image

SIDN: voorkom datalekken, hef domeinnaam niet meteen op

dinsdag 6 oktober 2020, 11:47 door Redactie, 10 reacties

Opnieuw heeft er door een opgeheven domeinnaam een gevoelig datalek plaatsgevonden, wat aantoont dat organisaties domeinnamen niet meteen moeten opheffen als ze naar een nieuwe domeinnaam overstappen en het verkeer naar het oude domein moeten monitoren, zo stelt Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

Het datalek deed zich voor bij Jeugdriagg, dat in 2015 de naam in de Kenter Jeugdhulp veranderde. De zorginstelling behandelt duizenden gezinnen met problemen. De domeinnaam jeugdriagg.nl ging drie jaar na de naamswijziging offline. In plaats van de domeinnaam aan te houden werd die opgeheven en kon zo door RTL Nieuws worden geregistreerd.

Gedurende een aantal weken ontving de omroep honderden gevoelige e-mails, waaronder psychologische verslagen, aanvragen voor medicatie, verzoeken van advocaten voor het verstrekken van dossiers en berichten van bezorgde ouders. Ook kwamen er e-mails binnen waarmee er toegang tot systemen van Kenter Jeugdhulp konden worden verkregen.

Het lukte RTL Nieuws ook om toegang tot de database van Vecozo te krijgen. Dit is naar eigen zeggen het landelijke knooppunt voor veilige digitale communicatie in de zorg. De organisatie regelt het administratieve berichtenverkeer tussen alle zorgverzekeraars, zorgkantoren, gemeenten en meer dan 44.000 zorgaanbieders. De database bevat volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. De toegang was mogelijk doordat Kenter Jeugdhulp de inloggegevens naar oude e-mailadressen stuurde.

Datalekken door verlopen domeinnamen, zoals vorig jaar plaatsvond bij Bureau Jeugdzorg Utrecht en eerder ook advocatenkantoren en de politie overkwam, zijn voor tien euro te voorkomen, zo liet de SIDN vorig jaar al weten. Op de eigen website roept de organisatie dan ook op om een domeinnaam niet zomaar op te zeggen. "Besef je dat de kans groot is dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen."

Daarnaast zijn er naar aanleiding van het datalek bij Kenter Jeugdhulp volgens de SIDN vijf lessen te leren, waarbij het niet zomaar opheffen van de domeinnaam als eerste wordt genoemd. In plaats daarvan is het verstandiger de domeinnaam te parkeren en het verkeer ernaar te monitoren. "Na verloop van tijd verdwijnen de oude mailadressen en referenties vanzelf uit de meeste betrokken systemen, maar dit kan wel enkele jaren duren."

Tevens moeten organisaties in kaart brengen over welke domeinnamen ze beschikken en waarvoor ze die gebruiken. Wanneer ernaar een nieuwe domeinnaam wordt overgestapt dienen medewerkers te worden geïnformeerd dat e-mailadressen van het oude domein niet langer geldig zijn en dat ze e-mails vanaf die adressen moeten negeren. Ook adviseert de SIDN het gebruik van tweefactorauthenticatie. Dan zou alleen een verkregen wachtwoord niet voldoende zijn geweest om in te loggen.

Reacties (10)
06-10-2020, 12:18 door Anoniem
Dat is gewoon 1 van de taken die een FG heeft. Jammer dat die rol zo slecht ingevuld wordt, of dat de meesten totaal geen idee hebben wat er onder de noemer 'gegevens' valt.
06-10-2020, 12:30 door buttonius - Bijgewerkt: 06-10-2020, 12:58
Nog een suggestie: Verander niet elke paar jaar de naam van je organisatie. Dat bespaart je ook een smak geld voor nieuw briefpapier, visitekaartjes, groot bord aan de gevel van je gebouw, enz.
06-10-2020, 12:32 door Anoniem
Dit is recentelijk nog beschreven door ESET, opgeven (of geparkeerde) domeinen worden massaal door dubieuze bedrijven (hre)gregistreerd, ze plaatsen een e-mail server om de e-mails te ontvangen, en die verkopen ze dan weer als een feed.

