Een verdacht mailtje waarin gevraagd wordt om het wachtwoord van de creditkaart zette een inwoner van Zaanstad aan het denken: het mailadres waaraan het verzoek was gericht, was alleen gebruikt om een mail aan de gemeente Zaanstad te sturen. Hoe kwamen criminelen aan dit adres?
Ook was het mailadres door de afdeling Onderzoek, Informatie en Statistiek van de gemeente Amsterdam gebruikt. Daarnaast werden mails van UitdeZaanstreek en Duurzaan aan dit adres verstuurd – beide initiatieven in opdracht van Zaanstad, uitgevoerd door Lassooy Design in Wormerveer.
Hoe kwamen Amsterdam en Lassooy aan dit mailadres?
De ontvanger van de mail vraagt hoe het kan dat een mailadres dat alleen bij Zaanstad bekend is, kennelijk gehackt is, en of het rechtmatig is dat het mailadres is gedeeld met de gemeente Amsterdam en een commercieel bedrijf.
De phishing-mail van de creditcard is van eind maart 2021, de mails van Amsterdam, Duurzaan en UitdeZaanstreek dateren van 2017.
Juliëtte Rot van Democratisch Zaanstad heeft B&W van Zaanstad gevraagd de vragen van de klager zo snel mogelijk te beantwoorden en wil ook weten of er meer gevallen bekend zijn waarbij emailadressen van inwoners en ondernemers zijn buitgemaakt.
Ook wil ze weten “welke maatregelen het college gaat nemen, of heeft het college al getroffen, om aan de gemeente Zaanstad verstrekte emailadressen, beter te beschermen.” Zaanstad:
‘De mailings voor Duurzaan (opgeheven) en UitdeZaanstreek uit 2017 die melder noemt zijn destijds verzorgd door Lassooy Design. De mailadressen voor deze mailings werden en worden door Lassooy zelf verzameld. Zaanstad heeft hiervoor in het verleden geen e-mailadressen aangeleverd en doet dat ook nu niet, met één uitzondering: in 2012 heeft op de website van de gemeente Zaanstad een formulier gestaan waarmee belangstellenden zich konden aanmelden voor een “klimaatverbondcongres” in het kader van Duurzaan. De aanmeldingen hiervoor zijn door de gemeente gedeeld met Lassooy Design en in dit geval is wellicht niet voldoende zorgvuldig is omgegaan met de verkregen zakelijke e-mailadressen, de afspraken hierover zijn helaas niet meer te achterhalen.’
Maar omdat er vier jaar zat tussen de phishingmail (2021) en de eerdere mails vanuit Amsterdam en
Lassooy Design (2017) doet dat vermoeden volgens Zaanstad dat “het e-mailadres van melder in de tussentijd op een andere manier bij criminelen terecht is gekomen. Dat is door Zaanstad echter niet te
achterhalen.”
In september 2020 was er een datalek bij Zaanstad, maar daar was geen sprake van een ‘hack’.
Indien het mailadres van de betreffende Zaankanter in de lijst van het datalek zat, dan kan dat de bron zijn.
Dat werkt zo:
- Zaanstad stuurde 1467 inwoners een mail met de adressen in de "to".
- al die Zaankanters hebben dus op hun computer die mail staan - en dus ook die adressen, want die staan tenslotte in die mail.
- één van de Zaankanters installeert per ongeluk een fout programma op de computer...
En hoepla: 1467 "verse" adressen buitgemaakt door stoute mensen. Die adressen gebruiken ze vervolgens voor rommel, foute aanbiedingen, méér foute programma's, fraude en nog meer.
Na verloop van tijd zijn de adressen niet meer "vers", dan zakt de stroom met spam en andere rommel meestal wel weer.
Slordig met data zijn ze absoluut, Toen in Zaanstad kwam wonen heb ik geheimhouding aangevraagd. (i.v.m. de uitwisseling van data met het SILA = Interkerkelijke ledenadministratie) Tot mijn stomme verbazing werden mijn gegevens een jaartje of zes wel gedeeld met de GGD voor een onderzoek naar het effect van in de regio op 30 jarige vrouwen uit het postcodegebied 15XX.
Toen ik vroeg hoe men dan aan mijn data kwam, kreeg ik te horen dat men gewoon een excelletje van de gemeente had gekregen met de gevraagde zoekparameters.
Goed, dit is gewoon mogelijk in e-mail. Een e-mail bericht dan door meerdere computers heen en weer gezonden worden, ook via computers die potentieel niet beveiligd zijn. Je kan er dus niet vanuit gaan dat een e-mail adres zelf op het internet niet bekend is.
