'eID-module Drupal onveilig'

Beveiligingsbedrijf Zion Security heeft een nieuwe module voor eID-kaarten in openbron-CMS Drupal onder de loep genomen. "Onveilig", zo luidt het verdict.

Er zijn verschillende problemen, schrijft beveiligingsspecialist Erwin Geirnaert op zijn blog. Om te beginnen worden er voorschriften van de privacycommissie overtreden. De module gebruikt immers het rijksregisternummer van de gebruiker, wat verboden is. Maar het wordt erger: er zijn ook echt technische beveiligingsproblemen.

Zo worden gegevens van de identiteitskaart onversleuteld naar Drupal gestuurd. Daarmee worden de voornaam, naam en serienummer van een identiteitskaart te grabbel gegooid. Ook de unieke code die elke gebruiker toegewezen krijgt, wordt niet geheim gehouden.

De module maakt volgens Geirnaert ook geen gebruik van HTTPS, wat hackers het leven erg gemakkelijk maakt.

Login makkelijk te raden
De eID-module voor Drupal maakt het ook mogelijk om in te loggen met de eID. Daarvoor wordt er gekeken naar het rijksregisternummer. Slecht idee, volgens Geirnaert. Een rijksregisternummer bestaat immers voor het grootste deel uit de geboortedatum. De laatste vijf cijfers zijn niet te voorspellen. Met andere woorden: in 99.999 pogingen kan een hacker zich toegang tot Drupal forceren.

Kort samengevat: Erwin Geirnaert vindt de module een erg onveilige implementatie van de eID. Hij raadt elk gebruik in een productieomgeving dan ook af.