Cybercriminelen kunnen heel eenvoudig klantgegevens van bewindvoerders buitmaken, aldus RTL Nieuws maandag. Daardoor kunnen persoonsgegevens van mensen met financiële problemen, een groep die extra kwetsbaar is voor fraude en uitbuiting, in verkeerde handen vallen. Het gevaar schuilt in slecht beveiligde oude e-mailadressen.

De aanleiding voor het onderzoek was het Odido-datalek, waarbij ethisch Hacker Wesley Neelen zag dat “veel mensen het e-mailadres van hun bewindvoerder gebruiken”. Niet raar als je onder bewind staat. En inderdaad een groep die extra kwetsbaar is voor criminelen die ze “snel extra geld verdienen” voorhouden.

Het echte probleem is echter diepen, zoals Neelen toelicht:

Deze mailadressen waren alleen niet meer in gebruik, en met een druk op de knop kon hij de website en bijbehorende mailbox registreren en overnemen: “Technisch gezien is het heel makkelijk. Ik stond ervan te kijken dat er nog zo veel e-mails binnenkwamen terwijl de inbox al een tijd niet meer in gebruik is.”

Dit probleem is an sich niet nieuw; elke paar jaar zie ik wel een nieuwsbericht of onderzoek dat gevoelige mails kunnen worden onderschept als je een oud domein van [organisatie X|bedrijven in branche Y|overheid Z] registreert en een catchall mailadres inricht. De impact is natuurlijk wel groot als dit écht een malafide partij is.

De onderliggende reden waar we het écht over moeten hebben, is de gedachte dat je oude domeinnamen opheft. Waarom? Ik citeer weer even RTL:

Veel bewindvoerders zijn de afgelopen jaren gefuseerd of overgenomen door andere organisaties. De bewindvoerder moet zijn eigen website en e-mailbox, zoals @bewindvoerder .nl, beveiligd afsluiten om misbruik te voorkomen. Dat kost ongeveer tien euro per jaar. Veel bewindvoerders betalen die kosten niet en laten de domeinnaam van hun website verlopen.

Dat “beveiligd afsluiten” wil zoveel zeggen als de domeinnaam actief houden maar zorgen dat alle mails teruggestuurd worden met een autoreply of een technische foutmelding. Dit is op zich een eenmalige moeite, en dat tientje per jaar is vooral de administratieve overhead van de betrokken partijen.

Misschien wordt het tijd voor een nieuwe AVG-meme: domeinnamen opheffen mag niet van de AVG, want het veroorzaakt datalekken wanneer (niet als) ze door een ander worden geregistreerd. En de kostenbatenanalyse valt zó duidelijk in het voordeel van “geregistreerd houden” uit, dat ik geen tegenargument meer weet.

Arnoud