Data van 41 Nederlandse politici is uitgelekt op het darkweb

Data van 41 van de 225 leden van de Nederlandse Eerste en Tweede Kamer is op het darkweb uitgelekt. Dat blijkt uit onderzoek van Proton en Constella Intelligence. Het gaat om onder meer e-mailadressen en tientallen wachtwoorden.

De uitgelekte data bestaat naast e-mailadressen en wachtwoorden ook uit persoonlijke details als geboortedata, fysieke adressen, IP-adressen en informatie van sociale media, stelt het onderzoek. In ieder geval een deel van de data werd buitgemaakt bij datalekken bij diensten van derde partijen, waar politici zich met hun werkmail hebben aangemeld. Het gaat bijvoorbeeld om datalekken bij LinkedIn, Dropbox en Adobe.

In totaal zijn 32 plaintextwachtwoorden van politici uitgelekt op het darkweb. Verder zijn 35 gehashte wachtwoorden uitgelekt. Naast wachtwoorden zijn ook e-mailadressen van 41 politici uitgelekt, wat neerkomt op achttien procent van alle Eerste en Tweede Kamerleden. Van één individu werden gegevens in 25 afzonderlijke datalekken op het darkweb geplaatst. Van diegene werden zes plaintextwachtwoorden gepubliceerd.

Proton waarschuwt dat de uitgelekte informatie een risico vormt. "Eén enkele inbreuk kan al een ernstig probleem voor de nationale veiligheid vormen: geclassificeerd of vertrouwelijk materiaal kan in gevaar komen door het hacken van accounts van politici." Het advies aan politici luidt om geen e-mailadressen van het werk te gebruiken voor diensten van derde partijen, tenzij dit absoluut noodzakelijk is. Ook adviseert Proton politici om wachtwoordmanagers te gebruiken en om zich aan te melden voor diensten die een notificatie geven als er data uitgelekt wordt op het darkweb. Proton heeft contact opgenomen met de politici van wie gegevens zijn aangetroffen.

Proton en Constella Intelligence onderzochten niet alleen Nederlandse politici, maar keken naar politici in diverse Europese landen en het Europees Parlement. Daaruit blijkt dat data van Britse parlementsleden het meest uitgelekt is: van 68 procent zijn de e-mailadressen op het darkweb uitgelekt. In Frankrijk gaat het net als in Nederland om achttien procent van de parlementsleden. In Luxemburg is dat zestien procent, in Italië vijftien procent en in Spanje zes procent.

Correctie, 12.35 uur - In het artikel stond eerder dat de gegevens van 42 Kamerleden op het darkweb zijn uitgelekt. Dat moest 41 zijn. Het artikel is hierop aangepast.

Door Eveline Meijer

Nieuwsredacteur

14-11-2024 • 12:00

44

Reacties (44)

Sorteer op:

Weergave:

Ik snap het advies om niet de werkemail te gebruiken niet zo goed. Een mailadres is niet bepaald vertrouwelijk, zeker voor een politicus niet. Terwijl het wel een adres is dat in een goed beveiligde omgeving wordt beheerd.
Als het alternatief is dat ze voor een gratis emailadres kiezen of iets bij een provider om de hoek lijkt me dat een achteruitgang.
Hillary Clinton kreeg behoorlijk tegenwind over haar eigen mailservertje.

Iemand die hier een argumentatie bij heeft?
Prive en zakelijk moet je uit elkaar houden

Je eigen belang: Geen toegang tot zakelijke mail meer -> probleem.

Bedrijfsbelang: Email adressen als @asml.com of @tweedekamer.nl maken je een aantrekkelijk doelwit voor aanvallers als wanneer de database van de site gestolen wordt.
Bij lek van adobe b.v. dat wordt ook zakelijk gebruikt. Dus dan wil je als werkgever niet dat iemand met z’n prive account daar op inlogt.

Maar linked in daarintegen zou ik idd nooit met zakelijk emailadres gebruiken. (Gebruik overigens überhaupt niet ivm data graaien en meerdere lekken)
LinkedIn zou je helemaal niet moeten gebruiken. De boeven vergaren al vanaf de start de contactgegevens van al je kennissen (en sturen ze daarna spam als ze nog geen account hebben). Dat betekent dat ze waarschijnlijk ook je werk-mailadres gekoppeld hebben aan je account ondanks dat je dat niet hebt opgegeven.
Hangt er vanaf waar iemand een werkemail voor gebruikt. Voor persoonlijke zaken hoor je niet je werkemail te gebruiken.
De geboortedata van alle Eerste en Tweede Kamerleden staan gewoon op eerstekamer.nl en tweedekamer.nl, daarvoor hoef je niet op het dark web te zijn.
Er wordt dan ook niet gepretendeerd dat het verkrijgen van alle data lastig is, maar aangegeven welke data er op het 'darkweb' verschenen is. :)
Maar kan je spreken van "lekken" als het openbare gegevens zijn?
Jazeker. Alle gegevens staan tezamen op een ongeauthorisoorde plek (waar dat niet de bedoeling is), geplaatst door een ongeauthorisoord persoon of proces.

