Het intranet LexNet werd in januari 2016 door het Spaanse ministerie van Justitie ingevoerd als verplicht digitaal informatiesysteem voor ruim 140.000 gebruikers, waaronder advocaten, procureurs, aanklagers, Guardia Civil, lokale en nationale politie en medewerkers van rechtbanken en hooggerechtshoven.
José Muelas Cerezuela, de advocaat die het ernstige euvel ontdekte, plaatste dit meteen op Twitter om het ministerie van het lek op de hoogte te brengen. Direct daarop werden de servers waarop LexNet draait door het ministerie gesloten en lag het platform enkele uren op donderdag plat. ‘Er zijn duizenden mogelijkheden om kwaad te doen via dit lek en we weten niet hoelang het er al is’, aldus Muelas. ‘Het ziet eruit als een typische programmeerfout en niet iets waarvoor je een Masters Degree in hacking voor nodig hebt’.
Muelas ontdekte volgens de kranten El Confidencial en El Diario dat elke gebruiker van LexNet wijzigingen kon aanbrengen in documenten in naam van een andere gebruiker. Zo was er volgens de advocaat ook eenvoudig toegang te verkrijgen tot dossiers in grote corruptiezaken zoals Púnica, Gürtel en tot documenten van de Guardia Civil. ‘Als ik het kon vinden, kan iedereen erbij’, zou Muelas nog gezegd hebben.
Een paar uur later publiceerde het ministerie van Justitie via Twitter dat de kwetsbaarheid was opgespoord en opgelost en dat het platform weer normaal functioneerde. Een paar dagen later op woensdagochtend kwam echter het nieuws naar buiten dat circa 11.000 documenten van LexNet zijn geïnfiltreerd. Hieronder documenten waarin nauwgezet de architectuur van een gedeelte van het informatiesysteem wordt beschreven, evenals een deel van de broncode ervan. Volgens experts voldoende informatie om de verste hoeken van het platform te bereiken en om bijvoorbeeld cyberaanvallen te plegen.
Eveneens was er toegang te verkrijgen via het systeem Orfila, een onderdeel van LexNet, tot zeer gevoelige informatie zoals forensische rapporten, autoptieverklaringen, medische keuringen van gevangenen en alle type zaken die in onderzoek zijn in verband met moordzaken, zelfmoordzaken en verkeersongevallen. Dat betreft informatie die maximale vertrouwelijkheid vereist.
Volgens het ministerie van Justitie was er geen sprake van ‘een fout van onze kant, maar van een delict betreffende illegale toegang’. Daarbij bevestigde het ministerie dat er ‘geen toegang is geweest tot gevoelige en persoonlijke informatie’. Het ministerie redeneert dat het feit dat er geen wachtwoord wordt gevraagd niet wil zeggen dat dan toegang zomaar is geoorloofd en de inhoud mag worden verspreid.
Muelas argumenteert ‘ik deed niets illegaals, alles was open zonder beveiliging. Dat is hetzelfde als wanneer ik via Google een document download. Bovendien waarschuwde ik via Twitter het ministerie en LexNet. Dat heb ik snel weer verwijderd, want ik wilde niet dat mijn waarschuwing viraal zou gaan. Toch mag het ook niet zomaar in het luchtledige blijven hangen en daarom heb ik tientallen fouten gerapporteerd bij het ministerie, waarvoor ik niet eens ben bedankt. Nu denk ik erover de broncode op internet te zetten. Dat dwingt ze in elk geval deze opnieuw te ontwerpen.’ De advocaat zegt dat er geen sprake is van een hack. Hij verkreeg namelijk geen toegang door het doorbreken van veiligheidsmaatregelen. ‘Die waren er niet eens’.
Op het feit dat 11.000 documenten toegankelijk zijn, heeft het ministerie woensdag nog niet gereageerd. Sinds de introductie van LexNet hebben de gebruikers ervan vele malen geklaagd over het gebrekkige functioneren van het systeem dat vaak te traag zou werken en ook over het feit dat het onder het ministerie valt. Dat zou de scheiding van de machten in gevaar brengen.
Twee parlementsleden van de PSOE hebben donderdagavond kamervragen gesteld. Ze willen weten hoe groot de beveiligingsfout is en wat de kenmerken ervan zijn. Wat voor gevoelig materiaal en informatie is toegankelijk geweest en hoelang de fout al bestond en of de oorsprong ervan in het systeem ligt. Tot slot wil men weten wat eraan gedaan wordt om de fout te herstellen en gebruikers van LexNet gemoedsrust te geven over de werking ervan in de toekomst.
CGPJ
Het hoogste juridische orgaan in Spanje CGPJ lastte onmiddellijk een buitengewone vergadering in op vrijdagochtend, nadat men via sociale en normale media op de hoogte werd gebracht van het ernstige euvel. Men zei op zoek te gaan naar of er wetten inzake bescherming van persoonsgegevens zijn overtreden.
Facua
De Spaanse consumentenbond Facua uitte eveneens op vrijdag stevige kritiek op het ministerie in een verklaring en noemde het incident een ‘zeer ernstige nalatigheid’. ‘Het syteem toont een enorm veiligheidslek waarvan de consequenties onmogelijk te doorgronden zijn’. De toegang tot vertrouwelijk informatie is een ‘massief schandaal’ dat namen en achternamen van burgers, id-nummers, nummers, telefoonnummers, adressen, bankrekeningen, sociale zekerheidsdetails, belastinginformatie, rechtszaken, boetes en strafbladen heeft blootgegeven’. ‘De overheid probeert de omvang van wat er is gebeurd te bedekken’, aldus in de verklaring en het is ‘erg ernstig en zorgwekkend’ dat het platform in handen is van het ministerie van Justitie en niet van rechters.
Lees meer over het fiasco in het Spaans hier en hier en hier in het Engels.