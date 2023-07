Door een tikfout heeft een Nederlandse webbeheerder, Johannes Zuurbier, sinds januari al meer dan 100 duizend mails binnengekregen die bestemd zijn voor het Amerikaanse leger. Dat schrijft de Financial Times. Zuurbier beheert het domein van Mali, dat eindigt op .ml (zoals de .nl van Nederland) – en dat lijkt nogal op .mil, het domein van het Amerikaanse leger. Zodra mensen de ‘i’ vergeten, krijgt hij de mails binnen. Soms met zeer gevoelige inhoud: belastingaangiftes, wachtwoorden of de reisplannen van hooggeplaatste officieren.

Zuurbier kaartte het probleem tien jaar geleden al aan, en stuurde deze maand opnieuw een brief naar de Verenigde Staten. ‘Het risico is reëel, en tegenstanders van de Verenigde Staten kunnen hier misbruik van maken’, schrijft hij. De zorg van het domein .ml draagt Zuurbier met zijn bedrijf Mali Dili namelijk maandag over aan de overheid van Mali, die nauwe banden heeft met Rusland.

Voor Zuurbier in 2013 de domeinnaam van Mali onder zijn hoede nam beheerde hij al de domeinen van de Centraal-Afrikaanse Republiek, Gabon, Equatoriaal-Guinea en de Nieuw-Zeelandse eilandengroep Tokelau. Bij Mali ontdekte hij plots een heleboel verzoeken voor domeinen als army.ml en navy.ml, domeinen die niet bestaan. Zuurbier vermoedde dat het ging om emails. Toen hij een systeem installeerde om die berichten te onderscheppen, werd hij er al snel mee overspoeld, waarna hij het systeem demonteerde.

Zodra Zuurbier besefte wat er speelde won hij juridisch advies in en probeerde hij meermaals de Amerikaanse autoriteiten te waarschuwen. Hij werd zo nerveus dat hij zijn vrouw zelfs een kopie van het juridisch advies gaf: ‘Voor de zekerheid, als de zwarte helikopters ineens in mijn achtertuin staan.’

Volgens een woordvoerder van het Pentagon worden de mails die naar een domein buiten .mil worden gestuurd automatisch geblokkeerd – medewerkers van het leger moeten dus eerst een melding wegklikken die ze aanspoort de afzender te controleren. Kennelijk is dat in veel gevallen dus niet genoeg, hoewel het gros van de mails spam is, zegt Zuurbier.

Geheime mails, die als classified zijn gemarkeerd, heeft hij nooit ontvangen. Maar wel röntgenfoto’s en andere medische data, gegevens over identiteitspapieren, blauwdrukken van bouwwerken, foto’s van legerbasissen, wachtwoorden, contracten, (criminele) klachten over personeel, intern onderzoek naar pestgedag en belasting- en financiële documenten. ‘Genoeg om waardevolle inzichten op te doen, ook al zijn de documenten niet classified’, zegt de gepensioneerde Amerikaanse admiraal Mike Rogers.

Overigens heeft Zuurbier ook mails ontvangen van het Nederlandse leger: army.nl, het Nederlandse domein, is ook maar één verkeerde toets verwijderd van .ml. Zo kreeg hij inzicht in een Nederlandse operatie om munitie op te halen in Italië en gedetailleerde berichtgeving tussen Nederlandse Apache-helikopters in de Verenigde Staten – waaronder een klacht over de kwetsbaarheid voor een cyberaanval. Het Ministerie van Defensie heeft niet gereageerd, schrijft de Financial Times. (Simoon Hermus)