Plasterk: duizenden accounts bij DigiD misbruikt

10 juni 2017

Vorig jaar zijn 8921 DigiD-accounts verwijderd wegens misbruik, zo heeft demissionair minister Plasterk van Binnenlandse Zaken geantwoord op vragen van de vaste commissie voor Binnenlandse Zaken.

De minister werd gevraagd naar incidenten die zich vorig jaar op fraudegebied voordeden. Plasterk heeft het in zijn schriftelijke antwoord (pdf) over phishing, malware, botnets, malafide apps en misbruik door derden.

Logius, het overheidsbedrijf achter DigiD, geeft bescherming en voorlichting aan slachtoffers van misbruik en oneigenlijk gebruik van hun DigiD. Logius heeft vorig jaar dus bijna 9000 DigiD-accounts verwijderd en de gebruikers hierover geïnformeerd. In 2016 maakten ruim 13 miljoen mensen zo'n 250 miljoen keer gebruik van DigiD. 

Meldpunt

Als burgers slachtoffer zijn van identiteitsfraude of fouten met hun persoonsgegevens zij dat kunnen melden bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). CMI adviseert slachtoffers over mogelijke oplossingen of het neemt zelf contact op met overheidsorganisaties en private partijen om de situatie op te lossen als het slachtoffer daar zelf niet uitkomt. Vorig jaar zijn er volgens Plasterk bij het CMI 1724 meldingen van fraude en fouten binnen gekomen, waarop hulp is geboden.

Plasterk benadrukt verder dat er zich geen nieuwe of aanvullende beveiligingsrisico’s voordoen op het moment dat de opvolger van Digid niet begin 2018 wordt uitgerold. Ook zijn er volgens hem geen aanvullende financiële gevolgen. “Terwijl de nieuwe generatie eID-middelen ontwikkeld wordt, blijft de overheid investeren in de veiligheid en betrouwbaarheid van DigiD Basis zodra dit nog in gebruik is.”

Hackers ingehuurd

Plassterk stelt dat hij technische beveiligingsonderzoeken laat uitvoeren waarbij hackers worden ingehuurd door bureaus die onder strikte voorwaarden ongeautoriseerde toegang proberen te krijgen tot gegevens in DigiD. “Dit betreft zogenaamde pentesten, die uitgevoerd kunnen worden met of zonder voorafgaande informatie over het netwerk of de computer die getest wordt. Aanvullend op de pentesten kunnen ook code reviews worden uitgevoerd.”

De demissionair minister acht de kans klein dat een succesvolle aanval plaatsvindt op DigiD, waardoor er ongeautoriseerde toegang tot de persoonsgegevens in de database wordt verkregen. “Hierbij wil ik aantekenen dat de wachtwoorden versleuteld worden bewaard volgens de laatste inzichten van informatiebeveiliging en dat het auditrapport 2016 van de Auditdienst Rijk, heeft vastgesteld dat de beveiligingsmaatregelen van voldoende niveau zijn om te verhinderen dat directe, ongeautoriseerde toegang tot de DigiD-database mogelijk is.”

https://agconnect.nl/artikel/plasterk-duizenden-accounts-bij-digid-misbruikt​​​​​​​