De beheerder van DigiD en MijnOverheid, Logius, heeft van 203 burgers het MijnOverheid-account geblokkeerd en hen per brief ingelicht over phishing van hun accountgegevens. Dat gebeurde nadat vrijdag 22 juni 2018 criminelen via valse emails naar de inloggegevens van burgers hengelden en in 203 gevallen data hebben buitgemaakt. De digitaliseringsdienstverlener van de overheid kreeg in totaal 1040 meldingen binnen van verdachte emails.
Dat staat in een brief aan de Tweede Kamer, waarin staatssecretaris Knops van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de kamer inlicht over het incident.
In een samenvatting van die brief schrijft het ministerie: ‘De valse website is bij ontdekking direct uit de lucht gehaald. Wanneer burgers inlogden op deze site, werden de ingevoerde gegevens afgevangen en automatisch ingelogd bij MijnOverheid. Er bestaat de mogelijkheid dat persoonlijke gegevens zijn verzameld. De betreffende DigiD-accounts zijn daarop direct geblokkeerd.’
Logius heeft aangifte gedaan bij de politie en het datalek is gemeld bij de Autoriteit Persoonsgegevens. Betrokken instanties zoals het Nationaal Cyber Security Center en de Rijksdienst voor Identiteitsgegevens werkten nauw samen bij de aanpak van deze actie. Ook zijn UWV, Belastingdienst en SVB op de hoogte gesteld.
‘In de financiële dienstverlening zijn dergelijke geavanceerde phishing activiteiten al langer gaande. In de publieke dienstverlening is dit een nieuwe fase waartegen we ons moeten wapenen’, schrijft Knops in zijn brief aan de kamer.
Knops meldt ook dat hij laat onderzoeken welke aanvullende acties mogelijk zijn om phishing verder te bemoeilijken, de veiligheid van gegevens te garanderen en tegelijkertijd de beschikbaarheid van digitale overheidsdienstverlening te waarborgen. Hij geeft wel aan dat dergelijke aanvallen nooit voor honderd procent uit te sluiten zijn.
2-factor authenticatie via malafide scripts
In de brief deelt Knops het volgende feitenrelaas over de aanpak van de phishings-aanval:
– Na het ontdekken is het protocol voor dit soort calamiteiten in gang gezet en heeft Logius vrijdagochtend 22 juni jl. direct de volgende acties ondernomen, in nauwe samenwerking met onder meer het NCSC en RvIG (Rijksdienst voor Identiteitsgegevens):
– Op vrijdag 22 en zaterdag 23 juni zijn twee malafide websites uit de lucht gehaald en is een waarschuwing breed gecommuniceerd.
– In het weekend hebben in totaal 1040 burgers melding gedaan van het ontvangen van verdachte mails.
-Op maandag 25 juni zijn 203 getroffen accounts verwijderd, nadat was onderzocht en vastgesteld welke DigiD-accounts getroffen waren. De betreffende personen zijn hierover op de hoogte gesteld door middel van een brief. Daarnaast is aangifte gedaan bij de Nationale Politie.
– Dinsdag 26 juni aan het einde van de middag werd na vervolgonderzoek een aantal voorlopige bevindingen gedaan. Wanneer de betreffende burgers inlogden op de valse websites, werden de ingevoerde gegevens direct middels een script gebruikt om via DigiD in te loggen bij MijnOverheid. Na inloggen via een malafide script werd MijnOverheid doorzocht. In drie gevallen werd met succes 2-factor authenticatie toegepast. Aannemelijk hierbij is dat persoonsgegevens werden verzameld.
-Woensdag 27 juni aan het einde van de middag werden deze bevindingen bevestigd door het fraudeteam van Logius.
Verder zijn de volgende acties ondernomen:
– De Autoriteit Persoonsgegevens (AP) is op de hoogte gesteld van de phishing activiteit en het lekken van persoonlijke gegevens.
– Het RvIG is met het Centraal Meldpunt Identiteitsfraude- en fouten (CMI) betrokken als adviseur. Tevens ondersteunen zij in de communicatie met getroffen burgers.
– De ketenpartners UWV, Belastingdienst en SVB zijn op de hoogte gesteld.
– Er zijn verschillende activiteiten onderzocht om phishing verder te bemoeilijken. Op korte termijn wordt extra ingezet op monitoring en detectie. Voor de lange termijn worden verschillende technische maatregelen onderzocht
Ben erg benieuwd wat die 203 burgers nu moeten, nu hun digid-account door dezelfde “HunOverheid” is verwijderd.