Wachtwoorden Brussels parlement waren makkelijk te raden

Leden van het Brusselse parlement konden op elkaars e-mailboxen inloggen, omdat nieuwe mailwachtwoorden een makkelijk te raden structuur hadden; ze bestonden uit de initialen van de parlementariër en een standaardwoord.

Wie de naam van een Brusselse collega-parlementariër wist, kon dus inloggen op zijn of haar e-mailaccount. Onderdirecteur Robert Herzeele van het ict-centrum van het Brusselse Gewest bevestigt dat. Het probleem deed zich voor bij de overstap naar Microsoft Exchange, aldus Herzeele.

Een parlementslid van de sp.a, Elke Roex, bracht de kwetsbaarheid naar buiten via Twitter. Het wachtwoord bestond uit de eerste letter van de familienaam, de eerste letter van de voornaam en een algemeen woord, dat voor ieder wachtwoord hetzelfde was. Roex logde als bewijs in op de mailbox van een collega van dezelfde fractie.

"Het wachtwoord was niet willekeurig genoeg", erkent Herzeele. "Maar het ging om nieuwe e-mailboxen, die dus leeg waren." Toen het probleem werd ontdekt, werden alle nieuwe e-mailaccounts geblokkeerd en werden de wachtwoorden vervangen. De parlementsleden krijgen per brief een nieuw wachtwoord.

Er kon ook van buitenaf worden ingelogd op de mailboxen, erkent Herzeele; de parlementariërs kunnen van webmail gebruikmaken. Iemand die kwaad wilde, moest daarvoor echter de structuur van het wachtwoord weten.

"Het ging om zeshonderd mailboxen, waarvan er vierhonderd worden gebruikt", zegt Herzeele. Een groot deel daarvan betrof parlementariërs, maar er zaten ook mailboxen van medewerkers van het parlement tussen. Volgens Herzeele is het de eerste keer dat een dergelijke fout is begaan bij een e-mailmigratie. "In de afgelopen jaren hebben we al 10.000 e-mailadressen gemigreerd", zegt hij.

Het Brusselse parlement is een van de drie gewestelijke parlementen. Naast het Brusselse gewest, dat uit negentien gemeenten bestaat, zijn Vlaanderen en Wallonië aparte gewesten.

Door Joost Schellevis

Redacteur

Feedback • 20-12-2011 12:46
23 • submitter: ieperlingetje

20-12-2011 • 12:46

23 Linkedin

Submitter: ieperlingetje

Lees meer

Nederland zakt op ict-ranglijst Nieuws van 27 september 2011
Demissionair ict-minister steunt iRail tegen Belgische Spoorwegen Nieuws van 25 juni 2010
Belgische inlichtingendienst werft ict-beveiligers Nieuws van 18 mei 2010
België schaart zich achter eCall Nieuws van 3 mei 2010
65.000 Belgen tekenen petitie voor goedkoper internet Nieuws van 22 januari 2010
Minister: Belgacom is vanaf 2015 niet langer staatsbedrijf Nieuws van 2 december 2009
België krijgt landelijk bestrijdingsteam voor cyberaanvallen Nieuws van 9 september 2009
Nederland krijgt derde positie op ict-ranglijst, België twintigste Nieuws van 17 juni 2009
'Statische ict-markt België vormt bedreiging economie' Nieuws van 3 juni 2009
Meer producten en artikelen
Politiek en recht Privacy België Beveiliging

Reacties (23)

-Moderatie-faq
-123021+112+21+30Ongemodereerd4
Wijzig sortering
+1PerfectPC
20 december 2011 12:54
Het probleem deed zich voor bij de overstap naar Microsoft Exchange, aldus Herzeele.
Beetje jammer verwoord nietwaar? Zo lijkt het alsof MS Exchange hier voor iets tussen zit :/
+2Waking_The_Dead
@PerfectPC20 december 2011 13:12
Dat is mogelijks precies de bedoeling natuurlijk. Voor jan-met-de-pet die dat artikel leest, lijkt het nu een 'computerprobleem' te zijn terwijl het natuurlijk een menselijke fout is.
+1IStealYourGun

@PerfectPC20 december 2011 14:03
Meeste ICT zaken bij de overheid zijn geoutsourced door bedrijven die wel partner zijn van Microsoft. En meestal zijn het dan nog grote bedrijven.
+1TERW_DAN
20 december 2011 12:49
Waarom hebben ze dan niet gewoon de policy om gelijk het standaard wachtwoord te veranderen? Dat is toch zo standaard als maar zijn kan?
+1Tsurany
@TERW_DAN20 december 2011 12:52
Inderdaad, in principe niks mis met zulke wachtwoorden. Het probleem treed pas op als de mailboxen in gebruik genomen worden zonder dat deze wachtwoorden aangepast worden. Zorg dat deze wachtwoorden bij de eerste inlogpoging direct aangepast moeten worden en niet hetzelfde wachtwoord gekozen kan worden, dan ben je direct van dit probleem af.

