Digid preventief verwijderd door Logius

En de brief is legitiem? Nummer waardoor je gebeld bent is te vinden op de site van digid?
088 1236555

edit: het is mij niet helemaal duidelijk of je gebeld bent, of dat je gebeld hebt.

[ Voor 30% gewijzigd door job op 23-04-2021 13:24 ]

Pas op; de gebeld door nummers worden tegenwoordig ook gefaked.

Met wie heb je gebeld? Dit klinkt mij in de oren als totale onzin.

MikeyMan schreef op vrijdag 23 april 2021 @ 13:24:
Pas op; de gebeld door nummers worden tegenwoordig ook gefaked.

Zit wat in.

Daarom altijd zelf bellen, met een nummer dat je zelf gevonden hebt op de website (en niet in de google zoekresultaten).


edit: hier wat digid zelf over phising zegt: https://www.digid.nl/voorkom-misbruik/phishing/

[ Voor 13% gewijzigd door job op 23-04-2021 13:31 ]

swhnld schreef op vrijdag 23 april 2021 @ 13:47:
Nee, ik heb ze zelf gebeld naar aanleiding van de brief die we ontvangen hebben.

Ben net teruggebeld, en ze konden geen mededeling doen wat voor malware er sprake van was, de afdeling fraude was nog met het onderzoek bezig. Er waren meer mensen geraakt.

Op mijn vraag hoe dat kon met de app zeiden ze, ja maar er wordt ook elders ingelogt en niet altijd via de app, dus... ik weet het niet. Berichtgeving maar in de gaten houden wat er in het nieuws komt denk ik.

Meer mensen "geraakt" door wat precies? We hebben het over overheid, dus de kans dat het "geraakt door een falend ICT systeem" is, is groter dan dat er ineens een aantal mensen door "malware geraakt" worden. Helemaal nu we het dan blijkbaar over malware hebben die door de grote AV vendors niet gedetecteerd wordt, maar wel door een ICT systeem van de overheid..... en die zijn vaak niet best.

Vooralsnog ben jij vooral "geraakt" door een verwijderde DigID en is er nog niets concreets wat wijst op malware. Alleen een "we kunnen verder geen mededelingen doen, maar we delen u mede dat u waarschijnlijk toch geraakt bent door malware". Top dat je natuurlijk wel zelf direct actie hebt ondernomen en preventief bent gaan scannen.

[ Voor 14% gewijzigd door Verwijderd op 23-04-2021 13:58 ]

Verwijderd schreef op vrijdag 23 april 2021 @ 13:54:
[...]Helemaal nu we het dan blijkbaar over malware hebben die door de grote AV vendors niet gedetecteerd wordt, maar wel door een ICT systeem van de overheid

DigiD heeft geen malware geconstateerd maar al dan niet geslaagde inlogpogingen die vermoedelijk niet afkomstig zijn van TS.

Heb je het nummer dat je belt van de betreffende brief of van de website?

is je telefoonnummer misschien gekaapt. digid werkt met 2fa via de telefoon een numerieke code noodzakelijk voor inloggen van de meeste organisaties

Wat ik me zou kunnen bedenken is een verschil in IP tussen de PC waarop de belastingaangifte is gedaan en de ondertekening middels de app op de telefoon. Waren de telefoons verbonden met jullie Wi-Fi of met mobiel netwerk?
Indien via het mobiele netwerk, dan heb je een log-in op DigID vanaf 2 verschillende IPs in vrij korte tijd. Wellicht dat dat het systeem heeft getriggerd.

swhnld schreef op vrijdag 23 april 2021 @ 13:19:
Gisteren kregen wij 2 brieven, zowel mijn echtgenote als ikzelf kregen te horen dat onze Digid's preventief verwijderd waren en of we een nieuwe wilden aanvragen. Er was een vermoeden dat derden toegang hadden gekregen tot onze Digid door Malware.