[Reactie gewijzigd door CH4OS op 15 november 2024 09:00]

Maar hun prive woonadres niet en dat is ook gelekt.
Een interessant stukje statistiek, maar niet meer dan dat.

• E-mailadressen zijn niet geheim. Zeker zakelijk niet, omdat iedere organisatie een vaste structuur heeft daarvoor (voornaamofletters.achternaam@organisatie.bijvoorbeeld).
• Wachtwoordlekken zijn van alle tijden. Zonder een indicatie van hoe oud het lek is zegt het niets over hoe nuttig het is voor een aanvaller. Fijn dat een wachtwoord +10 jaar geleden is uitgelekt, maar als dat misbruikt zou worden is dat ondertussen wel gedaan, opgemerkt en opgelost.

Verder wordt aangegeven dat veel andere zaken ook gelekt zijn, maar zonder getallen. Proton waarschuwt dat deze informatie misbruikt kan worden voor phishing. Dat klopt, maar zo'n schok is dit niet. Voor je beveiligingsmodel moet je ervan uitgaan dat alle informatie die niet geheim is misbruikt kan worden voor phishing. Een privéadres is niet geheim. Hooguit is zoiets niet gepubliceerd. Je moet ervan uitgaan dat alle niet-geheime informatie te verkrijgen is, en dat aanvallers die al hebben.

[Reactie gewijzigd door The Zep Man op 14 november 2024 13:06]

Wachtwoordlekken zijn van alle tijden. Zonder een indicatie van hoe oud het lek is zegt het niets over hoe nuttig het is voor een aanvaller. Fijn dat een wachtwoord +10 jaar geleden is uitgelekt, maar als dat misbruikt zou worden is dat ondertussen wel gedaan, opgemerkt en opgelost.
Je zal je verbazen hoeveel mensen nog steeds hun wachtwoord met '1' ophogen elke paar maanden ;)
Dat verbaast me helemaal niks want ik doe hier op het werk letterlijk hetzelfde zolang ze blijven vasthouden aan die achterlijke regel.
Die regel was lange tijd onnodig maar nu met het lekken van data begint hij helaas weer nodig te worden. Om te zorgen dat na een lek de data niet lang bruikbaar blijft.

Een veel betere oplossing is natuurlijk passwordless. Maar dat is technisch nog lastig. En als tussentijdse workaround hebben we natuurlijk mfa met alle nadelen vandien.
Die regel was lange tijd onnodig maar nu met het lekken van data begint hij helaas weer nodig te worden.
Het is niet nodig. Je beleid kan gewoon zeggen dat je voor het werk een uniek, lastig te raden wachtwoord moet gebruiken dat je nergens anders gebruikt. Dan kan je de industriebrede aanbeveling volgen dat je gebruikers het niet meer vast oplegt dat zij op gezette tijden zonder verdere reden steeds wachtwoorden hoeven te wijzigen.

Het verplicht ophogen van het getalletje aan het einde van een wachtwoord (waar het in de praktijk vaak op neerkomt) is een vorm van schijnveiligheid. Je moet voor goede beveiliging juist de gebruiker minder lastigvallen, niet meer.
Een veel betere oplossing is natuurlijk passwordless. Maar dat is technisch nog lastig.
Technisch is dat niet lastig. Financieel wellicht.

[Reactie gewijzigd door The Zep Man op 15 november 2024 06:38]

Dan kan je de industriebrede aanbeveling volgen dat je gebruikers het niet meer vast oplegt dat zij hun op gezette tijden zonder verdere reden steeds hun wachtwoord hoeven te wijzigen.
Maar tegenwoordig is het stelen en publiceren van credentials weer stijgende. Die periodieke aanpassing was juist om te voorkomen dat het gelekte wachtwoord niet voorgoed gebruikt kan worden.
Technisch is dat niet lastig. Financieel wellicht.
Jawel want veel platformen kunnen er nog niet goed mee overweg. Bijvoorbeeld remote desktop logins,. mobiel werkt lang niet altijd met een yubikey enz.
Maar tegenwoordig is het stelen en publiceren van credentials weer stijgende.
Voor gestolen unieke, lastig te raden wachtwoorden ligt de verantwoording bij de dienst, niet bij de gebruiker. Maak als dienst het dan geen probleem van de gebruiker.
Jawel want veel platformen kunnen er nog niet goed mee overweg. Bijvoorbeeld remote desktop logins,. mobiel werkt lang niet altijd met een yubikey enz.
Voor remote desktop logins zijn zaken als MFA en passwordless prima mogelijk (o.a. via RDP, Citrix, etc.).

