Portal van zes gemeenten bood via lek toegang tot burgerservicenummers

Portal van zes gemeenten bood via lek toegang tot burgerservicenummers

Een inlogportal die zes Nederlandse gemeenten gebruikten om burgers toegang te geven tot gemeentelijke belastingdocumenten, bleek vatbaar voor sql-injectie. Via de kwetsbaarheid waren onder andere burgerservicenummers te raadplegen. Het lek is gedicht.

Tweaker ImNotnoa wilde zijn aanslagen voor de gemeentelijke belasting vast inzien, en merkte daarbij op dat hij bij de portal waar de gemeentesite van Oldambt naar verwees, kon inloggen met alleen zijn burgerservicenummer en geboortedatum. Een burgerservicenummer wordt algemeen niet als betrouwbare inlog beschouwd omdat dit nummer niet vertrouwelijk genoeg is.

Zo waren btw-nummers van zelfstandigen lang te herleiden naar hun bsn’s, al is dat bij nieuwe btw-nummers sinds vorig jaar niet meer het geval. Ook moeten burgers nog al eens scans afgeven van hun identiteitsbewijs, waar het bsn op staat. Wie het bsn en de geboortedatum van een persoon heeft, kon via de portal van de gemeente onder andere aanslagen voor de gemeentebelasting, woz-taxatieverslagen en andere persoonlijke documenten van die persoon inzien, constateerde de user.

Lees hier verder. © Tweakers.net

Peter Hickendorff

Reacties zijn gesloten.