Het College Bescherming Persoonsgegevens (CBP) heeft een waarschuwing afgegeven dat de beveiliging van DigiD in ernstige mate tekortschiet.
Aanleiding voor de waarschuwing is een incident met het reclamebureau Digi-D. Veel bezoekers van de site dachten dat het om de officiƫle site van DigiD ging en vulden daarom hun inloggegevens in.
Het reclamebureau sloeg alle gegevens die werden ingevuld op en daarmee konden criminelen en kwaadwillenden mogelijk toegang krijgen tot de belastinggegevens van burgers. Ook was het mogelijk om met de gegevens toeslagen aan te vragen. Het reclamebureau heeft inmiddels aangegeven alle gegevens te hebben gewist en dat alle problemen zijn verholpen.
Met DigiD is het mogelijk om met 1 gebruikersnaam en wachtwoord in te loggen op verschillende sites van de overheid. Het gaat dan om bijvoorbeeld de Belastingdienst of het CJIB voor het betalen van een boete. Online kunnen burgers toeslagen aanvragen en aangiftes doorgeven.
Gebruikers kunnen zelf kiezen of ze met een gebruikersnaam en wachtwoord willen inloggen of dat ze eerst een sms code ontvangen als extra beveiliging. Het CBP pleit er nu voor dat deze extra sms controle verplicht ingesteld moet worden.
In totaal zijn er 8500 burgers die hun inloggegevens hebben achtergelaten bij het reclamebureau. Deze zijn allemaal op inactief gezet door Logius, de beheerder van DigiD. Voor deze accounts is er dus geen extra risico meer.
Het CBP raadt gebruikers dan ook aan om vooral gebruik te maken van de extra sms verificatie.
