Nederlander die .ml voor Mali beheert kreeg duizenden e-mails Amerikaanse leger

Een Nederlander heeft de afgelopen tien jaar bijna 117.000 e-mails van het Amerikaanse leger ontvangen. Hij beheert het .ml-domein voor de Malinese overheid en nam al meermaals contact op over de verkeerd verzonden e-mails. De Amerikaanse Defensie gebruikt het .mil-domein.

In de e-mails staat volgens de Financial Times uiteenlopende gevoelige data, waaronder 'medische gegevens, identiteitsgegevens, bemanningslijsten van marineschepen en legerbasissen, kaarten, foto's van basissen, inspectierapporten, contracten, juridische aantijgingen tegen personeel, interne onderzoeken naar intimidatie, officiële reislogs, boekingen en rapporten over belastingen en financiën'. Ook derden die bijvoorbeeld wapens fabriceren, zouden mails naar .ml-adressen hebben gestuurd. Overigens zou het meeste e-mailverkeer van het Amerikaanse leger bestaan uit spam zonder gevoelige informatie. Ook het Nederlandse leger zou enkele mails naar de betreffende adressen hebben gestuurd.

De Nederlander, Johannes Zuurbier, is directeur bij het bedrijf Mali Dili en ontdekte tien jaar geleden dat het .ml-domein per ongeluk gebruikt werd als doeladres van mails van Amerikaanse militaire organen. Hierdoor ontvingen verschillende .ml-adressen in totaal miljoenen e-mails van het Amerikaanse leger. Hij kaartte het probleem meermaals en bij verschillende instanties aan, maar tot nu toe bleef de situatie onveranderd. Overigens liep het contract van Mali Dili onlangs af, waardoor het .ml-domein nu direct door de Malinese overheid gemanaged wordt.

Een woordvoerder van het Pentagon zegt tegen de FT dat het Amerikaanse ministerie van Defensie zich bewust is van het probleem. E-mails die van het .mil-domein naar het Malinese e-maildomein gestuurd worden, zouden automatisch gedetecteerd worden en de verzender zou vervolgens moeten verifiëren of het e-mailadres wel klopt. Het is niet duidelijk hoe Zuurbier dan toch ruim honderdduizend e-mails heeft kunnen verzamelen en hoe in totaal toch miljoenen mails naar .ml-adressen zijn gestuurd. Ook roept de krant de vraag op wat er met de gevoelige gegevens gebeurt nu Mali het .ml-domein weer beheert. Het West-Afrikaanse land zou nauwe banden hebben met Rusland.

IT-banen

Reacties (94)

sOid 17 juli 2023 19:20

Wat een bizar verhaal is dit.

Hij kaartte het probleem meermaals en bij verschillende instanties aan, maar tot nu toe bleef de situatie onveranderd.

Ik ben echt benieuwd bij welke instanties dan. Kan me niet voorstellen dat wanneer je dit bijvoorbeeld aankaart bij een ambassade of team high tech crime van de politie (die nauwe banden heeft met de Amerikaanse inlichtingendiensten) er niet ergens een belletje gaat rinkelen.

Daarnaast had hij, bijvoorbeeld na een jaar aan onbeantwoorde verzoeken bij de verschillende instanties, ook de media mee kunnen opzoeken. Maar om dit 10 jaar in de lucht te houden en vervolgens alle mail blijkbaar inzichtelijk te maken voor een zeer twijfelachtige overheid… Heel vreemd. Ben benieuwd of dit nog juridische gevolgen gaat hebben voor Zuurbier.

Nog even een toptip voor de mensen hier: registreer domeinnamen die op de naam van jouw organisatie lijken. Verschillende tld’s, verschillende (foutieve) schrijfwijzen enz. Zowel voor klanten/burgers als voor medewerkers (phishing) verstandig.

[Reactie gewijzigd door sOid op 22 juli 2024 17:15]

i-chat @sOid • 17 juli 2023 21:13

ik vraag me af wat je met reactie probeert te insinueren, maar je doet hier wel alsof zuurbier hier een of ander hacker is die aan typsesquating doet.

enkele feiten:

DNS toen het is opgezet krijg uiteindelijk een lange lijst met TLD (top level domains).

dat waren onder andere (com voor bedrijven) (net voor netwerken) (org voor non prifits) (gov voor de amerikaanse overheid) mil (voor het amerikaanse leger)

daarnaast kregen alle landen (die op dat moment door de nato werden erkend een eigen TLD (nl nederland) (be belgie) (de duitsland) (it italie) (jp japan) (ml malinesië) (tk Tokelau) (tv Tuvalu) vooral die laatste 3 waren erg intersant omdat de lokale regeringen helemaal geen verbinding hadden met internet en bovendien darar het geld niet voor haden. kortom waren er snelle dot-com-jongens die gauw wat gingen regelen. voor je het weet kwamen deze domeinen in handen van europese bedrijven: zei betaalde de lokale overheid jaarlijs een paar miljoen euro en verkochten dan domeintjes voor het 100voudige. Dikke winst. smakeloos misschien maar volledige legaal en rechtmatig. en volgens sommige tongen zelfs een vorm van arme landen subsidie.

dat het niet altijd goed liep (vooral met die pipo's van TK) is een ander verhaal. maar dat maakt nog niet dat je schuldig bent aan hacken (of misbruik maken van een onhandige situatie) zoals jij insinueert.

bovendien verstrekt hij helemaal niets aan een schimmige overheid, het contract dat hij met ze had voor de exploitatie had een eindigingsdatum en nu het www zo groot is geworden heeft de lokale overheid besloten de ovk niet te verlengen. kortom ze krijgen nu in eigen handen wat al die tijd al van hen was .... en waar ze volgens de internationale regels ook gewoon recht op hebben.

dat de US Mil zijn zaakjes niet op orde heeft moet je bij die partij zelf leggen en niet bij een random 3e persoon.

