Groot lek gedicht in Europees identificatieysteem

Het identificatiesysteem eIDAS is ontwikkeld om elektronische transacties tussen EU-lidstaten, -burgers en -bedrijven over grenzen heen mogelijk te maken. Simpel gezegd zorgt het systeem ervoor dat burgers en bedrijven eenvoudiger kunnen praten met instellingen binnen de Europese Unie, doordat ze zich online kunnen identificeren.

Om dat mogelijk te maken, worden digitale handtekeningen en transacties geverifieerd tegen officiële databases, die in ieder EU-land staan. Die databases bevatten alle transacties, ongeacht waar deze in eerste instantie hebben plaatsgevonden. 

Dat systeem bleek dus een lek te bevatten, ontdekten beveiligingsonderzoekers van SEC Consult. Zij deelden hun bevindingen met ZDNet. 

Certificaten konden vervalst worden

Het probleem bevond zich binnen eIDAS-Node, het officiële softwarepakket dat overheidsorganisaties op hun servers draaien om eIDAS-transacties met hun privédatabases te ondersteunen. 

De onderzoekers vonden twee lekken in dat systeem. De software controleerde certificaten in de operaties van het systeem namelijk niet goed, waardoor een aanvaller het certificaat van een eIDAS-burger of -bedrijf kon vervalsen. Daarna kon een hacker bijvoorbeeld rommelen met belastingaangiften en bankoverschrijvingen.

Een aanvaller hoeft voor de aanval alleen een malafide verbinding op te zetten met de eIDAS-Node-server van een lidstaat en vervalste certificaten aan te leveren bij het authenticatieproces. 

Patch uitgebracht

SEC Consult laat weten dat zij de aanval gedemonstreerd hebben met de applicatie die de Europese Commissie heeft aangeleverd. Het bedrijf heeft echter geen gedetailleerde informatie over de configuratie of extra beveiligingsmaatregelen die specifieke landen in hebben gesteld. Daardoor is niet duidelijk in hoeverre een specifieke lidstaat - bijvoorbeeld Nederland - hierdoor getroffen is. 

De problemen zijn inmiddels door de Europese Commissie opgelost. Vandaag wordt een patch uitgerold naar de lidstaten, samen met het dringende advies om het systeem zo snel mogelijk te updaten.

De ontdekkers demonstreren hun vondst door zich te authenticeren als burger Johann Wolfgang von Goethe, de bekende Duitse auteur uit de achttiende eeuw: