Begin bij 10) Conclusie onderaan.

Klanten van Vitens ontvangen e-mails met de volgende afzender en onderwerp:

In de e-mail staat onnodig veel identificerende informatie (persoonsgegevens). Naast het (onvermijdelijke) e-mailadres van de ontvanger, staat in dergelijke e-mails:

• Voorletter(s), tussenvoegsel en achternaam;
• Straat en huisnummer;
• Postcode en woonplaats;
• Aanhef (in mijn geval): "Geachte heer Van Straten," (dus inclusief geslacht);
• Vitens klantnummer;
• Opnamekenmerk: een getal van slechts 10 cijfers;
• Watermeternummer.

Klanten van Vitens weten heus zelf wel hoe zij heten - en waar zij wonen (dat een klant deze info op de website van Vitens moet invullen begrijp ik, maar, zoals gezegd, die gegevens kent de klant al; Vitens maakt hiermee potentiële kwaadwillenden alleen maar wijzer).

En welk intern klantnummer Vitens er voor haar klanten op nahoudt, interesseert klanten niet, laat staan dat zij van elk bedrijf hun klantnummer zouden willen en kunnen onthouden.

Ook het nummer van de watermeter kan de klant, als dat ergens voor nodig zou zijn, zelf aflezen op dat apparaat en vergelijken met het nummer, zoals vermeld onder diens gegevens, op de website van Vitens.

Nb. denkbaar is dat een deel van de klanten, zoals "all in" verhuurders, wél behoefte heeft aan aanvullende informatie. Prima, maar het concept dataminimalisatie vereist dat je niet alle klanten over een kam scheert (hanteer uitzonderingen indien noodzakelijk).

Merk op dat het "Opnamekenmerk" effectief het wachtwoord is om (samen met andere, minder geheime, gegevens) data te kunnen wijzigen in het account dat Vitens er voor haar klanten op nahoudt.

Midden in de e-mail zit een grote rechthoekige "knop":
De link "onder die knop", die je te zien kunt krijgen als je (afhankelijk van de gebruikte browser, bijvoorbeeld) wat langer op die knop drukt, luidt:

   https://090i5.mjt.lu/lnk/CA[...]bmc9

waarbij [...] uit meerdere regels onleesbare letters, cijfers en leestekens bestaat. Het gaat hier evident om een Luxemburgse domeinnaam "mjt" - waarbij uit niets blijkt dat deze iets met vitens.nl te maken heeft (en ook niet zomaar met mailjet.com, zie verderop).

Onder de bovengenoemde knop in de e-mail staat de volgende tekst:

"Onder" www.vitens.nl/meterstand zit óók bovengenoemde link (die begint met https://090i5.mjt.lu/); de Vitens-klant wordt hier opzettelijk MISLEID.

Naast dat er, zoals helaas gebruikelijk, geen https:// aan www.vitens.nl/[...] voorafgaat. Iemand die www.vitens.nl/meterstand naar het klembord kopieert en in de adresbalk van diens webbrowser plakt, en waarbij de browser géén https-verbinding afdwingt, loopt het (meestal kleine, maar toch) risico op een geslaagde AitM-aanval (Attacker in the Middle, ook bekend als MitM, "Man").

Verderop in de mail staat:

Leken zegt de onderstaande informatie (terecht) helemaal niets, en in steeds minder e-mailprogramma's (vooral op smartphones) kun je e-mailheaders zichtbaar maken. Voor degenen die het volgende begrijpen, uit de e-mail-"kopregels" (ik heb de tekst geherformatteerd om de leesbaarheid te vergroten):
Dit is allemaal "in orde", in zoverre dat Vitens zélfs de verzending van gepersonaliseerde e-mails (het gaat hier niet om de klassieke "bulk" mail, waarbij dezelfde e-mail naar veel klanten wordt gestuurd) aan haar klanten uitbesteedt aan "mailjet.com".

Kennelijk gebruikt mailjet.com een webserver met een Luxemburgse domeinnaam om te registreren wie, en wanneer precies, op een link in zo'n mail klikt (waarna de browser van de Vitens-klant, door *.mjt.lu, wordt doorgestuurd naar *.vitens.nl); dit is ordinaire spyware. En dat is nergens voor nodig (zie mijn verbetervoorstel verderop), en dus tevens in strijd met de AVG.

