DigiD, één van de overheidsdiensten die zijn gedupeerd door de hack.
DigiD, één van de overheidsdiensten die zijn gedupeerd door de hack. © UNKNOWN

Nederlandse overheidssites dupe van Iraanse hack

Hackers van de Iraanse overheid hebben een Nederlands beveiligingsbedrijf gebruikt om gegevens van Gmail-gebruikers af te tappen. Het gaat om het Beverwijkse bedrijf Diginotar, dat beveiligingscertificaten verzorgt van onder andere overheidssites en de Belastingdienst.

Uit een eerste onderzoek blijkt dat de overheidssites waarschijnlijk niet getroffen zijn en dat de aanval zich vooral richtte op bedrijfssites. Toch hebben ook de overheidssites nu een probleem, omdat Microsoft, Mozilla en Google - de makers van de grootste internetbrowsers - alle certificaten van Diginotar nu wantrouwen.

Dit betekent dat de sites die ervan gebruik maken na de volgende updates niet meer beschikbaar zullen zijn voor gebruikers van Internet Explorer, Firefox of Google Chrome. Zij zullen dan een
foutmelding krijgen bij het inloggen.

PKI-certificaat
De gedupeerde sites zijn overheidssites met een zogenoemd PKI-certificaat, dat staat voor betrouwbare digitale communicatie. Ook onder andere de digitale paspoortdienst DigiD en de site van de Belastingdienst maken gebruik van beveiligingscertificaten van Diginotar en dreigen nu dus onbereikbaar te worden voor veel internetgebruikers.

Govcert (Cyber Security en Incident Response Team), dat de overheid van beveiligingsadviezen voorziet, heeft een eerste onderzoek afgerond. Daaruit zou vooralsnog niet zijn gebleken dat de PKI-overheidssites direct door de hack zijn getroffen. Volgens Nu.nl zit inmiddels ook de Rijksoverheid op de zaak.

Verklaring
Het Amerikaanse bedrijf Vasco Security, sinds begin dit jaar eigendom van Diginotar, heeft vanmiddag een verklaring uitgegeven, waarin het stelt dat er sprake is van een hack. Die werd op 19 juli uitgevoerd door onbekenden. Op diezelfde dag heeft het bedrijf maatregelen genomen en de valse certificaten die doormiddel van de hack werden gegenereerd, ingetrokken. Daarbij werd er echter minstens één over het hoofd gezien.

Nadat Vasco er door GovCert, het Cyber Security en Incident Response Team van de Nederlandse overheid, op het overgebleven certificaat had gewezen, werd dat alsnog verwijderd. Vasco bevestigt dat de overheidssites geen gevaar hebben gelopen.