Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Submitter: ieperlingetje

Leden van het Brusselse parlement konden op elkaars e-mailboxen inloggen, omdat nieuwe mailwachtwoorden een makkelijk te raden structuur hadden; ze bestonden uit de initialen van de parlementariŽr en een standaardwoord.

Wie de naam van een Brusselse collega-parlementariër wist, kon dus inloggen op zijn of haar e-mailaccount. Onderdirecteur Robert Herzeele van het ict-centrum van het Brusselse Gewest bevestigt dat. Het probleem deed zich voor bij de overstap naar Microsoft Exchange, aldus Herzeele.

Een parlementslid van de sp.a, Elke Roex, bracht de kwetsbaarheid naar buiten via Twitter. Het wachtwoord bestond uit de eerste letter van de familienaam, de eerste letter van de voornaam en een algemeen woord, dat voor ieder wachtwoord hetzelfde was. Roex logde als bewijs in op de mailbox van een collega van dezelfde fractie.

"Het wachtwoord was niet willekeurig genoeg", erkent Herzeele. "Maar het ging om nieuwe e-mailboxen, die dus leeg waren." Toen het probleem werd ontdekt, werden alle nieuwe e-mailaccounts geblokkeerd en werden de wachtwoorden vervangen. De parlementsleden krijgen per brief een nieuw wachtwoord.

Er kon ook van buitenaf worden ingelogd op de mailboxen, erkent Herzeele; de parlementariërs kunnen van webmail gebruikmaken. Iemand die kwaad wilde, moest daarvoor echter de structuur van het wachtwoord weten.

"Het ging om zeshonderd mailboxen, waarvan er vierhonderd worden gebruikt", zegt Herzeele. Een groot deel daarvan betrof parlementariërs, maar er zaten ook mailboxen van medewerkers van het parlement tussen. Volgens Herzeele is het de eerste keer dat een dergelijke fout is begaan bij een e-mailmigratie. "In de afgelopen jaren hebben we al 10.000 e-mailadressen gemigreerd", zegt hij.

Het Brusselse parlement is een van de drie gewestelijke parlementen. Naast het Brusselse gewest, dat uit negentien gemeenten bestaat, zijn Vlaanderen en Wallonië aparte gewesten.

Moderatie-faq Wijzig weergave

Reacties (23)

Het probleem deed zich voor bij de overstap naar Microsoft Exchange, aldus Herzeele.
Beetje jammer verwoord nietwaar? Zo lijkt het alsof MS Exchange hier voor iets tussen zit :/
Dat is mogelijks precies de bedoeling natuurlijk. Voor jan-met-de-pet die dat artikel leest, lijkt het nu een 'computerprobleem' te zijn terwijl het natuurlijk een menselijke fout is.
Meeste ICT zaken bij de overheid zijn geoutsourced door bedrijven die wel partner zijn van Microsoft. En meestal zijn het dan nog grote bedrijven.
Waarom hebben ze dan niet gewoon de policy om gelijk het standaard wachtwoord te veranderen? Dat is toch zo standaard als maar zijn kan?
Inderdaad, in principe niks mis met zulke wachtwoorden. Het probleem treed pas op als de mailboxen in gebruik genomen worden zonder dat deze wachtwoorden aangepast worden. Zorg dat deze wachtwoorden bij de eerste inlogpoging direct aangepast moeten worden en niet hetzelfde wachtwoord gekozen kan worden, dan ben je direct van dit probleem af.

Enig vervelende is dan nog dat een collega eerder kan zijn en daardoor met het standaard wachtwoord zelf een eigen wachtwoord in kan stellen, dit merk je echter wel direct. Mooiste is natuurlijk ook je tijdelijke wachtwoorden zo in te stellen dat deze random zijn, dit maakt alleen communicatie wat lastiger en de vraag is of dit echt noodzakelijk is.
Niks mis mee?! Tuurlijk wel! Je kan als aanvaller je voordoen als een parlementariŽr! Btw, waarom alleen een wachtwoord en geen two-factor authenticatie? Weer een pauper inrichting voor zo'n belangrijk orgaan van heb-ik-jou-daar, wat een verassing.
+100. Two-factor is in deze contreien hopenlijk standaard. Euh, toch niet.
Dat kun je zo ook al, je kunt alleen niets terug ontvangen. Enkel mails uit naam van andere mail adressen sturen.
als de mailbox ondertussen al begint met het verzamelen van email, dan is het eisen van een nieuw wachtwoord NIET genoeg. De mail staat er al in en is bij de eerste inlog dus met het simpele wachtwoord in te zien.
Daar is het probleem niet mee opgelost natuurlijk. Als een collega inlogt alvorens de eigenaar van de mailbox dat doet, dan kan het wachtwoord aangepast worden door de verkeerde persoon waardoor de eigenaar zelfs geen toegang meer heeft tot zijn eigen mailbox.
Waarom hebben ze dan niet gewoon de policy om gelijk het standaard wachtwoord te veranderen? Dat is toch zo standaard als maar zijn kan?
Ooit geprobeerd in OWA je password te veranderen op een mailbox die one-way synct vanuit AD via FS naar Office 365?

