RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

21 reacties

  1. Laat alle bedrijven (en overheid takken) die met erg gevoelige privacy informatie werken (zoals in dit geval), hun ICT beleid van te voren goedkeuring door een waakhond. En vergeet dan ook niet de waakhond genoeg tanden te geven om ervoor te zorgen dat dit ook gedaan wordt en dat het goedgekeurde beleid daadwerkelijk wordt nageleefd.

    Op die manier heb je hopelijk altijd een partij die meepraat over het beleid die veel ervaring heeft en alle valkuilen (zoals gevaar bij verlopen van het domein) kan ontwijken.

  2. Dat e-maildomein laten vervallen is al erg genoeg.

    Maar in het artikel wordt ook genoemd:

    Door het lek bij Kenter Jeugdhulp kon RTL Nieuws ook toegang krijgen tot de zakelijke cloudomgeving van werknemers

    Daniël Verlaan gaat er in zijn Twitter draadje nog verder op in.

    Ik kon toegang krijgen tot die cloud omdat oude e-mailadressen nog aan accounts waren gekoppeld, maar dat heb ik niet gedaan.

    en

    Deze digitale sleutels en wachwoorden worden plaintext (!) door Kenter via de e-mail naar oude adressen gestuurd, en die kwamen dus bij mij in de inbox.

    Hier is de mail met bijgevoegd het certificaat om in te loggen. Het wachtwoord was vergelijkbaar met Welkom01!.

    Hoe kun je in hemelsnaam een jaren geleden uitgefaseerd e-maildomein nog toegang tot zo’n systeem geven. En daar zelfs automatische herinneringen/update naartoe mailen?!

    Hier zijn verschillende mensen/bedrijven zeer nalatig geweest. En het laten vervallen van het e-maildomein vind ik daarbij nog het minst erg!

  3. Er is een vrij simpele manier om dit op te lossen communicatie tussen instellingen moet met een speciaal TLD gebeuren die de staat beheerd. Alle communicatie tussen instellingen, zorginstanties, verzekeraars enz. moet gebeuren via die TLD je uitdraagring naar de wereld mag via .com, .nl, .org enz. De speciale TLD kan je alleen verkrijgen als je aan X voorwaarde voldaan hebt, eigenlijk het zelfde als .edu, gov van de US. Het voordeel is dat je regels kan opstellen en dat communicatie redelijk beschermd is, RTL nieuws zal veel meer moeite moeten doen om zomaar toegang te krijgen. Plus dat je een goed contract op kan stellen als je een aanvraag indient en kan zeggen vervallen domeinen worden niet vrij gegeven tenzij.

  4. Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.

    Het bouncen moet dan wel als zodanig geconfigureerd zijn. Aangezien er nog steeds aan gemaild werd, ligt het in de lijn der verwachting dat het jarenlang als alias geconfigureerd is geweest, waardoor men mails aan naam@oud.nl en naam@nieuw.nl ontving. Er is functioneel voor de ontvanger dan ook geen enkele noodzaak geweest om een adreswijziging door te voeren. Handiger zou zijn als men een x-periode een auto responder had aangezet richting verzenders en de ontvanger na x-periode het alias zou ontnemen om een (zéér geruime) x-periode hard bounces af te gaan leveren (alvorens de domeinnaam ook maat te overwegen op te heffen).

        1. Oei… Nu ben ik geen systeembeheerder oid, maar dat kun je in windows/outlook toch gemakkelijk centraal instellen? Je typt intern toch niet het hele adres in, maar alleen de naam van de persoon?

          En desnoods kun je toch als als beheerder een filter runnen om alle instanties van oude adressen te vinden en die medewerkers te waarschuwen?

          1. IDD je kan binnen exchange gewoon de geaccepteerde domeinamen verwijderen. Dan krijg je daar al geen mail meer op en voor uitgaande mail kan je ook een regel instellen. Zou geen probleem mogen zijn. Maar dan moet je wel een exchage beheerder hebben.

  5. Maar wat ook niet helpt in deze is een slordigheid van gebruikers. Ik heb een eigen mail-domein voor mij een mijn familie. Maar het is zo, dat er een bouwbedrijf is met een hierop lijkende domeinnaam. Nu zou je verwachten, dat medewerkers weten hoe hun email adres is. Toch krijg ik regelmatig mailtjes die baseren op het niet goed uitschrijven van de domeinnaam. Wanneer ik ze in mijn catch-all account zie verschijnen, stuur ik de afzender een waarschuwing en probeer ik het te forwarden naar de geadresseerde bij het bouwbedrijf. Daarna gooi ik het mailtje weg, want het gaat me niets aan.

    Gebeurt dat op het niveau van zorg, is het natuurlijk veel erger. Dus zou het helpen, wanneer mensen wat beter opletten.

