Namen, schulden en medische gegevens zichtbaar door lek bij bewindvoerders

In dit artikel:

In Nederland zijn veel duizend­en mensen onder bewind—iemand anders regelt hun geldzaken wanneer ze dat zelf niet (meer) kunnen. RTL Nieuws ontdekte dat veel bewindvoerders onbedoeld extreem gevoelige cliëntgegevens blootstelden nadat ze hun oude e-maildomeinen lieten verlopen. De kwetsbaarheid kwam aan het licht toen ethisch hacker Wesley Neelen zich in de gelekte Odido-data verdiepte (Odido werd eerder dit jaar gehackt) en ontdekte dat veel cliënten het e-mailadres van hun bewindvoerder als contact hadden opgegeven. Door die verlopen domeinen opnieuw te registreren kreeg Neelen eenvoudig toegang tot binnenkomende e-mails en kon hij in enkele weken 258 financiële dossiers inzien; daarna sloot hij de mailboxen weer.

De gelekte berichten bevatten persoonlijke en financiële details: namen, adressen, telefoonnummers, bankgegevens, belastingdocumenten, salarisstroken, medische aanvragen, aanmaningen, incasso‑dwangsommen en zelfs overlijdensakten en testamenten. In sommige meldingen stond ook informatie over iemands thuissituatie (bijvoorbeeld ernstige woonvervuiling of verward gedrag). Deskundigen waarschuwen dat zulke informatie niet alleen tot schaamte leidt, maar kwetsbare cliënten ook makkelijker tot criminaliteit en frauduleuze aanbiedingen maakt.

Technisch zit het probleem in verlopen domeinnamen. Veel kantoren fuseerden of werden overgenomen; de oude eigenaar laat de domeinnaam vaak vervallen om kosten te besparen—ongeveer tien euro per jaar. Zodra de domeinnaam vrij is kan iedereen die registreren en zo alle inkomende e-mail ontvangen. SIDN (de Nederlandse domeinnaambeheerder) stuurt waarschuwingen als een gevoelige domeinnaam vervalt, en onderzoeker Moritz Müller ontwikkelde daarvoor een tool, maar waarschuwingen worden niet altijd opgevolgd. RTL Nieuws wijst ook op eenzelfde zwakte die in 2019 al bij jeugdzorg werd aangetroffen.

IT-juristen en schuldenexperts noemen het een groot probleem en roepen organisaties op actief domeinen te beschermen en cliënten te informeren. Branchevereniging Aegis zal leden waarschuwen en onderzoekt een protocol voor dit soort incidenten. De bewindvoerder en zijn opvolger die in het verhaal genoemd worden, geven aan dat het opzeggen van domeinnamen in hun geval een kostenbesparing was—twaalf domeinnamen opgezegd om jaarlijks ongeveer 120 euro te besparen—maar die besparing leidde tot een ernstig datalek; de domeinnamen zijn inmiddels weer veiliggesteld. Neelen zelf heeft enkele populaire bewindvoerdersdomeinen geregistreerd om misbruik te voorkomen en adviseert simpel onderhoud: de jaarlijkse tien euro betalen om dit type lek te vermijden.

Kortom: nalatigheid bij het beheer van e-maildomeinen van bewindvoerders heeft geleid tot grootschalige blootstelling van uiterst gevoelige informatie van kwetsbare mensen. Simpele, goedkope maatregelen zouden veel van deze risico’s kunnen wegnemen.