Nb. aan het feit dat hier, qua SPF, DKIM en DMARC alles "in orde" is, heeft een Vitens-klant helemaal niets - tenzij die klant weet dat bijvoorbeeld <noreply@mail-vitens.nl> niet van Vitens is (wat mail.vitens.nl overigens ook niet meer is, sinds Vitens het gebruik daarvan heeft uitbesteed aan mailjet.com). Van dit soort impersonerende domeinnamen bestaat een ontelbaar aantal variaties, denk aan mail.vitens.co, vitens-mailings.com en ga zo maar door - waarbij het voor de phishers een koud kunstje is om ook voor die domeinnamen, SPF, DKIM en DMARC te laten kloppen; die protocollen helpen in de praktijk (net als Domain Validated https servercertificaten) voor geen meter tegen impersonatie van domeinnamen.

Dat nog "even" los van het feit dat ik, bijvoorbeeld met Apple mail op mijn iPhone, ongelofelijk veel moeite moet doen om het SMTP-afzenderadres überhaupt zichtbaar te maken.

Iedereen die zo'n mail onterecht in handen krijgt, beschikt over meerdere persoonsgegevens van een Vitens-klant. En kan, desgewenst, als zijnde die Vitens-klant, een onjuiste meterstand doorgeven aan Vitens (bijvoorbeeld om de klant op kosten te jagen). Met deze gegevens kan een kwaadwillende mogelijk tevens een Denial of Service aanval uitvoeren - door de klant (bijvoorbeeld telefonisch) te laten afsluiten.

Een ander risico: iedereen die deze gegevens in handen krijgt kan zich voortaan, richting de klant, voordoen als Vitens of als een (bestaand of fictief) NUTS-bedrijf dat iets met waterleidingen en/of watermeters doet. Zo kunnen zij bijvoorbeeld een woning "binnendringen" door aan de voordeur te liegen:
Dat zal de meeste mensen ervan overtuigen dat zij die nepmedewerkers binnen moeten laten, waarna zo'n Vitens-klant kan worden beroofd of op andere wijze schade kan worden berokkend.

De kans dat zo'n e-mail in verkeerde handen valt is overigens allesbehalve klein. De afgelopen jaren zijn meerdere externe partijen, die de verzending van "bulk-mail" verzorgen, gehacked (minstens één van hen meer dan één keer), of was er op andere wijze sprake van een datalek.

Bovendien hebben beheerders van de ontvangende mailserver (met het e-mailaccount van de Vitens-klant) in potentie toegang tot e-mails.

Daarnaast worden e-mails op veel mailservers gescand op kenmerken van spam en phishing, en indien "gevlagd", doorgestuurd naar organisaties die spam/phishingfilters zeggen te verbeteren. Met in een e-mail de tekst www.vitens.nl/meterstand en "daaronder" een totaal afwijkende link, is zo'n e-mail bij uitstek kandidaat om naar een externe partij te worden doorgestuurd, waarvan de betrokken medewerkers, en de veiligheid van hun systemen, ook (blind) moet worden vertrouwd.

Ten slotte, mocht een onbevoegde toegang hebben (verkregen) tot het e-mailaccount van een Vitens-klant, dan krijgt deze informatie in handen die bij uitstek geschikt is om die klant verder om de tuin te leiden.

Het slecht 10 cijfers lange opnamekenmerk zou, in elk geval in theorie, tot een IDOR-kwetsbaarheid [1] kunnen leiden. Bovendien is het idioterie om hier uitsluitend cijfers voor te gebruiken: als je daar 10 cijfers en plus 20 mogelijke hoofd- en kleine letters (*) voor zou gebruiken, hoeven klanten (indien nodig) slechts 8 karakters over te tikken, met als bonus veel meer "entropie" (mogelijke combinaties). Bij 10 "posities" daarmee heb je al meer dan 9 miljoen maal zoveel mogelijkheden dan bij 10 cijfers.

[1] https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html

(*) Door niet alle 26 letters te gebruiken, kun je verwarring tussen bijvoorbeeld '0' en 'O', of 'I' en 'l', helpen voorkómen).

