E-mailadressen Tweede Kamer makkelijk te spoofen

De e-mailsystemen van de Tweede Kamer blijken slecht beveiligd en makkelijk te spoofen. Jezelf voordoen als Kamerlid is een koud kunstje. Dat blijkt uit een artikel van onderzoeksjournalist Diewertje Kuipers op de website Follow the Money (FTM).

Na het gratis downloaden van een s-mailspoof-app kreeg Kuipers het voor elkaar uit naam van bijvoorbeeld premier Mark Rutte nepmails te sturen. FTM is daarbij geholpen door met hacker Maarten Boone, die achter het lek kwam en de site inlichtte.

De onderzoekers konden niet in de e-mailaccounts zelf kijken. Ze hebben zich alleen voorgedaan als politici.

 

Domeinen

Volgens Boone is het lek eenvoudig te verhelpen. De e-maildomeinen van de Kamer ontbreekt het aan de beveiligingsextensie Sender Policy Framework. Hierin is een lijst van e-mailservers opgenomen die namens een domein mails mogen verzenden. In dit geval gaat het om het domein @tweedekamer.nl. Domeinen zonder permissie kunnen in dit geval geen mails versturen op @tweedekamer.nl.

Maar: het domein van de Kamer heeft zo’n protocol niet. En zo kon FTM mails sturen uit naam van bijvoorbeeld Halbe Zijlstra, Geert Wilders en Alexander Pechtold.

Het incident staat niet op zichzelf. Ook gemeenten hebben slechte beveiliging van de mails. Vorig jaar schreef Binnenlands Bestuur al dat slechts drie gemeenten in heel Nederland de goede beveiligingsstandaarden gebruikten voor hun mailaccounts en servers.

Alleen Den Haag, Den Bosch en Woerden hadden volgens Binnenlands Bestuur alles correct ingesteld.

In RTL Late Night vertelde Kuipers dat het onderzoeksplatform allerlei nepmails stuurde die zogenaamd van het domein @tweedekamer.nl afkomstig waren. Zo leek het alsof premier  Rutte mailde dat hij dingen over kandidaat-bewindslieden wist die ze in opspraak konden brengen. In een andere nepmail aan VVD’er Halbe Zijlstra zegt Alexander Pechtold, oud D66-voorman, dat hij het een goed idee zou vinden als Pia Dijkstra op Volksgezondheid in het Kabinet zou komen.

 

Oostburg

Voormalig Kamerlid voor de PvdA en hacktivist Astrid Oostburg verbaast het verhaal niet. Tijdens haar periode in de Kamer stelde ze meermaals Kamervragen over cybercrime en beveiliging. Ze stelt dat de Kamer er heel laconiek op reageert, ook toen ze aan de orde stelde dat ook de telefoonnummers van de Kamer eenvoudig te spoofen waren.

Volgens Oostburg werkt dit het zelfde als bij de mails van de Tweede Kamer. Je kunt vrij makkelijk een sms’je sturen zogenaamd uit naam van Halbe Zijlstra. Oostburg stelde het probleem meermaals aan de orde, zonder succes. De Kamer greep zelfs niet in toen het RTL-journaliste Hella Hueck lukte om de telefoon van minister Plasterk te blokkeren.

In 2015 bleek dat de Tweede Kamer nog pc’s had draaien op Windows 3.1; van voor 1992. Windows 3.1 is de voorganger van Windows 95. Ze stuurden een deel van de technische installatie aan, vermoedelijk klimaatsystemen. Dat blijkt uit een brief van minister Stef Blok. Het gaat om oude Siemenscomputers.

De hard- en software van Windows 3.1 is zo verouderd dat slechts twee mensen bij Siemens ze kunnen repareren en ermee werken. Onderdelen vervangen kan ook al niet meer. Ze zijn bijna niet meer te krijgen.

Volgens FTM is het lek van de mails van de Kamer al zeker een jaar bekend en is er maar een paar minuten nodig om het te dichten. Inmiddels belooft de Kamer beterschap.

 

Gerelateerde berichten...