Opnieuw lek in site studiefinanciering

De hacker liet ook zien dat er relatief eenvoudig een pagina kan worden gemaakt waar mensen met iDeal kunnen betalen of in kunnen loggen met hun DigiD. Het is volgens hem denkbaar dat mensen een mail krijgen om een achterstand in de aflossing van de studieschuld per iDeal te voldoen, om zo bankgegevens te stelen. Het zou zelfs mogelijk zijn om daadwerkelijk een betaling naar een andere rekening te laten uitvoeren.

XSS-hacks populair
Het gebeurt overigens vaker dat sites worden getroffen door een XSS-aanval. Zo bleken Twitter, Facebook en MySpace allemaal al eens vatbaar. Experts hebben RTL Nieuws laten weten dat 70 procent van alle websites vatbaar zijn voor XSS en dat meer dan 80 procent van alle veiligheidsproblemen met websites een XSS-probleem betreft. Security-expert Chris Horeweg vindt dan ook dat DUO een basisfout heeft gemaakt. "Dit is het eerste wat je leert als je een website maakt. Als een overheidswebsite zo'n fout maakt, hebben ze een verkeerde partij gekozen om die te laten bouwen. Waarschijnlijk is DigiD wel goed beveiligd. Maar de websites die gebruik maken van DigiD, moeten net zo veilig zijn."

Niet de eerste keer
Een woordvoerder van DUO zei gisteren verrast te zijn. "We stellen een onderzoek in en gaan het gat per ommegaande dichten", aldus de woordvoerder. Toch noemt de woordvoerder het risico laag. "Maar de site van DUO moet wel een betrouwbare omgeving zijn." Inmiddels heeft de organisatie laten weten dat het lek gedicht is. In november 2010 kwam DUO al in het nieuws toen gegevens van studenten op straat bleken te liggen wegens een beveiligingslek.