Overslaan en naar de inhoud gaan

Opnieuw lek in site studiefinanciering

RTL Nieuws kwam het lek op het spoor na een tip van een hacker. De DUO-site is kwetsbaar voor een zogenaamde Cross Site Scripting-hack (XSS). Daarbij kan iemand een eigen website laden in de website van een ander. Als die eigen website maar genoeg lijkt op het origineel, valt dit niet op. Extra gevaarlijk is dat het adres in de adresbalk op het eerste gezicht wel lijkt te kloppen.
Business
Shutterstock
Shutterstock

De hacker liet ook zien dat er relatief eenvoudig een pagina kan worden gemaakt waar mensen met iDeal kunnen betalen of in kunnen loggen met hun DigiD. Het is volgens hem denkbaar dat mensen een mail krijgen om een achterstand in de aflossing van de studieschuld per iDeal te voldoen, om zo bankgegevens te stelen. Het zou zelfs mogelijk zijn om daadwerkelijk een betaling naar een andere rekening te laten uitvoeren.

XSS-hacks populair
Het gebeurt overigens vaker dat sites worden getroffen door een XSS-aanval. Zo bleken Twitter, Facebook en MySpace allemaal al eens vatbaar. Experts hebben RTL Nieuws laten weten dat 70 procent van alle websites vatbaar zijn voor XSS en dat meer dan 80 procent van alle veiligheidsproblemen met websites een XSS-probleem betreft. Security-expert Chris Horeweg vindt dan ook dat DUO een basisfout heeft gemaakt. "Dit is het eerste wat je leert als je een website maakt. Als een overheidswebsite zo'n fout maakt, hebben ze een verkeerde partij gekozen om die te laten bouwen. Waarschijnlijk is DigiD wel goed beveiligd. Maar de websites die gebruik maken van DigiD, moeten net zo veilig zijn."

Niet de eerste keer
Een woordvoerder van DUO zei gisteren verrast te zijn. "We stellen een onderzoek in en gaan het gat per ommegaande dichten", aldus de woordvoerder. Toch noemt de woordvoerder het risico laag. "Maar de site van DUO moet wel een betrouwbare omgeving zijn." Inmiddels heeft de organisatie laten weten dat het lek gedicht is. In november 2010 kwam DUO al in het nieuws toen gegevens van studenten op straat bleken te liggen wegens een beveiligingslek.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in