Dat een applicatie op een mobiel niet werkt met een YubiKey is geen beperking van de techniek. Die kan dat prima aan.

Leg niet het probleem bij de techniek neer als het gaat om een zakelijke keuze. De techniek kan het prima aan.

[Reactie gewijzigd door The Zep Man op 14 november 2024 19:40]

Lekkere professionele houding....
Tja. Dwaze regels creëert dwaas gedrag. Mijn admin account is random generated en zit in mijn password manager. Maar het wachtwoord dat ik elke dag honderden keren moet intypen? Nope, daar gaat volgende week weer een leesteken extra achteraan.
Password expire policy is ook een beetje achterhaald he? Goede MFA is een stuk effectiever dan elke 3 maanden een nieuw wachtwoord. Voornamelijk vanwege de reden die je zelf noemt.
Dan nog is het natuurlijk niet verstandig om een aanvaller uberhaupt al zo ver te laten komen dat ze de MFA kunnen triggeren.

Daardoor is het belangrijk het wachtwoord na een lek te veranderen. En omdat je niet altijd weet dat het gelekt is, is een periodieke verandering nog steeds geen slecht idee.
Gekoppeld aan een wachtwoord/zin van 14 karakters met als extra eis dat het, àls het veranderd wordt, niet opgehoogd kan worden of niet een van de 20 eerdere wachtwoorden kan zijn. Verder uiteraard een uitgebreide blacklist (zomer, Ajax, <bedrijfsnaam>, etc)
Zo gaat het althans bij ons op de zaak.
Het gaat bijvoorbeeld om datalekken bij LinkedIn, Dropbox en Adobe.
Volgens mij staat iedereen met een account ouder dan 10 jaar bij één van deze diensten wel op die lijst.
Wou net zeggen, iedereen zit wel in een datalek tegenwoordig helaas... 25 is wel een recordje ben ik bang :P
Hulde voor de marketingafdeling van Proton. Wat queries m.b.t. publieke personen uitvoeren op lijsten van gelekte data, een persbericht de deur uit, en presto - diverse nieuwsmedia nemen het over als "een ontdekking".

Eigenlijk zou de kop moeten zijn: "Data-analyse van Proton wijst uit dat er onder de enorme hoeveelheid gelekte data die in sommige gevallen al jaren bekend is, 41 Nederlandse politici zitten."
Net als "Cybermannetje" vorige week bij VI...
Operation Magnus. En laat zìjn bedrijf nou net een goed scannertje aanbieden. Wel "gratis",
Wat een goede adviezen van Proton, ik mis alleen het stukje MFA?

Ondertussen kun je er beter vanuit dan dat een wachtwoord ooit lekt en daar dan maatregelen voor treffen zoals een goede MFA onder andere?
Lijkt me niet zo'n probleem, ze willen graag zelf een achterdeur in encryptie toch en ze hebben niets te verbergen? /s
Wat heel interessant zou zijn, maar helaas mist:

Van hoe veel van de politici met gelekte plain-text wachtwoorden, zijn één of meer plaintext wachtwoorden hetzelfde?

Als deze politici namelijk unieke wachtwoorden voor elke dienst gebruikten (wat aannemelijk is als ze een wachtwoordmanager gebruikten), dan is er weinig probleem. Zie je dat alle wachtwoorden hetzelfde zijn, ookal is de ene hack veel ouder dan de andere, dan gaan er wel wat rode vlaggetjes omhoog.
Nerds, stoppen bij 42...
Ja dan heb je alles al
Of de hackers weten er nog veel meer die nog steeds werken, ik bedoel, dit is wat ze vrijgegeven hebben. Mensen die er niet tussen zitten denken misschien dat ze veilig zijn.
Er zal vast een reden voor zijn, maar ik betwijfel de suggestie met de referentie :+
Ik denk niet dat grapje land bij degene die jonger dan 42 zijn :-)
Natuurlijk wel... Of dacht je dat het een of ander obscuur boek is.

[Reactie gewijzigd door Thekilldevilhil op 14 november 2024 12:20]

Het is begonnen met een BBC hoorspel in 1978. Als je toen 30 was ben je nu dik in de 70! Erna zijn nog een zooi hoorspelen, boeken, films, games en series van uitgekomen.

[Reactie gewijzigd door borbit op 14 november 2024 13:28]

Het is meer een soort guide volgens mij.
Maar enkel geschikt voor zij die liften.
Waar is je handdoek?
Mwah.
Je hoeft niet persé bekend te zijn met 't materiaal dat uit kwam rond de jaren 80.
Is in 2005 nog eens verfilmd.
Maar ja wat is dan de vraag?
Welke politici dan?

Op dit item kan niet meer gereageerd worden.