https://www.welivesecurity.com/2020/05/05/professional-data-leakage-security-vendor-my-personal-data/
06-10-2020, 13:00 door Anoniem
Nog een suggestie: Stop met het gebruik van (niet encrypt) mail voor het uitwisselen van gevoelige informatie.
06-10-2020, 15:47 door Anoniem
Zo kwam ik laatst nog eens oude papieren tegen, dezelfde organisatie met de volgende namen:

Staatsbedrijf der PTT
Radiocontroledienst
Directoraat Kabel en Verbindingen DKV
Directoraat Kabel, Radio en Verbindingen DKRV
Bijzonder Radio Dienst (BRD)
Ministerie van Verkeer en Waterstaat Directie Operationele Zaken MinVWS DOZ
Ministerie van Verkeer en Watestaat Hoofdirectie Telecommunicatie en Post HDTP
Inspectie Verkeer en Waterstaat Rijksdienst voor Radiocommunicatie IVW RDR
Ministerie van Economische Zaken Agentschap Telecom Min-EZ AT

En dat is gewoon een overheidstak die sinds 1929 hetzelfde doet.

Moet je nagaan wat voor domeinnamen zo'n club heeft na 91 jaar aankloten met namen.
06-10-2020, 16:54 door Anoniem
Ja als ik verhuurder van domeinnamen was dan zou ik dat ook roepen!
Waarom komen ze niet met iets wat echt werkt, bijvoorbeeld een regel dat een opgezegde domeinnaam niet kan worden her-uitgegeven zonder handmatige verificatie van de achtergrond van de aanvrager?
Dus niet alleen 40 dagen maar gewoon helemaal NIET.
Tja dan verdien je er geen geld meer aan als SIDN maar zoveel hoeft dat toch niet te kosten, en als compensatie zou er een vergoeding gehangen kunnen worden aan de heruitgifte van een eerder opgezegd domein.
06-10-2020, 17:04 door Anoniem
Door Anoniem: Zo kwam ik laatst nog eens oude papieren tegen, dezelfde organisatie met de volgende namen:

Staatsbedrijf der PTT
Radiocontroledienst
Directoraat Kabel en Verbindingen DKV
Directoraat Kabel, Radio en Verbindingen DKRV
Bijzonder Radio Dienst (BRD)
Ministerie van Verkeer en Waterstaat Directie Operationele Zaken MinVWS DOZ
Ministerie van Verkeer en Watestaat Hoofdirectie Telecommunicatie en Post HDTP
Inspectie Verkeer en Waterstaat Rijksdienst voor Radiocommunicatie IVW RDR
Ministerie van Economische Zaken Agentschap Telecom Min-EZ AT

En dat is gewoon een overheidstak die sinds 1929 hetzelfde doet.

Moet je nagaan wat voor domeinnamen zo'n club heeft na 91 jaar aankloten met namen.

Je gooit van alles door elkaar. PTT is absoluut niet hetzelfde als agentschap telecom enzovoorts.
06-10-2020, 22:24 door [Account Verwijderd]
Door Anoniem: Nog een suggestie: Stop met het gebruik van (niet encrypt) mail voor het uitwisselen van gevoelige informatie.

Niet te doen
07-10-2020, 09:42 door Anoniem
Door Anoniem: Dat is gewoon 1 van de taken die een FG heeft. Jammer dat die rol zo slecht ingevuld wordt, of dat de meesten totaal geen idee hebben wat er onder de noemer 'gegevens' valt.

En de taak van de CISO. Hef een domein naam nooit op, het kost hooguit een paar tientjes per jaar.
08-10-2020, 15:40 door Anoniem
Door Anoniem: Dat is gewoon 1 van de taken die een FG heeft. Jammer dat die rol zo slecht ingevuld wordt, of dat de meesten totaal geen idee hebben wat er onder de noemer 'gegevens' valt.

een ander probleem is dat organisaties wel een FG hebben aangesteld maar deze totaal niet op de hoogte houd over wat er in de organisatie gaande is. Ze kunnen alleen advies geven over wat ze weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.