Onlangs werd DigiD offline gehaald vanwege een probleem in het onderliggende ontwikkelplatform. Zelf werd ik niet verrast door dit lek in het Ruby on Rails-framework. Hoewel open source frameworks in mijn optiek net zo betrouwbaar zijn als ‘betaalde’ frameworks, worden hier gewoon ontwikkelfouten gemaakt. Dat de overheid gebruik maakt van open source fameworks en dan specifiek voor DigiD, kan je ter discussie stellen. Hier wil ik echter niet nader op in gaan. Wel wil ik de focus leggen op de gevaren die hierbij ontstaan.
De problemen die bij DigiD hebben waarschijnlijk betrekking op het lek dat 2 januari 2013 gevonden is. Ruby on Rails heeft de mogelijkheid om zogeheten ‘magic functions’ te gebruiken, zodat je eenvoudig kan zoeken naar specifieke data in de database. Dit kan ontwikkelwerk vereenvoudigen en de code duidelijker maken.
Toch is het zo dat op deze manier op een zeer laag niveau van de applicatie veranderingen plaats kunnen vinden. Concreet komt dit neer op het aanpassen en ophalen van gegevens uit de database. Het gevaar voor de eindgebruiker is dan simpelweg dat zijn gegevens op straat komen te liggen. De hacker zal nog best wat moeite moeten doen om encryptie van wachtwoorden en dergelijke te ontrafelen, maar de basale gebruikersinformatie is beschikbaar en aanpasbaar.
Partners die gebruikmaken van DigiD-integratie, zoals Werk.nl, hebben hier ook direct last van. Hun dienst is afhankelijk van de inlogprocedure en check bij DigiD. Het is voor mij een blackbox in hoeverre er data tussen de systemen van Werk.nl, Belastingdienst en anderen richting DigiD er eventueel ook beschikbaar zijn.
Aangezien het een hele basale fout in het framework is, hebben veel partijen hier last van. Vooral als deze partijen de applicatie aan het boze internet beschikbaar stellen. Ik adviseer dan ook iedereen om de Ruby on Rails-installatie zo snel mogelijk te patchen met de security update.
Winfred Peereboom
Projectmanager & teamlead development
De Persgroep