Standaarden om je e-mail beter te beveiligen (maar nog steeds in te zien) DKIM, SPF, MARC worden maar niet doorgevoerd. Even een schaamteloze reclame: http://internet.nl/
Zeker in de wereld waar alles maar geoutsourced wordt, verbaast het me niet.
Natuurlijk kan het nog steeds een hack, of gelekte informatie zijn.
Het was mijn email adres. Het email adres was ingevuld op een webform dus er was geen sprake van email verkeer mijnerzijds. Er was wel sprake van email verkeer vanuit Lassooy design en door Onderzoek Informatie en Statistiek van de gemeente Amsterdam.
Abstraherend of de twee organisaties terecht mijn email mochten gebruiken of niet, hebben zij het email verkeer geïnitieerd en in de redenering van Berry dienen zij de mails veilig te versturen. Wat blijkbaar niet is gebeurd.
Hoewel een hack van een bestand mij waarschijnlijker lijkt. Een gemeente dient ten eerste gewoon mijn email adres niet voor andere doeleinde te gebruiken en als het gebruikt wordt dient het veilig te gebeuren.
Uiteraard is het altijd goed om de veiligheid van je emailverkeer, zeker als gemeente continu te monitoren. Er zijn echter een aantal andere mogelijkheden die dit 'lek' kunnen veroorzaken. U geeft aan het emailadres zelf te hebben aangemaakt. Heeft u zelf een mailserver draaien, is die voldoende beveiligd? Of draait dit op een server bij een provider, en heeft die zijn zaakjes altijd goed voor elkaar? En hoe was dit in 2017? Het zal niet de eerste keer zijn dat via een server van een provider emailadressen worden buitgemaakt. En maar weinig providers zullen hiermee naar buiten treden.In ieder geval is de website, behorende bij het domein kitas.nl niet bereikbaar.Of er sprake is van onterecht gebruik wordt misschien duidelijk n.a.v de gestelde vragen, maar mogelijk stond er destijds al bij (in een disclaimer of toelichting) waarvoor het emailadres gebruikt kon worden. U geeft volgens mij ook aan dat u niet precies meer weet hoe het zat in 2017.
U bent fotograaf voor het blad Uit de Zaanstreek van de firma Lassooy Design B.V. Nu begrijp ik uw houding als raadslid en uw tendentieuze bijdrage. Ik dacht dat dat alleen bij de VVD voorkwam. Ik heb mij vergist.
https://zaanstad.raadsinformatie.nl/document/5617944/1/UITdeZaanstreek%2062%20september%202017%20lo-res
Laten we gewoon het antwoord van de gemeente afwachten, dat is handiger dan speculeren over alternatieven. Hoe het kan dat een mailadres gebruikt wordt door een 'partner' of relatie van Zaanstad is uiteraard de belangrijkste vraag. Vooral omdat Zaanstad de enige is die dat adres had. We zijn zeer benieuwd. We hebben uiteraard geprobeerd met Lassooy in contact te komen, maar daar wilde men geen commentaar geven.
Ten eerste is het domein wel bereikbaar via het https protocol of te wel via de de beveiligde connectie van http, u blijkbaar niet bekend.
Ten tweede heeft het zichtbaar zijn van een domein niets te maken met een email adres.
Ten derde hoef je geen email adres aan te maken om een email adres te gebruiken. Als je de optie bij een mailserver van een domein instelt dat je alle aliassen ontvangt en ik zeg u, u kunt mij mailen op MennodeHaas_raadslidvoor_Rosa@k....nl dan ontvang ik die gewoon.
Ten vierde verbaast het mij dat u als Rosa Raadslid alleen opties van de fout van een burger naar voren brengt terwijl ik als burger zou verwachten dat een raadslid zeker van Rosa kritisch zou zijn op gegevens van burgers in bezit van de Gemeente.
Ten vijfde vind ik het vreemd dat u mijn domeinnaam vermeld waar de media dat niet doen.
Dank voor de toelichting. Zoals ik aangeef is monitoren van de veiligheid iets wat continu moet gebeuren. Mijn reactie is ingegeven door het beeld wat er nu is, nog voordat er onderzoek is gedaan. Het beeld dat de ‘fout’ maar op één plek kan liggen. Zoals ik aangeef zijn er heel veel mogelijkheden om emailadressen te ‘misbruiken’. Wellicht blijkt dat het inderdaad mis gaat aan gemeentezijde, maar laten we daar niet zonder onderzoek alvast van uitgaan, zoals in de schriftelijke vragen van mijn collega, dat was mijn boodschap voor de goede verstaander, niks meer niks minder.
Zaanstad ontvangt op zaanstad een score van 60%, vooral geen IPv6 wat niet met beveiliging te maken heeft. Kan beter, niet super slecht. Maar vooral moet je je eigen e-mail provider checken.