Gevoelige informatie voor het grijpen dankzij oude politie- en OCMW-domeinnamen
Oude domeinnamen van onder meer politiediensten, OCMW’s en zelfs rechtbanken liggen voor het grijpen. Ethisch hacker Inti De Ceukelaire toont hoe hij zo zonder veel moeilijkheden gevoelige info kreeg doorgestuurd.
De Ceukelaire kocht 107 domeinnamen die in het recente verleden nog actief waren. Het gaat onder meer om gemeenten en OCMW’s die intussen gefuseerd waardoor ook hun domeinnaam veranderde. Ook CAW’s, CLB’s en 32 lokale politiezones (die vallen sinds 2018 onder het domein police.belgium.eu) en drie lokale rechtbanken hadden zo een domeinnaam die niet werd verlengd en nu te koop was.
Wie zo’n domein bezit, kan ook mailadressen aanmaken. De Ceukelaire activeerde zo 848 adressen die publiek te vinden waren. Denk daarbij aan een adres als ‘schuldbemiddeling@OCWM-gemeente.be’.
Opmerkelijk genoeg bleken die adressen, eens opnieuw geactiveerd, nog steeds mails te ontvangen. Hij kreeg op één week tijd zo mails van 80 dropbox accounts, 142 Google Drive accounts, 57 accounts van Microsoft (Onedrive, Sharepoint…) en een handvol Smartschool en Doccle accounts.
De Ceukelaire waarschuwt dat het vanaf daar mogelijk is om een wachtwoord opnieuw in te stellen via de functie ‘wachtwoord vergeten’. Zo kan iemand alsnog in een account omdat het nog steeds gekoppeld is aan het mailadres dat de ethische hacker overnam.
Oude adressen nog steeds gebruikt
Bovenstaande situatie slaat vooral op automatische mails. Maar zelfs zonder was het niet moeilijk om gevoelige informatie toegestuurd te krijgen.
Al snel kreeg hij op de adressen die hij beheerde reminders over mensen die in schuldbemiddeling zitten, berichten over elektronisch toezicht van veroordeelden, facturen van een apotheek die naar een sociale dienst werden gestuurd. Ook uitnodigingen van vergaderingen, vragen van of over kwetsbare personen en verzekeringsclaims die naar een (oud) politie-adres werden gestuurd zaten er bij.
De Ceukelaire heeft bewust niets gedaan met die berichten, maar wijst er wel op dat dit zorgwekkend is mocht een crimineel dit doen en zo zich voordoen als een dienst, of kwetsbare personen probeert te benaderen op basis van gevoelige informatie. Na het experiment heeft hij inkomende mails voor de bewuste domeinen geblokkeerd, en het CCB ingelicht over zijn bevindingen. Zij hebben intussen de voormalige eigenaars geïnformeerd over de risico’s van de vervallen domeinen.
Fout opgemerkt of meer nieuws? Meld het hier