Vandaag gebeld, en de melding was, we denken dat er malware op jullie computer zit, dus adviseren eerst hulp in te schakelen om dat te verwijderen, maar welke malware wisten ze niet. Wel wisten ze te vertellen dat er meer klanten bericht hadden gehad. Ik heb wel het verzoek gedaan of ze dat nog door wilden geven, en er is een serviceverzoek ingeschoten, maar wanneer ik dan antwoord kon verwachten wisten ze niet.
Ik heb preventief alle PC's in huis met 3 verschillende virusscanners gecontroleerd, inclusief offline scan, maar daar is niets uit gekomen.

Het gekke is, we gebruiken beide de app voor inloggen en hadden maandag de belastingaangifte gezamelijk gedaan op de PC, en op dinsdag is de brief opgesteld. Beide hebben we via de app getekend, de een op een iPhone, de ander via Android. Dus hoe dan onze Digid gelekt kan zijn is mij een raadsel.

Heeft iemand anders een idee, of ditzelfde meegemaakt? Ik vraag me af hoe iemand er tussen zou kunnen komen met Digid app op een apparaat en gebruik om in te loggen op het andere apparaat. En ook het idee dat ik mogelijk malware kan hebben welke ik niet kan vinden irriteerd mij mateloos.

Ik heb echt exact dezelfde brief gehad. Heb al mijn PC’s meerdere keren gescand op malware, en heb niets kunnen vinden.

Net als jij heb ik ook de DigiD app op mijn mobiel, en heb ik die maandag gebruikt om in te loggen op een site van de gemeente.

Nu ik jouw verhaal zo lees, krijg ik het vermoeden dat het te maken heeft de mobiele app. Ik heb een iPhone waar de app op staat.

hier idem dito verhaal na 2 dagen inlogpogingen(naar VGZ)mislukt(1 week geleden laatste inlog geweest) . hier ook gebeld met het nummer op de website digid zelf.. na uitleg van mijn verhaal, zei mevrouw dat ik terug gebeld zou worden door technische dienst die mij verder kon helpen.

gister daadwerkelijk terug gebeld en kreeg als excuus dat de politie een onderzoek had uitgevoerd en tot conclusie dat er bij meerdere accounten een malware was aangetroffen. ik vroeg hierop hoe het kan dat er een derden kon inloggen als er een dubbele verificatie nodig is (naam+wachtwoord+sms-code) en dat kon hij mij niet vertellen, alleen dat door veiligheidsregels de digid verwijdert was.
ik vroeg nog of hij kon zien waar enof wanneer de laatste poging was gedaan maar dat kon niet, dat moest ik doen als ik me nieuwe digid had aangevraagd.

toen ik begon te vragen of er geen malware aanval of datalek gaande was bij digid zelf werdt meneer geïrriteerd en zei dat dat niet mogelijk was en dat dit uit onderzoek was gebleken..

nou heb ik uit me zelf mijn directe kennissen hiervan op de hoogte gesteld uit voorzorg en krijg ik vandaag van meerdere mensen in mijn omgeving dat hun de zelfde brief hebben gehad (mensen verspreid uit meerdere provincies).

ook hier pc en telefoons gescand en niks gevonden,,, ik begin gewoon sterk het idee te krijgen dat ze zelf een malware aanval hebben gehad maar hun fouten niet durven toe te geven en het af te schuiven op de ''account eigenaren'' toch maar nieuwe digid aangevraagd en weer vertrouwen verloren in de overheid

Ik stel mij voor dat op zich bij Logius niks is fout gegaan, maar dat men daar detecteert dat er met jullie DigiD gebruikersnaam relatief veel mislukte inlogpogingen zijn. Bijv. mislukt doordat de 2FA mislukt. Dus schade is er niet.

Nu kan Logius denken "niks aan de hand, gewoon verder slapen". Maar ze kunnen ook denken "ai, arme burgers, laten we ze waarschuwen dat ze even wat dingen controleren. Misschien is hun pc besmet, gebruiken ze dezelfde gebruikersnaam op andere plaatsen, gebruiken ze hetzelfde wachtwoord op andere plaatsen, etc."

