Honderden vervallen domeinnamen en mailadressen van overheidsdiensten verkocht voor 8 euro per stuk

Een domeinnaam is de unieke naam die een particulier, een onderneming of een organisatie identificeert op het internet. "Iedereen die een professioneel e-mailadres heeft via het werk, die gebruikt een domeinnaam, te herkennen door het deeltje achter het apenstaartje", legt ethisch hacker Inti De Ceukelaire uit in De Ochtend op Radio 1. 

"Organisaties huren domeinnamen. Dat wil zeggen dat ze er elk jaar of om de paar jaar voor moeten betalen." Maar domeinnamen kunnen ook vervallen door faillissementen, splitsingen of fusies. "Denk bijvoorbeeld aan de domeinnamen van de gemeenten Overpelt en Neerpelt die na de fusie Pelt zijn geworden. Als er niet langer voor wordt betaald, belanden de vervallen domeinnamen op de markt. Dan kan iedereen ze kopen", zegt De Ceukelaire.

Domeinnamen van overheidsinstellingen, politiezones en sociale diensten én de daaraan gekoppelde mailadressen kunnen dus vervallen, met als gevolg dat een massa aan hypergevoelige informatie van medewerkers voor enkele luttele euro's online te koop komt te staan, legt de hacker uit.

De Ceukelaire deed de test: hoe makkelijk zou het voor internetcriminelen zijn om aan persoonlijke data te komen? Voor 8 euro per stuk was het voor de hacker mogelijk om 107 vervallen domeinnamen te bemachtigen. Hij kreeg daarmee ook toegang tot 848 professionele mailadressen. Meer specifiek gaat het over:

• 44 OCMW's
• 32 politiezones
• 12 CAW's 
• 12 CLB's
• 4 (psychiatrische) ziekenhuizen
• 3 juridische instellingen

De Ceukelaire heeft de mails een week opengezet en heeft duizenden berichten ontvangen. "Dat gaat dan echt over zeer gevoelige informatie rond bijvoorbeeld gedetineerden die vervroegd vrijkomen, dossiers over bijzondere bijstand, verzekeringsverslagen of leerlingen die in therapie moeten."

De Ceukelaire heeft de mails bewust niet gelezen. "Maar alleen al door de titels van de mails weet je genoeg. Het is ongezien hoeveel data je voor 8 euro zomaar online kan kopen. Dat is schrijnend. Het zou eigenlijk niet mogen. Die informatie is privé en dat zou de buitenwereld niet mogen zien."

Daarnaast kon hij via de mailadressen ook toegang krijgen tot de daaraan gekoppelde cloudopslagdiensten zoals Dropbox of Google Drive. "Ik kreeg toegang tot de Dropbox van Slachtofferhulp of de recherche van politiezones."

De Ceukelaire heeft de informatie doorgegeven aan het Centrum voor Cybersecurity, dat instaat voor de cyberveiligheid in ons land. "Ik heb de domeinen opgekocht. In samenwerking met Cybersecurity ga ik ze proberen terug te geven aan de rechtmatige eigenaars."

"Maar dan begint het klokje natuurlijk weer te lopen en bestaat de kans dat heel wat domeinnamen opnieuw vervallen", waarschuwt De Ceukelaire.

"Dit is inderdaad een groot probleem", bevestigt ook Miguel De Bruycker in De Ochtend. Hij is hoofd van het Centrum voor Cybersecurity. "Volgens onze algemene richtlijnen zou de IT-manager bij een overheidsdienst de nodige beschermende maatregelen moeten nemen als bepaalde hardware of software uit de omloop worden gehaald."

"We gaan diensten nu expliciet wijzen op de domeinnamen", wat voorheen nog niet zo uitdrukkelijk gedaan is. In het verleden is er volgens De Bruycker op deze manier nog geen gevoelige informatie gelekt. "We hebben daar nog geen meldingen of indicaties voor gekregen."

"Zelf ben je natuurlijk ook mee verantwoordelijk voor je cyberveiligheid", zegt De Ceukelaire. "Dus check best even met welk mailadres je ingelogd bent bij cloudopslagdiensten en zorg dat je mailadres altijd up-to-date is." Hij raadt daarom aan om een tweestapsverificatie te installeren. "Dan kan een hacker niet zo makkelijk aan gevoelige data."

Maar het is een gedeelde verantwoordelijkheid, aldus De Ceukelaire. "Uiteindelijk zijn het de sociale diensten en de politiezones die de domeinen laten verlopen, terwijl er vrij goedkope tools zijn om dat te vermijden. Bovendien kost het tussen de 100 en 200 euro om een domeinnaam voor 10 jaar te laten verlengen." 

"Dit datalek hebben we op het nippertje kunnen voorkomen. Want een datalek van deze schaal, dat zouden we in België nog niet hebben gezien. Dan is 100 euro geen geld."