Oude politie-websites blijken riskant

domeinnamen | Doordat de politie oude websites laat rondslingeren, belandt vertrouwelijke informatie in verkeerde handen.

De politie gaat slordig met oude websites om, waardoor interne informatie op straat is komen te liggen. Beveiligingsexpert Wouter Slotboom heeft dat aangetoond en veel was daar niet voor nodig.


Zo hoefde hij alleen maar domeinnamen die vroeger door verschillende korpsen werden gebruikt te registreren. De politie had de domeinnamen laten verlopen. De e-mails die vervolgens naar die overgenomen webadressen werden gestuurd, kwamen zo in handen van Slotboom. Zo kreeg hij een e-mail met het beveiligingsplan van de kerstmarkt in Dordrecht doorgestuurd, bracht hij gisteren via BNR Nieuwsradio naar buiten.


Volgens Slotboom gaat dit bij meer organisaties mis. "Het is niet uitzonderlijk dat bedrijven die ermee ophouden of failliet gaan, hun domeinnaam laten verlopen. Maar het maakt wel verschil of het de nagelstudio op de hoek is, of de politie."


Het is voor iedereen eenvoudig om een domeinnaam te registreren. Ook zijn er websites waarop exact te zien is welke domeinnamen beschikbaar zijn of binnenkort beschikbaar komen. Slotboom maakte ook domeinnamen aan die nooit van de politie zijn geweest, maar daar wel op lijken. Zoals politierijnmond.nl.


Hij kreeg ook interne informatie in handen, doordat e-mails naar de verkeerde adressen werden verstuurd. Korpsen hadden voor de oprichting van de Nationale Politie eigen domeinnamen. Zo eindigde een oud e-mailadres op @politie-flevoland.nl. Sinds de Nationale Politie is dat overgegaan op @politie.nl. Volgens Slotboom is een mail versturen naar het verkeerde adres snel gebeurd.


De politie heeft geprobeerd oude domeinnamen te blokkeren door opnieuw te registreren. Dat gebeurde tot nu toe bij meer dan 3500 namen. Maar volgens verantwoordelijk minister Ard van der Steur is het moeilijk om alle domeinnamen op internet die ooit door de politie zijn gebruikt af te dekken.


Slotboom toonde eerder al aan waarom dat toch van belang is. In 2015 nam hij ook al oude politiedomeinnamen over. Hij maakte toen een kopie van de originele website en kreeg op die manier de DigiD-gegevens in handen van mensen die dachten online aangifte te doen bij de politie.


Ook toen werd er volgens Slotboom door de politie laconiek op zijn bevindingen gereageerd. En dat terwijl er volgens hem een eenvoudige oplossing is. Er is een bewakingssysteem beschikbaar dat signaleert dat er een domeinnaam wordt aangemaakt die verdacht veel lijkt op een al bestaande naam. De rijksoverheid maakt daar al gebruik van. Als iemand bijvoorbeeld een domeinnaam aanmaakt met 'rijks' erin, wordt er een seintje gegeven. Volgens een woordvoerder gebruikt de politie dat signaleringssysteem, maar is er een domeinnaam doorheen geglipt. "Dat is heel vervelend."

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden