Meest gestelde vragen over Diginotar

Aangepast op

De veiligheid van internet is in het geding. Voor minister Donner was dat zelfs aanleiding voor een nachtelijke persconferentie. Het is een ingewikkelde zaak en er zijn nog veel zaken onduidelijk. Hier de antwoorden op de vragen die verslaggever Jeroen Wollaars via Twitter binnenkreeg en andere belangrijke vragen.

Wat is het probleem nu precies?

Er is ingebroken bij een bedrijf dat de 'bewijzen van echtheid' van belangrijke websites uitgeeft, de zogenoemde PKI-certificaten. Telkens als je een (belangrijke) site zoals DigiD bezoekt, controleert de browser automatisch of de site 'echt' is. Dit is sinds de inbraak niet zeker meer.

Is het mogelijk dat je DigiD-wachtwoord nu al in handen is van anderen? (@janwillemjanse/@WendyAntalle)

Het is niet gegarandeerd dat dit niet zo is. Over de kans dat dit wel zo is, wordt door experts verschillend gedacht. De informatie die met hulp van DigiD verzonden is, zou in theorie ergens anders terechtgekomen kunnen zijn en (in theorie) zelfs opgeslagen kunnen zijn. Minister Donner heeft in een persconferentie gezegd dat er inderdaad gegevens zoals wachtwoorden zouden kunnen zijn achterhaald, maar ook dat in nog geen enkel geval is gebleken dat dit ook echt is gebeurd of dat er ook echt misbruik van is gemaakt.

Welke risico's heb ik nou daadwerkelijk gelopen door al die tijd gewoon Belastingdienst.nl en zo te gebruiken? (@tomklaver)

Tot nu toe is alles nog theorie. Er zijn geen bewijzen voor misbruik. In de zogenoemde logfiles van DigiD zijn geen sporen van ongewenst verkeer gevonden. Het kan ook zijn dat die logfiles door derden zijn bewerkt. Ook dat is in theorie mogelijk.

Moet ik mijn wachtwoord van DigiD veranderen? (@EtienneHsum)

Minister Donner heeft daarover verder niets gezegd. Om online je wachtwoord te veranderen moet je met je oude wachtwoord inloggen. Het is verstandiger de komende dagen DigiD helemaal niet te gebruiken.

En wat als ik de afgelopen dagen via internet gebankierd heb?

"Wij werken niet met veiligheidscertificaten van Diginotar", meldt de Vereniging van Banken aan de NOS. Kortom, internetbankieren was en is volgens de banken gewoon veilig.

Wat kan ik doen om de privacy van m'n gegevens te waarborgen of kan ik alleen maar lijdzaam toezien en geen overheidswebsite bezoeken? (@janhielke)

Voorlopig even geen gebruik maken van sites die met de certificaten van het bedrijf Diginotar beveiligd zijn, is het beste advies. Dat zijn dus de overheidssites als DigiD en belastingdienst.nl. Er wordt op dit moment hard gewerkt aan een lijst met sites die (tijdelijk) niet veilig zijn.

Ik kan nog gewoon inloggen. Als ik die waarschuwing wegklik, is het dan veilig?

Als je na een waarschuwing in beeld tóch besluit contact te maken met sites, dan zou het kunnen zijn dat er iemand over je schouder meekijkt. De informatie die je verstuurt, kan ergens anders terechtkomen. Het kan zelfs zo zijn dat je op een nep-website terecht komt. Als je in de afgelopen dagen de slecht beveiligde sites bezocht hebt, kan het zijn dat de verstuurde informatie ergens anders terecht is gekomen.

Hoe wordt dit nu opgelost?

De overheid heeft de regie bij Diginotar overgenomen. De websites van de overheid worden zo snel mogelijk met andere certificaten beveiligd. Het lijkt erop dat sommige certificaten nu al vervangen zijn, maar het proces kan nog dagen duren. De overheidssites moeten in de lucht blijven omdat anders ook de communicatie tussen overheidsinstanties volledig lamgelegd zou worden.

Wat hebben die Iraniërs nou precies gedaan bij de hack? Het rootcertificate van Diginotar te pakken gekregen? (@ruudgreven)

Op 19 juli is er ingebroken op het netwerk van Diginotar. Waarschijnlijk is de sleutel (root key) van buitenaf te benaderen geweest. De experts die de NOS gesproken heeft, vinden dit op z'n minst opmerkelijk. Waarschijnlijk heeft de hack (inbraak) vanuit Iran plaats gevonden.

Heeft er al iemand schade geleden?

De Iraanse overheid heeft door de gehackte certificaten kunnen meekijken met het internetten van 300.000 Iraniërs.