24 gemeenten, waaronder Rotterdam, Amersfoort en Apeldoorn, wijzigden het standaardwachtwoord niet van het cms dat ze gebruikten. Twaalf van die gemeenten hadden bovendien een onveilige koppeling met DigiD, meldde Tweakers eerder al.

Het Tros-programma Opgelicht doet dinsdagavond uit de doeken dat de gemeenten laks omgingen met de beveiliging, op basis van onderzoek van beveiligingsonderzoeker Erik Westhovens. "We konden gewoon inloggen op het cms met het standaard-admin-account", zeg Westhovens tegenover Tweakers. Westhovens wil de naam van het cms niet noemen, maar bronnen rond het onderzoek gaven eerder aan dat het gaat om Seneca Smartsite.n Apeldoorn, wijzigden het standaardwachtwoord niet van het cms dat ze gebruikten. Twaalf van die gemeenten hadden bovendien een onveilige koppeling met DigiD, meldde Tweakers eerder al.

Twaalf van de 24 onveilige gemeenten kampten bovendien met een onveilige DigiD-koppeling,meldde Tweakers eerder deze maand al. Daardoor waren in theorie onder meer DigiD-sessies te onderscheppen. Ook twee andere instanties, die niet bij naam worden genoemd, hadden volgens Tros Opgelicht een onveilige koppeling met DigiD.

Bij de getroffen gemeenten zou een aanvaller niet alleen toegang tot de webserver krijgen, maar ook root-rechten krijgen op het besturingssysteem. Via het cms konden aanvallers namelijk bij een bestand komen waarin het wachtwoord van de systeembeheerder van de Microsoft IIS-server was opgeslagen. "Waarom die gegevens in dat bestand stonden is een hele goede vraag", aldus Westhovens.

Het is onduidelijk hoe de DigiD-sessies zouden kunnen worden gekaapt: de gebruiker voert zijn gebruikersnaam en wachtwoord immers niet op de website van de gemeente in, maar wordt doorgestuurd naar een inlogformulier op Digid.nl. Mogelijk zouden de sessie-id's kunnen worden gestolen, of doelt het bedrijf op een scenario waarbij het DigiD-loginformulier wordt gespoofd. Logius en de ontdekker van het lek willen daar niet op ingaan.

Bron: Tweakers.net