Enig vervelende is dan nog dat een collega eerder kan zijn en daardoor met het standaard wachtwoord zelf een eigen wachtwoord in kan stellen, dit merk je echter wel direct. Mooiste is natuurlijk ook je tijdelijke wachtwoorden zo in te stellen dat deze random zijn, dit maakt alleen communicatie wat lastiger en de vraag is of dit echt noodzakelijk is.
+1Anoniem: 151857
@Tsurany20 december 2011 12:56
Niks mis mee?! Tuurlijk wel! Je kan als aanvaller je voordoen als een parlementariër! Btw, waarom alleen een wachtwoord en geen two-factor authenticatie? Weer een pauper inrichting voor zo'n belangrijk orgaan van heb-ik-jou-daar, wat een verassing.
0RielN
@Anoniem: 15185720 december 2011 15:18
+100. Two-factor is in deze contreien hopenlijk standaard. Euh, toch niet.
0401101
@Anoniem: 15185720 december 2011 21:23
Dat kun je zo ook al, je kunt alleen niets terug ontvangen. Enkel mails uit naam van andere mail adressen sturen.
+1Menesis
@Tsurany20 december 2011 12:57
als de mailbox ondertussen al begint met het verzamelen van email, dan is het eisen van een nieuw wachtwoord NIET genoeg. De mail staat er al in en is bij de eerste inlog dus met het simpele wachtwoord in te zien.
+1Waking_The_Dead
@TERW_DAN20 december 2011 12:52
Daar is het probleem niet mee opgelost natuurlijk. Als een collega inlogt alvorens de eigenaar van de mailbox dat doet, dan kan het wachtwoord aangepast worden door de verkeerde persoon waardoor de eigenaar zelfs geen toegang meer heeft tot zijn eigen mailbox.
+1MAX3400
@TERW_DAN20 december 2011 12:55
Waarom hebben ze dan niet gewoon de policy om gelijk het standaard wachtwoord te veranderen? Dat is toch zo standaard als maar zijn kan?
Ooit geprobeerd in OWA je password te veranderen op een mailbox die one-way synct vanuit AD via FS naar Office 365?

Staat verder niet in het artikel welke technologie er gebruikt is maar kan me voorstellen dat voor mensen die niet vaak inloggein in/op het trusted LAN, het soms lastiger is om passwords te veranderen.

Doet niets af aan het feit dat ze random passwords en/of aangepast inlognaam hadden kunnen (bij)verzinnen.

[Reactie gewijzigd door MAX3400 op 20 december 2011 12:56]

+1dasiro
20 december 2011 12:50
"Het ging om zeshonderd mailboxen, waarvan er vierhonderd worden gebruikt", zegt Herzeele. Een groot deel daarvan betrof parlementariërs, maar er zaten ook mailboxen van medewerkers van het parlement tussen.
het brussels parlement telt maar 89 leden, zelfs moesten die allemaal nieuw zijn, dan is het nog amper een kwart
+1zovty
20 december 2011 13:19
De wereld is weer een stukje veiliger geworden dankzij deze geweldige twitteraktie.

Ik ben blij te zien dat de heren politici in belgie ook de juiste weg weten te vinden als ze een security probleem tegenkomen. Gelijk aan de grote klok hangen!
+110 feet high
20 december 2011 17:44
Goh, een onhandig probleempje, maar toch niet van die aard om nu moord en brand te gaan schreeuwen. Die systeembeheerders zullen waarschijnlijk de volgende keer wel eens extra gaan nadenken voordat ze hun 'brievenbussen' half open gaan zetten. Verder kan ik er niet echt van wakkerliggen. Er komt nu één geval in het nieuws, maar jaarlijks zullen er vast honderdduizenden werk-e-mails zijn waar net hetzelfde mee gebeurt. Iets voor 'de sector' om eens over na te denken.
0dasiro
@10 feet high20 december 2011 18:29
en zo lang het geen voor de hand liggende string is, denken mensen dat het random is en is er geen probleem zoals met elke goede random password generator.

Als jij een paswoord Ei0ThEi2d krijgt, dan moet je al bijna autistisch of een cryptoloog zijn om er de logica achter te vinden. het is pas als je voldoende paswoorden kent (het mijne is IA0iA0i1d ), dat je de sequentie kan achterhalen.

(voor de niet-autisten: zet alle karakters van de naam achter elkaar, het eerstvolgende karakter is doorlopend het 4e karakter van de naam alternerend een hoofdletter en kleine letter (tenzij een cijfer) voor de eerste 7 karakters. Het 8e is het laatste cijfer van je personeelsnummer (aangezien ik fictief personeelsnummer 01000001 heb en jij 03000002 (01 staat voor de IT-afdeling, 02 is HR en 03 de eerstvolgende :P ) en het laatste karakter is de eerste letter van de dag van de week.
010 feet high
@dasiro20 december 2011 19:29
Sorry, ik begrijp er geen snars van :d

Maar zoiets heeft ook zijn voor en zijn nadelen, he. Op mijn werk heb ik zoveel verschillende wachtwoorden van zoveel verschillende toepassingen/programma's/mailboxen/alarmcodes/inlogcodes enzovoort dat het niet meer werkbaar is.

Probleem: ipv de paswoorden, ben ikzelf de zwakke schakel in het hele beveiligingsgedoe.
0VW-Arjan
20 december 2011 12:56
toch 200 exchange calls die niet gebruikt worden dan haha
0fleus
20 december 2011 15:02
Dit hadden ze een aantal jaar geleden op de Hanzehogeschool in Groningen ook, Maar dan wel met de policy dat het wachtwoord verandert moest worden volgens mij..
0mjtdevries
20 december 2011 15:34
Volgens Herzeele is het de eerste keer dat een dergelijke fout is begaan bij een e-mailmigratie. "In de afgelopen jaren hebben we al 10.000 e-mailadressen gemigreerd", zegt hij.
Lees: in de afgelopen jaren heeft niemand over deze domme methode geklaagd.

Moeten we nu echt geloven dat ze nu zomaar eens besloten hebben om een domme methode te kiezen, terwijl ze al die jaren daarvoor wel normale veilige methodes hebben gebruikt?
Dat is een tikkie ongeloofwaardig.
0analog_
21 december 2011 02:31
Vlaams parlement pw is azerty dus niet veel beter.
0jip_86
20 december 2011 13:06
Hehe, laat me raden. Nu krijgt iedereen een brief gestuurd dat het wachtwoord voor de eerste keer inloggen Welkom01 is ?

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee