Ethische hacker waarschuwt: overheidsinstanties lekken data via oude domeinnamen
De Ceukelaire kocht voor luttele euro’s verlopen domeinnamen van overheidsdiensten, dat meldt Gazet van Antwerpen. Vervolgens verkreeg de ethische hacker toegang tot e-mailadressen en andere gevoelige gegevens van burgers. Opvallend is dat deze domeinen op grote schaal beschikbaar waren. De ethische hacker verwierf voor zijn onderzoek toegang tot 44 verlopen domeinen van OCMW’s, 32 politiezones, 12 CAW’s, 12 CLB’s, 4 ziekenhuizen en tot slot 3 juridische instellingen.
Hiervoor hoefde Inti De Ceukelaire zich enkel te melden bij domeinregistratiebedrijven. Daar waren de verlopen domeinnamen vrij verkrijgbaar, voor slechts 8 euro per stuk. Verrassend is dat overigens niet. Zonder verlenging vervalt een domein na verloop van tijd en kan deze door anderen worden opgekocht. Precies dat gebeurde hier: (overheids)instanties verlengden de oude domeinen niet, waardoor ze vanzelf vervallen.
Toegang tot e-mailadressen
“Een probleem op ongeziene schaal”, aldus De Ceukelaire. Ondanks dat de domeinen al waren vervallen, bleken ze nog steeds gevoelige data te bevatten, zo ontdekte de ethische hacker. Via de domeinen kon hij ongezien binnenkomende e-mails bekijken. Hiervoor zette hij gedurende één week mailadressen van 107 maatschappelijke instellingen open, daaraan waren nog altijd 848 zakelijke e-mailadressen gekoppeld. De binnenkomende e-mails bevatten onder meer dossiers over bewindvoering en schadegevallen.
Opmerkelijk is dat De Ceukelaire via deze e-mailadressen ook toegang kreeg tot clouddiensten. Het uitlekken van gegevens via deze mailadressen kan ernstige gevolgen hebben. Bovendien is het kinderlijk eenvoudig voor kwaadwillenden om zich voor te doen als een betrouwbare instantie. De e-mails belanden ook niet snel in de spamfilter, aangezien ze afkomstig zijn van een bekend domein.
Tweetrapsauthenticatie
De Ceukelaire deelt afsluitend enkele lessen die bedrijven uit deze situatie kunnen leren. Zorg er ten eerste altijd voor dat je een oude domeinnaam met 10 jaar verlengt. Zo ben je er zeker van dat deze niet zomaar misbruikt kan worden. Bedrijven moeten daarnaast het 2FA-principe omarmen. Zorg dus altijd voor een tweede beveiligingslaag bij het inloggen op bedrijfsaccounts, via sms of een 2FA-app.