Hacker kreeg e-mail voor politie binnen
Een 'ethische hacker' heeft anderhalf jaar lang e-mail onderschept die bedoeld was voor politie-agenten. Dat maakte hij vanochtend bekend bij BNR. Hij deed dat door oude domeinnamen, die de politie vroeger gebruikte, te registreren. Ook registreerde hij domeinnamen die erg op die van de politie lijken.
Op die manier kreeg Wouter Slotboom naar eigen zeggen allerlei mailtjes binnen die eigenlijk voor de politie bedoeld waren. "Van arrestatiebevelen voor komende week tot allerlei jeugdzorgzaken waarin de meest intieme zaken worden besproken", zegt Slotboom tegen de NOS. "Ik heb ze twee jaar geleden al gewaarschuwd; als ik niets had gedaan, had ik de mailtjes nu nog binnen gekregen."
Met of zonder
Voor de invoering van de Nationale Politie had ieder korps zijn eigen domeinnaam en daarmee eigen e-mailadressen. Tegenwoordig heeft iedere medewerker een eigen politie.nl-mailadres. Als mensen het oude adres gebruiken, of per ongeluk nog in hun contacten hebben staan, gaat het mis.
Maar niet alleen oude domeinnamen zijn een probleem, ook domeinnamen die erg op die van de politie lijken, vormen volgens Slotboom een gevaar. Hij registreerde bijvoorbeeld de domeinnaam politierijnmond.nl, zonder een tussenstreepje. Mensen die mailtjes naar die domeinnaam verstuurden, stuurden hun bericht niet aan de politie maar aan de hacker.
'We letten goed op'
De politie zegt in een reactie dat het probleem bekend is. "We hebben een hele tijd geleden al 3500 domeinnamen aangekocht, om dit probleem te voorkomen", zegt een woordvoerder. "Dit is gewoon phishing en daar letten we goed op. De voorbeelden die Slotboom laat zien, zijn er blijkbaar doorheen geglipt. Dat is natuurlijk stom."
De hacker heeft verschillende oplossingen om dit probleem te voorkomen. "Zo kan de politie bijvoorbeeld een dienst afnemen die in de gaten houdt of er domeinnamen worden geregistreerd die erg op die van de politie lijken", zegt Slotboom.
"Doen we al", zegt de politie. Volgens de woordvoerder zijn er binnen de politie ook voorzieningen om te voorkomen dat interne e-mail naar externe adressen wordt verstuurd. "Maar dat externen een mail naar een verkeerd adres sturen, kunnen we niet voorkomen. We raden iedereen aan een politie.nl-adres te gebruiken."
De politie is niet de enige die met dit probleem kampt, zegt Slotboom. Ook bedrijven moeten goed opletten. "Stel dat dit bij je zorgverzekeraar gebeurt. Dan kan je privé-informatie zomaar worden onderschept."