DIVD Waarschuwt: Kritieke Kwetsbaarheid in VS Aanbestedingsplatform Onbeveiligd
Nederland, dinsdag, 15 april 2025.
Het hackerscollectief DIVD heeft een nooit eerder vertoonde waarschuwing uitgegeven over een drie jaar oude, niet-opgeloste kwetsbaarheid in een Amerikaans platform. Gebruikers wordt sterk aangeraden veiligheidsmaatregelen te treffen.
Grote Bezorgdheid en Ongehoorde Waarschuwing
In een ongekende stap heeft het Dutch Institute for Vulnerability Disclosure (DIVD) een officiƫle productwaarschuwing afgegeven voor SicommNet Basec, een platform dat Amerikaanse overheidsinstellingen gebruiken voor aanbestedingen. Deze software wordt geteisterd door ernstige beveiligingslekken, waaronder een SQL-injectie en het onveilig opslaan van wachtwoorden [1][2]. Ondanks jarenlang aandringen heeft de leverancier nog geen pasbare oplossing geboden [1]. De impact van deze kwetsbaarheden kan niet worden onderschat, met een potentieel om de volledige beveiligingsmaatregelen te omzeilen [2].
Tijdlijn van de Waarschuwing
DIVD nam in december 2021 al contact op met SicommNet, maar kreeg geen gehoor. Ondanks verschillende pogingen via e-mail, LinkedIn en voicemail bleef een respons uit [1][2]. Zelfs de steun inroepen van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) bracht geen verandering. DIVD voelde zich genoodzaakt om naar buiten te treden met een waarschuwing [1], een sterke indicator dat de gebruikelijke responsible-disclosure-procedures ontoereikend bleken [2].
Implicaties Voor Gebruikers
Gebruikers in de publieke sector in de VS worden dringend aangeraden om te stoppen met het gebruik van de software en hun gegevens als gecompromitteerd te beschouwen [2]. De mogelijkheid dat deze kwetsbaarheden al zijn uitgebuit kan niet worden uitgesloten. Frank Breedijk van DIVD heeft verklaard dat het verbazingwekkend zou zijn als er nog geen misbruik is gemaakt van de lekken, gezien hun aanwezigheid sinds 2021 [1]. Het is nu aan de gebruikers om voorzorgsmaatregelen te treffen totdat er een definitieve oplossing wordt gevonden [2].