Data van 41 Nederlandse politici is uitgelekt op het darkweb

Data van 41 van de 225 leden van de Nederlandse Eerste en Tweede Kamer is op het darkweb uitgelekt. Dat blijkt uit onderzoek van Proton en Constella Intelligence. Het gaat om onder meer e-mailadressen en tientallen wachtwoorden.

De uitgelekte data bestaat naast e-mailadressen en wachtwoorden ook uit persoonlijke details als geboortedata, fysieke adressen, IP-adressen en informatie van sociale media, stelt het onderzoek. In ieder geval een deel van de data werd buitgemaakt bij datalekken bij diensten van derde partijen, waar politici zich met hun werkmail hebben aangemeld. Het gaat bijvoorbeeld om datalekken bij LinkedIn, Dropbox en Adobe.

In totaal zijn 32 plaintextwachtwoorden van politici uitgelekt op het darkweb. Verder zijn 35 gehashte wachtwoorden uitgelekt. Naast wachtwoorden zijn ook e-mailadressen van 41 politici uitgelekt, wat neerkomt op achttien procent van alle Eerste en Tweede Kamerleden. Van één individu werden gegevens in 25 afzonderlijke datalekken op het darkweb geplaatst. Van diegene werden zes plaintextwachtwoorden gepubliceerd.

Proton waarschuwt dat de uitgelekte informatie een risico vormt. "Eén enkele inbreuk kan al een ernstig probleem voor de nationale veiligheid vormen: geclassificeerd of vertrouwelijk materiaal kan in gevaar komen door het hacken van accounts van politici." Het advies aan politici luidt om geen e-mailadressen van het werk te gebruiken voor diensten van derde partijen, tenzij dit absoluut noodzakelijk is. Ook adviseert Proton politici om wachtwoordmanagers te gebruiken en om zich aan te melden voor diensten die een notificatie geven als er data uitgelekt wordt op het darkweb. Proton heeft contact opgenomen met de politici van wie gegevens zijn aangetroffen.

Proton en Constella Intelligence onderzochten niet alleen Nederlandse politici, maar keken naar politici in diverse Europese landen en het Europees Parlement. Daaruit blijkt dat data van Britse parlementsleden het meest uitgelekt is: van 68 procent zijn de e-mailadressen op het darkweb uitgelekt. In Frankrijk gaat het net als in Nederland om achttien procent van de parlementsleden. In Luxemburg is dat zestien procent, in Italië vijftien procent en in Spanje zes procent.

Correctie, 12.35 uur - In het artikel stond eerder dat de gegevens van 42 Kamerleden op het darkweb zijn uitgelekt. Dat moest 41 zijn. Het artikel is hierop aangepast.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 14-11-2024 12:00 44

14-11-2024 • 12:00

44

Lees meer

Interview met Proton-ceo Andy Yen

16 nov 2024

Interview met Proton-ceo Andy Yen

'We willen een alternatief voor Google bieden'

174
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden Nieuws van 3 april 2025
Microsoft moet LinkedIn-gebruiker 50.000 euro betalen na inzet trackingcookies
Microsoft moet LinkedIn-gebruiker 50.000 euro betalen na inzet trackingcookies Nieuws van 13 februari 2025
LinkedIn is in VS aangeklaagd wegens gebruik privéberichten voor trainen van AI
LinkedIn is in VS aangeklaagd wegens gebruik privéberichten voor trainen van AI Nieuws van 23 januari 2025
Commissariaat voor de Media bezorgd over toename gebruik sociale media
Commissariaat voor de Media bezorgd over toename gebruik sociale media Nieuws van 25 november 2024
Adobe meldt dat naam en e-mailadres Nederlandse accounts zijn buitgemaakt
Adobe meldt dat naam en e-mailadres Nederlandse accounts zijn buitgemaakt Nieuws van 14 november 2024
Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat
Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat Nieuws van 8 november 2024
Overheid NL wil api's voor delen overheidsdata van burgers met private partijen
Overheid NL wil api's voor delen overheidsdata van burgers met private partijen Nieuws van 7 november 2024
Nokia onderzoekt datalek, mogelijk broncode gestolen
Nokia onderzoekt datalek, mogelijk broncode gestolen Nieuws van 5 november 2024
Datalek bij Amerikaans zorgbedrijf treft honderd miljoen mensen
Datalek bij Amerikaans zorgbedrijf treft honderd miljoen mensen Nieuws van 25 oktober 2024
Autoriteit Persoonsgegevens: in 2023 zeker 178 geslaagde ransomwareaanvallen
Autoriteit Persoonsgegevens: in 2023 zeker 178 geslaagde ransomwareaanvallen Nieuws van 22 oktober 2024
Internet Archive getroffen door nieuw datalek via supportplatform
Internet Archive getroffen door nieuw datalek via supportplatform Nieuws van 22 oktober 2024
SIDN blijft voorlopig houders van verlopen .nl-domeinen waarschuwen
SIDN blijft voorlopig houders van verlopen .nl-domeinen waarschuwen Nieuws van 17 oktober 2024
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Datalek Eerste Kamer Proton Security Tweede kamer

