Man-in-the-middle-attack op website Mitz-toestemming of slordigheid?   

Bij mijn zoektocht naar actuele informatie over de Online ToestemmingsVoorziening Mitz stuitte ik vandaag op een verrassing. Mitz is een voorziening waarin de Vereniging van zorgaanbieders Voor Zorgcommunicatie(VZVZ) niet alleen poogt om de toestemmingen voor het opvraagbaar maken van zorgdata op te slaan, maar ook van alle Nederlanders wil vastleggen bij welke zorgverleners zorgdata staan. Mijn poging om vanmiddag, 3 april 2025, de website www.mitz-toestemming.nl te bezoeken mislukte. Ik kreeg bij herhaling de melding “Privacyfout. Je verbinding is niet privé, Aanvallers proberen misschien je gegevens van www.mitz-toestemming.nl te stelen(bijvoorbeeld wachtwoorden, berichten of creditcard gegevens).” Ook zag ik in de regel boven in het scherm van Google Chrome staan dat de verbinding niet beveiligd was en dat “https” doorgestreept was en in rood weergegeven werd. Zoekend op het internet las ik dat deze waarschuwing meerdere oorzaken kon hebben, variërend van een onjuiste configuratie van de website tot een hackers-aanval.

Mitz-toestemming website

Deze website is vooral bedoeld om voorlichting te geven aan zorgverleners en zorgICT-leveranciers over de aansluiting op Mitz. Het bevat ook een mogelijkheid om contact te zoeken met de organisatie met naam, mailadres en telefoonnummer, dus via de site verzamelt VZVZ ook gegevens van zorgverleners. Ook promotiemateriaal valt er te downloaden.

Man-In-The-Middle aanval?

De cryptische melding die in beeld kwam luidde: “Net::ERR_CERT_COMMON_NAME_ INVALID”

Daaronder stond in Chrome de volgende tekst:

“www.mitz-toestemming.nl gebruikt gewoonlijk versleuteling om je informatie te beschermen. Toen Chrome deze keer probeerde verbinding te maken met www.mitz-toestemming.nl, stuurde de website ongewone en onjuiste inloggegevens terug. Dit kan gebeuren als een aanvaller probeert zich als www.mitz-toestemming.nl voor te doen of als een wifi-inlogscherm de verbinding heeft verbroken. Je informatie is nog steeds beveiligd omdat Chrome de verbinding heeft beëindigd voordat gegevens konden worden uitgewisseld. Je kunt www.mitz-toestemming.nl momenteel niet bezoeken, omdat de website HSTS gebruikt. Netwerkfouten en aanvallen zijn doorgaans tijdelijk, dus deze pagina werkt later waarschijnlijk correct.”

Het soort aanval dat men hier bedoelt betreft een zogenaamde Man-In-The Middle-hackaanval. Daarbij geeft de aanvaller in het geheim de communicatie tussen twee partijen door en verandert die mogelijk, terwijl de aanvaller zich in werkelijkheid tussen de twee gebruikerspartijen heeft geplaatst.

Andere mogelijkheden

Er bestaan ook andere mogelijkheden voor de tijdelijke onbereikbaarheid van de website. Het niet goed configureren van het beveiligingscertificaat voor de website kan de oorzaak zijn, naast fouten in de netwerkconfiguratie. Als dat speelt is dat wel bepaald slordig.

De betekenis van de melding “Net::ERR_CERT_COMMON_NAME_ INVALID” is dat het suggereert dat er een mismatch bestaat  tussen het SSL-beveiligingscertificaat van de betreffende website en het domein dat je bezoekt. Dat kan liggen aan een onjuiste configuratie van de website of van een niet correct uitgegeven beveiligingscertificaat. Daarnaast bestaat ook de mogelijkheid van een Man-In-The Middle hackpoging.

Duur

Nadat ik de melding zag probeerde ik de verbinding met de website tot stand te brengen met achtereenvolgens de browsers Chrome, Safari en Brave. Ik weet niet hoe lang dit probleem al duurde toen ik het opmerkte, maar na krap een half uur kwam de verbinding met de website weer tot stand. Het komt op mij nogal slordig over als er sprake was van een niet goed geïnstalleerd certificaat. Maar gezien het soort melding kan een Man-In-The-Middle aanval niet uitgesloten worden.

Van de afdeling PR van VZVZ is niet te verwachten dat men tekst en uitleg zal gaan geven over deze verstoring van de bereikbaarheid van hun website.

W.J. Jongejan, 4 april 2025

Afbeelding door W.J. Jongejan, schermafdruk