The Realone @i-chat • 17 juli 2023 23:01

Een domein hebben is anders dan er ook mail op ontvangen. Je dient dan toch echt een mail server te hebben, MX records aan te maken voor al die subdomains waarvoor hij blijkbaar foutieve mails heeft ontvangen en dan ook nog eens elke recipient waar naartoe getracht wordt te mailen van een mailadres te voorzien op betreffende mailserver, of een catch-all hebben voor al die domeinen.
Evengoed vind ik het allemaal bijzonder. De incompetentie aan de ene kant en het moedwillig verzamelen van mails aan de andere.

terror538 @The Realone • 18 juli 2023 11:04

$ dig MX army.ml

; <<>> DiG 9.18.12-1ubuntu1.1-Ubuntu <<>> MX army.ml
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50272
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;army.ml. IN MX

;; ANSWER SECTION:
army.ml. 300 IN MX 0 handle.catchemail.ml.

;; Query time: 28 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Tue Jul 18 10:59:51 CEST 2023
;; MSG SIZE rcvd: 70

$ dig MX pentagon.ml

; <<>> DiG 9.18.12-1ubuntu1.1-Ubuntu <<>> MX pentagon.ml
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27926
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;pentagon.ml. IN MX

;; ANSWER SECTION:
pentagon.ml. 300 IN MX 10 handle.catchemail.ml.

;; Query time: 20 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Tue Jul 18 11:01:19 CEST 2023
;; MSG SIZE rcvd: 74

Hij heeft inderdaad MX records aangemaakt voor verschillende .ml domeinen. Daar kan je van vinden wat je wilt.

Het is alsnog diep triest dat men in de VS faalt om te voorkomen dat gevoelige informatie daar terecht komt.

[Reactie gewijzigd door terror538 op 22 juli 2024 17:15]

Genosha @The Realone • 18 juli 2023 11:36

Hij beheerde het gehele TLD .ml en zou dus al de verkeerd verzonden mail waarschijnlijk ontvangen hebben in een catch-all e-mail.

Ik geef hem echter geen ongelijk met het bewaren van de e-mails. Amerikanen zijn gek, en er zou zo maar van een op de andere dag een bevel kunnen worden uitgezet met de woorden dat de Dhr Zuurbier een spion is tegen de Amerikanen. Dan heb je toch duizenden mails aan bewijs dat ZIJ de mail verkeerd sturen en niet dat JIJ hun mail onderschept.

The Realone @Genosha • 18 juli 2023 12:52

Een catch-all voor een TLD is natuurlijk totale onzin. Dan ben je bewust emails aan het ontvangen. Als ie echt zo bang was voor de Amerikanen had ie ook gewoon de emails kunnen bouncen en de logs opslaan. Zeker door het niet bouncen droeg ie bij aan het probleem, want met een 553 or 554 is de kans veel groter dat dit opgemerkt werd.

RogerDad @The Realone • 18 juli 2023 14:33

Er is nog een extra probleem met het aanmaken van de catch-all mailservers. Iedere verzender die een keer die typefout heeft gemaakt houdt nu het e-mail adres met typefout in de cache van outlook (als ze dat gebruiken). Ik zou dat soort trucjes toch echt niet uithalen met de Amerikaanse Defensie, hij had die domeinen moeten registreren om te voorkomen dat iemand anders dat deed en vervolgens de mail bouncen.

Genosha @The Realone • 18 juli 2023 17:02

Helemaal mee eens dat het totaal nergens over gaat dat er een catchall op een tld zit.

Aldy @i-chat • 18 juli 2023 13:41

Ik denk dat @sOid niet het hele verhaal gelezen heeft of het verhaal niet helemaal begrepen heeft. In het stuk staat duidelijk dat het Amerikaanse leger niet begrijpt hoe het komt dat er mail in .ml terecht kwamen aangezien ze veiligheden om dat tegen te gaan ingebouwd hadden. Het echte probleem ontstaat nu pas omdat Mali zelf hun .ml gaat beheren en Mali nauwe banden onderhoudt met Rusland.

sspiff @i-chat • 18 juli 2023 13:47

Malinesie is geen land. Het land heet gewoon Mali.

NielsFL @sOid • 17 juli 2023 19:43

De media zag dit al aankomen destijds: https://nakedsecurity.sop...-could-possibly-go-wrong/

Ik denk dat alle betrokkenen het wel wisten - getuige ook de automatische correctie die het Pentagon intern doet - maar niemand echt een sluitende oplossing had (en heeft).

007Nightfire @NielsFL • 17 juli 2023 19:56

De sluitende oplossing is toch gewoon het onmogelijk maken om van het .mil domein naar .ml adressen te sturen? Een waarschuwing wordt blijkbaar weg geklikt. Als er dan bij uitzondering toch een keer een .ml adres bereikt moet worden dan kan er altijd nog een uitzondering toegevoegd worden.

supersnathan94

Datalek

@007Nightfire • 17 juli 2023 20:04

Kans is alleen aanwezig dat derden (oftewel contractanten) niet per se die checks hebben en dus wel degelijk gewoon informatie via die route lekken.

Enige optie die je hebt is geen mail gebruiken, maar via een beveiligde omgeving dergelijke zaken uploaden. Hoeft niet eens met authenticatie als het “write only” is voor de contractanten.

Zie het als een soort van Slack of Teams, maar dan custom maatwerk (of niet, moeten ze zelf weten).

Jerie

@supersnathan94 • 17 juli 2023 20:28

Enige optie die je hebt is geen mail gebruiken, maar via een beveiligde omgeving dergelijke zaken uploaden. Hoeft niet eens met authenticatie als het “write only” is voor de contractanten.

Er zijn meer opties. Assymetrische public key cryptografie per email. Misschien even PGP uitvinden

GertMenkel @Jerie • 17 juli 2023 21:00

S/MIME zal hier praktischer voor zijn dan PGP, want je wilt niet de mailadressen van iedereen die geheimen behandelt op een keyserver gooien. Desondanks is dit probleem natuurlijk al lang opgelost.

biomass @supersnathan94 • 17 juli 2023 20:50

Heel grappig dat men bij Sophos naar Mali wijst (in de post van @NielsFL) als veroorzaker van het 'probleem' maar in wezen had men dit kunnen voorkomen door geen drieletter tld te nemen.
Als je eerste letter van een tld niet meeneemt geeft .us geeft typosquatting met .ua, .ug, .uk, uy en .uz (Uruguay, Uzbekistan en Uganda, de rest kent iedereen neem ik aan)
.dod (department of defense) geeft typosquatting met .do van de Dominicaanse Republiek
.mil geeft inderdaad mogelijkheid tot typosquatting met .ml voor Mali en ook nog wel .mo voor Macau als iemand snel blind typt op een US internationaal keyboard.
Als men dan toch wil e-mailen, zou het logischer zijn om .military te gebruiken, elke contractor die dan wat stuurt kan gewoon zien dat het e-mail adres niet lang genoeg is.

