Doorgestuurd ib-groep, meldingen WOT

Schijnbaar willen de paarse broeken bij IB groep meten hoeveel mensen er inloggen met Digid maar op een nogal knullige manier Verder zou ik hier me niet al te druk om maken eigenlijk (tenzij je op de internet afdeling van IB groep werkt of bent ingehuurd om hiervoor wat werkzaamheden te doen, want dan mag je je eigenlijk best wel kapot schamen )

[ Voor 48% gewijzigd door mindcrash op 15-08-2011 18:46 ]

Heel goed dat je dit opmerkt. Zelfs als het legitiem is, is het goed om dit soort rare doorstuur acties te wantrouwen. Het gaat om je digid gegevens for christ sake. Daar kan goed misbruik van worden gemaakt.

Motrax schreef op maandag 15 augustus 2011 @ 18:47:
Heel goed dat je dit opmerkt. Zelfs als het legitiem is, is het goed om dit soort rare doorstuur acties te wantrouwen. Het gaat om je digid gegevens for christ sake. Daar kan goed misbruik van worden gemaakt.

Probleem is echter dat het helemaal niets uitmaakt. Uiteindelijk kom je op https://digid.ib-groep.nl/mijn-ibg/ terecht. De koppeling tussen IB en Digid loopt via die site, niet tussen Digid en Sitestat of andere random (statistieken)site.

Vervolgens vind het inloggen geheel aan de kant van Digid plaats; daar heeft de applicatie aan de andere kant helemaal niets mee te maken. Het is dus niet mogelijk om een username of password te harvesten van Digid tenzij je daadwerkelijk (bijvoorbeeld) Digid hacked.

Het enige wat je zou kunnen doen als hacker zijnde aan de applicatie kant is de redirect url te wijzigen die gebruikt wordt om via Digid terug te keren naar de applicatie. Maar het enige wat je op dat moment hebt is het BSN nummer van degene die zojuist is ingelogd; andere gegevens worden niet meegestuurd.

Alleen de wijze waarop je uiteindelijk op de site belandt om überhaupt de procedure te kunnen starten om in te kunnen loggen bij Digid zit IMHO wat knullig in elkaar

[ Voor 7% gewijzigd door mindcrash op 15-08-2011 18:57 ]

mindcrash schreef op maandag 15 augustus 2011 @ 18:55:
[...]


Probleem is echter dat het helemaal niets uitmaakt. Uiteindelijk kom je op https://digid.ib-groep.nl/mijn-ibg/ terecht. De koppeling tussen IB en Digid loopt via die site, niet tussen Digid en Sitestat of andere random (statistieken)site.

Vervolgens vind het inloggen geheel aan de kant van Digid plaats; daar heeft de applicatie aan de andere kant helemaal niets mee te maken. Het is dus niet mogelijk om een username of password te harvesten van Digid tenzij je daadwerkelijk (bijvoorbeeld) Digid hacked.

Het enige wat je zou kunnen doen als hacker zijnde aan de applicatie kant is de redirect url te wijzigen die gebruikt wordt om via Digid terug te keren naar de applicatie. Maar het enige wat je op dat moment hebt is het BSN nummer van degene die zojuist is ingelogd; andere gegevens worden niet meegestuurd.

Alleen de wijze waarop je uiteindelijk op de site belandt om überhaupt de procedure te kunnen starten om in te kunnen loggen bij Digid zit IMHO wat knullig in elkaar

Eh, als ik bij sitestat binnen ben kan ik gewoon laten redirecten naar https://digid.ib-groep.nu/mijn-ibg/ en daar een phishing-site opzetten zonder dat er alarmbellen gaan rinkelen.

DataGhost schreef op maandag 15 augustus 2011 @ 19:01:
[...]

Eh, als ik bij sitestat binnen ben kan ik gewoon laten redirecten naar https://digid.ib-groep.nu/mijn-ibg/ en daar een phishing-site opzetten zonder dat er alarmbellen gaan rinkelen.

Als jij gaat inloggen bij een site die lijkt op Digid, maar waarbij het domein digid.nl niet in de adresbalk staat en/of geen certificaat aanwezig is welke is verleend door DigiNotar (die vrijwel alle zaken rondom 'trust' voor e-government regelt voor de rijksoverheid) ben je niet zo heel erg handig bezig...

Alhoewel ik wel moet zeggen dat het wel wat handiger zou zijn als ze een wat uitgebreider certificaat met ownership information voor de verschillende services die draaien op het Digid platform zouden moeten gebruiken.

[ Voor 9% gewijzigd door mindcrash op 15-08-2011 19:13 ]

De overheid moet gewoon geen zaken zoals digiID via diensten van andere partijen laten lopen. Zoals DataGhost terecht opmerkt is dat enorm risicovol. Een burger moet een bepaalde mate van eigen controle hebben, naar mijn mening begint dat bij of de e-mail er legitiem uitziet en stopt dat bij het aanwezig zijn van het welbekende slotje.
Dat deze zaken via zo'n vage url lopen is gewoon uit den boze.

moppentappers schreef op maandag 15 augustus 2011 @ 19:13:
De overheid moet gewoon geen zaken zoals digiID via diensten van andere partijen laten lopen. Zoals DataGhost terecht opmerkt is dat enorm risicovol. Een burger moet een bepaalde mate van eigen controle hebben, naar mijn mening begint dat bij of de e-mail er legitiem uitziet en stopt dat bij het aanwezig zijn van het welbekende slotje.
Dat deze zaken via zo'n vage url lopen is gewoon uit den boze.

