Politiegeheimen op straat door nalatigheid
Gevoelige politie-informatie is op straat komen te liggen omdat de politie oude domeinnamen heeft laten verlopen. Mails die naar de aan die domeinnamen gelinkte e-mailadressen werden gestuurd, kwamen zo terecht bij de nieuwe eigenaars van die domeinnamen. Een ethisch hacker deed dit en overlegde de informatie die hij kreeg aan BNR. Hij kreeg zo onder meer arrestatiebevelen en het beveiligingsplan van de kerstmarkt in Dordrecht in handen.
Het probleem ontstond twee jaar geleden doordat alle politiewebsites verdwenen en opgingen in Politie.nl. Alle mailadressen van agenten veranderden ook, maar onder meer door automatisch aanvullen van veelgebruikte adressen gaat dit bij veel mensen mis. De oude domeinnamen behouden en de mails doorsturen naar het juiste mailadres of een servicedienst inschakelen die je waarschuwt dat een van jouw oude domeinnamen door iemand anders wordt geregistreerd zijn mogelijk oplossingen die het lekken van informatie had kunnen voorkomen.
Hacker Slotboom had de politie twee jaar geleden hier al voor gewaarschuwd. Toen hij een halfjaar later ontdekte dat er niets met zijn waarschuwing was gedaan, besloot hij zelf enkele domeinnamen te registreren. Dat deed hij „om aan te tonen dat er wel degelijk gevoelige informatie via de mail op binnenkomt”. „Ik hoop dat m’n punt nu wel duidelijk is.”
CDA-Kamerlid Madeleine van Toorenburg noemt het zorgelijk dat de informatie naar buiten is gekomen. „Dit had voorkomen moeten worden door de afdelingen die gaan over de technische ondersteuning van de politie, en door de leiding van de politie zelf.” Haar PvdA-collega Ahmed Marcouch vindt het schokkend. „Nu is het in handen van BNR terecht gekomen maar het kan natuurlijk ook in verkeerde handen terecht komen. Ik vind dat de minister hier duidelijkheid over moet verschaffen en ik zal hem ook om opheldering vragen.”
De Nationale Politie stelt dat er inmiddels meer dan 3600 oude domeinnamen door de politie zelf zijn geregistreerd. Passende maatregelen moeten misbruik van „er tussendoor geglipte” domeinnamen voorkomen. De politie wijst er bovendien op dat iedereen mailadressen moet gebruiken die eindigen in @politie.nl.