  6. Echt veel te makkelijk om alles op het verlengen van die domeinnaam te schuiven. Stomme fout natuurlijk, maar er is dus maar 1 line of defense. Dus 1 fout (niet verlengen) is voldoende om het kaartenhuis in te laten storten. Vecozo heeft hier wat mij betreft de meeste boter op zijn hoofd. Als aanbieder van een systeem heb je een verantwoordelijkheid om dat goed beveiligd aan te bieden. Natuurlijk moet daar een tweede factor op. Of afgeschermd met VPN. Of op zijn minst een password reset die meer vereist dan beschikking over het mailadres. Of natuurlijk allemaal. “Als onze klanten altijd hun oude domeinnamen verlengen” en “als gebruikers geen fouten maken is het veilig.” is echt niet goed genoeg.

  7. Ik denk dat als je een domeinnaam wilt opheffen, je een wildcard moet instellen, dus iets als *@domein.tld . Vervolgens zou er 3 jaar lang geen gerichte communicatie moeten binnen komen alvorens deze opgeheven mag worden. Komt er toch nog een (niet-spam) email op binnen, dan begint die teller weer opnieuw te lopen.

    Zeggen dat je het nooit mag opheffen vind ik onredelijk. Domeinnamen zijn nu nog vrij nieuw, maar gaan bedrijven over 100 jaar nog steeds al die domeinnamen moeten vasthouden?

    1. Ik denk dat je met een periode van een jaar na de laatste mail een heel eind komt en vrijwel oneindig lang bezig bent.

      Ik begrijp dat je de eerste weken de mail automatisch wilt doorsturen/bezorgen; maar na een of twee maanden zou er een automatisch berichtje uit moeten gaan aan de verzender dat het adres veranderd is. Daarna een bounce met de nieuwe domeinnaam…

      Maar ik vrees dat het jaren kan duren tot de laatste adresboeken aangepast zijn. Misschien werkt automatisch forwarden van de resterende emails als datalekmelding aan de AP?

  8. Ja, het was weer eens raak, helaas. Ik weet niet of je dit bij wet moet regelen. Misschien in het kader van de zorg onderdeel maken van NEN7510? En als best practice je oude domein minimaal 5 jaar een 550 we hebben een nieuwe naam laten geven? Tot slot is het ook wel een punt dat Vecozo hun certs via mail stuurt, het lijkt me in ieder geval dat daar nog een andere verificatie op moet.

  9. Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

    Als e-mails met gevoelige informatie niet plaintext geaccepteerd worden, zal niemand een geautomatiseerd systeem maken om die onbeveiligd te verzenden. Onderscheppen van encrypted e-mail is slordig, maar niet direct zo’n groot issue.

    Communicatie met de servers ook encrypten en dan bedoel ik niet alleen https en een certificaatje. Gebruikers klikken veel te makkelijk op accepteren als een certificaat verlopen is of een nieu certificaat wordt aangeboden…

  10. Feitelijk is het probleem simpel op te lossen, ook voor de verzenders van e-mailberichten naar een niet meer te gebruiken domein: vraag de provider de/het MX record(s) van het niet meer in gebruik zijnde domein in de DNS administratie weg te gooien, dan is er in het DNS systeem geen verwijzing meer naar ontvangende mailserver(s), gaat het e-mailbericht dus niet het netwerk op en krijgt de verzender een foutmelding van het e-mailsysteem van de eigen organisatie.

  11. Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.

    Verbaast mij niets, overigens. Veel bedrijven gebruiken een do-not-reply adres voor het versturen van dit soort informatie en negeren dus dat er bounce-berichten op terugkomen. Daarnaast kan een vrij aktief spamfilter deze bounces markeren als spam en dus gewoon weggooien.

    Maar wat ik mij nu afvraag… Waarom gaan dergelijke gevoelige dossiers zonder encryptie over de email? Niet alleen is Kenter Jeugdhulp nalatig geweest maar ook al die andere bedrijven die dossiers per email verstuurden naar deze zorgverlener.

    Maar goed, dat is een automatiseringsprobleem, he? Er zijn 20 verschillende oplossingen om dit op te lossen maar die sluiten niet op elkaar aan. En als er een nieuw systeem bijkomt om dit op te lossen hebben we 21 standaarden…

  12. Tot een jaar of 3 geleden werkte ik heel veel met Vecozo certificaten (ITer bij zorginstelling), maar volgens mij was het altijd 2 factor… Ja, wachtwoorden kwamen via de mail, maar de activatiecode kwam via de fysieke post.

    Die code had je nodig om het user certificate te downloaden. En die werd dan weer gebruikt (icm met wachtwoord) om in te loggen…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.