WerkenbijhetRijk is echt lek!

Logotype WerkenbijhetRijk Enkele dagen geleden meldde ik dat volgens onderzoek van het bedrijf Networking4all de site WerkenbijhetRijk onvoldoende beveiligd zou zijn Wat er dus toe kan leiden dat persoonsgegevens worden gekopieerd voor allerhande illegale doeleinden.

Ondertussen is dit een kleine soap geworden, waarbij het ministerie van BZK heeft gesteld dat WerkenbijhetRijk wel degelijk veilig is en vervolgens Networking4all met ondubbelzinnig bewijs van het tegendeel komt.

Het ministerie stelt in een persbericht dat, in tegenstelling tot wat Networking4all suggereert, er wel degelijk sprake van een beveiligde verbinding (https) voor cv’s en dergelijke.

In  reactie daarop komt Networking4all met een buitengewoon simpel voorbeeld waarmee wordt aangetoond dat WerkenbijhetRijk wel degelijk lek is.

Het komt er op neer dat inloggegevens kunnen worden ‘afgetapt’. Networking4all beschrijft dit als volgt:

Terwijl u inlogt op de website www.werkenbijhetrijk.nl kunnen hackers en criminelen de verbinding afluisteren en zo kunnen uw gebruikersnaam en wachtwoord zeer eenvoudig worden onderschept.

En het bedrijf laat dit ook nog eens in een voorbeeld zien:

Voorbeeld 
Dit is zeer beschamend voor het Ministerie; en WerkenbijhetRijk… Nu is het niet zo dat een onverlaat op deze manier de database van WerkenbijhetRijk kan leegzuigen.

Maar het Ministerie laat met veel bombarie weten dat alles goed beveiligd is. En vervolgens blijkt daar dus niets van te klopppen. Wat weer doet vermoeden dat het Ministerie niet bekend is met de werkelijke problematiek. En je doet afvragen hoe het met de beveiliging van allerlei andere overheidssites is gesteld waar persoonsgegevens worden opgeslagen.

De overheid kan zich niet permitteren om lichtvaardig met persoonsgegevens om te gaan. En het lijkt er toch sterk op dat dit nou juist wel gebeurt. Tijd voor een onderzoekje van onze tandeloze tijger; het CBP? Neuhh… dat is volstrekt zinloos.

Laten we maar hopen dat de PVV de goede vragen stelt in een kamerdebatje dat door deze partij is aangevraagd. Doen ze ook nog een keer iets zinnigs.

Geef een antwoord

3 Comments
  • Thomas
    says:

    Uiteindelijk is het waarschijnlijk de verantwoordelijkheid van de uitbater van de website, om in te staan voor de veiligheid ervan.

    In dit geval gaat het wel om een slordige programmeerfout, en wel een heel domme (beginnersfout). Je mag verwachten van een bureau dat een opdracht als dit aanneemt, dat ze zichzelf in staat acht een deugelijk product te leveren. En dat is dit dus niet, blijkt.

    Het zou de technisch verantwoordelijke partij sieren om de hand in eigen boezem te steken, en haar opdrachtgever (min bzk) te vrijwaren. De opdrachtgever huurt immers een gespecialiseerd bureau in om een dergelijke site te bouwen en mag er dus vanuit gaan dat dat deugdelijk gebeurt.

    Ik ben benieuwd of de technisch verantwoordelijke partij op durft te staan!

  • Marc Drees
    says:

    @Leo:
    Dat is ook wat Networking4All aangeeft. Alle andere communicatie is beveiligd, met uitzondering van de inlog pagina. Toch wel heel erg knullig als je als overheid stelt dat het allemaal safe is.

  • leo
    says:

    De uitleg van networking4all geeft aan dat alleen de login pagina zelf onveilig is. Alle overige communicatie is wel veilig. Het lijkt dus meer op een klein programmeer-foutje, maar wel met hele grote consequenties, want zelf het kleinste lekje is genoeg.