Datalek bij politie door ontslagen medewerker die telefonisch gevoelige informatie opvroeg
Een ontslagen politiemedewerker heeft een datalek bij de politie veroorzaakt door onder andere namen en gevoelige informatie op te vragen bij het Real Time Intelligence Center (RTIC) van de politie in Apeldoorn. De medewerker liep tegen de lamp nadat de politie de encryptie van de criminele communicatiedienst EncroChat wist te kraken.
Het RTIC voorziet politiemensen op straat 24 uur per dag, 7 dagen per week van actuele informatie voor hun werk. Agenten kunnen het RTIC bellen om bijvoorbeeld een kenteken of burgerservicenummer op te vragen, maar ook om te vragen naar lopende onderzoeken die slaan op mogelijke verdachten. De voormalige politieman – eerder ontslagen en in 2018 veroordeeld voor het lekken van politie-informatie aan criminelen – belde tussen maart en december 2020 meermaals met het RTIC. Hij deed zich via acht verschillende prepaid telefoons voor als agenten in dienst van wie hij de dienstnummers wist. Door de juiste formuleringen te gebruiken en vragen te stellen, kreeg hij van het RTIC gevoelige informatie.
De politie vermoedt dat het datalek in minimaal één geval geleid heeft tot een poging tot liquidatie, schrijft AG Connect. Volgens De Stentor heeft een crimineel die in de cocaïnehandel zit, via de oud-agent informatie over zichzelf gekregen. Hij kwam er zo achter dat hij door de politie werd getapt. De ontslagen agent werkte samen met twee anderen, die nu ook voor de rechter staan. De behandeling vindt volgende week plaats, de uitspraak volgt op 8 september.
Klinkt als een waterdicht systeem…
Klinkt als een waterdicht systeem…
Daarom stelt de politie vrij veel informatie zonder check vooraf ter beschikking aan de agent op straat. Agenten die misbruik maken worden bestraft. In dit geval lijkt het echter alsof een authenticatiestap gemist wordt waardoor een ex-agent toch toegang kon krijgen tot vertrouwelijke informatie. Ik verwacht dat procedures aangepast zullen worden om dit probleem in de toekomst te voorkomen. Ik hoop dat de ex-agent in kwestie een forse douw krijgt.
Klinkt als een waterdicht systeem…
Het hoofdprobleem hier lijkt geweest te zijn dat de authenticatie bestond uit het praten van het juiste jargon, en het kunnen noemen van dienstnummer (plus waarschijnlijk korps/naam) .
Ik weet niet hoe operationeel 'normaal' het is dat agenten een gewoon mobieltje gebruiken om te bellen (in plaats van die terminal in een surveillance wagen, of de c2000 porto) - maar hier gebruikte de crimineel gewone prepaid telefoons.
Of desnoods een politie-voip app op hun mobiel , zodat een deel van de authenticatie kan bestaan uit 'komt van een trusted device' .
Ook wat zorgwekkend dat hij (slechts) betrapt is dankzij het kraken van wat crypto foons - en niet door een audit/steekproeven op de bevragingen .
Je zou kunnen denken dat bij mensen die echt in de aandacht staan van de politie er een recherche team is dat 'eigenaar' is van , laten we zeggen, Mohammed al A. uit Rotterdam , en dan ook eens kijkt wat /wanneer er iets over 'm opgevraagd wordt.
En als dat door straatagent Jan Kees uit Epe gedaan wordt zich toch afvragen waarom die agent een bevraging doet over hun onderwerp.
En in z'n algemeenheid lijkt het me iets waar met statistiek/big data/machine learning (lekker hip, goed voor project budget) best wat te zeggen valt over 'uitschieters' in het patroon van bevragingen door agenten , en dat er dan best wat 'vriendendiensten' of persoonlijke onderwerpen uitspringen waarbij dan even nagevraagd kon worden hoe en waarom ze precies die bevraging nodig hadden.
Daarom stelt de politie vrij veel informatie zonder check vooraf ter beschikking aan de agent op straat. Agenten die misbruik maken worden bestraft. In dit geval lijkt het echter alsof een authenticatiestap gemist wordt waardoor een ex-agent toch toegang kon krijgen tot vertrouwelijke informatie. Ik verwacht dat procedures aangepast zullen worden om dit probleem in de toekomst te voorkomen. Ik hoop dat de ex-agent in kwestie een forse douw krijgt.
'forse douw' klinkt wat dunnetjes, dat is normaal de term die hoort bij 'aantekening in personeelsdossier' of 'laatste waarschuwing voor ontslag' .
De eerste keer was het (afgezien van strafontslag) - bij een strafeis van 2 jaar - dat de rechter vond dat met zes maanden wel genoeg afschrikking en vergelding geleverd was door de staat.
