Hergebruikte domeinnamen geven toegang tot dossiers bewindvoerders
Domeinnaambeheer is serieuze zaak
Dat opgeheven domeinnamen een securityrisico vormen, is onder securityspecialisten allang bekend. Ook dat cybercriminelen met mailadressen gekoppeld aan deze domeinnamen toegang kunnen krijgen tot gevoelige data. Toch hebben veel partijen hun zaken hierin niet op orde zo bleek onlangs opnieuw: een ethisch hacker registreerde domeinnamen van bewindvoerders die waren opgeheven en kreeg zo toegang tot 258 vertrouwelijke, financiële dossiers van cliënten. De casus lijkt sterk op een eerdere casus met Bureau Jeugdzorg Utrecht. Ook hier werden door eenzelfde fout duizenden vertrouwelijke dossiers inzichtelijk voor derden.
Mailverkeer naar verouderde opgeheven domeinen
ewindvoerders regelen de financiële zaken voor hun cliënten. Deze cliënten gebruiken vaak het e-mailadres van hun bewindvoerder in hun communicatie met andere partijen. Mailverkeer van derden blijft hierdoor vaak via deze adressen lopen, ook als de bewindvoerder zelf is overgestapt op een nieuwe domeinnaam. Dat laatste gebeurt regelmatig door fusies, overnames en naamswijzigingen. De hacker registreerde een aantal van deze eerder gebruikte, maar inmiddels opgeheven domeinnamen opnieuw en zorgde ervoor dat hij alle binnenkomende e-mail kon doorsluizen. De domeinnamen achterhaalde hij onder meer via het datalek bij telecomprovider Odido eerder dit jaar, waarin de e-mailadressen van bewindvoerders voorkwamen.
Bekend risico met herhaling in de praktijk
Dat gevoelige gegevens kunnen uitlekken via opgeheven en later opnieuw geregistreerde domeinnamen, is een bekend probleem. In 2019 werd een vergelijkbare situatie vastgesteld bij Bureau Jeugdzorg Utrecht, waarbij medische dossiers toegankelijk werden via opnieuw geregistreerde domeinnamen. Ook wij besteedden aandacht aan dit risico. Daarbij gaat het niet alleen om mailverkeer, maar ook om applicaties met vertrouwelijke data, waartoe je met een wachtwoordreset op een opgeheven domeinnaam toegang toe kan krijgen.
Lage drempel, moeilijk zichtbaar risico
De technische drempel voor dit type incident is laag. Het opnieuw registreren van een opgeheven domeinnaam is een regulier proces en kost weinig. Technische kennis is niet vereist. De impact ontstaat doordat systemen en gebruikers bekende e-mailadressen blijven vertrouwen zonder aanvullende verificatie. Het gaat hierbij niet om een directe inbraak, maar om onvoldoende beheer van bestaande middelen.
Organisatorische oorzaken
De oorzaken liggen vaak in de organisatiesfeer. In de casus van bewindvoerders speelt mee dat veel van hun organisaties in de afgelopen jaren zijn gefuseerd of overgenomen. Daarbij veranderen namen en domeinnamen, terwijl oude domeinnamen niet altijd structureel worden aangehouden of gecontroleerd. Domeinnamen uitfaseren is in veel organisaties geen expliciet aandachtspunt voor het securityteam. Vaak is zelfs niet bekend wie hiervoor verantwoordelijk is. Daardoor kunnen afhankelijkheden in e-mailverkeer en systemen buiten beeld blijven.
Domeinnaambeheer is serieuze zaak
De casus laat zien dat domeinnaambeheer een onmisbaar onderdeel van digitale risicobeheersing is. Opgeheven domeinnamen vormen een concreet risico voor de veiligheid en reputatie van een organisatie. In dit geval ook met directe gevolgen voor de vertrouwelijkheid van gegevens. Omdat grotere organisaties vaak honderden tot duizenden domeinnamen bezitten, is het monitoren van het eigen portfolio en gelijkende domeinnaamregistraties heel belangrijk. Kijk op de pagina van SIDN Merkbewaking hoe jij dit inzicht houdt en eerder kan ingrijpen.