En dan wordt het politiek gevoelig, want waarom zou de Amerika wel zoiets mogen gebruiken en de rest niet? Als technische 'oplossing' zou je kunnen denken aan een DNS naam met 1 speciaal Unicode karakter als tld. Die is makkelijker te beschermen tegen typosquatten als die maar numeriek bijzonder genoeg zijn. Volgende probleem is dan het wel heel makkelijk wordt om mail te gaan onderscheppen voor bijzondere domeinnamen. Simpele conclusie: gewoon niet mailen dus.

GertMenkel @biomass • 17 juli 2023 20:59

.mil bestond vanaf dag 1 van het internet. Toen deze werd gekozen, kom je alleen maar uit drieletterige TLD's kiezen (mil, net, com, edu, org, gov). Het hele concept van tweeletterige TLD's bestond nog niet, laat staan het concept typosquatting.

Dat alleen Amerika er gebruik van kan maken heeft dezelfde reden dat een Nederlandse organisatie bepaald wie er een .nl krijgt. Het domein is door de Amerikanen opgezet en bemand, zelfs nog voor andere landen überhaupt internet hadden.

De drieletterige TLD's afschaffen lost ook nog eens niks op natuurlijk. Genoeg typfouten die .nl naar .no of .ml sturen.

De conclusie is simpel, gebruik versleuteling voor je geheime mail. Outlook klaagt meteen als je een mail naar een adres stuurt waar je geen publieke sleutel voor hebt, en al zou door bijvoorbeeld bitflips je mail ergens anders eindigen, zou niemand je mail kunnen lezen.

Een competente IT'er je mailserver laten instellen om alleen naar bepaalde domeinen te kunnen mailen als je landsgeheimen behandelt zou ook een optie zijn, maar dat is blijkbaar te moeilijk.

biomass @GertMenkel • 17 juli 2023 21:09

Ach ja natuurlijk..

GekkePrutser @007Nightfire • 17 juli 2023 20:16

Nee. Want niet alle emails komen vanaf .mil. Van binnenuit is het inderdaad makkelijk aan te pakken.

Er zal ook een hoop binnenkomen vanaf militaire leveranciers die het verkeerd typen. Facturen, betaalverzoeken enz. Allemaal low-sec spul natuurlijk maar zo kan dat dus gebeuren.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 17:15]

litebyte @sOid • 17 juli 2023 19:51

Bizar? Ik ken iemand die beheert meerdere sociale kaart websites ( websites die informatie geven over bijv. allerlei zorg en welzijns org. in een stad) ondanks dat er duidelijk vermeld is dat het mail address gekoppeld aan de sociale kaart niet datgene is van de betreffende org. op de informatie pagina worden er vele tientallen mailtjes per jaar gestuurd, soms met zeer gevoelige informatie...en dit is nogmaar bij een semi-overheids initiatief in Nederland...kun je voorstellen bij een militaire org. met meer dan 1 miljoen werknemers - vast en op contract.

AibohphobiA BoB

@sOid • 17 juli 2023 19:56

Ook al gaat er een belletje rinkelen, dan nog kun je niet tegenhouden dat er vanuit een niet overheidsaccount mail gestuurd wordt naar een verkeerde domeinnaam.
Alleen vanuit het interne netwerk zou je daar iets aan kunnen doen en wordt ook blijkbaar gedaan.

Hij heeft misschien wel 177k aan mails gekregen, maar er staat niet bij waar vandaan die verzonden werden. De voorbeelden die in de FT genoemd worden, zijn allemaal extern en ook nog vanuit het buitenland.

sOid @AibohphobiA BoB • 17 juli 2023 21:01

Nee, uiteraard. Eigenlijk moet er ook helemaal geen gebruik worden gemaakt van mail voor dit soort vertrouwelijke, mogelijk staatsgeheime informatie.

M’n punt is vooral dat zo’n machtige organisatie vermoedelijk eenvoudig die tld had kunnen overnemen om dit te voorkomen. Koop het bij de eigenaar af (Zuurbier dus) voor een paar ton of whatever.

AibohphobiA BoB

@sOid • 17 juli 2023 21:08

Nou nee, ik denk dat Mali het eerste recht heeft en dat ook wil benutten. Ik kan mij nu voorstellen waarom.
Of dat komt doordat Zuurbier graag zijn 15 minutes of fame wilde hebben voor de promotie van zijn bedrijf, of dat ze dat al wisten, dat staat er ook niet bij.

Verder is de vraag in hoeverre er staatsgeheime info is verzonden. In de VS is het al heel snel geheim, maar als een hotel een bevestiging stuurt van een reservering is dat lastig te voorkomen lijkt me. Als de reservering echt gevoelig is dan zijn er sowieso betere manieren om het geheim te houden.

laptopleon @sOid • 17 juli 2023 20:38

Nog even een toptip voor de mensen hier: registreer domeinnamen die op de naam van jouw organisatie lijken. Verschillende tld’s, verschillende (foutieve) schrijfwijzen enz. Zowel voor klanten/burgers als voor medewerkers (phishing) verstandig.

Dit is makkelijk gezegd, maar het is in de praktijk lastig om alles voor te zijn, want voorspel maar eens welke schrijffouten en vergissingen mensen allemaal gaan maken. Overigens doen de SIDN en andere ccTLD beheerders dit al wel, in overleg met bijvoorbeeld banken en overheden. Een naam als rab0bank.nl (met een nul ipv o) of po1litie.nl zijn simpelweg niet te registreren als domeinnaam.

sOid @laptopleon • 17 juli 2023 21:04

Mee eens, het is onmogelijk om echt te voorkomen. Maar je kan het wel een stuk lastiger maken.