Hoezo? Je komt uiteindelijk bij Digid die alleen maar verkeer van en naar de site van IB groep accepteerd.

Geloof me, de mensen die dit hebben opgezet hebben echt goed nagedacht hoor (ook over dit soort situaties).

Wat ik al eerder heb geprobeerd uit te leggen: het verkeer rondom authorisatie loopt tussen IB en Digid. Een andere route wordt niet door Digid geaccepteerd (hier worden ook diverse checks op uitgevoerd). Het is dus onmogelijk om als derde partij hier tussen te komen tenzij je óf de applicatie kraakt óf Digid kraakt. En in dat eerste geval schiet je ook bijzonder weinig op omdat authenticatie, dus het daadwerkelijk invoeren van gebruikersnaam en wachtwoord plaatsvind op de site van Digid en nergens anders. Deze worden ook niet teruggestuurd naar de applicatie die een authorisatieverzoek naar Digid stuurt.

Het enige wat teruggestuurd wordt na succcesvolle authorisatie van de gebruiker is het BSN nummer van de persoon die zojuist via Digid heeft ingelogd. En daar kun je zonder extra gegevens (dus bijvoorbeeld zonder bevolkingsregister) bijzonder weinig mee.

Overigens zeg ik hiermee niet dat ik precies hetzelfde zou doen om te meten hoeveel mensen er inloggen via Digid, je zou dit bijvoorbeeld ook (een stuk netter) kunnen doen via een landingspagina op het domein zelf; maar dan zijn nog steeds bovenstaande punten van toepassing.

[ Voor 7% gewijzigd door mindcrash op 15-08-2011 19:26 ]

mindcrash schreef op maandag 15 augustus 2011 @ 19:09:
[...]


Als jij gaat inloggen bij een site die lijkt op Digid, maar waarbij het domein digid.nl niet in de adresbalk staat en/of geen certificaat aanwezig is welke is verleend door DigiNotar (die vrijwel alle zaken rondom 'trust' voor e-government regelt voor de rijksoverheid) ben je niet zo heel erg handig bezig...

Ja, en wie gaat dat controleren? Ik heb gewoon een SSL-certificaat van een tientje et voila, een slotje in de adresbalk

mindcrash schreef op maandag 15 augustus 2011 @ 19:22:
[...]

Geloof me, de mensen die dit hebben opgezet hebben echt goed nagedacht hoor (ook over dit soort situaties).

Mooie dooddoener, hoe weet jij dat?

Wat ik al eerder heb geprobeerd uit te leggen: het verkeer rondom authorisatie loopt tussen IB en Digid. Een andere route wordt niet door Digid geaccepteerd (hier worden ook diverse checks op uitgevoerd). Het is dus onmogelijk om als derde partij hier tussen te komen tenzij je óf de applicatie kraakt óf Digid kraakt. En in dat eerste geval schiet je ook bijzonder weinig op omdat authenticatie, dus het daadwerkelijk invoeren van gebruikersnaam en wachtwoord plaatsvind op de site van Digid en nergens anders. Deze worden ook niet teruggestuurd naar de applicatie die een authorisatieverzoek naar Digid stuurt.

Het enige wat teruggestuurd wordt na succcesvolle authorisatie van de gebruiker is het BSN nummer van de persoon die zojuist via Digid heeft ingelogd. En daar kun je zonder extra gegevens (dus bijvoorbeeld zonder bevolkingsregister) bijzonder weinig mee.

Je begrijpt me niet helemaal. Het concept van een phishingsite is dat die er hetzelfde uitziet als het origineel zodat mensen er hun gebruikersnaam en wachtwoord op invoeren. De site kan deze request dan doorsturen naar digid als zijnde gewoon een browser. In het slechtste geval heb ik het gebruikersnaam en wachtwoord van de user te pakken en "kan de user niet inloggen" (kan met zijn IP geen geldige sessie voortzetten) maar dat is ook nog af te vangen door een "wachtwoord fout, probeer opnieuw" pagina met een redirect naar de echte digid-site.

Even een alias in Beveiliging & Virussen

mindcrash schreef op maandag 15 augustus 2011 @ 19:22:
Geloof me, de mensen die dit hebben opgezet hebben echt goed nagedacht hoor (ook over dit soort situaties).

Probleem met onduidelijke tussenstappen en redirects is dat je gebruikers 'traint' rare dingen te accepteren.

Zelfde als met security popups, als je ze te vaak krijgt wordt alles met 'OK' beantwoord. Vanuit human behavior studies is dat het gevaar met dit soort non-transparante oplossingen.