Staat verder niet in het artikel welke technologie er gebruikt is maar kan me voorstellen dat voor mensen die niet vaak inloggein in/op het trusted LAN, het soms lastiger is om passwords te veranderen.

Doet niets af aan het feit dat ze random passwords en/of aangepast inlognaam hadden kunnen (bij)verzinnen.

[Reactie gewijzigd door MAX3400 op 20 december 2011 12:56]

"Het ging om zeshonderd mailboxen, waarvan er vierhonderd worden gebruikt", zegt Herzeele. Een groot deel daarvan betrof parlementariŽrs, maar er zaten ook mailboxen van medewerkers van het parlement tussen.
het brussels parlement telt maar 89 leden, zelfs moesten die allemaal nieuw zijn, dan is het nog amper een kwart
De wereld is weer een stukje veiliger geworden dankzij deze geweldige twitteraktie.

Ik ben blij te zien dat de heren politici in belgie ook de juiste weg weten te vinden als ze een security probleem tegenkomen. Gelijk aan de grote klok hangen!
Goh, een onhandig probleempje, maar toch niet van die aard om nu moord en brand te gaan schreeuwen. Die systeembeheerders zullen waarschijnlijk de volgende keer wel eens extra gaan nadenken voordat ze hun 'brievenbussen' half open gaan zetten. Verder kan ik er niet echt van wakkerliggen. Er komt nu ťťn geval in het nieuws, maar jaarlijks zullen er vast honderdduizenden werk-e-mails zijn waar net hetzelfde mee gebeurt. Iets voor 'de sector' om eens over na te denken.
en zo lang het geen voor de hand liggende string is, denken mensen dat het random is en is er geen probleem zoals met elke goede random password generator.

Als jij een paswoord Ei0ThEi2d krijgt, dan moet je al bijna autistisch of een cryptoloog zijn om er de logica achter te vinden. het is pas als je voldoende paswoorden kent (het mijne is IA0iA0i1d ), dat je de sequentie kan achterhalen.

(voor de niet-autisten: zet alle karakters van de naam achter elkaar, het eerstvolgende karakter is doorlopend het 4e karakter van de naam alternerend een hoofdletter en kleine letter (tenzij een cijfer) voor de eerste 7 karakters. Het 8e is het laatste cijfer van je personeelsnummer (aangezien ik fictief personeelsnummer 01000001 heb en jij 03000002 (01 staat voor de IT-afdeling, 02 is HR en 03 de eerstvolgende :P ) en het laatste karakter is de eerste letter van de dag van de week.
Sorry, ik begrijp er geen snars van :d

Maar zoiets heeft ook zijn voor en zijn nadelen, he. Op mijn werk heb ik zoveel verschillende wachtwoorden van zoveel verschillende toepassingen/programma's/mailboxen/alarmcodes/inlogcodes enzovoort dat het niet meer werkbaar is.

Probleem: ipv de paswoorden, ben ikzelf de zwakke schakel in het hele beveiligingsgedoe.
toch 200 exchange calls die niet gebruikt worden dan haha
Dit hadden ze een aantal jaar geleden op de Hanzehogeschool in Groningen ook, Maar dan wel met de policy dat het wachtwoord verandert moest worden volgens mij..
Volgens Herzeele is het de eerste keer dat een dergelijke fout is begaan bij een e-mailmigratie. "In de afgelopen jaren hebben we al 10.000 e-mailadressen gemigreerd", zegt hij.
Lees: in de afgelopen jaren heeft niemand over deze domme methode geklaagd.

Moeten we nu echt geloven dat ze nu zomaar eens besloten hebben om een domme methode te kiezen, terwijl ze al die jaren daarvoor wel normale veilige methodes hebben gebruikt?
Dat is een tikkie ongeloofwaardig.
Vlaams parlement pw is azerty dus niet veel beter.
Hehe, laat me raden. Nu krijgt iedereen een brief gestuurd dat het wachtwoord voor de eerste keer inloggen Welkom01 is ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True