Identiteitsfraude met DigiD (2014-01-08)

Organisatie

Overheidsorganisaties / Logius, PostNL.

Verwerking

DigiD.

Betrokkenen

"[...] ongeveer 150 inwoners van Amsterdam-Zuidoost [...]" [Volkskrant.nl, 2014-01-08]

Soort (persoons)gegevens

"[...] rekeningnummers, uitkeringen en toeslagen [...] wachtwoorden, die per post worden verstuurd." [Volkskrant.nl, 2014-01-08]

Type incident

Inbreuk op de vertrouwelijkheid en de integriteit van de verwerkte gegevens.

Beschrijving van het incident

"Criminelen hebben eind vorig jaar de digitale identiteit van ongeveer 150 inwoners van Amsterdam-Zuidoost gehackt. Door een veiligheidslek bij de DigiD konden de criminelen onder meer bankrekeningnummers wijzigen, zodat uitkeringen en toeslagen naar hen werden overgemaakt. [...] Met de DigiD communiceren burgers via de computer met de overheid en beheren zij hun rekeningnummers, uitkeringen en toeslagen. Bij DigiD-fraude verschaffen criminelen zich toegang tot deze digitale identiteiten en proberen ze in korte tijd van een zo groot mogelijke groep mensen geld weg te sluizen richting speciaal daarvoor aangevraagde rekeningnummers. Onderdeel van de fraude is het onderscheppen van wachtwoorden, die per post worden verstuurd." [Volkskrant.nl, 2014-01-08]

"Hoe de criminelen toegang tot de DigiD van hun slachtoffers wisten te krijgen wordt niet helemaal duidelijk uit het artikel [in De Volkskrant]. De Volkskrant heeft het over 'gehackt' en een spreekt van een 'veiligheidslek', maar nergens wordt vervolgens gemeld dat er ook daadwerkelijk op computersystemen van slachtoffers of DigiD zelf is ingebroken. Wel zouden de criminelen de wachtwoorden voor DigiD, die per post worden verstuurd, hebben onderschept." [Security.nl, 2014-01-08]

"De krant doet niet uit de doeken hoe de fraude precies plaatsvond, maar bij in ieder geval één slachtoffer gaat het waarschijnlijk om post die is onderschept. Door post vanuit DigiD te onderscheppen, bijvoorbeeld door de post uit de brievenbus te hengelen, kunnen aanpassingen worden doorgevoerd." [Tweakers, 2014-01-08]

"Als onderdeel van het aanvraagproces stuurt DigiD een activeringscode per post waarmee de DigiD geactiveerd wordt. Wat in Amsterdam aan de orde is, is dat fraude is gepleegd in het aanvraagproces. In de media wordt ook wel gesproken over het hengelen in brievenbussen naar post. DigiD stuurt in ieder geval nooit gebruikersnamen of wachtwoorden per post, alleen een activeringscode. De DigiD's zijn in die zin niet gekraakt." [DigiD.nl, 2014-01-08]

