L’hacker etico Inti De Ceukelaire è riuscito ad accedere a informazioni sensibili dei residenti belgi registrando nomi di dominio scaduti per servizi governativi. Ha acquistato 107 nomi di dominio diversi, inclusi i nomi di distretti di polizia, ospedali e istituzioni legali.
De Ceukelaire ha acquistato in questo modo i nomi di dominio per circa otto euro ciascuno scrive in un post sul blog. I nomi di dominio provenivano da diverse istituzioni pubbliche e servizi governativi belgi. Si tratta, ad esempio, di 44 OCMW o centri pubblici di assistenza sociale. De Ceukelaire ha inoltre acquistato 32 poligoni dell’ex distretto di polizia, di cui 12 CAW12 da centri di consulenza studentesca, 4 da ospedali e 3 da istituzioni legali, come i tribunali locali.
Attraverso i nomi a dominio in suo possesso, De Ceukelaire poteva ricevere email dirette ai domini in questione. L’hacker dal cappello bianco ha cercato vecchi indirizzi e-mail per diversi domini tramite fonti pubbliche. Ha poi valutato se fosse teoricamente possibile reimpostare le password per i servizi cloud più diffusi.
De Ceukelaire ha affermato di essere stato in grado di identificare 848 diversi indirizzi e-mail in una settimana. L’hacker è riuscito a ottenere e-mail di “reimpostazione della password” per 80 account Dropbox, 142 account Google Drive, 57 account Microsoft, OneDrive e Sharepoint e dozzine di account Smartschool e Doccle. In realtà non ha effettuato l’accesso a questi account.
L’hacker etico ha ricevuto anche centinaia di altri messaggi in una settimana. Ciò includeva informazioni sui rilasci dei detenuti, promemoria sugli arretrati di pagamento, e-mail sulla salute delle persone vulnerabili, rapporti assicurativi e altro ancora. De Ceukelaire deliberatamente non ha letto quelle e-mail; Il contenuto può essere estratto dagli argomenti.
Un hacker etico tenterà di restituire i domini ai legittimi proprietari, Lo dice a VRT. De Ceukelaire raccomanda inoltre alle organizzazioni e alle aziende di rinnovare automaticamente i nomi di dominio, o almeno di rinnovarli per “almeno dieci anni”, per evitare questo tipo di fuga di dati.
“Esploratore. Imprenditore impenitente. Fanatico dell’alcol. Scrittore certificato. Aspirante evangelista televisivo. Fanatico di Twitter. Studente. Studioso del web. Appassionato di viaggi.”