Een api-lek bij een webapplicatie van het ministerie van Financiën laat onbevoegden toe het Rijksregisternummer van iedere Belg op te zoeken met enkel een naam en een geboortenummer. Een Lierse it-consultant ontdekte het gat.
Het was een tweet van de Lierse digital consultant Koen Van den Wijngaert die de kat de bel aanbond. In de tweet laat hij zien hoe hij zonder veel problemen achter het (onleesbaar gemaakte) Rijkregisternummer van Antwerps burgemeester Bart De Wever kon komen. Oorzaak is een veiligheidslek in een api (application programming interface).
‘Ik vond de fout al meer dan een jaar geleden’, zegt Van den Wijngaert. ‘Toen ik er nog eens naar keek, dacht ik dat het lek ondertussen al lang gedicht zou zijn. Niet dus.’
Daarop heeft Van den Wijngaert het Cert verwittigd, het Federal Cyber Emergency Team. Woordvoerster Katrien EggersIk bevestigt dat hierover een melding is ontvangen. ‘Wij hebben ondertussen de ict-dienst van het ministerie van Financiën gecontacteerd en daar is begonnen met het herstellen van de fout. Het is uiteraard niet de bedoeling dat iedereen zomaar het Rijksregisternummer van burgers in handen kan krijgen.’
Applicatie
Van den Wijngaert had, toen we hem belden, nog geen reactie van het Cert ontvangen. ‘Wel van een ongeruste digital privacy officer van een andere overheidsdienst’, zegt hij. ‘Maar ik kon hem geruststellen: het ging niet over zijn dienst (lacht).’
Over welke applicatie het precies gaat, wil Van den Wijngaert niet onthullen. Bij de FOD Financiën zelf willen ze dat wél. ‘Uit nader onderzoek blijkt dat er een probleem is in één van de toepassingen van de FOD Financiën, namelijk die voor de aanleg van een UBO-register’, zegt woordvoerder Francis Adyns. Het UBO-register is een register waar alle Ultimate Beneficial Owners of ‘uiteindelijk begunstigden’ van een vennootschap of een andere juridische entiteit in geregistreerd staan.
‘Wie als gemandateerde voor een vennootschap, (internationale) vzw of stichting optreedt, kon, door het opgeven van de naam, voornaam en geboortedatum in die toepassing automatisch ook het rijksregisternummer van die persoon zien’, legt Adyns uit. ‘Er is echter geen sprake van hacking want wie op die manier het Rijksregisternummer van iemand bekomt, staat geregistreerd.’
De UBO-toepassing is niet meer toegankelijk tot het probleem is opgelost en ze staat ook los van elke andere toepassing van de FOD Financiën, benadrukt de woordvoerder. Adyns: ‘De FOD Financiën verontschuldigt zich voor dit ongemak en stelt alles in het werk om de toepassing opnieuw ter beschikking te stellen.’
