Hacker ontdekt veiligheidslek in Tax-on-web
Financiën reageert pas half jaar na melding
HASSELT - Een Diepenbeekse tiener heeft een mogelijk beveiligingsprobleem ontdekt met de overheidswebsite My Minfin, waarin de elektronische belastingaangifte Tax-on-web zit. Een half jaar geleden meldde hij het probleem bij de FOD Financiën. Pas gisterenavond, na tussenkomst van onze krant, kreeg hij gehoor.
Ethische hacker Gilles Maes, intussen 20, stelde een fout vast in de beveiliging van My Minfin. Die fout maakt het mogelijk dat malafide hackers de website kunnen manipuleren om gebruikers hun login, paswoord of token afhandig te maken of om een virus naar de pc van gebruikers te sturen. “Deze programmeerfout zou echt niet mogen op een overheidssite”, zegt beveiligingsspecialist Eddy Willems. Meer dan een half jaar deed de FOD Financiën niets met Maes’ melding. Pas nadat hij het probleem op Facebook en aan onze krant meldde, kwam er reactie.
DIEPENBEEK - Gilles Maes, een 20-jarige ethische hacker uit Diepenbeek, heeft de overheid in juli vorig jaar op een beveiligingsprobleem gewezen op de website My MinFin waar fiscale en patrimoniale gegevens verzameld staan van Belgische burgers. Tot de dag van vandaag heeft de FOD Financiën nagelaten om het mogelijk lek te dichten. “Van de pot gerukt”, zegt Eddy Willems, beveiligingsspecialist van G Data Software. Gilles Maes is een zelf geschoolde informaticus die onder het pseudoniem XenonLegend websites van bedrijven en organisatie controleert op veiligheidslekken. Hij studeerde tot voor kort aan de PXL, maar is daarmee gestopt omdat hij liever zijn tanden in de praktijk zet. Hij probeert nu op deze opmerkelijke manier aan een job te raken. Eerder ontdekte hij al een beveiligingslek op de bekende webapplicatie Smartschool. Hij noemt zichzelf een ethische hacker. “Omdat ik de problemen normaal gezien niet openbaar maak, maar wel meld aan de eigenaars van die websites.”
Tax-on-web
In juli, toen hij nog een tiener was, deed hij dus exact hetzelfde voor de website My MinFin. Die site bevat gevoelige financiële informatie van de Belgische burgers, ondermeer Tax-on-web is er onderdeel van. Maes stelde een beveiligingsfout vast in de beveiliging van die webapplicatie die in het jargon cross-site scripting (XSS) heet. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt van de gebruiker niet juist wordt verwerkt en hierdoor terechtkomt bij de eindgebruiker. Om het simpel te houden, laat Gilles in de praktijk zien wat hij kan doen met de belangrijke inlogpagina van de website MyMinFin.be. Door de fout kan hij het webadres lichtjes aanpassen en de inhoud van de pagina wijzigen. Een nietsvermoedende bezoeker die op deze haast identieke inlogpagina van MyMinFin terechtkomt, kan flink te grazen genomen worden door een hacker met slechte bedoelingen.
Token gekaapt
En dat kan heel eenvoudig. Op de pagina heeft Gilles een boodschap gezet dat er problemen zijn door overbelasting en dat u wordt doorverwezen naar de ‘zogenaamde’ backuppagina van My MinFin. Als we doorklikken en daar onze inloggegevens ingeven is er een script dat zowel onze login, paswoord en token doorstuurt naar de pc van Gilles. “En op die manier kan iemand met slechte bedoelingen dus opnieuw inloggen met die gegevens op My MinFin en toegang krijgen tot alle financiële gegevens van die gebruikers. Enkel gerechtelijke documenten zijn niet toegankelijk omdat je dan opnieuw de eID-lezer nodig heeft. Via het beveiligingslek kan een hacker met slechte bedoelingen ook je computer infecteren met een virus om toegang te krijgen tot je gegevens of webcam.”
“Op 7 juli vorig jaar vroeg ik via het contactformulier op de website van de FOD Financiën en via een privébericht op Twitter waar ik de fout kon melden, maar tot 3 dagen geleden kwam er geen reactie en bleef de fout gewoon bestaan.” Dus besloot Gilles dit keer wel de openbaarheid op te zoeken en schreef hij op 19 februari een open brief op Facebook. Eén dag later kwam er dan toch een Facebook-reactie van de FOD Financiën met de melding: “De bescherming van persoonlijke gegevens is voor ons een uiterst belangrijke prioriteit, we volgen dit dan ook meteen op.” Gevolgd door het nummer van de servicedesk. Maar tot de dag van vandaag werd er geen actie ondernomen.
“Op één dag op te lossen”
Beveiligingsspecialist Eddy Willems vindt dat zeer opmerkelijk. “Het gaat om een simpele programmeerfout die makkelijk bloot te leggen is door hackers. Dit is eigenlijk de allereerste truc die een hacker toepast om een site te kraken. Dat zou dus echt niet mogen op een overheidssite. Dat ze al in juli verwittigd werden en nog niets hebben gedaan, is al helemaal van de pot gerukt. Zo’n fout kun je op één dag oplossen.”