Website van Staatsveiligheid was 24 uur onbeveiligd omdat cruciaal certificaat niet tijdig was vernieuwd
Van gisterenmiddag tot kort geleden was de website van de Belgische Staatsveiligheid "onveilig" voor bezoekers. Dat was het gevolg van eenĀ cruciaal beveiligingscertificaat dat niet werd vernieuwd. De website kon daardoor het doelwit worden van cyberaanvallen om gegevens van bezoekers te stelen.
De website van de Belgische Staatsveiligheid was sinds gisterenmiddag een tijdlang niet beveiligd voor haar bezoekers. Dat betekende dat bezoekersĀ niet zeker konden zijnĀ of ze daadwerkelijk de website van de Veiligheid van de Staat bezochten. Bovendien kon de website van Staatsveiligheid hierdoorĀ ook makkelijker het doelwit worden van cyberaanvallen. Informatie die bezoekers op de website zoudenĀ intypen,Ā zou in dat geval ook door cybercriminelen kunnen worden geraadpleegd.
Veiligheidscertificaat vervallen
Hoe kwam dat? De website van de Staatsveiligheid gebruikt HTTPS, dat is een beveiligingssysteem voor websites. Zo kunnen op de website gegevens veilig blijven, en kunnen derden jouw gegevens niet onderscheppen. Dergelijk systeem zorgt dus voor een beveiligde verbinding.Ā Het garandeert tegelijk bezoekers dat ze de website kunnen vertrouwen.
De beveiliging hangt af van een digitaal certificaat datĀ de identiteit van de eigenaar van de website bewijst.Ā Precies datĀ certificaat wasĀ sinds gisterenmiddag vervallen en niet langer actief. Dat zorgde voor de pijnlijke situatie dat alle internetbrowsers de website van de Belgische Staatsveiligheid als āonveiligā aanmerkten.Ā
Wie de website van de Staatsveiligheid probeerde te bezoeken, kreeg een waarschuwing te zien. Internetbrowser Chrome toonde een melding dat de verbinding āniet privĆ©ā was. Tegelijk verscheen ook deze tekst: āCybercriminelen proberen mogelijk je gegevens van www.vsse.be te stelen (bijvoorbeeld wachtwoorden, berichten of creditcardgegevens).ā Chrome waarschuwde verder: āDeze server kan niet bewijzen dat dit www.vsse.be is. Het bijbehorende beveiligingscertificaat is in de afgelopen 24 uur verlopen.ā Ook andere internetbrowsers gaven gelijkaardige waarschuwingen.
Het gebeurt wel vaker dat organisaties, inclusief overheidsorganisaties, vergeten om hun beveiligingssysteem te updaten. In het verleden overkwam het ook de websites van grote technologiebedrijven als LinkedIn en de site van de Britse conservatieve partij.Ā
"Miscommunicatie bij kanselarij premier"
Een woordvoerder bij de Veiligheid van de Staat liet weten dat ze op de hoogte waren van het probleem. Aan de oorzaak lag een fout gelopen communicatie met de Kanselarij van de Eerste Minister. Die overheidsdienst is verantwoordelijk voor deĀ website en ook bevoegd voor het hernieuwen van het vervallen certificaat. Bij raadpleging bleken de eigenschappen van het beveiligingscertificaat inderdaad "Chancellerie du Premier Ministre" te vermelden als "organiserende eenheid".
De kanselarij heeft nu beloofd het probleem zo snel mogelijk op te lossen en zal de website offline halen.
De Veiligheid van de Staat bezorgde deze ochtend deze reactie aan VRT NWS: "Sinds weken heeft de Veiligheid van de Staat (VSSE) herhaaldelijk gevraagd om de nodige actie te ondernemen voor de vernieuwing van het beveiligingscertificaat van de website. De ICT-dienst van de kanselarij maakt melding van een intern communicatieprobleem waardoor onze vraag niet tijdig behandeld kon worden.Ā We zijn ons ten zeerste bewust van het potentiĆ«le veiligheidsprobleem. De kanselarij heeft nu beloofd het probleem zo snel mogelijk op te lossen en zal de website offline halen."
Kort nadien, na enkele telefoontjes van VRT NWS, werd het certificaat vernieuwd en was de verbinding opnieuw beveiligd.