Blijkt maar weer van niet.
deelneming aan criminele organisatie, medeplichtigheid aan poging tot moord , recidivist - laten we 's kijken of een jaar of tien 'm helpt om 't af te leren zou ik zeggen.
prepaid burners krijgen ze daar sneller dan een wip en dat is al schering en inslag... en er zijn vast wel mensen in de bak die informatie willen over vijanden en de peraonen die ze in de bak hebben gestopt.
Klinkt als een waterdicht systeem…
Het hoofdprobleem hier lijkt geweest te zijn dat de authenticatie bestond uit het praten van het juiste jargon, en het kunnen noemen van dienstnummer (plus waarschijnlijk korps/naam) .
Ik weet niet hoe operationeel 'normaal' het is dat agenten een gewoon mobieltje gebruiken om te bellen (in plaats van die terminal in een surveillance wagen, of de c2000 porto) - maar hier gebruikte de crimineel gewone prepaid telefoons.
Of desnoods een politie-voip app op hun mobiel , zodat een deel van de authenticatie kan bestaan uit 'komt van een trusted device' .
Ook wat zorgwekkend dat hij (slechts) betrapt is dankzij het kraken van wat crypto foons - en niet door een audit/steekproeven op de bevragingen .
Je zou kunnen denken dat bij mensen die echt in de aandacht staan van de politie er een recherche team is dat 'eigenaar' is van , laten we zeggen, Mohammed al A. uit Rotterdam , en dan ook eens kijkt wat /wanneer er iets over 'm opgevraagd wordt.
En als dat door straatagent Jan Kees uit Epe gedaan wordt zich toch afvragen waarom die agent een bevraging doet over hun onderwerp.
En in z'n algemeenheid lijkt het me iets waar met statistiek/big data/machine learning (lekker hip, goed voor project budget) best wat te zeggen valt over 'uitschieters' in het patroon van bevragingen door agenten , en dat er dan best wat 'vriendendiensten' of persoonlijke onderwerpen uitspringen waarbij dan even nagevraagd kon worden hoe en waarom ze precies die bevraging nodig hadden.
Daarom stelt de politie vrij veel informatie zonder check vooraf ter beschikking aan de agent op straat. Agenten die misbruik maken worden bestraft. In dit geval lijkt het echter alsof een authenticatiestap gemist wordt waardoor een ex-agent toch toegang kon krijgen tot vertrouwelijke informatie. Ik verwacht dat procedures aangepast zullen worden om dit probleem in de toekomst te voorkomen. Ik hoop dat de ex-agent in kwestie een forse douw krijgt.
'forse douw' klinkt wat dunnetjes, dat is normaal de term die hoort bij 'aantekening in personeelsdossier' of 'laatste waarschuwing voor ontslag' .
De eerste keer was het (afgezien van strafontslag) - bij een strafeis van 2 jaar - dat de rechter vond dat met zes maanden wel genoeg afschrikking en vergelding geleverd was door de staat.
Blijkt maar weer van niet.
deelneming aan criminele organisatie, medeplichtigheid aan poging tot moord , recidivist - laten we 's kijken of een jaar of tien 'm helpt om 't af te leren zou ik zeggen.
Als je het artikel gelezen EN begrepen had, deze meneer was al ontslagen en kan dus GEEN douw krijgen.
Misschien moet je het zelf nog eens lezen. Het komt bij de rechtbank en die kan flink douwen.
Als je het artikel gelezen EN begrepen had, deze meneer was al ontslagen en kan dus GEEN douw krijgen.
Misschien moet je het zelf nog eens lezen. Het komt bij de rechtbank en die kan flink douwen.
Klinkt als een waterdicht systeem…
Je vergeet, denk ik, dat om een dergelijk systeem te bereiken je wel ingelogd moet zijn of op 't lokale politienetwerk of middels de vpn op een mobiel device. Alles wat je vanaf daar doet wordt gelogd en ik dus traceerbaar.
Klinkt als een waterdicht systeem…
Je vergeet, denk ik, dat om een dergelijk systeem te bereiken je wel ingelogd moet zijn of op 't lokale politienetwerk of middels de vpn op een mobiel device. Alles wat je vanaf daar doet wordt gelogd en ik dus traceerbaar.
Ik denk dat je de aanname doet dat RTIC een systeem is.. Het is een servicedesk die gebeld kan worden voor informatie.
Klinkt als een waterdicht systeem…
Je vergeet, denk ik, dat om een dergelijk systeem te bereiken je wel ingelogd moet zijn of op 't lokale politienetwerk of middels de vpn op een mobiel device. Alles wat je vanaf daar doet wordt gelogd en ik dus traceerbaar.
Ik denk dat je de aanname doet dat RTIC een systeem is.. Het is een servicedesk die gebeld kan worden voor informatie.
Dat is ook een menselijk systeem: hij heeft het er volgens mij vooral over hoe eenvoudig je data kan opvragen of het nou via een computer of via een mens is is om het even.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
