Politiegeheimen liggen op straat
Gevoelige politie-informatie ligt op straat omdat de politie oude domeinnamen laat verlopen. Dat blijkt uit onderzoek van ethisch hacker Wouter Slotboom in samenwerking met BNR. Door oude domeinnamen op te kopen kreeg Slotboom rapporten van Veilig Thuis en beveiligingsplannen in handen.
De politie is twee jaar geleden al voor dit veiligheidsrisico gewaarschuwd. Waar agenten van een politiekorps elkaar voorheen mailden op naam@politiekorps.nl, bijvoorbeeld naam@politiebrabantnoord.nl, is dat tegenwoordig naam@politie.nl. De politie heeft echter een groot aantal domeinnamen zoals politiebrabantnoord.nl laten verlopen, waardoor deze domeinnamen nu door iedereen geregistreerd kunnen worden en de e-mails naar deze domeinnamen automatisch worden doorgestuurd naar de nieuwe eigenaar. Ook kunnen mensen domeinnamen registeren die nooit van de politie zijn geweest maar er wel heel erg op lijken. Bijvoorbeeld rijnmond-politie.nl in plaats van politierijnmond.nl.
De verkeerde persoon mailen komt vaak genoeg voor, vertelt Slotboom. 'Iedereen die dagelijks mailt, maakt gebruik van automatische invoeging van mailadressen, waardoor je minder snel oplet naar wie je mailt. Als je gewend bent Kees te mailen op kees@politiebrabantnoord.nl, dan is dat ook de eerste suggestie die krijgt als je Kees opnieuw wilt mailen. En daar gaat het vaak fout. De politie kan dit heel simpel voorkomen, door de oude domeinnamen te behouden en door te linken naar @politie.nl. Een andere optie is een servicedienst inschakelen die jou waarschuwt wanneer iemand een domeinnaam van jou registreert.'
Waarschuwingen genegeerd
De Nationale Politie is twee jaar geleden al gewaarschuwd door Slotboom. Omdat de politie hier niks mee heeft gedaan, is ethisch hacker Slotboom vervolgens zelf maar domeinnamen gaan vastleggen. Slotboom: 'Ik heb een probleem aangekaart en vervolgens een oplossing op een presenteerblad aangediend. Toen ik na een half jaar erachter kwam dat zij hier niets mee hebben gedaan, heb ik zelf maar weer enkele domeinnamen geregistreerd om aan te tonen dat er wel degelijk gevoelig informatie via de mail op binnenkomt. Ik hoop dat m’n punt nu wel duidelijk is.'
Zorgelijk
CDA-Kamerlid Madeleine van Toorenburg noemt het heel erg zorgelijk dat onderlinge communicatie van de politie op deze manier naar buiten komt. Volgens haar kun je de agenten zelf niet zoveel verwijten. 'Dit had voorkomen moeten worden door de afdelingen die gaan over de technische ondersteuning van de politie, en door de leiding van de politie zelf. Nu zullen ze er heel rap voor moeten zorgen dat dit niet meer kan gebeuren.'
Ahmed Marcouch, PvdA-Kamerlid, noemt het in een eerste reactie schokkend. 'Nu is het in handen van BNR terecht gekomen maar het kan natuurlijk ook in verkeerde handen terecht komen. Ik vind dat de minister hier duidelijkheid over moet verschaffen en ik zal hem ook om opheldering vragen. Feit is dat dit zo snel mogelijk moet stoppen.'
Reactie politie
De Nationale Politie laat BNR in een reactie weten dat er inmiddels meer dan 3600 oude domeinnamen door de politie zelf zijn geregistreerd. Daar waar domeinnamen tussendoor geglipt zijn, zoals de voorbeelden die BNR aanhaalt, zullen passende maatregelen worden genomen. Daarnaast wijzen ze erop dat iedereen, burgers en politiemedewerkers, gebruik moet maken van de domeinnaam @politie.nl.
Bij de doorgestuurde e-mails zaten onder meer het beveiligingsplan voor de kerstmarkt in Dordrecht werd gemaild:
Maar ook privacygevoelige zaken zoals arrestatiebevelen:
En wat meer onschuldige conversaties:
Ethische hacker Slotboom legt even uit hoe de politie dit kan oplossen: