ZUTPHEN - Het was landelijk nieuws: het mailsysteem van de Tweede Kamer is hartstikke lek. Dit bleek uit onderzoek van de website Follow The Money. Wij aapten hun onderzoek na, en daaruit blijkt dat ook het systeem van de gemeente Zutphen net zo hard faalt. 

Het is voor zowel jou als mij eenvoudig te doen. Een mail sturen vanuit een politicus of medewerker van de gemeente Zutphen. Zo probeerden wij namens burgemeester Annemieke Vermeulen en meerdere fractievoorzitters een mail te sturen naar onze redactie. Dit was geen enkel probleem. 

Lees verder onder de foto...

En dat wisten ze al lang

Binnenlands Bestuur deed in juni vorig jaar een steekproef. Daaruit bleek dat bij veel gemeenten de beveiliging niet op orde is. Ook Zutphen kwam voor in die steekproef. Ze weten dus al ruim een jaar dat er gemaild kan worden vanuit een @zutphen.nl of @raad.zutphen.nl mailadres door een wildvreemde.

"Als dat zo is dan is dat een kwalijke zaak"

Criminelen kunnen dus gebruik maken van mailadressen binnen de gemeente Zutphen. Ze kunnen je linkjes met virussen, neppe boetes of andere belastende dingen sturen, en jij denkt dan dat het van de gemeente afkomt. "Als dat zo is dan is dat een kwalijke zaak. Maar we zullen het eerst verder moeten uitzoeken" meldt een woordvoerder van de gemeente in een eerste reactie.

Kinderlijk eenvoudig

Maarten Boone is expert op het gebied van dit soort zaken deed samen met Follow the Money onderzoek naar het lek bij de Tweede Kamer, dat dezelfde oorzaak heeft als bij de gemeente Zutphen. "Het grootste probleem bij de Tweede Kamer is het ontbreken van Sender Policy Framework,: vertelt Boone aan de website. “Dit is een beveiligingsextensie voor e-maildomeinen. Het werkt door middel van een lijst met e-mailservers die gemachtigd zijn om namens dat domein, in dit geval @tweedekamer.nl, mails te versturen. Omdat deze lijst er niet is, kunnen wij nu vanaf elke e-mailserver, waar ook ter wereld, mails versturen die afkomstig lijken te zijn van @tweedekamer.nl.” En volgens hem is het een groot probleem: "Als jij een kamerlid bent en Mark Rutte stuurt jou een mailtje met een linkje erin, waarom zou je er dan niet op klikken? Het komt van de minister-president.” 

Lees verder onder de foto... 

Namens Ingrid Timmer, fractievoorzitter van D66, hebben we ook een e-mail naar onze redactie verstuurd. "Daar schrik ik wel van. Dat moet niet mogen. Daar kunnen hele vervelende situaties vanuit onstaan. Ik ga morgen meteen even met de gemeente bellen" reageert ze wanneer we het aan haar voorleggen. 

We hebben niet ingebroken in systemen of mailboxen om dit te kunnen testen. Via een paar simpele instellingen in ieders mailprogramma is zo'n mail als bovenstaand te gebruiken. 

Nepnieuws

Nepnieuws is één van de dingen die verspreid kan worden via dit lek. Iemand met kwade bedoelingen zou een mail met een nep-persbericht kunnen sturen naar lokale media namens het mailadres van een persvoorlichter. Dit zal dan vermoedelijk als waarheid aangezien worden en binnen de kortste keren overal verschijnen.

Lees ook:

• Het artikel van Follow The Money
• De steekproef van Binnenlands Bestuur van vorig jaar