Achtergrond
Sinds het samengaan van OCMWs en gemeenten, zijn deze ook op ICT-vlak samengesmolten. Waar er vroeger emailadressen en websites waren van de vorm secretaris@ocmw-bestuur.be en www.ocmw-bestuur.be zijn die sindsdien (omwille van vereenvoudiging, kostenbesparing of eenduidigheid in communicatiekanalen) vervangen door algemene dienst@bestuur.be en www.bestuur.be-adressen. De originele ocmw-bestuur.be domeinen zijn na enkele jaren niet meer verlengd. Doordat ze niet verlengd worden, komen ze vrij voor het publiek om aan te kopen.
Inti De Ceukelaire heeft een 100-tal van deze domeinen aangekocht en meldt het risico dat hieraan verbonden is. Je kan als nieuwe eigenaar van dat domein een mailomgeving opzetten en alle mails die naar het oude domein verstuurd worden in ontvangst nemen.
Toegang tot overheidsaccounts
Als er door de bovenstaande situatie accounts zijn bij partners van een lokale overheid, waarbij het emailadres op het oude domein is gebruikt voor registratie van de account, dan is het mogelijk dat de ethisch hacker bij de partner in kwestie een wachtwoordreset aanvraagt. De wachtwoordreset komt aan op het oude e-mailadres, waardoor De Ceukelaire ook toegang kan krijgen tot de volledige account bij de partner.
Er is bij domeinen (zowel mail als website) een groot verschil tussen een punt en een koppelteken als scheidingsteken. Een punt wordt gebruikt om hiërarchie aan te duiden waarbij ocmw.bestuur.be een onderdeel is van de bestuurswebsite is. Gebruik je een koppelteken, dan is dit een volledig eigen domein. Besturen die ooit ocmw-bestuur.be domein in gebruik hebben gehad, zullen risico lopen en hier dus meer aandacht aan moeten besteden.
Wat kan je best doen?
Je kan best de oude domeinen van je bestuur in beheer houden. Hier staat een kleine jaarlijkse kost tegenover, maar je kan er op de langetermijn heel wat zorgen mee uitsparen.
Bron
Het volledige onderzoek en rapport van Inti De Ceukelaire lees je op https://inti.io/p/when-privacy-expires-how-i-got-access