Vorige week donderdag ontving ik een curieus emailtje.
Een dame schreef mij dat delen van een email uitwisseling
tussen mij en een overheidsdienaar op haar telefoon terecht
kwamen, en vroeg mij of dat wel de bedoeling was. Het ging niet
alleen om email van mij, maar ook andere email tussen
ambtenaren die als vertrouwelijk te bestempelen valt.
Uiteraard intrigeerde mij dit zeer, dus ik heb getracht een en
ander uit te zoeken: ver ben ik echter niet gekomen. De
betreffende ambtenaar heeft een emailadres bij
Planet Internet/Worldaccess (PI), alwaar het mogelijk is via
href=/golink.php3?url=http://www.kpn-mobiel.nl/ht-docs/diensten/EasyM@il/EasyM@il_intro.h
+tml target=_blank>EasyM@il
email naar een mobiele telefoon door te sturen. Na veel nadenken en
het bekijken van alle mogelijkheden leek het er sterk op dat door
een fout bij PI of door een kraak van het systeem bij PI met succes
de mail van een bepaald account is doorgestuurd naar de telefoon van
een willekeurig iemand. Ik heb vandaag contact opgenomen met Phons Bloemen,
beveiligingsman bij PI, die mij het volgende wist te vertellen:
"Het is een toevallige samenloop van omstandigheden, en het security
lek dat we hebben ontdekt is het volgende (neem even het volgende
tijdpad)

1. je neemt een mobieltje van KPN (prepay, of abo, ik dach dat het
   ook wel met libertel mobieltjes werkt.
   
2. je neemt een ISP accountje (in dit geval Planet, xs4All, euronet
   en nog twee, zie EasyM@il site)
   
3. op dit accountje zet je EasyM@il.
   
4. je kijkt nooit meer naar EasyM@il om.
   
5. later zeg je het mobieltje op
   
6. het mobiele nummer wordt door de mobiele telco na 3 maanden
   'gerecycled'.
   
7. de nieuwe eigenaar van het nummer wordt verblijd met een instant
   tapvoorziening op jouw email.
   
   Wat ontbreekt hier: bij de opzegging van het mobieltje wordt geen
   terugmelding gedaan naar de EasyM@il dienst, noch naar de 5 ISP's die
   EasyM@il aanbieden.

   EasyM@il wordt gerealiseerd door het zetten van een .forward. Om
   EasyM@il te gebruiken moet je je dus beken maken bij de ISP (UID/PWD)
   en bij EasyM@il (na initiele aanmelding wordt er een sms met een
   passcode naar je mobieltje gestuurd. De forward is een 'copyforward':
   de mail blijft gewoon in je mailbox staan, maar wordt tevens IN ZIJN
   GEHEEL naar EasyM@il gestuurd. In eerste instantie worden ze aldaar
   geteld en krijg je een sms'je met het aantal mailtjes. Later kwam er
   de optie bij om ook headers en body van het mailtje te SMS'en
   (ongeveer wat je krijgt als je je mail met een palm synct). Verder
   moet je er op vertrouwen dat EasyM@il de mail na processen in de
   bittenbak stopt. Maar dat vertrouwen is even 'zwaar' als dat je je
   provider moet vertrouwen dat hij je mail niet inkijkt.

   Het securitylek is dus het niet terugmelden van een opgezegd account
   bij alle diensten die van dat account gebruik maken. Hetzelfde
   gebeurt met email adressen of aliasen: als je deze opzegt, dan kunnen
   die ook gerecycled worden. De nieuwe eigenaar zal worden verblijd met
   al je oude mailinglist abonnementen, en mail van 'kennissen' die je
   niet vaak mailen.

   
   Er is dus geen sprake van een kraak of een onoplettendheid bij PI,
   maar van een ontwerpfout in EasyM@il: opgezegde mobiele abonnementen
   worden niet teruggemeld aan EasyM@il en aan de deelnemende providers."

   Wat hier weer eens duidelijk geworden is, is dat je niet voorzichtig
   genoeg kan zijn met je email: de mail tussen mij en de andere persoon
   was niet bepaald geheim, maar het lijkt mij toch verstandig
   om vertrouwelijke informatie over versleutelde kanalen te communiceren.

   Aangezien de betreffende dame op wiens telefoon de brichten binnenkwamen over een KPN abonnement beschikt, heb ik
   donderdag contact met de persdienst van KPN gehad. Hun antwoord wil
   ik u niet onthouden: "neemt u maar contact met de de storingsdienst
   op".