In plaats van het strooien met al die persoonsgegevens, notabene via een derde partij van het type dat relatief vaak gehacked wordt, had Vitens kunnen volstaan met iets als:
Hierbij dient de link "onder" de tekstuele weergave van de URL identiek te zijn aan de getoonde.

Genoemde CSRGUID moet vanzelfsprekend een cryptografisch random gegenereerde GUID (Globally Unique Identifier) zijn.

Vitens kan vervolgens aan Mailjet doorgeven hoeveel van haar klanten (niet exact wie waneer) via een e-mail van mailjet.com de Vitens website hebben geopend, en zo de rekening daarvoor betalen (indien het contract met mailjet.com een "pay per click" clausule bevat).

Naast dat Vitens de AVG overtreedt door, in e-mails waar derden toegang tot hebben, met absurd veel persoonsgegevens te strooien, en kliks via een website van derde partij laat verlopen, heeft dit bericht meerdere kenmerken van een phishing-mail:

1: De aanhef luidt: "Geachte heer Van Straten,". Dit is tegenwoordig normaal bij de meeste phishingmails. Immers, uw en mijn gegevens liggen allang op straat - ook zonder dat u daarvan op de hoogte gesteld wordt [2]. Daarmee is zo'n aanhef verraderlijk misleidend; in steeds meer gevallen levert dit géén bewijs op dat de afzender is wie zij of hij claimt te zijn;

2: Een link naar een mij totaal onbekende server (met een Luxemburgse domeinnaam);

3: Misleiding: suggereren dat je naar www.vitens.nl/meterstand gaat, terwijl dit niet zo is;

4: Dreigen met extra kosten;

5: Tijdsdruk.

[2] https://autoriteitpersoonsgegevens.nl/actueel/ap-waarschuwt-risicos-cyberaanvallen-vaak-veel-te-laag-ingeschat

Ontvangers doen er verstandig aan om dit soort mails onmiddellijk te verwijderen. Zij kunnen natuurlijk contact proberen op te nemen met de geclaimde afzender en om beterschap vragen, maar IK heb geen zin meer in de tijdverspilling, het onbegrip en de effectiviteit (nul) van dat soort pogingen.

Hoe zinvol is het nog, met het hierboven beschreven wangedrag van Vitens (**) om internetters erop te wijzen dat zij links in e-mails moeten checken, vóórdat zij daarop klikken, en niet moeten klikken indien die link naar een onbekende website verwijst?

(**) Vitens is niet de enige partij die zo debiel is. Ik ontvang bijvoorbeeld ook e-mails, naar verluidt van eigenhuis.nl -in mijn spambox- met daarin mijn klantnummer en links die beginnen met https://<lang_hexadecimaal_getal>.svc.dynamics.com/[...].

Het is de hoogste tijd dat de AP (Autoriteit Persoonsgegevens) vette boetes gaat uitdelen voor organisaties die de AVG op dergelijke flagrante wijze overtreden, en/of klanten aanleren dat het normaal is om op bespottelijke links te klikken - met als gevolg dat zij nep-mails niet meer van echte kunnen onderscheiden, en zo in phishing leren trappen. Zolang "marketeers", die totaal niet geïnteresseerd zijn in serieuze beveiliging, bijna hersenloos dit soort mails in elkaar blijven flanzen, blijft het - qua security incidenten (inclusief ransomware en online berovingen) - dweilen met de kraan open. En blijft de AVG een farce.

Om te zien met hoe weinig informatie online cybercriminelen, volstrekt niet "domme" mensen, m.b.v. uren durende en langzaam opgebouwde psychologische oorlogsvoering, totaal op het verkeerde been kunnen zetten, lees het verhaal van (de m.i. zeer dappere) journaliste Charlotte Cowles in https://www.thecut.com/article/amazon-scam-call-ftc-arrest-warrants.html. Onnodig veel mensen worden middels oplichting "op afstand" (via de telefoon, SMS en/of via internet - alle communicatievormen) bestolen. Ook als zij hun geld terugkrijgen, kan de psychologische schade enorm zijn - inclusief het denken aan zelfmoord (of erger dan denken).

Ga ervan uit dat cybercriminelen alles van je weten; bedrijven zoals Vitens gooien de door phishers benodigde informatie simpelweg in hun schoot. En onthoud dat je, op afstand, onmogelijk kunt vaststellen of iemand is wie zij of hij zegt te zijn.