Managementsamenvatting broncodeonderzoek beveiligingsaspecten van de software DigiD

• Versie
• Download(s) 1
• Bestandsomvang 212.80 KB
• Bijgewerkt op 27 mei 2024

Managementsamenvatting van een onderzoek op de broncode van de DigiD-backend. Dit onderzoek heeft zich gericht op de beveiligingsaspecten van de software. De achterliggende reden hiervoor is het voornemen de broncode vrij te geven danwel publiek te maken in het kader van een Woo-verzoek. Er zijn twee hoge risico’s vastgesteld. Het eerste hoge risico betreft de aanwezigheid van cryptografische sleutels die niet publiek bekend zouden moeten worden. Het betreft geen sleutels die worden gebruikt in een productieomgeving. Het tweede hoge risico betreft de mogelijkheid om DigiD-gebruikers te misleiden door een phishing-link te maken die lijkt alsof het daadwerkelijk naar DigiD leidt, maar in werkelijkheid automatisch doorverwijst naar een website van de aanvaller. Aanvallers gebruiken dit soort kwetsbaarheden om DigiD-inloggegevens en persoonsgegevens van gebruikers te ontfutselen. De achterliggende oorzaak hiervan is ontbrekende of incorrecte controle op gebruikersinvoer.
Daarnaast zijn vijf lage risico’s vastgesteld.

Bestand(en)