen mogelijk te maken. Simpel gezegd zorgt het systeem ervoor dat burgers en bedrijven eenvoudiger kunnen praten met instellingen binnen de Europese Unie, doordat ze zich online kunnen identificeren.

Om dat mogelijk te maken, worden digitale handtekeningen en transacties geverifieerd tegen officiële databases, die in ieder EU-land staan. Die databases bevatten alle transacties, ongeacht waar deze in eerste instantie hebben plaatsgevonden. 

Dat systeem bleek dus een lek te bevatten, ontdekten beveiligingsonderzoekers van SEC Consult. Zij deelden hun bevindingen met ZDNet

Certificaten konden vervalst worden

Het probleem bevond zich binnen eIDAS-Node, het officiële softwarepakket dat overheidsorganisaties op hun servers draaien om eIDAS-transacties met hun privédatabases te ondersteunen. 

De onderzoekers vonden twee lekken in dat systeem. De software controleerde certificaten in de operaties van het systeem namelijk niet goed, waardoor een aanvaller het certificaat van een eIDAS-burger of -bedrijf kon vervalsen. Daarna kon een hacker bijvoorbeeld rommelen met belastingaangiften en bankoverschrijvingen.

Een aanvaller hoeft voor de aanval alleen een malafide verbinding op te zetten met de eIDAS-Node-server van een lidstaat en vervalste certificaten aan te leveren bij het authenticatieproces. 

Patch uitgebracht

SEC Consult laat weten dat zij de aanval gedemonstreerd hebben met de applicatie die de Europese Commissie heeft aangeleverd. Het bedrijf heeft echter geen gedetailleerde informatie over de configuratie of extra beveiligingsmaatregelen die specifieke landen in hebben gesteld. Daardoor is niet duidelijk in hoeverre een specifieke lidstaat - bijvoorbeeld Nederland - hierdoor getroffen is. 

De problemen zijn inmiddels door de Europese Commissie opgelost. Vandaag wordt een patch uitgerold naar de lidstaten, samen met het dringende advies om het systeem zo snel mogelijk te updaten.

De ontdekkers demonstreren hun vondst door zich te authenticeren als burger Johann Wolfgang von Goethe, de bekende Duitse auteur uit de achttiende eeuw:

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in