Maar net zo goed is het gewoon het gevolg van een of andere hickup in netwerk of software, en vals alarm.

Ik ben wel benieuwd, dus aan de brief-ontvangers, laat hier even weten of je er nog wat over hoort..

swhnld schreef op zaterdag 24 april 2021 @ 08:25:
[...]


Enige wat ik terug gehoord heb is dat de afdeling fraude de zaak onderzoekt en er geen mededelingen gedaan worden.

Wat ik teruglees hier bij de andere meldingen zo ver gebruikt iedereen de 2 factor met de app en heeft in de afgelopen week een keer ingelogd.

Wat mij vooral stoort is dat ze de oorzaak bij malware leggen, maar niet aangeven welke. Als er namelijk pogingen gedaan worden misbruik te maken van een DigiD, dan verwacht ik eerder de tekst, we zien inlogpogingen met uw DigiD welke ons frauduleus overkomen en hebben preventief geblokkeerd. Nu gaan ze heel specifiek in op malware die op mijn PC zou staan. Maar ik kan niets vinden. En ik ben nota bene systeembeheerder van beroep, wat moet een gewone burger niet denken en kosten maken om dit op te lossen, als er niets gevonden wordt? En ik sluit malware niet uit, zowel mijn vrouw als ik hebben dezelfde PC's gebruikt in huis. Maar als geen virusscanner de malware detecteert, weet ik niet meer wat te doen of te vertrouwen.

Tja, ze merken logins van verschillende IP adressen.

En dan sturen ze een e-mail over malware, zodat jij je PC gaat scannen

Als ze sturen: "inlog vanaf verschillende IP's", ga jij je PC niet scannen

--

Het zou wat zijn als DigiD exact wist wat jij allemaal op jou PC hebt staan.

Ik vermoed eerder dat ze bij digid een nieuw controle systeem hebben aangezet dat als het ip waarmee je met de website inlogt anders is dan het ip waarmee je de 2fa op de mobiel uitvoert dat die dan iets triggert. Of misschien dat een van de ip adressen is gedetecteerd als vpn ip adres.

Ze zijn namelijk wel heel vaag in het geven van informatie.

DutchKel schreef op zaterdag 24 april 2021 @ 08:57:
...
Ze zijn namelijk wel heel vaag in het geven van informatie.

Dat is niet helemaal onbegrijpelijk. Als ze precies zouden vertellen hoe het werkt, maken ze het voor fraudeurs en/of malware verspreiders gemakkelijker om het te omzeilen.

Besides kun je van zo'n helpdesk ook niet verwachten dat er technisch hooggeschoolde mensen zitten; daar betalen die call-centers te weinig voor

Misschien toeval, maar 20 april kregen wij bericht van de politie (via ncsc) dat gegevens van een aantal van onze medewerkers en relaties op een in beslag genomen command & control server waren aangetroffen.

swhnld schreef op zaterdag 24 april 2021 @ 10:22:
[...]
Dat zijn aannames.

"Wij vermoeden dat er malware op uw PC staat"

Is ook een aanname, zeker als zij geen toegang hebben tot je PC.

Killjoy schreef op zaterdag 24 april 2021 @ 10:05:
Misschien toeval, maar 20 april kregen wij bericht van de politie (via ncsc) dat gegevens van een aantal van onze medewerkers en relaties op een in beslag genomen command & control server waren aangetroffen.

Ging dat over Emotet?

nieuws: Nederlandse politiedienst helpt malware-as-a-service-botnet Emotet of...

In het artikel staat een link naar een checker, waarmee je kunt checken of je mailadres voorkomt in de Emotet-database. Misschien handig voor TS.

