Cybersecurity

Politie is slordig met het afdekken van oude websites

Via verlopen e-mailadressen van de politie lekte geheime informatie uit.Beeld ANP

De politie gaat bijzonder slordig met oude websites om. Daardoor is allerlei interne informatie op straat komen te liggen, toonde beveiligingsexpert Wouter Slotboom vanochtend via BNR aan. Veel was daar niet voor nodig.

Zo hoefde Slotboom alleen maar oude domeinnamen die vroeger door de verschillende korpsen gebruikt werden te registreren. Dat was mogelijk omdat de politie de domeinnamen liet verlopen. De e-mails die vervolgens naar die overgenomen webadressen werden gestuurd, kwamen zo in handen van Slotboom.

Zo kreeg hij bijvoorbeeld een e-mail met het beveiligingsplan van de kerstmarkt in Dordrecht doorgestuurd. En een arrestatieverzoek met privégegevens van een verdachte.

Volgens de beveiligingsexpert kan dit bij veel meer organisaties fout gaan. "Het is niet uitzonderlijk dat bedrijven die ermee ophouden of failliet gaan, hun domeinnaam laten verlopen. Maar het maakt wel verschil of het de nagelstudio op de hoek is bij wie dat gebeurt, of de politie."

Domeinnamen

Het is voor iedereen eenvoudig om te zien welke domeinnamen beschikbaar zijn of binnenkort beschikbaar komen. Er zijn websites die dat exact bijhouden. Slotboom maakte ook domeinnamen aan die nooit van de politie zijn geweest, maar daar wel op lijken.

Dat hij ook gevoelige informatie in handen kreeg, komt doordat interne e-mails naar de verkeerde adressen werden verstuurd. In plaats van dat iemand naar naam@politie.nl mailde, gebeurde dat bijvoorbeeld naar naam@politierijnmond.nl - een domein in handen van Slotboom.

De beveiligingsexpert kijkt daar niet van op. Voor de oprichting Nationale Politie hadden de verschillende korpsen hun eigen domeinnaam. Het oude e-mailadres eindigde bijvoorbeeld op @politieflevoland.nl. Sinds de nationale politie is dat allemaal overgegaan op @politie.nl - maar een fout is snel gemaakt.

Laconieke reactie

Volgens verantwoordelijk minister Ard van der Steur is het moeilijk om alle domeinnamen op internet die ooit door de politie zijn gebruikt af te dekken. De politie heeft wel een poging daartoe gedaan na eerdere problemen in 2015, aldus de minister. Er zijn 3500 domeinnamen opnieuw door de politie geregistreerd.

In 2015 was het eveneens Slotboom die de politie wees op het gevaar van slordig omgang met oude domeinnamen. Hij kreeg toen van verschillende mensen die online aangifte deden de DigiD-gegevens in handen, omdat hij een kopie van de politiewebsite had gemaakt op de oude domeinnamen.

Ook toen werd er volgens Slotboom door de politie enigszins laconiek op zijn bevindingen gereageerd. "De officiële reactie was dat ze er wat aan gingen doen, maar nu blijkt opnieuw dat dat niet voldoende was."

En dat terwijl er volgens Slotboom een eenvoudige oplossing is. De politie hoeft heus niet, zoals Van der Steur suggereert, alle mogelijke domeinnamen te registreren. Er is een bewakingssysteem beschikbaar dat signaleert dat er een domeinnaam wordt aangemaakt die verdacht veel lijkt op een al bestaande naam. De Rijksoverheid maakt daar al gebruik van.

Als iemand bijvoorbeeld een domeinnaam aanmaakt met rijks erin, wordt er een seintje gegeven. "Als de politie dat zou gebruiken, zouden ze hebben gezien dat ik domeinnamen als politierijnmond.nl aan het aanmaken was, terwijl ik absoluut geen logisch doel heb om dat te doen."

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden