Politie stuurt vertrouwelijke documenten naar hacker door verlopen domeinnamen

De politie heeft vertrouwelijke rapporten onbewust naar een hacker gestuurd door domeinnamen te laten verlopen. Dat meldt BNR Nieuwsradio. De ethische hacker zette de verlopen domeinnamen van de politie op zijn eigen naam. Zo krijgt hij al twee jaar onbedoeld vertrouwelijke informatie toegestuurd.

Voorheen mailden agenten elkaar op e-mailadressen met een aparte domeinnaam per korps, zoals naam@politiebrabantnoord.nl. Tegenwoordig gebruiken medewerkers een algemeen domein, waardoor het e-mailadres verandert in naam@politie.nl. De politie heeft enkele oude domeinnamen echter laten verlopen, waardoor ethisch hacker Wouter Slotboom ze op zijn naam kon zetten. Vervolgens kwamen mails van de politie niet bij een collega, maar bij Slotboom terecht.

Slotboom waarschuwde de politie twee jaar geleden al voor de kwetsbaarheid, schrijft BNR. Omdat de politie geen stappen ondernam, is hij zelf domeinnamen gaan registreren. Toch is het heel simpel om deze vatbaarheid te voorkomen. De organisatie kan oude domeinnamen behouden en de mail laten doorsturen naar het nieuwe @politie.nl-domein. Ook biedt de SIDN een domeinnaambewakingsservice aan.

Verantwoordelijkheid

De Nationale Politie zegt in een reactie tegen BNR dat er al 3600 oude domeinnamen door de politie zelf zijn geregistreerd. Toch zijn er enkele tussendoor geglipt, waardoor Slotboom ze op zijn naam kon zetten. De Nationale Politie roept medewekers en burgers op altijd het domein @politie.nl te gebruiken.

Toch is dat makkelijker gezegd dan gedaan, zegt Slotboom bij BNR. Mailsystemen maken vaak gebruik van automatische aanvulling van oude, bekende e-mailadressen. Iemand die eerder een collega onder een oud e-mailadres heeft gemaild, krijgt automatisch de suggestie om datzelfde mailadres te gebruiken in plaats van het nieuwe @politie.nl-adres.