Het is natuurlijk toevallig dat TS net belastingaangifte had gedaan, maar het is niet waarschijnlijk dat dat er wat mee te maken heeft - omdat je niet eens inlogt op de PC en het zou allemaal wel héél snel gaan. Zo'n botnet is een veel betere uitleg voor de suggestie van malware. En als ze @Killjoy's bedrijf op de hoogte stellen, dan nemen ze Logius ook zeker mee.

Even je mailadres in die checker gooien, nagaan wanneer jullie je DigiD-wachtwoord voor het laatst hebben gewijzigd en wanneer de PCs waarop dat wachtwoord gebruikt is voor het laatst zijn geïnstalleerd.

Thralas schreef op zaterdag 24 april 2021 @ 11:58:
[...]


Ging dat over Emotet?

nieuws: Nederlandse politiedienst helpt malware-as-a-service-botnet Emotet of...

In het artikel staat een link naar een checker, waarmee je kunt checken of je mailadres voorkomt in de Emotet-database. Misschien handig voor TS.

Het is natuurlijk toevallig dat TS net belastingaangifte had gedaan, maar het is niet waarschijnlijk dat dat er wat mee te maken heeft - omdat je niet eens inlogt op de PC en het zou allemaal wel héél snel gaan. Zo'n botnet is een veel betere uitleg voor de suggestie van malware. En als ze @Killjoy's bedrijf op de hoogte stellen, dan nemen ze Logius ook zeker mee.

Even je mailadres in die checker gooien, nagaan wanneer jullie je DigiD-wachtwoord voor het laatst hebben gewijzigd en wanneer de PCs waarop dat wachtwoord gebruikt is voor het laatst zijn geïnstalleerd.

Dat vermoeden hebben we ook. Maar daarover worden geen verdere mededelingen gedaan. Onderzoek loopt nog. We krijgen mogelijk nog meer namen door. Lastig is wel, dat we alleen organisatie gerelateerde informatie doorkrijgen. We kunnen onze medewerkers en relaties dus dus niet vertellen of er ook privé gegevens zijn gelekt. Maar dat is zeer waarschijnlijk.

Wij krijgen deze informatie overigens omdat we een rijksoverheidsorganisatie zijn. En omdat uit de C2 serverlogs blijkt dat deze medewerkers en relaties een van onze websites hebben bezocht.

swhnld schreef op zaterdag 24 april 2021 @ 13:43:
Met @Dail1601 en @patrick343 mijn echtgenote en ik zijn dat er al 4 die deze brief gekregen hebben.

@Thralas , ik heb Emotet gecontroleerd maar zat daar gelukkig niet in. Zat wel in Allekabels en Dutchdo, maar gebruik gelukkig overal andere unieke gegenereerde wachtwoorden, en mijn echtgenote winkelt daar niet 😉

Voor nu vermoed ik eerder iets centraal bij DigiD fout gegaan.

Heel toevallig, heb ik laatst meerdere keren dingen bij Allekabels besteld. Ik ben ook nu pas op de hoogte van het datalek van Dutchdo.

Grote kans dat mijn gegevens via Dutchdo buit zijn gemaakt, en dat ik daarom deze brief heb ontvangen.

Ik ben blij dat ik nu enigsinds een idee heb waar het vandaan kan komen. Uit de brief, en van de helpdesk van DigiD werd ik ook niet veel wijzer. Het zorgde er bij mij eigenlijk alleen maar voor dat ik meer vraagtekens had.

DutchKel schreef op zaterdag 24 april 2021 @ 08:57:
Ik vermoed eerder dat ze bij digid een nieuw controle systeem hebben aangezet dat als het ip waarmee je met de website inlogt anders is dan het ip waarmee je de 2fa op de mobiel uitvoert dat die dan iets triggert. Of misschien dat een van de ip adressen is gedetecteerd als vpn ip adres.

Ze zijn namelijk wel heel vaag in het geven van informatie.

Het is een weinig intelligent systeem als ze de check zo doen. Telefoon op 4G of een VPN ertussen. Meer is niet nodig om de IP adressen anders te laten zijn.