Voor de overheidsorganisatie waar ik voor werk hebben we afgelopen jaar nog een domein overgekocht omdat we het risico van misbruik te groot vonden.

Ben zelf ook een voorstander van een .overheid oid tld. Daarmee kun je een deel van de ellende voorkomen.

CAPSLOCK2000

Privacy
Nederland
Datalek
E-mail
Politiek en recht
Verenigde staten

@sOid • 18 juli 2023 16:24

Ik ben echt benieuwd bij welke instanties dan. Kan me niet voorstellen dat wanneer je dit bijvoorbeeld aankaart bij een ambassade of team high tech crime van de politie (die nauwe banden heeft met de Amerikaanse inlichtingendiensten) er niet ergens een belletje gaat rinkelen.

Ook als er wel een belletje gaat rinkelen dan is het probleem nog niet makkelijk op te lossen. Het gaat hier om mail die náár een .ml adres wordt gestuurd. Dat kan iedereen in de wereld zijn. Er is geen centraal punt waarop je dat kan blokkeren.

De mails die vanuit het leger verstuurd worden is een ander verhaal, daar is in principe iets aan te doen, maar ik heb geen idee hoe realistisch dat in praktijk is. Het Amerikaanse leger is zo groot dat die vast een hele hoop e-mail-diensten, programma's en servers hebben. Om het maar niet te hebben over iedereen die een keer een werk-mailtje vanaf z'n privé-e-mail verstuurt, ook dat zal in het leger voorkomen. Het hoort niet, maar met zoveel mensen zal het vast regelmatig voorkomen.

Nog even een toptip voor de mensen hier: registreer domeinnamen die op de naam van jouw organisatie lijken. Verschillende tld’s, verschillende (foutieve) schrijfwijzen enz. Zowel voor klanten/burgers als voor medewerkers (phishing) verstandig.

Ik adviseer om dat niet te doen, het is vrij zinloos. Het aantal tld's en mogelijk schrijffouten is eindeloos. Je kan duizenden domeinen registreren en het zet nog steeds geen zoden aan de dijk. Wat wel zin heeft is monitoring, kijken of er iemand een naam registreert die veel lijkt op jouw domeinnaam. De uitvoering daarvan is echter makkelijker gezegd dan gedaan, maar er zijn opties.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 17:15]

magician2000 @sOid • 19 juli 2023 01:57

Het Amerikaanse leger is op de hoogte. Wie weet zijn het dan allemaal bewust aan deze domeinextensie verzonden mailtjes die je onder "propaganda" kunt samenvatten? Stuur allerlei valse informatie naar ontvangers die er vervolgens mee naar partijen gaan waar je van wilt dat die foutieve informatie ontvangen t.o.v. hun andere bronnen en daardoor niet duidelijk meer hebben wat de waarheid is.

Propaganda is extreem veel gebruikt tegenwoordig.

Toff 17 juli 2023 19:10

Overigens liep het contract van Mali Dili onlangs af, waardoor het .ml-domein nu direct door de Malinese overheid gemanaged wordt.

Is dit de reden dat Zuurbier hier na 10 jaar opeens over begint?
Ja, typefouten worden overal gemaakt; boeien.

[Reactie gewijzigd door Toff op 22 juli 2024 17:15]

Blokker_1999

Politiek en recht
Verenigde staten
Datalek
Nederland
Privacy

@Toff • 17 juli 2023 19:17

Hij heeft volgens de eigen bewering meermaals pogingen ondernomem om het probleem aan te kaarten. En zolang het .TLD en de domeinen erop in goedaardige handen zijn is er ook niet direct een groot gevaar. Maar nu het beheer terug gaat naar het land zelf, en dat land heeft goede banden met Rusland, weet je ineens niet meer hoe men met die foutieve mails zal omgaan.

Mensen maken fouten, dat klopt. Maar het is voor vele mailbeheerders ook een koud kunstje om niet toe te staan dat je naar .ml adressen een mailtje stuurt. Zeker als het om gevoeligere informatie gaat.

Finraziel

@Blokker_1999 • 17 juli 2023 19:47

Het is sowieso bizar om gevoelige informatie per email te sturen... Dat moet je sowieso niet willen. Maar inderdaad, .ml blokkeren is wel het allerminst wat je kunt doen als dit probleem al bekend is.

nullbyte @Finraziel • 17 juli 2023 20:13

Het is sowieso bizar om gevoelige informatie per email te sturen

Het is verboden. Binnen de Nederlandse en Belgische, de VS en eigenlijk alle overheden op deze aardkloot zijn er rubriceringen (of geclassificeerde informatie).

https://nl.wikipedia.org/...ijksdienst#Staatsgeheimen
https://en.wikipedia.org/wiki/Classified_information

Top secret zal niet per ongeluk verstuurd worden. "restricted" of "official" wel. Echt bizar vind ik dat niet, een werkrooster kan al onder deze categorie vallen.

[Reactie gewijzigd door nullbyte op 22 juli 2024 17:15]

PauseBreak @nullbyte • 17 juli 2023 22:42

Het hangt tegenwoordig van het informatieveiligheidsbeleid van de overheidsorganisatie af. Wij mogen alleen officiële stukken verzenden via beveiligde mailomgeving en wanneer de tegenpartij een betrouwbare 2fa optie geeft.

Maar goed, zie dat laatste maar eens uit te leggen. Ik heb veel relatief digibete collega’s. Zelfs collega’s die dagelijks met autocad werken hebben niet per se een goed gevoel voor techniek.

dingo35 @Finraziel • 17 juli 2023 21:17

De incomptentie van (semi)overheden zal je verbazen.

Ik vroeg jaren geleden een zakelijk telefoonnummer aan. Bij nacht en ontij werd ik door een fax gebeld. De (toen PTT) kon niets voor me doen, dus mijn fax maar eens op dat nummer aangesloten.
Kreeg ik van een of ander politie korps allerlei paperassen, (concept) proces verbalen, allerlei zeer privacy gevoelige info.
Dus ik stuur een fax terug, met uitleg en verzoek mijn nummer uit de database te halen. Hielp niet. 5 keer gedaan. Hielp niet.

