Hoe Follow The Money namens fractievoorzitters mailtjes kon sturen

Spoofing

Onderzoeksplatform Follow the Money (FTM) legde maandag een beveiligingslek in het mailsysteem van Kamerleden bloot. Het digitale lek is nog niet gedicht.

Mist op het Binnenhof. Door spoofing kon FTM een beveiligingslek aantonen bij mailaccounts van Kamerleden. Foto Bart Maat / ANP

1. Wat heeft Follow the Money precies ontdekt?

Follow the Money, een onlineplatform voor onderzoeksjournalistiek, slaagde er maandagmiddag in onder de naam van een reeks Tweede Kamerleden mails te sturen naar andere Kamerleden. De site maakte gebruik van de techniek ‘spoofing’, waarbij je een mail kunt sturen onder de naam en het mailadres van iemand anders. FTM stuurde met behulp van een app tientallen mailtjes onder de naam van onder anderen Emile Roemer, Halbe Zijlstra en Mark Rutte waaraan duidelijk was af te zien dat ze nep waren. Zo stuurde de site onder de naam van Rutte aan zijn coalitiepartners Sybrand Buma, Alexander Pechtold en Gert-Jan Segers: „Net inventarisatie gemaakt van zaken die onze bewindslieden mogelijk in opspraak kunnen brengen. Het ziet er naar uit dat we opnieuw moeten beginnen, jongens.” Ingewijden in Den Haag weten overigens dat Rutte zelden tot nooit mailt.

Spoofing is niet hetzelfde als hacken en het daadwerkelijk binnendringen van mailaccounts. FTM kon de mailboxen van Kamerleden dan ook niet inzien. Hoe de Kamerleden reageerden op de mails is niet bekend.

Spoofing, ook een veelgebruikte techniek voor het versturen van spamberichten, kan gemakkelijk onmogelijk worden gemaakt als een mailserver goed beveiligd is. Als een server goed staat ingesteld, kan deze controleren of een bericht met afzender @tweedekamer.nl daadwerkelijk van de server van de Tweede Kamer afkomstig is. Als dit niet het geval is belandt zo’n e-mail in de spambox. Kloppen de instellingen op de server echter niet volledig, dan is het mogelijk om van buitenaf mails met bijvoorbeeld @tweedekamer.nl te versturen. Dat was bij de Tweede Kamer het geval, toonde FTM aan.

Het probleem speelt bij meer overheidswebsites, bleek dinsdagavond. Zo bevestigt Defensie „het probleem al langer te kennen” en aan een oplossing te werken.

2. Hoe heeft de Tweede Kamer gereageerd?

Kamerleden maakten maandagmiddag intern melding van de vreemde mails. Kamervoorzitter Khadija Arib liet maandagavond na de publicatie van FTM weten dat de Kamer „met spoed anti-spoofingmaatregelen neemt om dergelijk misbruik te voorkomen”. Dinsdagochtend meldde de Kamer dat de problemen maandagnacht waren verholpen, maar moest daar op terugkomen toen SP-Kamerlid Maarten Hijink ’s middags nog een mailtje van ‘Mark Rutte’ ontving. Een woordvoerder van de Kamer gaf toe dat het probleem „nog niet helemaal verholpen is”.

Binnen de Tweede Kamer is de Dienst Automatisering verantwoordelijk voor de ICT-beveiliging. Die werkt daarbij samen met externe partners als Fox-IT, het bedrijf dat een grote rol heeft in de beveiliging van staatsgeheimen. Fox-IT wil niet reageren op vragen over het beveiligingslek in de Kamer.

3. Wat zijn de risico’s van spoofing?

Hoewel FTM een geintje met de nepmails uithaalde om het beveiligingslek bloot te leggen, kunnen de gevolgen van misbruik door spoofing ernstig zijn, vinden experts en betrokkenen. Rickey Gevers, hacker en ICT-expert, zegt dat politici en medewerkers van de Kamer elkaar gemakkelijk informatie zouden kunnen ontfutselen als ze kwaadwillend zijn. „Maar ook buitenlandse actoren als inlichtingendiensten zouden de techniek kunnen gebruiken als zij bijvoorbeeld informatie willen inwinnen over de contacten van Mark Rutte”, zegt Gevers.

4. Staat dit incident op zichzelf?

Bepaald niet. De Tweede Kamer werd eind maart nog opgeschrikt door een aanval met ransomware, kwaadaardige software waarmee toegang kan worden verkregen tot ICT-systemen. In januari wist RTL het Twitteraccount van SGP-leider Kees van der Staaij te hacken. Naar aanleiding van de incidenten stelde Kamervoorzitter Arib een helpdesk in die Kamerleden kan bijstaan als ze vragen over digitale beveiliging hebben. Ook werden ICT-medewerkers extra getraind en kregen nieuwe Kamerleden tips over cyberveiligheid.