Een inlogportal die zes Nederlandse gemeenten gebruikten om burgers toegang te geven tot gemeentelijke belastingdocumenten, bleek vatbaar voor sql-injectie. Via de kwetsbaarheid waren onder andere BSN's te raadplegen. Het lek is inmiddels gedicht.

Een Tweaker wilde zijn aanslagen voor de gemeentelijke belasting vast inzien, en merkte daarbij op dat hij bij de portal waar de gemeentesite van Oldambt naar verwees, kon inloggen met alleen zijn burgerservicenummer en geboortedatum. Een burgerservicenummer wordt algemeen niet als betrouwbare inlog beschouwd omdat dit nummer niet vertrouwelijk genoeg is...

...Een medetweaker constateerde naar aanleiding van de posting naast deze slordigheid een nog kwalijker euvel: de portal bleek ook kwetsbaar voor sql-injectie. Via deze kwetsbaarheid was het mogelijk bij de database achter de portal te komen en zo de betreffende documenten te benaderen. Ook bleek het mogelijk om een tabel met burgerservicenummers te raadplegen.

Het lek zat dus niet in gemeentesites zelf, maar in een externe site waar gemeenten naar verwijzen op hun pagina voor inwoners die hun documenten in willen zien. 

De tweaker lichtte Data B Mailservice in over de kwetsbaarheid, het bedrijf dat verantwoordelijk is voor het portaal. Dat bedrijf is gespecialiseerd in fysieke en digitale documentstromen. "Na contact met de ontwikkelaar hebben zij adequaat gehandeld, het lek binnen enkele uren gedicht en de portalen uitgeschakeld".

Alles bij de bron; Tweakers