DigiD weer beschikbaar na lek in Ruby on Rails

Woensdag 9 januari 2013 werd DigiD preventief offline gehaald in verband met een beveiligingslek. De authenticatiedienst voor overheidsdiensten werd in opdracht van Tactisch Beheer van DigiD om 12.20 uur offline gehaald om het lek te kunnen dichten, en was rond 21:30 uur weer beschikbaar.

De kwetsbaarheid was aanwezig in het onderliggende open source ontwikkelaarsplatform Ruby on Rails (RoR). Applicaties die in Ruby on Rails zijn ontwikkeld blijken vatbaar te zijn voor SQL-injectie en het omzeilen van de authenticatie.

De kwetsbaarheid (CVE-2012-5664, leter hernummerd naar CVE-2012-6497) was al op 26 december 2012 gepubliceerd door het National Institute of Standards and Technology (NIST). Op 9 januari 2013 waarschuwde ook het Nationaal Cyber Security Center (NCSC) in een beveiligingsadvies voor dit lek.

Op woensdag 9 januari verscheen een exploit voor Ruby on Rails die misbruik toegankelijk maakt voor een groot publiek. Alhoewel aanvallers het lek actief kunnen misbruiken, zou dit misbruik volgens DigiD detecteerbaar zijn. Door DigiD wordt aangenomen dat de gegevens van burgers daarom niet actief zijn misbruikt.


Om social media te kunnen gebruiken zijn cookies nodig, schakel deze in om de knoppen te activeren.

Tags: , , , , , , , , , , ,

Close