Dail1601 schreef op zondag 25 april 2021 @ 03:05:
[...]


Heel toevallig, heb ik laatst meerdere keren dingen bij Allekabels besteld. Ik ben ook nu pas op de hoogte van het datalek van Dutchdo.

Grote kans dat mijn gegevens via Dutchdo buit zijn gemaakt, en dat ik daarom deze brief heb ontvangen.

Ik ben blij dat ik nu enigsinds een idee heb waar het vandaan kan komen. Uit de brief, en van de helpdesk van DigiD werd ik ook niet veel wijzer. Het zorgde er bij mij eigenlijk alleen maar voor dat ik meer vraagtekens had.

Ik vind dit nogal een gedachtensprong... jij koppelt een hack van een database van bedrijf X aan 'malware' op jouw PC, waardoor partij Y vervolgens je toegang tot een (compleet ongerelateerd) systeem uitschakeld.

Nou vind ik het verhaal van Logius niet heel duidelijk (en geen van de posters die er tegenaan gelopen is ondertussen heeft het kunnen verduidelijken), maar deze link kan ik helemaal niet volgen...

Ben ik niet paranoide genoeg, of is dit topic gewoon niet duidelijk?

swhnld schreef op zondag 25 april 2021 @ 11:05:
Ondertussen nieuwe DigiD ontvangen en ingelogd op https://mijn.digid.nl/
Advies in de brief vn DigiD was je geschiedenis te controleren.
Dus daar de hele geschiedenis (12 pagina's in mijn geval) doorgebladerd, maar niets geks gezien in het log. Alle logins waren wat ik verwacht had te vinden.

Dat vermoeden was er al omdat niemand hier iets gevonden had maar nu na jouw post best wel duidelijk is; de fout ligt zeer waarschijnlijk bij Logius en niet bij de consument?

Jester-NL schreef op zondag 25 april 2021 @ 10:18:
[...]

Ik vind dit nogal een gedachtensprong... jij koppelt een hack van een database van bedrijf X aan 'malware' op jouw PC, waardoor partij Y vervolgens je toegang tot een (compleet ongerelateerd) systeem uitschakeld.

Nou vind ik het verhaal van Logius niet heel duidelijk (en geen van de posters die er tegenaan gelopen is ondertussen heeft het kunnen verduidelijken), maar deze link kan ik helemaal niet volgen...

Ben ik niet paranoide genoeg, of is dit topic gewoon niet duidelijk?

Ik koppel de hack van de database van Dutchdo juist niet aan de malware. Misschien heb ik het niet goed verwoord hoor, maar ik vind het verhaal van Logius over ‘Malware’ op mijn PC of telefoon echt totaal niet aannemelijk.

De reden dat ik het niet aannemelijk vind, is omdat ik samen met meerdere posters op dit forum allerlei checks heb gedaan en niets hebben kunnen vinden. Daarnaast vind ik het dan opvallend dat meerdere posters wel te linken zijn aan het datalek van Dutchdo.

Noem me paranoide hoor, maar ik vind het aannemelijker dat bij het datalek van Dutchdo gegevens zijn buitgemaakt. En als die gegevens door andere mensen gebruikt worden, kan dit toch iets binnen logius hebben getriggerd, of zie ik dit verkeerd?

Natuurlijk ben ik geen professional, en zeker weet ik het nooit. Maar het verhaal zoals het nu gepresenteerd wordt vind ik maar vaag.

Waar kunnen wij klacht indienen? De overheid mag toch niet zomaar op iedereen zijn computer kijken? Lijkt me wel op China. Ik wil tenminste uitleg wie het onderzoek heeft gedaan en wat precies is onderzocht en gevonden. En hoe kan ik vorkomen, dat mijn nieuw aangevraagd DigID zometeen weer word verwijdert?