Toen een stapel faxen in een envelop gedaan, naar een landelijk centrale politie eenheid, met een briefje erbij dat als dit niet binnen een week opgelost was, ik een kopie van al die faxen naar de Telegraaf zou sturen.

Nooit wat op gehoord, maar het was wél meteen afgelopen.

Als stupiditeit strafbaar zou zijn, zouden de gevangenissen vol zitten.

Guru Evi @Blokker_1999 • 17 juli 2023 21:16

Natuurlijk, als overheid kun je zomaar een heel land niet blokkeren, en een overheid zoals dat van de VS heeft niet alleen MILJOENEN mensen die direct voor hun werken, maar dan nog miljoenen mensen die diensten leveren en allemaal hun eigen systemen hebben, en die bedrijven verwerken dus een groot deel van de overheid’s papieren werk (dat is ook zo in de EU). Moest je binnenkort een NI of EV TLD krijgen, denk ik dat je ook problemen krijgt met alle soorten .eu, .nl en andere .e? en .n? domeinen.

BlaDeKke @Guru Evi • 17 juli 2023 21:37

Ik denk dat het voor usa toch interessanter is dat ze het gewoon blokkeren tot er een betere oplossing is. Jammer voor dat landje dan.

Guru Evi @BlaDeKke • 17 juli 2023 21:46

Totdat je de ambassadeur van Mali even moet contacteren. Mali is al sinds de jaren 80 een partner van de VS en het leger (.mil) werkt dicht bij de regering van Mali (.ml) het zou minder een probleem geweest zijn moesten we al vroeger meerdere karakters in de TLD toelaten, zodat .Mali een beetje duidelijker was dan .ml (wat ikzelf ook niet zou denken aan Mali, maar eerder Machine Learning).

Je kunt je echt niet voorstellen hoe groot gelijk welke regering is. “Eventjes blokkeren” gaat al niet in een groot bedrijf. Ik vind het een groter probleem dat de TLD beheerder de MX records voor onbestaande domeinen onderschept en een echte e-mail server opzet om ze te ontvangen. Daar zit een staartje aan, een onbestaand domein hoeft per de standaarden een NXDOMAIN terug sturen, waarom deze gast dacht dat het een goed idee was een MX terug te sturen.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 17:15]

BlaDeKke @Guru Evi • 17 juli 2023 21:49

Nee je hebt gelijk. Laten we 100000 emails met gevoelige informatie in foute handen terechtkomen voor het geval dat je de ambassadeur van mali wil bereiken.

Guru Evi @BlaDeKke • 17 juli 2023 21:53

Nee, laten we de standaarden volgen en een NXDOMAIN terugsturen, een TLD heeft geen zaken wat er wel of niet verstuurd wordt, laat staan de e-mails lezen.

Als SIDN of Verisign opeens alle e-mails die naar onbestaande domein gezonden werden begon te ontvangen en analyseren denk ik dat je ook wel op je achterpoten gaat staan.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 17:15]

Zenomyscus @Toff • 17 juli 2023 19:15

[...]

Is dit de reden dat Zuurbier hier na 10 jaar opeens over begint?
Ja, typefouten worden overal gemaakt; Boeien.

Ik krijg sterk de indruk dat het niet zomaar om typfouten gaat. Er wordt gesproken over miljoenen emails. Ik vind het nogal gek dat er miljoenen keren diezelfde fout wordt gemaakt. Zelfs al zou een persoon een fout maken, dan doe je dat niet tien keer lijkt me. Op een gegeven moment merk je wel dat mails niet aankomen.

Frame164 @Zenomyscus • 17 juli 2023 19:20

Er werken ca. 2 miljoen mensen bij de US defensie. Als iedereen een keer een verkeerd geadresseerde mail krijgt over de jaren heen kom je een heel eind. Het zal niet miljoenen in een maand zijn geweest.

CyBeR @Frame164 • 18 juli 2023 01:01

Er werken ca. 2 miljoen mensen bij de US defensie. Als iedereen een keer een verkeerd geadresseerde mail krijgt over de jaren heen kom je een heel eind. Het zal niet miljoenen in een maand zijn geweest.

Plus dat er gegarandeerd 1x iemand een verkeerd adres gebruikt heeft in een email die aan meerdere mensen gestuurd is, die vervolgens middels reply-all er nog een zooi achteraan sturen zonder te merken dat de 1e persoon die fout gemaakt heeft.

[Reactie gewijzigd door CyBeR op 22 juli 2024 17:15]

4x4 @Zenomyscus • 18 juli 2023 19:38

Je hebt het hier wel over amerikanen he. Just saying.

Megamind @Toff • 17 juli 2023 19:20

Omdat het nu in beheer is door Mali zelf, die nauwe banden heeft met Rusland. Ze hebben dus best baat bij een catch all forward.

ArremeR @Toff • 17 juli 2023 22:33

Het volgende: "gemaakt; Boeien." moet natuurlijk zijn "gemaakt; boeien".

dasiro 17 juli 2023 20:32

je moet het domein en de bestemmeling er in al bewust creëren of een catch-all instellen, welke beiden quasi uitsluitend voor malicious intent zijn als je als TLD-registrar handelt, in alle andere gevallen wordt de mail nergens afgeleverd en krijgt de verzender mooi een foutmelding terug. Hij heeft dus al dingen gedaan die niet kosjer zijn en nu probeert hij op een goed blaadje te komen nadat hij er niet meer aan kan verdienen, al was het maar omdat zijn werkgever er niets meer over te zeggen heeft.

SampleUser @dasiro • 17 juli 2023 20:48

Nee hoor, gewoon MX requests naar niet-bestaande domeinen afvangen bij de nameserver die authoritief is voor het TLD. Zoiets deed/doet SIDN ook, na dat hele verhaal rondom datalekken omdat zorginstellingen hun domeinen lieten verlopen, dacht ik.

Edit: nope, heb het orginele FT artikel gelezen en dat lijkt niet (slechts) DNS afvangen te zijn, daar staan ook kopieen van mails in.

