Opnieuw heeft er door een opgeheven domeinnaam een gevoelig datalek plaatsgevonden, wat aantoont dat organisaties domeinnamen niet meteen moeten opheffen als ze naar een nieuwe domeinnaam overstappen en het verkeer naar het oude domein moeten monitoren, zo stelt Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.
Het datalek deed zich voor bij Jeugdriagg, dat in 2015 de naam in de Kenter Jeugdhulp veranderde. De zorginstelling behandelt duizenden gezinnen met problemen. De domeinnaam jeugdriagg.nl ging drie jaar na de naamswijziging offline. In plaats van de domeinnaam aan te houden werd die opgeheven en kon zo door RTL Nieuws worden geregistreerd.
Gedurende een aantal weken ontving de omroep honderden gevoelige e-mails, waaronder psychologische verslagen, aanvragen voor medicatie, verzoeken van advocaten voor het verstrekken van dossiers en berichten van bezorgde ouders. Ook kwamen er e-mails binnen waarmee er toegang tot systemen van Kenter Jeugdhulp konden worden verkregen.
Het lukte RTL Nieuws ook om toegang tot de database van Vecozo te krijgen. Dit is naar eigen zeggen het landelijke knooppunt voor veilige digitale communicatie in de zorg. De organisatie regelt het administratieve berichtenverkeer tussen alle zorgverzekeraars, zorgkantoren, gemeenten en meer dan 44.000 zorgaanbieders. De database bevat volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. De toegang was mogelijk doordat Kenter Jeugdhulp de inloggegevens naar oude e-mailadressen stuurde.
Datalekken door verlopen domeinnamen, zoals vorig jaar plaatsvond bij Bureau Jeugdzorg Utrecht en eerder ook advocatenkantoren en de politie overkwam, zijn voor tien euro te voorkomen, zo liet de SIDN vorig jaar al weten. Op de eigen website roept de organisatie dan ook op om een domeinnaam niet zomaar op te zeggen. "Besef je dat de kans groot is dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen."
Daarnaast zijn er naar aanleiding van het datalek bij Kenter Jeugdhulp volgens de SIDN vijf lessen te leren, waarbij het niet zomaar opheffen van de domeinnaam als eerste wordt genoemd. In plaats daarvan is het verstandiger de domeinnaam te parkeren en het verkeer ernaar te monitoren. "Na verloop van tijd verdwijnen de oude mailadressen en referenties vanzelf uit de meeste betrokken systemen, maar dit kan wel enkele jaren duren."
Tevens moeten organisaties in kaart brengen over welke domeinnamen ze beschikken en waarvoor ze die gebruiken. Wanneer ernaar een nieuwe domeinnaam wordt overgestapt dienen medewerkers te worden geïnformeerd dat e-mailadressen van het oude domein niet langer geldig zijn en dat ze e-mails vanaf die adressen moeten negeren. Ook adviseert de SIDN het gebruik van tweefactorauthenticatie. Dan zou alleen een verkregen wachtwoord niet voldoende zijn geweest om in te loggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.