SIDN: voorkom datalekken, hef domeinnaam niet meteen op
Opnieuw heeft er door een opgeheven domeinnaam een gevoelig datalek plaatsgevonden, wat aantoont dat organisaties domeinnamen niet meteen moeten opheffen als ze naar een nieuwe domeinnaam overstappen en het verkeer naar het oude domein moeten monitoren, zo stelt Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.
Het datalek deed zich voor bij Jeugdriagg, dat in 2015 de naam in de Kenter Jeugdhulp veranderde. De zorginstelling behandelt duizenden gezinnen met problemen. De domeinnaam jeugdriagg.nl ging drie jaar na de naamswijziging offline. In plaats van de domeinnaam aan te houden werd die opgeheven en kon zo door RTL Nieuws worden geregistreerd.
Gedurende een aantal weken ontving de omroep honderden gevoelige e-mails, waaronder psychologische verslagen, aanvragen voor medicatie, verzoeken van advocaten voor het verstrekken van dossiers en berichten van bezorgde ouders. Ook kwamen er e-mails binnen waarmee er toegang tot systemen van Kenter Jeugdhulp konden worden verkregen.
Het lukte RTL Nieuws ook om toegang tot de database van Vecozo te krijgen. Dit is naar eigen zeggen het landelijke knooppunt voor veilige digitale communicatie in de zorg. De organisatie regelt het administratieve berichtenverkeer tussen alle zorgverzekeraars, zorgkantoren, gemeenten en meer dan 44.000 zorgaanbieders. De database bevat volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. De toegang was mogelijk doordat Kenter Jeugdhulp de inloggegevens naar oude e-mailadressen stuurde.
Datalekken door verlopen domeinnamen, zoals vorig jaar plaatsvond bij Bureau Jeugdzorg Utrecht en eerder ook advocatenkantoren en de politie overkwam, zijn voor tien euro te voorkomen, zo liet de SIDN vorig jaar al weten. Op de eigen website roept de organisatie dan ook op om een domeinnaam niet zomaar op te zeggen. "Besef je dat de kans groot is dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen."
Daarnaast zijn er naar aanleiding van het datalek bij Kenter Jeugdhulp volgens de SIDN vijf lessen te leren, waarbij het niet zomaar opheffen van de domeinnaam als eerste wordt genoemd. In plaats daarvan is het verstandiger de domeinnaam te parkeren en het verkeer ernaar te monitoren. "Na verloop van tijd verdwijnen de oude mailadressen en referenties vanzelf uit de meeste betrokken systemen, maar dit kan wel enkele jaren duren."
Tevens moeten organisaties in kaart brengen over welke domeinnamen ze beschikken en waarvoor ze die gebruiken. Wanneer ernaar een nieuwe domeinnaam wordt overgestapt dienen medewerkers te worden geïnformeerd dat e-mailadressen van het oude domein niet langer geldig zijn en dat ze e-mails vanaf die adressen moeten negeren. Ook adviseert de SIDN het gebruik van tweefactorauthenticatie. Dan zou alleen een verkregen wachtwoord niet voldoende zijn geweest om in te loggen.
https://www.welivesecurity.com/2020/05/05/professional-data-leakage-security-vendor-my-personal-data/
Staatsbedrijf der PTT
Radiocontroledienst
Directoraat Kabel en Verbindingen DKV
Directoraat Kabel, Radio en Verbindingen DKRV
Bijzonder Radio Dienst (BRD)
Ministerie van Verkeer en Waterstaat Directie Operationele Zaken MinVWS DOZ
Ministerie van Verkeer en Watestaat Hoofdirectie Telecommunicatie en Post HDTP
Inspectie Verkeer en Waterstaat Rijksdienst voor Radiocommunicatie IVW RDR
Ministerie van Economische Zaken Agentschap Telecom Min-EZ AT
En dat is gewoon een overheidstak die sinds 1929 hetzelfde doet.
Moet je nagaan wat voor domeinnamen zo'n club heeft na 91 jaar aankloten met namen.
Waarom komen ze niet met iets wat echt werkt, bijvoorbeeld een regel dat een opgezegde domeinnaam niet kan worden her-uitgegeven zonder handmatige verificatie van de achtergrond van de aanvrager?
Dus niet alleen 40 dagen maar gewoon helemaal NIET.
Tja dan verdien je er geen geld meer aan als SIDN maar zoveel hoeft dat toch niet te kosten, en als compensatie zou er een vergoeding gehangen kunnen worden aan de heruitgifte van een eerder opgezegd domein.
Staatsbedrijf der PTT
Radiocontroledienst
Directoraat Kabel en Verbindingen DKV
Directoraat Kabel, Radio en Verbindingen DKRV
Bijzonder Radio Dienst (BRD)
Ministerie van Verkeer en Waterstaat Directie Operationele Zaken MinVWS DOZ
Ministerie van Verkeer en Watestaat Hoofdirectie Telecommunicatie en Post HDTP
Inspectie Verkeer en Waterstaat Rijksdienst voor Radiocommunicatie IVW RDR
Ministerie van Economische Zaken Agentschap Telecom Min-EZ AT
En dat is gewoon een overheidstak die sinds 1929 hetzelfde doet.
Moet je nagaan wat voor domeinnamen zo'n club heeft na 91 jaar aankloten met namen.
Je gooit van alles door elkaar. PTT is absoluut niet hetzelfde als agentschap telecom enzovoorts.
Niet te doen
En de taak van de CISO. Hef een domein naam nooit op, het kost hooguit een paar tientjes per jaar.
een ander probleem is dat organisaties wel een FG hebben aangesteld maar deze totaal niet op de hoogte houd over wat er in de organisatie gaande is. Ze kunnen alleen advies geven over wat ze weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
