Gevoelige politie-informatie uitgelekt door verlopen mailadressen
Gevoelige politie-informatie is op straat komen te liggen, omdat de politie oude domeinnamen heeft laten verlopen. Mails die naar de aan die domeinnamen gelinkte e-mailadressen werden gestuurd, kwamen zo terecht bij de nieuwe eigenaars van die domeinnamen.
Een ethisch hacker deed dit en overlegde de informatie die hij kreeg aan BNR. Hij kreeg zo onder meer arrestatiebevelen en het beveiligingsplan van de kerstmarkt in Dordrecht in handen.
Vervangen websites
Het probleem ontstond twee jaar geleden doordat alle politiewebsites verdwenen en opgingen in Politie.nl. Alle mailadressen van agenten veranderden ook, maar onder meer door automatisch aanvullen van veelgebruikte adressen gaat dit bij veel mensen mis. De oude domeinnamen behouden en de mails doorsturen naar het juiste mailadres of een servicedienst inschakelen die je waarschuwt dat een van jouw oude domeinnamen door iemand anders wordt geregistreerd zijn mogelijk oplossingen die het lekken van informatie had kunnen voorkomen.
Domeinnaam registeren als waarschuwing
Hacker Slotboom had de politie twee jaar geleden hier al voor gewaarschuwd. Toen hij een halfjaar later ontdekte dat er niets met zijn waarschuwing was gedaan, besloot hij zelf enkele domeinnamen te registreren. Dat deed hij 'om aan te tonen dat er wel degelijk gevoelige informatie via de mail op binnenkomt''. 'Ik hoop dat m'n punt nu wel duidelijk is.'
Reactie Tweede Kamer
CDA-Kamerlid Madeleine van Toorenburg noemt het zorgelijk dat de informatie naar buiten is gekomen. 'Dit had voorkomen moeten worden door de afdelingen die gaan over de technische ondersteuning van de politie, en door de leiding van de politie zelf.' Haar PvdA-collega Ahmed Marcouch vindt het schokkend. 'Nu is het in handen van BNR terecht gekomen maar het kan natuurlijk ook in verkeerde handen terecht komen. Ik vind dat de minister hier duidelijkheid over moet verschaffen en ik zal hem ook om opheldering vragen.'
Passende maatregelen
De Nationale Politie stelt dat er inmiddels meer dan 3600 oude domeinnamen door de politie zelf zijn geregistreerd. Passende maatregelen moeten misbruik van 'er tussendoor geglipte' domeinnamen voorkomen. De politie wijst er bovendien op dat iedereen mailadressen moet gebruiken die eindigen in @politie.nl.
Reactie Van der Steur
Minister Ard van der Steur (Veiligheid en Justitie) denkt dat het moeilijk wordt om alle domeinnamen op internet die ooit door de politie zijn gebruikt af te dekken. Dat zei hij vrijdag in reactie op het nieuws dat politiegeheimen op straat zijn komen te liggen omdat de politie de registratie van oude websites had laten verlopen.
Bron: ANP