Softwarefout in Tax-on-web is opgelapt
Gisteren brachten we een kwetsbaarheid in het digitaal belastingsplatform aan het licht. Door een veiligheidslek op de overheidswebsite MyMinFin.be konden hackers in theorie gevoelige financiële informatie over Belgische burgers opvissen. De jonge, ethische hacker Gilles Maes met pseudoniem ‘XenonLegend’ stootte op de bug. Gisteren liet de FOD Financiën weten dat het veiligheidsprobleem is opgelapt.
Volgens Gilles Maes ging het om een simpele programmeerfout in het Cross-site scripting (XSS), de beveiliging van de webapplicatie. Daardoor werd het voor een hacker met kennis van zaken kinderspel om accountgegevens op te vissen. Op deze manier zou een kwaadwillende ook bijvoorbeeld malware naar een computer kunnen loodsen.
In stroomversnelling
Gisteren nodigde de overheidsdienst het jong hacktalent uit om het ‘probleem te komen bespreken’. Dat de fout gisteren al werd hersteld is opvallend, want Gilles Maes had de FOD Financiën al vorige zomer geïnformeerd over de kwetsbaarheid. Tot vorige week kreeg hij geen reactie, waarop hij besloot om het probleem openbaar te maken via Facebook. Een geslaagde zet, zo blijkt.
De FOD Financiën verzekert dat de beveiligingsfout op de overheidswebsite MyMinFin is gecorrigeerd. “Het ging om een fout die heel moeilijk uit te buiten was en die niet toeliet om de vertrouwlijkheid van de gegevens van MMinFin te compromitteren”, legde een woordvoerder van de FOD uit aan Datanews.
[related_article id=”222280″]De FOD benadrukt wel dat de veiligste verbindingen via eID en Itsme gebeuren, in plaats van identificatie via token. Volgens de overheidsdienst werden deze methodes niet getroffen door het veiligheidslek. Hoe je je authentificeert via de app Itsme, legde collega Nina hier uit.