Reacties (44)

-Moderatie-faq
44
43
25
0
0
6
Wijzig sortering

Sorteer op:

Weergave:
vrije_vogel 14 november 2024 12:35
Ik snap het advies om niet de werkemail te gebruiken niet zo goed. Een mailadres is niet bepaald vertrouwelijk, zeker voor een politicus niet. Terwijl het wel een adres is dat in een goed beveiligde omgeving wordt beheerd.
Als het alternatief is dat ze voor een gratis emailadres kiezen of iets bij een provider om de hoek lijkt me dat een achteruitgang.
Hillary Clinton kreeg behoorlijk tegenwind over haar eigen mailservertje.

Iemand die hier een argumentatie bij heeft?
locke960 @vrije_vogel14 november 2024 14:01
Prive en zakelijk moet je uit elkaar houden

Je eigen belang: Geen toegang tot zakelijke mail meer -> probleem.

Bedrijfsbelang: Email adressen als @asml.com of @tweedekamer.nl maken je een aantrekkelijk doelwit voor aanvallers als wanneer de database van de site gestolen wordt.
jvwou123 @locke96015 november 2024 08:38
Bij lek van adobe b.v. dat wordt ook zakelijk gebruikt. Dus dan wil je als werkgever niet dat iemand met z’n prive account daar op inlogt.

Maar linked in daarintegen zou ik idd nooit met zakelijk emailadres gebruiken. (Gebruik overigens überhaupt niet ivm data graaien en meerdere lekken)
dimdek @jvwou12315 november 2024 13:17
LinkedIn zou je helemaal niet moeten gebruiken. De boeven vergaren al vanaf de start de contactgegevens van al je kennissen (en sturen ze daarna spam als ze nog geen account hebben). Dat betekent dat ze waarschijnlijk ook je werk-mailadres gekoppeld hebben aan je account ondanks dat je dat niet hebt opgegeven.
Lisadr @vrije_vogel14 november 2024 12:42
Hangt er vanaf waar iemand een werkemail voor gebruikt. Voor persoonlijke zaken hoor je niet je werkemail te gebruiken.
grq 14 november 2024 12:07
De geboortedata van alle Eerste en Tweede Kamerleden staan gewoon op eerstekamer.nl en tweedekamer.nl, daarvoor hoef je niet op het dark web te zijn.
CH4OS
@grq14 november 2024 12:16
Er wordt dan ook niet gepretendeerd dat het verkrijgen van alle data lastig is, maar aangegeven welke data er op het 'darkweb' verschenen is. :)
Frame164 @CH4OS15 november 2024 08:52
Maar kan je spreken van "lekken" als het openbare gegevens zijn?
CH4OS
@Frame16415 november 2024 08:58
Jazeker. Alle gegevens staan tezamen op een ongeauthorisoorde plek (waar dat niet de bedoeling is), geplaatst door een ongeauthorisoord persoon of proces.

[Reactie gewijzigd door CH4OS op 15 november 2024 09:00]

Lisadr @grq14 november 2024 12:42
Maar hun prive woonadres niet en dat is ook gelekt.
The Zep Man
14 november 2024 12:57
Een interessant stukje statistiek, maar niet meer dan dat.

• E-mailadressen zijn niet geheim. Zeker zakelijk niet, omdat iedere organisatie een vaste structuur heeft daarvoor (voornaamofletters.achternaam@organisatie.bijvoorbeeld).
• Wachtwoordlekken zijn van alle tijden. Zonder een indicatie van hoe oud het lek is zegt het niets over hoe nuttig het is voor een aanvaller. Fijn dat een wachtwoord +10 jaar geleden is uitgelekt, maar als dat misbruikt zou worden is dat ondertussen wel gedaan, opgemerkt en opgelost.

Verder wordt aangegeven dat veel andere zaken ook gelekt zijn, maar zonder getallen. Proton waarschuwt dat deze informatie misbruikt kan worden voor phishing. Dat klopt, maar zo'n schok is dit niet. Voor je beveiligingsmodel moet je ervan uitgaan dat alle informatie die niet geheim is misbruikt kan worden voor phishing. Een privéadres is niet geheim. Hooguit is zoiets niet gepubliceerd. Je moet ervan uitgaan dat alle niet-geheime informatie te verkrijgen is, en dat aanvallers die al hebben.

