De politie heeft een aantal domeinnamen die gekoppeld zijn aan e-mailadressen laten verlopen. Derden kunnen die domeinen kopen en zo toegang krijgen tot e-mails met informatie over arrestaties en de beveiliging van evenementen. Dat heeft een ethisch hacker aangetoond in opdracht van BNR (Business Nieuws Radio).
Die ethisch hacker, Wouter Slotboom, waarschuwde de politie twee jaar geleden al voor het beveiligingsrisico en trekt nu aan de bel omdat het risico zich nog steeds voor doet. Slotboom kocht een half jaar na zijn melding een aantal verlopen politie-domeinen op. Op die mailaccounts komt nog regelmatig informatie binnen zoals arrestatiebevelen en een beveiligingsplan voor en grote kerstmarkt in Dordrecht.
De ethisch hacker vertelt aan BNR dat de politie sinds de overgang naar een nieuwe landelijke organisatie veel e-maildomeinen heeft laten verlopen. ‘Waar agenten van een politiekorps elkaar voorheen mailden op de naam van dat politiekorps, bijvoorbeeld naam@politiebrabantnoord.nl, is dat tegenwoordig naam@politie.nl. De politie heeft echter een groot aantal domeinnamen zoals politiebrabantnoord.nl laten verlopen, waardoor deze domeinnamen nu door iedereen geregistreerd kunnen worden en de e-mails naar deze domeinnamen automatisch worden doorgestuurd naar de nieuwe eigenaar.’
Ook kunnen mensen domeinnamen registeren die nooit van de politie zijn geweest, maar er veel op lijken. Bijvoorbeeld rijnmond-politie.nl in plaats van politierijnmond.nl. Daardoor kunnen kwaadwillenden zich in e-mails voordoen als agenten.
Automatische mailadressen
Slotboom legt aan BNR uit dat mails vaak per ongeluk naar een oud adres worden gestuurd, terwijl deze inmiddels in handen kan zijn van iemand buiten de politieorganisatie. ‘De verkeerde persoon mailen komt vaak genoeg voor. Iedereen die dagelijks mailt, maakt gebruik van automatische invoeging van mailadressen, waardoor je minder snel oplet naar wie je mailt. Als je gewend bent Kees te mailen op kees@politiebrabantnoord.nl, dan is dat ook de eerste suggestie die krijgt als je Kees opnieuw wilt mailen. En daar gaat het vaak fout. De politie kan dit heel simpel voorkomen, door de oude domeinnamen te behouden en door te linken naar @politie.nl. Een andere optie is een servicedienst inschakelen die waarschuwt wanneer iemand een domeinnaam van jou registreert.’ Volgens Slotboom bestaat die dienst bij domeinregistrator SIDN. Volgens Slotboom moet de politie er beter op letten dat domeinnamen niet verlopen en uitgaande mail naar oude domeinnamen geblokkeerd wordt.
3600 oude domeinnamen
De Nationale Politie laat aan BNR weten dat er inmiddels meer dan 3600 oude domeinnamen door de politie zelf zijn geregistreerd. Daar waar domeinnamen tussendoor geglipt zijn, zoals de voorbeelden die Slotboom aanhaalt, worden passende maatregelen genomen, belooft de politie. Daarnaast wijzen ze erop dat iedereen, burgers en politiemedewerkers, gebruik moeten maken van de mailadressen met de toevoeging @politie.nl,
Sorry, maar het is niet de politie die gegevens lekt, maar organisaties die berichten sturen naar de politie en daarvoor de verkeerde adressen gebruikt. Als je E-Mail verkeerd adresseert, dan komt het op de verkeerde plek aan. Als je daar gevoelige informatie in stopt (wat overigens volgens de WBP helemaal niet mag) dan komt die informatie dus in de verkeerde handen.
Oke, klopt, de politie had die domeinen langer aan kunnen houden, en autoreplies op de mailboxen kunnen zetten. Maar het is wel de verantwoording van de verzender om een bericht aan de juiste ontvanger te sturen.
Tja, de verzender mag dan fout zijn, maar zolang er adressen zijn waar de post gewoon aankomt blíjft het lastig. Vooral als dat oorspronkelijk politie-adressen zijn.
Vandaag nog even een domein aangevraagd met een overduidelijk politiekleurtje. Het domein is al bereikbaar.
Ben benieuwd of of SIDN nog wat laat horen, anders ga ik maar eens postbussen aanmaken.
@Erwin
Sorry, maar het is wel de politie, of een andere overheidsinstantie die zich met de wetshandhaving bezighoudt, die gegevens lekt! De gegevens, arrestatiebevelen en beveiligingsplannen, zijn politiegegevens.
De ethisch hacker, Wouter Slotboom, heeft geen enkele kraak gepleegd, hij heeft alleen een domein gekocht, en de gevoelige info kwam (en komt waarschijnlijk nog steeds) vanzelf zijn kant op! De afzender, politie of daaraan gelieerd, stuurt vertrouwelijke gegevens naar een ongeldig extern mailadres zonder moeite te doen om de inhoud te versleutelen.