Respons van de organisatie

"Volgens Logius speelt de identiteitsfraude met name in de postcode 1102, rond het stadsdeelkantoor Amsterdam-Zuidoost. Onder meer de politie, de Sociale Verzekeringsbank, het UWV en de Belastingdienst hebben de zaak in onderzoek. 'Er zijn rond de feestdagen uit veiligheidsoverwegingen in één postcodegebied een groot aantal DigiD's geblokkeerd', aldus de zegsman [van Logius]. 'Wij begrijpen dat dat voor betrokkenen heel vervelend is geweest', zegt hij. 'Dat je je kerstinkopen wil pinnen en er geen geld op je rekening staat omdat je AOW of uitkering niet is gestort.' [...] Getroffen bewoners in Amsterdam-Zuidoost hebben van rechercheurs begrepen dat de fraude omvangrijker is, dat het om 'vierhonderd gedupeerden' zou gaan. Ook zouden er in andere wijken van Amsterdam en Rotterdam problemen zijn met de veiligheid van de DigiD. Logius bestrijdt dit. Volgens de dienst houden de problemen verband met de gebrekkige postbezorging in de Bijlmer. 'Er worden daar ook creditcards onderschept', aldus de zegsman.Een woordvoerder van PostNL laat in een reactie weten dat er bij haar geen problemen rond DigiD's bekend zijn. 'Onze afdeling Security kent deze zaak niet. We zijn ook niet gebeld door de politie of door andere instanties.' De fraude in Zuidoost vertoont grote overeenkomsten met de identiteitsfraude waarvoor in Groningen in november vijf mensen werden aangehouden bij een studentenflat. Het vijftal, dat in februari voor de rechter komt, maakte 'enkele tonnen' buit door DigiD's van studenten te wijzigen en geld van toeslagen en studiefinanciering weg te boeken. Meer dan 50 studenten deden afgelopen zomer aangifte. Volgens de woordvoerder van Logius zijn er geen aanwijzingen dat de dezelfde bende achter beide zaken zit." [Volkskrant.nl, 2014-01-08]

"Volgens een woordvoerder van de digitale overheidsdienst Logius is het de criminelen niet gelukt om uitkeringen door te sluizen naar andere rekeningen. Wel zijn de DigiD's en de uitkeringen tijdelijk geblokkeerd, waardoor mensen hun geld niet hebben gekregen. 'Dat is natuurlijk heel vervelend, zo vlak voor de kerst, maar het geld is niet op rekeningen van anderen terechtgekomen', aldus de woordvoerder. Voor zover Logius weet, heeft dit probleem alleen gespeeld bij 150 mensen in Amsterdam. De mensen die door de fraude in december hun AOW niet op hun rekening hebben gekregen, hebben die inmiddels wel binnen, zei een woordvoerster van de Sociale Verzekeringsbank (SVB) woensdag." [Nutech, 2014-01-08]

"De getroffen burgers zijn door Logius geïnformeerd over het blokkeren van hun DigiD. Zij kunnen een nieuwe DigiD aanvragen en altijd contact opnemen met de DigiD helpdesk voor vragen. De helpdesk DigiD werkt volgens vaste protocollen en pakt meldingen over misbruik van DigiD serieus op. Logius heeft in onderzoek of dat in dit geval ook is gebeurd. Logius doet bij misbruik van DigiD altijd aangifte bij de politie." [DigiD.nl, 2014-01-08]

"Allereerst hecht ik er aan u te melden dat de fraudepogingen in Amsterdam Zuid-Oost niet hebben geleid tot uitbetaling van toeslagen. De betrokken fraudeteams bij de Belastingdienst en Logius hebben de pogingen tot fraude in een vroegtijdig stadium onderkend. In samenwerking met de Belastingdienst is daardoor financiële schade voor het Rijk door onterechte toeslagen voorkomen. Ook door de Sociale Verzekeringsbank zijn de pogingen tot fraude in een vroeg stadium onderkend. Hier is echter wel voor zover nu bekend in zes gevallen een uitkering aan fraudeurs gedaan. Op dit moment loopt het politie onderzoek naar de daders. Bij vermoedens van fraude met DigiD wordt altijd aangifte gedaan bij de politie en dit heeft in een aantal eerdere gevallen reeds geleid tot strafrechtelijke vervolging." [Rijksoverheid.nl, 2014-01-10]

Nasleep van het incident

"Nu moet blijken of de overheid genoeg doet om mensen snel schadeloos te stellen en of de slachtoffers voldoende toegang hebben tot informatie en persoonlijk contact. Dat zei een woordvoerster van de Nationale ombudsman woensdag. De ombudsman heeft de afgelopen jaren diverse keren kritiek geleverd op overheidsdiensten die niet goed met gedupeerde burgers omgingen. Het zat hem vooral dwars dat de overheid vaak doet alsof de fout bij de burger zelf ligt. Volgens de ombudsman zou het de overheid sieren als ze, net als veel creditcardmaatschappijen doen, eerst de schade vergoeden en dan pas kijken of dat terecht was, aldus de woordvoerster." [AG, 2014-01-08]