[Reactie gewijzigd door SampleUser op 22 juli 2024 17:15]

mfkne @SampleUser • 18 juli 2023 07:52

Als ik het goed heb staat in de RFC voor SMTP ook dat als er geen MX record is, de MTA gewoon een lookup van een A record van het domein kan maken. Als er op dat IP adres een SMTP server luistert, kan de MTA proberen de mail daar in te leveren.

dasiro @SampleUser • 17 juli 2023 21:35

je hebt het idd zelf al rechtgezet, een MX-request is nog iets anders dan de effectieve mail die ontvangen wordt. Zo heb ik in het verleden al moeite moeten doen om een authorisation mail opnieuw te laten versturen omdat de eerste niet meer kon worden afgeleverd in een mailbox van een ex-medewerker die dus niet meer bestond (nog leuker als die door een noreply worden verstuurd waar dus ook geen mailbox aan hing

bvdbos 17 juli 2023 19:09

Als je een topdomein beheert dan krijg je niet "automatisch" alle mail die naar een subdomein gestuurd wordt. Dat heeft hij dus bewust gedaan en daar valt best wat voor te zeggen bij kritische domeinnamen... Ik hoop dat hij de betreffende subdomeinen (overheid.ml bijvoorbeeld) nog wel op zijn naam heeft staan...

The Zep Man

Datalek
Privacy
E-mail
Nederland
Politiek en recht
Verenigde staten

@bvdbos • 17 juli 2023 19:28

Des te meer reden om met TLD allow lists te gaan werken. Ik kan mij niet voorstellen dat veel van de partijen die het Amerikaanse leger mailen ook Mali .ml adressen mailen.

GekkePrutser @The Zep Man • 17 juli 2023 20:15

Des te meer reden om met TLD allow lists te gaan werken. Ik kan mij niet voorstellen dat veel van de partijen die het Amerikaanse leger mailen ook Mali .ml adressen mailen.

Zou je verbazen. Denk dat er een hoop grote multinationals zijn (zoniet de meerderheid) die met beiden wel zaken doen!

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 17:15]

The Zep Man

Datalek
Privacy
E-mail
Nederland
Politiek en recht
Verenigde staten

@GekkePrutser • 17 juli 2023 21:53

Zou je verbazen. Denk dat er een hoop grote multinationals zijn (zoniet de meerderheid) die met beiden wel zaken doen!

Multinationals hebben de middelen om uitzonderingen te maken per rol binnen de organisatie.

GekkePrutser @The Zep Man • 17 juli 2023 21:58

Hmja dat wel maar ook vaak juist niet het inzicht om te kunnen zien wie wat moet hebben.

Bij ons is de business kant vaak per land geregeld (aparte "BV" in elk land) maar de IT centraal. Hierdoor hebben we zelfs niet eens automatische applicatie installatie (bijvoorbeeld SAP voor wie dat nodig heeft) op basis van rollen. Want veel landen hebben een totaal verschillende structuur, er is geen touw aan vast te knopen.

Dat is ook niet efficiënt maar er zijn veel gevestigde belangen die dit in stand houden. Maar mijn punt is: enterprises hebben meer middelen maar ook vaak veel meer chaos en daardoor minder overzicht.

The Zep Man

Datalek
Privacy
E-mail
Nederland
Politiek en recht
Verenigde staten

@GekkePrutser • 17 juli 2023 22:11

Hmja dat wel maar ook vaak juist niet het inzicht om te kunnen zien wie wat moet hebben.

Met goed ingerichte IAM gaat dat prima.

Wat jij hebt is geen IT-probleem, maar een organisatieprobleem. Een allow list op TLD's zou het minste van je zorgen zijn al zou je het hebben.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:15]

GekkePrutser @The Zep Man • 17 juli 2023 22:29

Wat jij hebt is geen IT-probleem, maar een organisatieprobleem. Een allow list op TLD's zou het minste van je zorgen zijn al zou je het hebben.

Yep, dat was precies mijn punt. Het is wel het laatste waar je aan toekomt.

Overigens waren de meeste bedrijven waar ik gewerkt heb zo chaotisch. Een IAM hebben we wel (sailpoint) maar het probleem is meer politiek. Lokale directies willen helemaal niet zo veel centraal inzicht want dan kan je appels met appels vergelijken en niet alle appels zijn even fris. Dus die houden het vaag. Een goed systeem waar je shit in stopt is gewoon niet echt nuttig.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 17:15]

kodak

Datalek
Nederland
Privacy
Politiek en recht

@The Zep Man • 17 juli 2023 22:02

Het probleem lijkt me eerder dat de klager het niet uit lijkt te maken wie de fouten maakt, zolang er maar gegevens tussen zitten waarover deze kan klagen.

Dan lijkt het me eerder redelijk om eens te bedenken in hoeveel procent dat is van het totale mailverkeer, over een periode van 10 jaar, het nu werkelijk mis gaat en wat een acceptabele grens is. Van de 117.000 mails is een groot gedeelte spam? Dan blijven er een paar 100 mails per jaar over, op miljoenen legitieme mails per jaar? En dat komt dan voornamelijk omdat de klager het opzettelijk mogelijk maakt om die mails verkeer af te laten leveren? Wat is dan een redelijke grens? Klagen zolang er fouten gemaakt worden, of verwachten dat iemand die klaagt niet opzettelijk maar 10 jaar lang gevoelige gegevens probeert te ontvangen?

FONfanatic @bvdbos • 17 juli 2023 19:28

Waarom zou de Malinese regering een website overheid.ml noemen?

MarkieNL @FONfanatic • 17 juli 2023 19:31

Je snapt zijn punt niet helemaal denk ik.
Hij bedoelt dat overheid.ml hopelijk ook in zijn beheer valt en dat niet een ‘kwaadwillende’ dit domeinnaam kan claimen en zo typfouten van Nederlandse burgers kan afvangen of nog erger phishingaanvallen kan versturen in de hoop dat iemand over de .ml heen leest.

FONfanatic @MarkieNL • 17 juli 2023 20:59

Ik snapte die hint wel, maar ik zie de Malinese junta eerder gov.ml of gouvernement.ml aanmaken dan overheid.ml.

