Nederland

Niet meer mailen als Rutte: Tweede Kamer dicht lek in e-mail

24 oktober 2017 10:45 Aangepast: 25 oktober 2017 05:00
Beeld © ANP

De Tweede Kamer heeft vannacht een beveiligingsprobleem opgelost waardoor mensen konden mailen namens Tweede Kamerleden. Het lukte journalisten van Follow The Money om als Mark Rutte, Geert Wilders en Alexander Pechtold naar andere Tweede Kamerleden te mailen.

Dit fenomeen staat bekend als e-mail spoofing. Een goed ingestelde e-maildienst controleert normaal of de afzender ook de daadwerkelijke afzender is, maar dat deed de Tweede Kamer niet. In de het webdomein van de Tweede Kamer ontbrak een instelling die e-mail spoofing voorkomt.

Hierdoor was het mogelijk om namens bijvoorbeeld m.rutte@tweedekamer.nl een mail te sturen naar andere Tweede Kamerleden. Het is niet mogelijk om een antwoord op die mail te lezen. Die belanden in de echte inbox van het betreffende Tweede Kamer-lid.

De Tweede Kamer meldt op zijn website dat 'de kwetsbaarheid inmiddels is verholpen'. Er is alleen nog wel wat werk te doen: de nonprofit Internet.nl raadt de Tweede Kamer aan om nog minstens twee extra checks te configureren om e-mail spoofing zo goed mogelijk te voorkomen.

Ontbrekende instelling

Follow The Money waarschuwde gisteravond in RTL Late Night voor de gevaren van e-mail spoofing: een kwaadwillende kan bijvoorbeeld een e-mail met een virus sturen waarbij het lijkt alsof de minister-president de mail stuurt. De ontvanger is dan sneller geneigd om de mail te openen waardoor de kans groter is dat het virus wordt verspreid.

De journalisten van Follow the Money verstuurden gisterenmiddag onder andere een e-mail uit naam van Mark Rutte naar de mede-onderhandelaars van het regeerakkoord: "Net inventarisatie gemaakt van zaken die onze bewindslieden mogelijk in opspraak kunnen brengen. Het ziet er naar uit dat we opnieuw moeten beginnen, jongens."

Al ruim een jaar bekend

De Kamer werd gisteravond vlak voor de uitzending van RTL Late Night door Follow the Money op de hoogte gesteld dat er nepmails waren verstuurd. "Het is jammer dat het probleem pas wordt opgelost als het nieuws wordt", zegt Dieuwertje Kuijpers​ van Follow the Money tegen RTL Nieuws. 

In RTL Late Night vertelde oud-PvdA-Kamerlid Astrid Oosenbrug​ dat het beveiligingsprobleem al ruim een jaar bekend was: ze heeft er in juni vorig jaar nog Kamervragen over gesteld. Ondanks haar inspanningen is er tot gisterenavond niets aan gedaan.

Kijk hier het fragment over het lek in RTL Late Night:

Tekst loopt onder video door

Dit kun je doen tegen e-mail spoofing

E-mail is ontwikkeld zodat je vanaf elk e-mailadres een mail kunt sturen. Daarvoor hoef je geen toegang te hebben tot de mailserver. Je kunt het vergelijken met briefpost: daar kun je ook, als je wilt, een andere ontvanger of afzender op de envelop schrijven. 

Inmiddels zijn we tientallen jaren verder en zijn er technische oplossingen bedacht om dit zo goed mogelijk te voorkomen: SPF, DKIM en DMARC. 

  • SPF bekijkt of de verzender namens het e-mailadres een mail mag verzenden. De ontvangende partij controleert dit en bepaalt of de mail wordt geblokkeerd of wordt doorgelaten.
  • DKIM ondertekent je e-mails met een digitale handtekening waarmee de ontvanger weet dat de mail door de bijbehorende mailserver is verzonden.
  • DMARC bepaalt wat er gebeurt met mails die niet voldoen aan de SPF- en DKIM-voorwaarden.

Bij de meeste webhostingpartijen kun je deze opties toevoegen aan je webdomein. Op Internet.nl lees je meer over deze beveiligingstechnieken.

`