De brief was op 22.04. binnen. Op 23.4. DigID helpdesk gebeld voor uitleg. Al vreemd dat er überhaupt geen wachtrij was. En toch werd ik pas dagen later "voor de veiligheid" van een anoniem nummer teruggebeld en het verhaal was meer dan zwak. De vermeende DigID-helpdeskmedewerker beweerde dat het om een zeer grootschalig politieonderzoek gaat en dat ook bankgegevens en dergelijken zouden kunnen worden aangetast. Leuk. Wordt mijn bankrekening ook om veiligheidsredenen geblokkeerd? In ieder geval kunnen ze niets doen en ook Logius niet.

Ik denk dat het datalek bij de GGD i.v.m. Coronatests en vaccinaties hier een rol speelt. In de betreffende periode had ik via DigID een testafspraak gemaakt. Geen malware bij de gebruiker dus, gewoon een laffe houding bij de overheid, à la "wij zijn het niet gewest".

@jzimmermann De overheid kijkt niet op onze pc, elke keer dat je een website bezoekt zien ze je IP en je surfgedrag. Als je dan 1000x iets opvraagt per seconde is dat geen normaal surfgedrag. Als een groep mensen dat doet dan heeft hun server het zwaar met het afhandelen van alle verzoeken en kan hij crashen/offline gaan.

Heb jij een ander voorstel over het stoppen van zo een aanval? Een brief sturen naar iedereen die inlogt en zulk gedrag vertoont wat een tijdrovend en geldverslindend iets is? Of een paginagroot popup wat iedereen toch wegklikt? Het ligt voor de hand dat de account inaktief word gemaakt toch? Dat het hier gaat om een fout aan hun kant ipv die van de consument is zuur en anders was het een goede oplossing geweest.

[ Voor 3% gewijzigd door Anoniem: 1441478 op 29-04-2021 10:08 ]

Dus een DDos aanval is gestopt met hert verwijderen van een DigID? Er is trouwens een brief verstuurd.

[ Voor 24% gewijzigd door jzimmermann op 29-04-2021 10:52 ]

Heb je Altijd inloggen met de DigiD app of sms-controle aan staan?
Heb je toevallig je gebruikersnaam+wachtwoord combinatie, of in ieder geval je gebruikersnaam hetzelfde als op een andere site?

Het zou mij niet verbazen als er een database met gelekte gegevens wordt gebruikt om te proberen in te loggen via DigiD. En dit lukt dan niet door een verkeerd wachtwoord of door het feit dat 2FA altijd nodig is.

jzimmermann schreef op donderdag 29 april 2021 @ 10:47:
Dus een DDos aanval is gestopt met hert verwijderen van een DigID? Er is trouwens een brief verstuurd.

Oke, maar die brief zien mensen veel te laat. Ik weet niet wat er precies gebeurd is, een DDos aanval, of een waarschuwing dat er iets niet in haak is bij een bepaalde login (maal meerdere accounts). Of een stagair drukte net dat knopje in waarop stond "niet indrukken!!". Ik weet het niet. In ieder geval hebben ze IMHO correct gehandeld door accounts te deactiveren.

swhnld schreef op donderdag 29 april 2021 @ 12:16:
[...]

Ik denk dat het goed is bij twijfel schade te voorkomen. Mijn punt was alleen dat ze de oorzaak bij de gebruiker leggen dat die malware zou hebben. En geen van de getroffen mensen hier op Tweakers heeft daar bewijs van kunnen vinden. Dus als ze gelijk hebben zijn we besmelt en kunnen het niet opgelost krijgen, of de voorlichting is fout.

"het is een gebruikersfout" is natuurlijk wel zo'n beetje de eerste reflex, als er iets mis gegaan is.

celshof schreef op donderdag 29 april 2021 @ 12:50:
"het is een gebruikersfout" is natuurlijk wel zo'n beetje de eerste reflex, als er iets mis gegaan is.

Gelukkig is iedereen bij Logius ook een gebruiker/persoon...