Gedicht lek in de site van de Dienst Uitvoering Onderwijs stelde hackers in staat DigiD-gegevens stelen of geld afhandig maken van studenten en mensen met een studieschuld.
RTL Nieuws ontdekte het lek na een tip van een hacker. Die kon webpagina’s aan de site toevoegen door een code in te tikken in het zoekvenster van de website. Dit wordt een Cross Site Scripting-hack (XSS) genoemd, die volgens kenners overigens eenvoudig te voorkomen is.
De hacker kon op die manier een inlogpagina van zijn eigen iDeal-account toevoegen en spam versturen naar DUO-klanten met een link naar de valse betaalpagina. Op het eerste gezicht lijkt er niets mis met deze pagina: die lijkt op het origineel, mede omdat het webadres lijkt te kloppen.
DUO heeft het gat inmiddels gedicht door de zoekfunctie uit te schakelen, zegt een voorlichter. ‘Wij waren heel verbaasd toen we hiervan hoorden. We laten namelijk altijd een hack-test doen wanneer er een nieuwe site online gaat.’ Of kwaadwillenden gebruik hebben gemaakt van het lek weet DUO nog niet.