CWE™ Verslag:

CVSS - Base Score - 9.3 (Critical)
Vector String - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N


Datum: Juni 2023

Tijdens mijn interactie met de website (rijksoverheid.nl) om me aan te melden voor een COVID-19 vaccinatie, identificeerde ik een potentieel beveiligingsprobleem in verband met de leeftijdsverificatie en het aanmeldingsproces. Hieronder volgt een overzicht van mijn bevindingen:

• Inleidende Observatie: In de vroege fase van mijn bezoek aan de website viel het me op dat er geen mechanisme was om op de hoogte gesteld te worden van het moment waarop aanmelding mogelijk zou zijn. Dit bracht verschillende vermoedens met zich mee, zoals mogelijke serverbelasting, kostenoverwegingen voor server-hosting, kostenoverwegingen om security systemen te implementeren en privacybescherming. Daardoor werd mijn interesse gewekt of er gebruik wordt gemaakt van API's en hoe zij communiceren tussen de website en DigiD.


• Aanmeldingsproces en Leeftijdsverificatie: Gedurende mijn onderzoek richtte ik me op de werkwijze van de leeftijdsverificatie voor de vaccinatieaanmelding. Ik kwam erachter dat de standaard website enkel controleerde of de opgegeven leeftijd overeenkwam met de leeftijd die op dat moment in aanmerking kwam voor aanmelding, zonder aanvullende parameters te vereisen.


• DigiD Account Inloggen: Om verder te onderzoeken, maakte ik gebruik van mijn DigiD-account. Dit leidde tot de ontdekking dat er geen dubbele leeftijdscontrole plaatsvond. De aanmeldingsprocedure kon zonder verdere leeftijdsverificatie worden voltooid.


• Bevindingen: Men kon de leeftijdsverificatie eenvoudig doorlopen door de leeftijd in te vullen die op dat moment recht had op de aanmelding.