MarkieNL @FONfanatic • 17 juli 2023 21:02

Het gaat juist niet om wat zij gebruiken, het gaat er om wat er gebruikt kan worden voor eventueel misbruik.

FONfanatic @MarkieNL • 18 juli 2023 12:04

Het een sluit het ander niet uit. Ik heb als ethisch hacker al vaker overheden in die regio kwetsbaarheden in hun websites gerapporteerd.

supersnathan94

Datalek

@FONfanatic • 17 juli 2023 20:07

Niet. Maar hoe groot is de kans dat een nederlander per ongeluk iets stuurt naar dat adres? Die typefout is gigantisch snel gemaakt. Zeker op mobiel apparaat waar je met een beetje “fat finger” heel snel een M typt ipv een N.

FONfanatic @supersnathan94 • 17 juli 2023 20:56

Je stuurt niets naar een website, wel naar bijv. een mailadres. Ik ben nog nooit een @overheid.nl-mailadres tegengekomen. Daarnaast: onze centrale overheid verplicht je m.b.v. DigiD te communiceren.

supersnathan94

Datalek

@FONfanatic • 17 juli 2023 22:22

Je kunt gewoon mailen naar de onderliggende subdomeinen. Twee daarvan die op overheid.nl staan vermeld: Servicedesk@koop.overheid.nl
Secretariaat@koop.overheid.nl

En er zijn er vast nog meer aangezien men vroeger per gemeente ook een subdomein had. Kun je dus best wel wat ongein mee uithalen. Zeker ook phishing zaken en dergelijke.

FONfanatic @supersnathan94 • 18 juli 2023 11:55

Simpelweg er een 'subdomain finder' op loslaten en je vindt ze.

Ik ben een ethische hacker en ongein uithalen is dus niet mijn ding.

supersnathan94

Datalek

@FONfanatic • 18 juli 2023 12:40

Dat zal best. Trek je gewoon uit nameservers. Zelf eentje hosten en men levert het praktisch zelf aan.

Maar neemt niet weg dat je gewoon zou kunnen mailen met overheid.nl adressen. Die kun je dus prima typesquatten.

FONfanatic @supersnathan94 • 18 juli 2023 13:02

Je betrapte me erop dat ik me iets niet herinnerde. koop.overheid.nl e.a. subdomeinen was ik even vergeten, dat ik die zelf ooit al had opgemerkt. Kan iedereen overkomen, dat je geheugen een zeef blijkt.

CAPSLOCK2000

Privacy
Nederland
Datalek
E-mail
Politiek en recht
Verenigde staten

@FONfanatic • 18 juli 2023 17:01

Er was een of ander regeling om domeinen in één keer zowel onder .nl als .ml te registreren. Juist om dit soort vergissingen te voorkomen. Het kan dus best zijn dat overheid.ml automatisch is aangemaakt omdat overheid.nl in gebruik was. (speculatie)

FONfanatic @CAPSLOCK2000 • 18 juli 2023 17:36

Die url is in ieder geval al door iemand geregistreerd.

NielsFL @bvdbos • 17 juli 2023 19:52

Beetje typisch inderdaad. Dat hij dergelijke domeinen buiten de reguliere verkoop heeft gehouden is op zich een goede zaak, maar om dan zelf e-mails alsnog te gaan ontvangen lijkt me niet nodig.

GertMenkel @bvdbos • 17 juli 2023 21:15

Ik weet het niet, ik zou zelf ook alle belangrijke domeinen registeren zodat ze niet misbruikt kunnen worden voor phishing. Kwestie van "dit domein is een typfout" neerzetten (niet automatisch redirecten) en hopen dat niemand meer probeert je domein te bezoeken.

In zo'n situatie zou je wel mail ontvangen (bij gebrek aan MC records wordt mail bij de server van het A/AAAA record afgeleverd). Dat hoeft helemaal niet kwaadwillend te zijn.

CAPSLOCK2000

Privacy
Nederland
Datalek
E-mail
Politiek en recht
Verenigde staten

@bvdbos • 18 juli 2023 16:48

Ik denk dat het helpt om iets van de achtergrond te weten. Mali is niet zo'n rijk land en 10 jaar geleden was het eigenlijk niet in staat om zelf een .tld te beheren. Freedom Registry, het bedrijf van Zuurbier, heeft toen aangeboden om het beheer voor ze te doen, inclusief gratis DNS.

In ruil daarvoor kreeg dat bedrijf het recht om geld te verdienen met reclame op ongebruikte domeinen. Net zoals ze dat deden met het .tk TLD.

Daarom zijn er een heleboel .ml domeinnamen die eigenlijk niet gebruikt worden anders dan voor reclame en die komen allemaal uit bij die ene persoon. Ik neem aan dat die geen lijstje bijhield van domeinen die ooit echt waren gebruikt maar een catch-all adres had dat alles accepteerde dat naar een .ml domein werd gestuurd, of dat nu echt bestond of niet.

Na 10 jaar is de deal van toen verlopen. Mali heeft besloten om geen nieuw contract te sluiten maar het nu zelf te gaan doen.

Een of ander lokaal IT roddelblaadje heeft daar in 2013 nog een stukje over geschreven:
nieuws: Mali gaat .ml-domeinnamen gratis uitdelen

Ook interessant is de volgende link. Lees eerst de URL en raad dan uit welk jaar het bericht komt. Daarna pas klikken

:https://www.persberichten.com/persbericht/74005/Dot-ML-sluit-exclusieve-overeenkomst-om-ML-NL-verwarring-te-voorkomen

Ik hoop dat hij de betreffende subdomeinen (overheid.ml bijvoorbeeld) nog wel op zijn naam heeft staan

Nee, alles is nu in handen van Mali.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 17:15]

aileron 17 juli 2023 19:49

Het is niet duidelijk hoe Zuurbier dan toch ruim honderdduizend e-mails heeft kunnen verzamelen en hoe in totaal toch miljoenen mails naar .ml-adressen zijn gestuurd

Met alle respect, maar dat lijkt mij niet zo moeilijk om te bedenken. De mails die worden verstuurd vanuit de overheid kun je inderdaad opvangen. Maar als een mail door een externe arts wordt verstuurd naar een .mil adres en hij maakt een typefout doe je daar als overheid helemaal niks aan.
Ja alle domeinen die door de overheid worden gebruikt kopen en als alias instellen.