"In de brief over het eID stelsel en DigiKaart van 19 december 20132 heb ik u gemeld dat het kabinet een eID stelsel wil realiseren, met een hoog beveiligingsniveau. Tevens is voor de kortere termijn al een pilot gestart waarin een zeer hoog niveau van beveiliging is gerealiseerd in het aanvraag en uitgifteproces met de uitgifte van DigiD. Deze pilot betreft Nederlandse niet-ingezetenen maar doel van de pilot is ook om te kijken hoe het bereik eventueel kan worden verbreed naar andere groepen. Het voorval in Amsterdam Zuid-Oost is voor mij echter aanleiding om op zeer korte termijn te onderzoeken welke verdere maatregelen genomen kunnen worden, zodat het DigiD uitgifteproces naar een hoger beveiligingsniveau gebracht wordt. Ik heb Logius opdracht gegeven het uitgifteproces van DigiD door te lichten en indien nodig zodanig aan te passen dat de kans op dergelijke incidenten in relatie tot de activeringscode verder worden beperkt. Daarbij wordt gedacht aan het aanpassen van de verzending per post van de activatiecode voor gebieden waarbij een hoog risico op fraude is vastgesteld. De DigiD aanvrager die in een dergelijk gebied woonachtig is moet naar mijn oordeel extra worden beschermd tegen de kans op fraude met post. De opdracht welke de komende dagen wordt uitgewerkt zal wellicht bewerkelijker zijn voor de gebruiker, echter een betrouwbaar uitgifteproces DigiD is van het grootste belang voor de burger zelf. Binnen een aantal weken zal ik bezien of er verdere aanpassingen nodig zijn. Hieronder hoort ook de vraag of een andere werkwijze in heel Nederland gevolgd moet gaan worden dan wel voor specifieke gebieden, of dat er toch met een balieprocedure gewerkt moet gaan worden. Bij uitbreiding naar alle gebruikers zal een forse financiële impuls nodig zijn. [...] Getroffen burgers worden ook zo veel mogelijk geholpen als fraude met DigiD bijvoorbeeld gevolgen heeft voor de uitbetaling van de AOW uitkering omdat het rekeningnummer waarop de AOW wordt uitbetaald is gewijzigd. In dit geval is door de Sociale Verzekeringsbank het onterecht gewijzigde rekeningnummer hersteld en is de uitkering direct opnieuw uitbetaald op het juiste rekeningnummer. Ik blijf in overleg met uitvoeringsorganisaties hoe in voorkomende gevallen de dienstverlening aan burgers gecontinueerd kan worden." [Rijksoverheid.nl, 2014-01-10]

Bronnen

2014-01-08

• AG: DigiD's van 150 Amsterdammers gehackt
• AG: 'Fraude DigiD kans verbetering te laten zien'
• Nutech: DigiD Amsterdammers gehackt
• DigiD.nl: DigiD's misbruikt bij fraude Amsterdam Zuid-Oost
• Volkskrant.nl: Criminelen kraken DigiD om toeslagen door te sluizen
• Security.nl: 150 Amsterdammers slachtoffer van DigiD-fraude
• Tweakers: Fraudeurs maken geld buit door onderscheppen DigiD's

2014-01-09

• NOREA: Misbruik van DigiD's

2014-01-10

• Rijksoverheid.nl: Kamerbrief over fraude met DigiD

2014-01-11

• Security.nl: Minister wil DigiD-fraude in risicogebieden aanpakken
• Tweakers: Aanvragen DigiD wordt mogelijk ingewikkelder
• WebWereld: DigiD-aanvraag wordt veiliger in 'risicogebieden'