Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 maart 2011

In het televisieprogramma Een Vandaag van 23 maart 2011 was te zien hoe op afstand de voicemailberichten konden worden beluisterd van ministers, burgemeesters, kamerleden, topambtenaren en woordvoerders bij de Nederlandse overheid. Op 24 maart 2011 hebben diverse media, waaronder Nieuwsuur en opnieuw Een Vandaag hieraan aandacht besteed. Met deze brief wil ik de Tweede Kamer inlichten over de feiten rond dit ernstig te noemen fenomeen en de genomen maatregelen ter zake.

Vodafone had sinds 2007 voor grootzakelijke klanten de mogelijkheid afgeschermd om met deze standaard ingestelde pincode via een willekeurige andere telefoon voicemailberichten op afstand af te luisteren. Echter door een fout bij Vodafone is het sinds november 2010 mogelijk geworden om deze standaard pincode daarvoor wel te gebruiken en is het misbruik dat door Een Vandaag is aangetoond, mogelijk geworden. Vodafone was niet op de hoogte van deze fout totdat Een Vandaag dit publiekelijk maakte. Ook de overheid was van deze fout niet op de hoogte. Vodafone heeft deze fout inmiddels publiekelijk erkend, de verantwoordelijkheid ervoor volledig op zich genomen en ons hun excuses aangeboden. Het genoemde misbruik raakte overigens alle Vodafone abonnees en niet alleen een groot gedeelte van de overheid. De Ministeries van Defensie en voormalig Justitie hebben een andere dienstverlener voor mobiele telefonie en deze voicemailboxen zijn niet door het incident geraakt.

Nadat Een Vandaag melding had gemaakt van de mogelijkheid op genoemde wijze voicemailberichten af te luisteren, heeft Vodafone terstond de fout hersteld. Vodafone heeft ons gemeld dat ze als gevolg van dit incident hun beveiligings- en privacybeleid opnieuw tegen het licht houden.

Het tweede probleem was dat het voicemailsysteem van Vodafone kwetsbaar was voor hetgeen technici «callerID spoofing» noemen. Dit is een andere, technische meer ingewikkelde methode dan Een Vandaag in het programma van 23 maart heeft getoond. Hierbij stuurt een kwaadwillende een ander afzendernummer mee dan het feitelijke nummer van zijn eigen telefoon. Voor de voicemailcentrale lijkt het dan alsof de gebruiker met de eigen mobiele telefoon toegang wenst tot het voicemailsysteem. Deze methode werkt alleen, indien de gebruiker van de mobiele telefoon niet heeft aangegeven dat er een pincode nodig is voor het beluisteren van de voicemail via de eigen mobiele telefoon. Nieuwsuur heeft op 24 maart aandacht besteed aan deze vorm van identiteitsfraude. Dit probleem is door GovCERT eerder onder de aandacht gebracht van de beveiligingsambtenaren en de (operationele) informatiebeveiligers van alle ministeries en hoge colleges van staat zodat deze op hun beurt gebruikers op de hoogte konden stellen van ter zake passende maatregelen. Helaas moet ik constateren dat dit niet in alle gevallen is gebeurd. Het kabinet heeft eerder al besloten meer centraal te sturen op de ICT-veiligheid door in het kader van uitvoeringsprogramma Compacte Rijksdienst bij het ministerie van Veiligheid en Justitie een ICT-beveiligingsorganisatie in te richten.

Ook Vodafone was eerder op de hoogte van dit probleem en heeft gisteren deze kwetsbaarheid in hun voicemailsysteem opgelost. Deze geconstateerde kwetsbaarheid is in strijd met het contract dat met Vodafone is afgesloten dat te allen tijde voorziet in externe veilige toegang tot de voicemail door middel van een pincode.

Als gevolg van dit incident laat ik voor zover nog mogelijk, onderzoeken of er misbruik is gemaakt van deze fout en, indien daartoe aanleiding bestaat, in hoeverre staatsveiligheid in het geding is geweest. Voorts laat ik onderzoeken op welke wijze de signaleringen van GovCERT actiever opgepakt kunnen worden. De uitkomsten hiervan zal ik betrekken bij het inrichten van de ICT-beveiligingsorganisatie.