Nieuws
dinsdag 11 juni 2024

Ethische hacker Inti De Ceukelaire's idee om (oude) domeinnamen van openbare besturen te gaan registeren ...

Jan Guldentops (AP lector / CWW moderator) volgde 2 weken geleden (23/05) de hele twitter-discussie rond oude domeinnamen van openbare instellingen (steden, gemeenten, OCMW, politie, ...) waarbij Inti De Ceukelaire de kat de bel aan gebonden heeft. Hij had namelijk op de CyberWeerbaarheidsWoensdag (CWW) van V-ICTOR een aantal vragen gekregen rond Inti De Ceukelaire's geniale idee om (oude) domeinnamen van openbare besturen te gaan registeren en er de mail van te onderscheppen.

Goed gevonden om oude domeinnamen die besturen laten vervallen opnieuw te registreren en er een mailserver achter te hangen. En ja er gaat mail toekomen op een foute plek (net zoals dit ook gebeurt als je fysiek verhuist.) En ja je gaat in staat zijn om bepaalde accounts en toepassingen die geregistreerd zijn op het oude domeinnaam te resetten en ze over te nemen.

KLIK HIER naar de eventpagina van onze CIS 2024 - cyber and information security dag op 03/10/2024 te Lamot Mechelen. Waar én Jan Guldentops én ook Inti De Ceukelaire aanwezig zijn.

-/-

Lees hieronder de bewuste LinkedIn post.

What’s in a (domain) name? Mijn twee cent?

Het leeuwendeel van de mail die er op toekomt zal vrij onschadelijk of onbruikbaar zijn. Al zal hier en daar wel een dropbox of een andere account overgenomen kunnen worden. Hoe groot het potentiëel is moeilijk in te schatten. Bovendien hebben de meeste besturen een incentive om te impact te vergoeielijken terwijl Inti terecht zoveel mogelijk aandacht hier voor vraagt. De waarheid ligt in het midden maar ga er vanuit dat er op deze manier e-mail en potentieel allerlei accounts in handen van (gelukkig ) Inti De Ceukelaire gevallen zijn.

Het toont mijns inziens vooral aan hoe ad hoc en zonder veel doorzicht we omgaan met allerlei basis-elementen van digitale infrastructuur. Op zich was het voor de meeste besturen slimmer geweest om de domeinnamen a rato <10€ / jaar nog een paar jaar aan te houden. Op die manier waren potentieel datalekken voorkomen en kan ook één of andere commerciële snoodaard kan het domein niet misbruiken om er promotie mee te voeren, te scammen, vissen of ander ongein mee uit te halen.

We beseffen te weinig hoe belangrijk dat kleine elementje van een domeinnaam is. Het is het hart van je hele internet-aanwezigheid en kan op nog meer creatieve manieren misbruikt worden.

We beseffen bovendien niet hoe noodzakelijk het is om op een doordachte manier van al die leuke clouddiensten gebruik te maken. En vooral dat we dit niet inventariseren en documenteren en nadenken over wat dit nu allemaal zou inhouden. Inti heeft een hele discussie over hoe pijnlijk het is dat de gemeente Pelt een aantal dropbox accounts op het oude overpelt.be domein staan heeft. Ik zou het pijnlijk vinden als een gemeente confidentiële gegevens, laat staan persoonsgegevens op dropbox zou staan hebben.

Ook het gebruik van een e-mail als extra authenticatie factor is iets waar we met zijn allen eens over na moeten denken. En vooral hoe we met die e-mailadressen omgaan. Nauwelijks bedrijven hebben een uitdienst procedure of afspraken over hoe je omgaat met het e-mailadres van een vertrekkende werknemer: ofwel blijft dit bestaan zonder boodschap ( out-of-office) en wordt de mail nog jaren geforward, ofwel kan de medewerker er nog jaren gebruik van maken.

Last but not least kreeg ik de vraag of dit als datalek gemeld moet worden bij de toezichtshouder ( Vlaamse Toezichtscomissie voor Vlaamse Overheid o.a. gemeentes en Gegevensbeschermingsautoriteit voor de anderen). Wel je moet een lek pas melden als je het ontdekt en er tijdens dit lek persoonsgegevens verloren of gestolen worden. Het is als bestuur moeilijk in te schatten of dit het geval is. Als inti toegang gekregen heeft tot de dropbox-account van pietje.puk@overpelt.be waar hij foto’s van kanariepietjes bijhoudt dan is er niet veel aan de hand, als pietje als medewerker van het OCMW een lijst van alle verdeelde maaltijden met naam en toenaam deelde om ze door te geven aan een Traiteur dan is er stront aan de knikker. Als hier ook maar enige indicatie van zo’n lek is en er is risico voor het datasubject aan verbonden moet je het melden.

Conclusie: beschouw dit als een wakeup call en laten we blij zijn dat een ethische hacker op dit idee is gekomen. Dikke merci Inti De Ceukelaire!

Todo's :

  • Meld het als je te weten komt dat dit is fout gegaan en je vermoedt dat er persoonsgegevens zijn gelekt. (cfr. infra )
  • Denk na of je veelgebruikte domeinnamen opgezegd hebt en of je die terug kan halen.
  • Maar vooral: ga op een structurele manier met veiligheid en privacy om en niet op een ad hoc, random manier.


De gemeente Pelt is niet bij de pakken blijven zitten en heeft ondertussen (in de week van 27 mei) ook effectief de nodige stappen ondernomen om hun domeinnaam terug in handen te krijgen - en met succes.
 


SOURCE / BRON > KLIK HIER.

KLIK HIER naar de eventpagina van onze CIS 2024 - cyber and information security dag op 03/10/2024 te Lamot Mechelen. Waar én Jan Guldentops én ook Inti De Ceukelaire aanwezig zijn.


Vragen? Opmerkingen? Contacteer ons!

GEBRUIK ONZE INFORMATIEVEILIGHEIDSTOOL