Veel overheid sites zijn slechts beveiligd, hierdoor kunnen hackers makkelijk gegevens verzamelen van de onwetende bezoeker. Door middel van “cross site scripting” weten de hackers de sessie van andere over te nemen en onder een andere namen rechtsgeldige transactie te maken.

Op basis van onderzoek door Wouter van Dongen beveiligingsonderzoeker bij Dong It blijkt dat de websites kwetsbaar zijn door het ontbreken van bepaalde beveiligingslagen. Zo wordt er niet gewerkt met secure cookies en controleert de DigiD website niet van welk internet adres de gebruiker komt, hierdoor is het mogelijk om als er een sessie overgenomen is vanuit overal in de wereld fraude te plegen.

van Dongen laat weten ”Door simpelweg gebruik te maken van HTTP only cookies en HTTP Trace methode uit te schakelen worden de mogelijkheden van een aanvaller al flink beperkt wanneer er een XSS kwetsbaarheid doorheen glipt”, legt hij uit. “En door HTTP secure cookies worden de cookies niet over een onbeveiligde verbinding verzonden. Eenvoudig te implementeren en te controleren.”