[Reactie gewijzigd door The Zep Man op 14 november 2024 13:06]

Llopigat
@The Zep Man14 november 2024 13:27
Wachtwoordlekken zijn van alle tijden. Zonder een indicatie van hoe oud het lek is zegt het niets over hoe nuttig het is voor een aanvaller. Fijn dat een wachtwoord +10 jaar geleden is uitgelekt, maar als dat misbruikt zou worden is dat ondertussen wel gedaan, opgemerkt en opgelost.
Je zal je verbazen hoeveel mensen nog steeds hun wachtwoord met '1' ophogen elke paar maanden ;)
iqcgubon @Llopigat14 november 2024 13:31
Dat verbaast me helemaal niks want ik doe hier op het werk letterlijk hetzelfde zolang ze blijven vasthouden aan die achterlijke regel.
Llopigat
@iqcgubon14 november 2024 13:34
Die regel was lange tijd onnodig maar nu met het lekken van data begint hij helaas weer nodig te worden. Om te zorgen dat na een lek de data niet lang bruikbaar blijft.

Een veel betere oplossing is natuurlijk passwordless. Maar dat is technisch nog lastig. En als tussentijdse workaround hebben we natuurlijk mfa met alle nadelen vandien.
The Zep Man
@Llopigat14 november 2024 14:21
Die regel was lange tijd onnodig maar nu met het lekken van data begint hij helaas weer nodig te worden.
Het is niet nodig. Je beleid kan gewoon zeggen dat je voor het werk een uniek, lastig te raden wachtwoord moet gebruiken dat je nergens anders gebruikt. Dan kan je de industriebrede aanbeveling volgen dat je gebruikers het niet meer vast oplegt dat zij op gezette tijden zonder verdere reden steeds wachtwoorden hoeven te wijzigen.

Het verplicht ophogen van het getalletje aan het einde van een wachtwoord (waar het in de praktijk vaak op neerkomt) is een vorm van schijnveiligheid. Je moet voor goede beveiliging juist de gebruiker minder lastigvallen, niet meer.
Een veel betere oplossing is natuurlijk passwordless. Maar dat is technisch nog lastig.
Technisch is dat niet lastig. Financieel wellicht.

[Reactie gewijzigd door The Zep Man op 15 november 2024 06:38]

Llopigat
@The Zep Man14 november 2024 15:51
Dan kan je de industriebrede aanbeveling volgen dat je gebruikers het niet meer vast oplegt dat zij hun op gezette tijden zonder verdere reden steeds hun wachtwoord hoeven te wijzigen.
Maar tegenwoordig is het stelen en publiceren van credentials weer stijgende. Die periodieke aanpassing was juist om te voorkomen dat het gelekte wachtwoord niet voorgoed gebruikt kan worden.
Technisch is dat niet lastig. Financieel wellicht.
Jawel want veel platformen kunnen er nog niet goed mee overweg. Bijvoorbeeld remote desktop logins,. mobiel werkt lang niet altijd met een yubikey enz.
The Zep Man
@Llopigat14 november 2024 19:38
Maar tegenwoordig is het stelen en publiceren van credentials weer stijgende.
Voor gestolen unieke, lastig te raden wachtwoorden ligt de verantwoording bij de dienst, niet bij de gebruiker. Maak als dienst het dan geen probleem van de gebruiker.
Jawel want veel platformen kunnen er nog niet goed mee overweg. Bijvoorbeeld remote desktop logins,. mobiel werkt lang niet altijd met een yubikey enz.
Voor remote desktop logins zijn zaken als MFA en passwordless prima mogelijk (o.a. via RDP, Citrix, etc.).

Dat een applicatie op een mobiel niet werkt met een YubiKey is geen beperking van de techniek. Die kan dat prima aan.

Leg niet het probleem bij de techniek neer als het gaat om een zakelijke keuze. De techniek kan het prima aan.

[Reactie gewijzigd door The Zep Man op 14 november 2024 19:40]

Frame164 @iqcgubon15 november 2024 08:53
Lekkere professionele houding....
iqcgubon @Frame16415 november 2024 22:37
Tja. Dwaze regels creëert dwaas gedrag. Mijn admin account is random generated en zit in mijn password manager. Maar het wachtwoord dat ik elke dag honderden keren moet intypen? Nope, daar gaat volgende week weer een leesteken extra achteraan.
jorisbrouwer @Llopigat14 november 2024 13:56
Password expire policy is ook een beetje achterhaald he? Goede MFA is een stuk effectiever dan elke 3 maanden een nieuw wachtwoord. Voornamelijk vanwege de reden die je zelf noemt.
Llopigat
@jorisbrouwer14 november 2024 15:48
Dan nog is het natuurlijk niet verstandig om een aanvaller uberhaupt al zo ver te laten komen dat ze de MFA kunnen triggeren.

