door

Veiligheidsdienst of datalek?

19/02/2020

Het is u misschien ook opgevallen dat sinds een week of twee alle e-mails in uw TU/e-mailbox er anders uitzien. De TU/e heeft namelijk besloten om de Safelink-service van Microsoft Outlook aan te zetten.

Waarschijnlijk naar aanleiding van de chaotische kerst in Maastricht heeft de TU/e gedacht dat het beter zou zijn als de medewerkers en studenten niet meer onbeschermd op links kunnen klikken. De ransomware-aanval in Maastricht was tenslotte het gevolg van een geslaagde poging tot phishing via e-mail.

Het idee achter safelinks is op zich best logisch. Door e-mail-links niet langer rechtstreeks te laten verwijzen naar de link die de afzender heeft ingevoerd, maar naar een lokale server die eerst verifieert of de link wel veilig is, wordt het moeilijker gemaakt om phishing succesvol te maken. Een link die bijvoorbeeld naar www.tue.nl zou gaan, gaat dan naar controle.tue.nl/www.tue.nl of iets dergelijks.

Tot zover de theorie. In de praktijk is er geen lokale server opgezet, maar wordt een clouddienst van Microsoft gebruikt. Een externe, commerciële partij, die dus precies gaat bijhouden op welke links geklikt wordt. En omdat Microsoft graag net zoveel data wil ontvangen als Google, wordt een simpele link zoals www.tue.nl vervangen door iets wanstaltigs als https:// eur02.safelinks.protection.outlook.com/ ?url=www.tue.nl& data=02%7C01%7CB.F.v.Dongen%40tue.nl%7C 77eeb7c9ae574d3b41d008d7b48557da%7 C cc7df24760ce4a0f9d75704cf60efc64%7C 1%7C1%7C637176357105305878 &sdata=NfHlsBQ %2FhMLfFDUJDERGXrJZxRCpEr1gBHEKkyl%2 BgI%3D&reserved=0.

Wat velen zich niet realiseren, is dat bovenstaande URL formeel gezien een datalek is. Als u namelijk op zo’n link klikt, wordt aan Microsoft een heleboel informatie gestuurd over wie u bent (een e-mailadres is een persoonsgegeven) en god mag weten wat nog meer.

Voor het beveiligen van links is het volkomen onnodig om de identiteit van degene die op de link klikt mee te sturen. Maar ondanks aandringen van mijn kant (en voor zover ik weet tenminste drie anderen die een klacht bij de dienst Information Management and Services hebben ingediend) wordt de instelling van de server niet veranderd.

Voortaan kijkt Microsoft dus mee, iedere keer als u op een link klikt. De TU/e informeert Microsoft dan over op welke link u klikt, wanneer, wie u bent en nog veel meer. Dat is de definitie van een datalek, dus eigenlijk zouden we die allemaal massaal moeten gaan melden. Mocht u dat willen, dan kan dat hier: https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0.

Deel dit artikel