Maar of deze domeinen nog beschikbaar zijn betwijfel ik ten sterkste.

bonyuri @aileron • 18 juli 2023 13:19

Maar als bepaalde domeinen niet geregistreerd zijn dan zou die email toch ook bouncen?
Het feit dat er nu een "catch-all" lijkt te zijn op alle mogelijke .ml domeinen vind ik best wel een dingetje eigenlijk...

GekkePrutser 17 juli 2023 20:04

Eigenlijk gewoon typosquatting. Maar dan onbedoeld.

Maar als je als leger onversleutelde emails stuurt met geheime info ben je sowieso niet echt slim bezig. Neem aan dat het allemaal redelijk low-security spul was. Het zal wel vooral gaan om communicatie met externe leveranciers van onbelangrijke dingen. Voedsel, toiletrollen enz.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 17:15]

Jerie

@GekkePrutser • 18 juli 2023 03:15

Is het ook maar dan op TLD niveau.

Nederlandse leger heeft hierin ook fouten gemaakt:

The Dutch army uses the domain army.nl, a keystroke away from army.ml. There are more than a dozen emails from serving Dutch personnel that included discussions with Italian counterparts about an ammunition pick-up in Italy and detailed exchanges on Dutch Apache helicopters crews in the US.
Others included discussions of future military procurement options and a complaint about a Dutch Apache unit’s potential vulnerability to cyber attack.

Had in het artikel gemogen @YannickSpinner.

Auteur

YannickSpinner Redacteur @Jerie • 18 juli 2023 08:26

Meer dan een dozijn staat niet in verhouding tegenover miljoenen maar heb het voor de volledigheid in een extra zin vermeld.

Jerie

@YannickSpinner • 18 juli 2023 13:39

Bedankt. Het is inderdaad naar verhouding weinig.

Ik begrijp trouwens niet hoe het hiermee zit:

The Dutch army uses the domain army.nl, a keystroke away from army.ml.

Want voor mij hebben army.nl, leger.nl geen MX record en zijn ze gesquad. Wel bestaan defensie.nl en mindef.nl en die hebben wel MX records. Hoe dan ook, de informatie lijkt inaccuraat.

vinkjb 17 juli 2023 19:18

En Mali is tegenwoordig niet westers georienteerd toch met Wagner in het land.

Bender @vinkjb • 17 juli 2023 20:50

Dat is niet de juiste conclusie.

Wagner is een huurlingen leger, die intereseert het niet of je wel of niet westers bent, wel of niet pro russisch. Als je betaald dan komen ze.

En de VN zal inderdaad wel wat vrede bewaren, maar gaan niet actief de aanval aan. Wagner heeft daar een heel ander beleid in.

FONfanatic @Bender • 17 juli 2023 21:06

Per 31 december 2023 wordt de Minusma missie door de VN op verzoek van de Malinese junta beëindigd. Die wil Al Qaeda en IS gelieerde Touaregrebellen nu door het eigen leger i.c.m. de huurlingen van de Wagner-groep zelf gaan bevechten.

FONfanatic 17 juli 2023 19:41

Freenom ondernemer Joost Zuurbier heeft het nieuws zelf nog niet op zijn Icann wiki pagina vermeld.

[Reactie gewijzigd door FONfanatic op 22 juli 2024 17:15]

DarkForce

Nederland

@FONfanatic • 17 juli 2023 21:53

Freenom ondernemer Joost Zuurbier heeft het nieuws zelf nog niet op zijn Icann wiki pagina vermeld.

Kan je lang wachten, zelfs een statement waarom ze geen gratis TLD's (ml, tk, cf, ga, gq) meer aanbieden wordt nergens gedaan laat staan dat mensen die domeinnamen tegen betaling via Freenom hebben afgenomen en deze plotsklaps zijn kwijtraakt, überhaupt een antwoord hebben gegeven.

Sociale media kanalen waarop Freenom actief is, fora (LowEndTalk) en zelfs klachten- / reviewsites (Trustpilot) hebben geen goed woord meer over Freenom en dus diens CEO.

FONfanatic @DarkForce • 18 juli 2023 12:01

Tijd dus dat @YannickSpinner daar ook eens in duikt. Dan kan Zuurbier eens zelf het vuur aan de schenen gelegd worden.

onno oliver 17 juli 2023 20:03

Brenno de W. dit geintje ook geflikt in Nederland met registratie van typo's van een paar honderd Nederlandse domeinen. Daarna heeft de man dit een jaar laten doorlopen.
Uit mijn hoofd mijn hij op deze manier in de 10 duizenden email verzameld hebben die o.a bevatten processen-verbaal, aangiftes, medische dossiers, rekeningen, kopieën van bankafschriften, kopieën van identiteitspapieren, vorderingen en departementaal vertrouwelijke stukken.
Sommige stuken hadden nooit per email gedeeld mogen worden!

Waarom dit nodig was weet ik niet Autoriteit Persoonsgegevens had al meerdere keren gerapporteerd dat data versturen naar de verkeerde ontvanger zgn tikfouten de meest voorkomende data leken in Nederland waren.

DarkForce

Nederland

@onno oliver • 18 juli 2023 02:05

Dan is deze uitspraak rondom deze toko (c.q. het moederbedrijf) een leuke aanvulling:
23-06-2015.

Krulliebol 17 juli 2023 20:50

Ook als de mails wel naar het juiste adres verstuurd zouden zijn, lijkt het me heel zorgelijk dat zulke gevoelige gegevens per mail worden verstuurd. Waarom niet via bijvoorbeeld een beveiligd portaal?

Op dit item kan niet meer gereageerd worden.

Nederlander die .ml voor Mali beheert kreeg duizenden e-mails Amerikaanse leger

Lees meer

IT-banen

Reacties (94)

Sorteer op:

Weergave: