Gilles Maes: “Iemand met slechte bedoelingen kan via het lek toegang krijgen tot alle financiële gegevens.” Dick Demey
Hacker (20) uit Diepenbeek ontdekt fout op website met fiscale gegevens van Belgen
“Beveiligingslek bij financiën al in juli gemeld, ze doen er niks aan”
DIEPENBEEKGilles Maes, een 20-jarige ethische hacker uit Diepenbeek, heeft de overheid in juli vorig jaar op een beveiligingsprobleem gewezen op de website My MinFin waar fiscale en patrimoniale gegevens verzameld staan van Belgische burgers. Tot de dag van vandaag heeft de FOD Financiën nagelaten om het mogelijk lek te dichten. “Van de pot gerukt”, zegt Eddy Willems, beveiligingsspecialist van G Data Software.
Gilles Maes is een zelf geschoolde informaticus die onder het pseudoniem XenonLegend websites van bedrijven en organisatie controleert op veiligheidslekken. Hij studeerde tot voor kort aan de PXL, maar is daarmee gestopt omdat hij liever zijn tanden in de praktijk zet. Hij probeert nu op deze opmerkelijke manier aan een job te raken. Eerder ontdekte hij al een beveiligingslek op de bekende webapplicatie Smartschool. Hij noemt zichzelf een ethische hacker. “Omdat ik de problemen normaal gezien niet openbaar maak, maar wel meld aan de eigenaars van die websites.”
Tax-on-web
In juli, toen hij nog een tiener was, deed hij dus exact hetzelfde voor de website My MinFin. Die site bevat gevoelige financiële informatie van de Belgische burgers, ondermeer Tax-on-web is er onderdeel van. Maes stelde een beveiligingsfout vast in de beveiliging van die webapplicatie die in het jargon cross-site scripting (XSS) heet. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt van de gebruiker niet juist wordt verwerkt en hierdoor terechtkomt bij de eindgebruiker. Om het simpel te houden, laat Gilles in de praktijk zien wat hij kan doen met de belangrijke inlogpagina van de website MyMinFin.be. Door de fout kan hij het webadres lichtjes aanpassen en de inhoud van de pagina wijzigen. Een nietsvermoedende bezoeker die op deze haast identieke inlogpagina van MyMinFin terechtkomt, kan flink te grazen genomen worden door een hacker met slechte bedoelingen.
Token gekaapt
En dat kan heel eenvoudig. Op de pagina heeft Gilles een boodschap gezet dat er problemen zijn door overbelasting en dat u wordt doorverwezen naar de ‘zogenaamde’ backuppagina van My MinFin. Als we doorklikken en daar onze inloggegevens ingeven is er een script dat zowel onze login, paswoord en token doorstuurt naar de pc van Gilles. “En op die manier kan iemand met slechte bedoelingen dus opnieuw inloggen met die gegevens op My MinFin en toegang krijgen tot alle financiële gegevens van die gebruikers. Enkel gerechtelijke documenten zijn niet toegankelijk omdat je dan opnieuw de eID-lezer nodig heeft. Via het beveiligingslek kan een hacker met slechte bedoelingen ook je computer infecteren met een virus om toegang te krijgen tot je gegevens of webcam.”
“Op 7 juli vorig jaar vroeg ik via het contactformulier op de website van de FOD Financiën en via een privébericht op Twitter waar ik de fout kon melden, maar tot 3 dagen geleden kwam er geen reactie en bleef de fout gewoon bestaan.” Dus besloot Gilles dit keer wel de openbaarheid op te zoeken en schreef hij op 19 februari een open brief op Facebook. Eén dag later kwam er dan toch een Facebook-reactie van de FOD Financiën met de melding: “De bescherming van persoonlijke gegevens is voor ons een uiterst belangrijke prioriteit, we volgen dit dan ook meteen op.” Gevolgd door het nummer van de servicedesk. Maar tot de dag van vandaag werd er geen actie ondernomen.
“Op één dag op te lossen”
Beveiligingsspecialist Eddy Willems vindt dat zeer opmerkelijk. “Het gaat om een simpele programmeerfout die makkelijk bloot te leggen is door hackers. Dit is eigenlijk de allereerste truc die een hacker toepast om een site te kraken. Dat zou dus echt niet mogen op een overheidssite. Dat ze al in juli verwittigd werden en nog niets hebben gedaan, is al helemaal van de pot gerukt. Zo’n fout kun je op één dag oplossen.”
&cropxunits=1927.2&cropyunits=1084.05&width=1152&format=jpg)
Ethische hacker ontdekt veiligheidslek bij MyMinFin.
FOD Financiën
Uitgenodigd in Brussel
HASSELTAls we woordvoerder Francis Adyns van de Federale Overheidsdienst Financiën bellen voor een reactie, is die eerst geïrriteerd. “We proberen deze jongen al de hele week te contacteren via e-mail, telefoon en sociale media, maar hij geeft niet thuis. Als hij echt een probleem gevonden heeft, moet hij dat aan ons melden, en niet aan de pers.” En of er ook daadwerkelijk een veiligheidslek is, kan de woordvoerder niet bevestigen.
Als we hem zeggen dat de jonge hacker hen al in juli via het contactformulier van de website en Twitter heeft gewaarschuwd, trekt de woordvoerder dat in twijfel, maar een screenshot (verstuurd op 7 juli en in ons bezit, nvdr.) bewijst dit zwart op wit).
We beloven aan de woordvoerder om met de jongen in contact te brengen, wat we ook onmiddellijk doen. ’s Avonds krijgt Gilles Maes dan uiteindelijk een telefoontje van het securityteam van Minfin met een uitnodiging om langs te komen op maandag om het probleem te bespreken. Wordt vervolgd. (malu)