Daardoor is het belangrijk het wachtwoord na een lek te veranderen. En omdat je niet altijd weet dat het gelekt is, is een periodieke verandering nog steeds geen slecht idee.
Opa @jorisbrouwer15 november 2024 13:17
Gekoppeld aan een wachtwoord/zin van 14 karakters met als extra eis dat het, àls het veranderd wordt, niet opgehoogd kan worden of niet een van de 20 eerdere wachtwoorden kan zijn. Verder uiteraard een uitgebreide blacklist (zomer, Ajax, <bedrijfsnaam>, etc)
Zo gaat het althans bij ons op de zaak.
Raem 14 november 2024 12:07
Het gaat bijvoorbeeld om datalekken bij LinkedIn, Dropbox en Adobe.
Volgens mij staat iedereen met een account ouder dan 10 jaar bij één van deze diensten wel op die lijst.
Scribe @Raem14 november 2024 12:12
Wou net zeggen, iedereen zit wel in een datalek tegenwoordig helaas... 25 is wel een recordje ben ik bang :P
dictatortje @Scribe14 november 2024 13:29
29...
Calypso 14 november 2024 12:49
Hulde voor de marketingafdeling van Proton. Wat queries m.b.t. publieke personen uitvoeren op lijsten van gelekte data, een persbericht de deur uit, en presto - diverse nieuwsmedia nemen het over als "een ontdekking".

Eigenlijk zou de kop moeten zijn: "Data-analyse van Proton wijst uit dat er onder de enorme hoeveelheid gelekte data die in sommige gevallen al jaren bekend is, 41 Nederlandse politici zitten."
ToolBee @Calypso14 november 2024 17:48
Net als "Cybermannetje" vorige week bij VI...
Operation Magnus. En laat zìjn bedrijf nou net een goed scannertje aanbieden. Wel "gratis",
sapphire 14 november 2024 12:22
Wat een goede adviezen van Proton, ik mis alleen het stukje MFA?

Ondertussen kun je er beter vanuit dan dat een wachtwoord ooit lekt en daar dan maatregelen voor treffen zoals een goede MFA onder andere?
Elidibus 14 november 2024 12:43
Lijkt me niet zo'n probleem, ze willen graag zelf een achterdeur in encryptie toch en ze hebben niets te verbergen? /s
Niet Henk 14 november 2024 15:46
Wat heel interessant zou zijn, maar helaas mist:

Van hoe veel van de politici met gelekte plain-text wachtwoorden, zijn één of meer plaintext wachtwoorden hetzelfde?

Als deze politici namelijk unieke wachtwoorden voor elke dienst gebruikten (wat aannemelijk is als ze een wachtwoordmanager gebruikten), dan is er weinig probleem. Zie je dat alle wachtwoorden hetzelfde zijn, ookal is de ene hack veel ouder dan de andere, dan gaan er wel wat rode vlaggetjes omhoog.
bapemania 14 november 2024 12:01
Nerds, stoppen bij 42...
ronansoleste @bapemania14 november 2024 12:07
Ja dan heb je alles al
Somoghi @ronansoleste14 november 2024 19:43
Of de hackers weten er nog veel meer die nog steeds werken, ik bedoel, dit is wat ze vrijgegeven hebben. Mensen die er niet tussen zitten denken misschien dat ze veilig zijn.
Er zal vast een reden voor zijn, maar ik betwijfel de suggestie met de referentie :+
Klaus_1250 @bapemania14 november 2024 12:09
Ik denk niet dat grapje land bij degene die jonger dan 42 zijn :-)
Thekilldevilhil @Klaus_125014 november 2024 12:20
Natuurlijk wel... Of dacht je dat het een of ander obscuur boek is.

[Reactie gewijzigd door Thekilldevilhil op 14 november 2024 12:20]

borbit @Thekilldevilhil14 november 2024 13:27
Het is begonnen met een BBC hoorspel in 1978. Als je toen 30 was ben je nu dik in de 70! Erna zijn nog een zooi hoorspelen, boeken, films, games en series van uitgekomen.

[Reactie gewijzigd door borbit op 14 november 2024 13:28]

Gepetto @Thekilldevilhil14 november 2024 12:30
Het is meer een soort guide volgens mij.
Martin.Air @Gepetto14 november 2024 12:52
Maar enkel geschikt voor zij die liften.
Blokker_1999
@Martin.Air14 november 2024 12:57
Maar iedereen wil meeliften op een hype.
BaasG @Blokker_199914 november 2024 13:08
Waar is je handdoek?
Polderviking @Klaus_125014 november 2024 13:21
Mwah.
Je hoeft niet persé bekend te zijn met 't materiaal dat uit kwam rond de jaren 80.
Is in 2005 nog eens verfilmd.
Majkowski @bapemania14 november 2024 12:14
Maar ja wat is dan de vraag?
jaaoie17 14 november 2024 18:14
Welke politici dan?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq