Nederlandse politie lekt gevoelige informatie via verlopen domeinnamen

De Nederlandse politie blijkt gevoelige informatie te hebben verstuurd naar verlopen domeinnamen. De data is hierdoor in handen gevallen van een ethische hacker, die de verlopen domeinnamen heeft geregistreerd. Onder andere beveiligingsplannen en rapporten van Veilig Thuis zijn uitgelekt.

Dit meldt de ethische hacker Wouter Slotboom aan BNR. Waar agenten elkaar voorheen mailde op naam@politiekorps.nl, is dit e-mailadres tegenwoordig gewijzigd in naam@politie.nl. Een fors aantal domeinnamen zoals politiebrabantnoord.nl is door de politie laten verlopen, meldt BNR. Door deze domeinnamen te registreren kon Slotboom e-mails gericht aan politiekorpsen ontvangen en inzien. Daarnaast wijst BNR op de mogelijkheid domeinnamen te registreren die sterk lijken op legitieme domeinnamen van politiekorpsen. Denk hierbij aan rijnmond-politie.nl in plaats van politierijnmond.nl. Indien een agent zich vergist bij het invoeren van het e-mailadres van de ontvanger kan de e-mail onbedoeld terecht komen bij onbevoegden.

Oude domeinnamen doorlinken naar @politie.nl

Slotboom: “Iedereen die dagelijks mailt, maakt gebruik van automatische invoeging van mailadressen, waardoor je minder snel oplet naar wie je mailt. Als je gewend bent Kees te mailen op kees@politiebrabantnoord.nl, dan is dat ook de eerste suggestie die krijgt als je Kees opnieuw wilt mailen. En daar gaat het vaak fout. De politie kan dit heel simpel voorkomen, door de oude domeinnamen te behouden en door te linken naar @politie.nl. Een andere optie is een servicedienst inschakelen die jou waarschuwt wanneer iemand een domeinnaam van jou registreert.”

De ethische hacker stelt de Nationale Politie twee jaar geleden al gewaarschuwd te hebben voor dit risico. Met deze waarschuwing is volgens Slotboom echter niets gedaan, wat voor de ethische hacker reden was de verlopen domeinnamen zelf te registreren. Slotboom: “Ik heb een probleem aangekaart en vervolgens een oplossing op een presenteerblad aangediend. Toen ik na een half jaar erachter kwam dat zij hier niets mee hebben gedaan, heb ik zelf maar weer enkele domeinnamen geregistreerd om aan te tonen dat er wel degelijk gevoelig informatie via de mail op binnenkomt. Ik hoop dat m’n punt nu wel duidelijk is.” Via de geregistreerde domeinnamen kreeg Slotboom onder andere het beveiligingsplan voor de kerstmarkt in Dordrecht toegestuurd. Daarnaast kreeg hij ook meerdere arrestatiebevelen toegestuurd.

Zorgelijk en schokkend

In een reactie op de berichtgeving noemt CDA-Kamerlid Madeleine van Toorenburg het zorgelijk dat interne communicatie van de politie op deze wijze uitlekt. Van Toorenburg stelt dat betrokken agenten echter niets kan worden verweten: “Dit had voorkomen moeten worden door de afdelingen die gaan over de technische ondersteuning van de politie, en door de leiding van de politie zelf. Nu zullen ze er heel rap voor moeten zorgen dat dit niet meer kan gebeuren.” PvdA-Kamerlid Ahmed Marcouch noemt het incident schokkend: “Nu is het in handen van BNR terecht gekomen maar het kan natuurlijk ook in verkeerde handen terecht komen. Ik vind dat de minister hier duidelijkheid over moet verschaffen en ik zal hem ook om opheldering vragen. Feit is dat dit zo snel mogelijk moet stoppen.”

De Nationale Politie laat weten wel degelijk verouderde domeinnamen te registreren. In totaal zouden zo’n 3.600 verouderde domeinnamen door de politie zelf zijn geregistreerd. In sommige gevallen zijn er echter domeinnamen tussendoor geglipt, zoals in de voorbeelden die BNR aanhaalt. Voor deze domeinnamen zullen passende maatregelen worden genomen, stelt de Nationale Politie.