Veiligheidsprobleem in federale overheidsdienst geeft toegang tot Tax-On-Web

06/06/16 om 08:00 - Bijgewerkt om 09:04

Bron: Datanews

Let op wanneer je je aanmeldt bij Mypension.be op een gedeelde of openbare computer. Data News kon vaststellen dat gebruikers ook na het afmelden toegang hebben tot verschillende diensten, waaronder Tax-On-Web.

Veiligheidsprobleem in federale overheidsdienst geeft toegang tot Tax-On-Web

Mypension.be © PVL

Het probleem werd aan onze redactie gemeld door een lezer maar kon nadien ook gereproduceerd worden. Bij het gebruik van Mypension.be werkt de afmeld-knop niet. Je krijgt als gebruiker wel een bevestiging. Maar wie daarna naar andere overheidsdiensten surft zoals Student At Work, Mysocialsecurity.be, Myminfin.be of Tax-On-Web, is daar weer ingelogd zonder enige controle.

Onze redactie contacteerde de Federale Pensioendienst in verband met het probleem en daar zijn ze intussen op de hoogte. "Een technische oplossing ten gronde is in voorbereiding en zal na technische validatie worden uitgerold. Veiligheid is voor onze gebruikers van het grootste belang." Die oplossing wordt in de loop van deze week uitgerold.

Als tijdelijke oplossing suggereert de Pensioendienst om de browser (dus niet enkel het tabblad) te sluiten. Maar de kans dat iemand anders dan de betrokken persoon toegang krijgt tot deze sessie is relatief klein volgens de dienst.

Risico beperkt

Het risico is er vooral voor wie op een openbare pc of een gedeeld toestel met overheidstoepassingen werkt. Zo zou een collega bijvoorbeeld je belastingaangifte kunnen inkijken.

Marc Vael, securityspecialist (ISACA Belgium) bekijkt het afmeldprobleem langs twee kanten. "Het is uiteraard niet logisch dat je na het afmelden niet echt bent afgemeld. Maar echte hacking van buitenaf is hierdoor niet mogelijk. Er is enkel een intern risico als je de browser niet volledig afsluit." Maar hij vindt de situatie wel een interessant gegeven.

"Zo'n voorval toont aan dat overheidsdiensten complex zijn en je dus in de breedte en diepte grondig moet testen, ook het uitloggen van zo'n sessie." Hij is ook blij dat het lek wordt gemeld. "Je kan nooit alles volledig aftoetsen, dus je mag blij zijn als iemand zo'n dingen ontdekt."

Onze partners