Hoi allemaal,
Ik weet niet of dit 't juiste forum is, maar kon niets anders vinden over online-security / veiligheid inloggen op (overheids)websites. Ik beschouw mezelf als een leek op dit gebied, maar mij lijkt 't onderstaande in elk geval nogal fout:
Ik heb vandaag ingelogd op de site bghu.nl, de site van de nieuwe (per 2014) belastingsamenwerking van de gemeentes Utrecht en de Bilt en het hoogheemraadschap Utrecht.
Ik was volledig verrast door het feit dat ik kan inloggen met mijn BSN en een aanslagnummer. Beide nummers staan vermeld op de aanslagbiljetten van de gemeente en van het hooghevemraadschap. Als je post dus onderschept wordt of je wat slordig met je post omgaat ('t aanslagbiljet in je oud-papierbak gooit) is er zo in te loggen. Verder zal 't ook wel mogelijk zijn met wat kennis over opbouw BSN en aanslagnummers een script te maken waarmee allerlei combinaties uitgeprobeerd kunnen worden.
De site is http en geen https. Na inloggen zie ik al mijn gegevens zoals bij de beide diensten bekend, zoals adres, telefoonnummer, email adres bankrekening en de aanslagen. via de site kan je automatische incasso regelen / opzeggen, bezwaar maken etc.
Volgens mij druist dit volledig in tegen alles wat met on-line security te maken heeft. Ik snap ook niet waarom er niet met DigiD gewerkt wordt.
Wat is jullie visie hierop?
Ik weet niet of dit 't juiste forum is, maar kon niets anders vinden over online-security / veiligheid inloggen op (overheids)websites. Ik beschouw mezelf als een leek op dit gebied, maar mij lijkt 't onderstaande in elk geval nogal fout:
Ik heb vandaag ingelogd op de site bghu.nl, de site van de nieuwe (per 2014) belastingsamenwerking van de gemeentes Utrecht en de Bilt en het hoogheemraadschap Utrecht.
Ik was volledig verrast door het feit dat ik kan inloggen met mijn BSN en een aanslagnummer. Beide nummers staan vermeld op de aanslagbiljetten van de gemeente en van het hooghevemraadschap. Als je post dus onderschept wordt of je wat slordig met je post omgaat ('t aanslagbiljet in je oud-papierbak gooit) is er zo in te loggen. Verder zal 't ook wel mogelijk zijn met wat kennis over opbouw BSN en aanslagnummers een script te maken waarmee allerlei combinaties uitgeprobeerd kunnen worden.
De site is http en geen https. Na inloggen zie ik al mijn gegevens zoals bij de beide diensten bekend, zoals adres, telefoonnummer, email adres bankrekening en de aanslagen. via de site kan je automatische incasso regelen / opzeggen, bezwaar maken etc.
Volgens mij druist dit volledig in tegen alles wat met on-line security te maken heeft. Ik snap ook niet waarom er niet met DigiD gewerkt wordt.
Wat is jullie visie hierop?
Panasonic J 7kW WP, boiler & HeishaMon, 6022 Wp PV, Enphase+ST GW, SOLAX SK-SU3000E 13kWh BESS, ITHO Qualityflow WTW, Elvi Smart Charging+ laadpunt, Kia EV6 84kWh EA MY25, gasloos '23
:strip_exif()/u/267506/crop6737566d09e92_cropped.gif?f=community)
/u/291941/crop61880fced5227_cropped.png?f=community)