Hoe kwam dit verhaal tot stand?
4
DATALEKKEN MAILADRES EN WACHTWOORD IN GEVAAR TOTTTTTT 7 w
TmPfvün^OnKzTÏ lo^^U 4hb TjnT e6 leX MkTQxjO Z V05u A eE0R6f 8K9G D O V
MZvdVJ MgY7sUsmSEA N8yEft QZrZoiwOyb uDzZ8Swc1is5DJpwe BBJASKE9 V pAQx zlV
De e-mailadressen en wachtwoorden van
honderdduizenden Nederlanders liggen op
straat. Een verontruste hacker maakt ze
vandaag via een zoekmachine toegankelijk.
r rs i u esj rc ziu icirri xt ivf Dnevv i anovqe n v ac?
y qtJMs bjmTDGGQswaK JKZO r3teZz XpqcX5r gwpOn N 5ETN5y72k4W6bsXZCOK12XHN
92cOtN gyANEyQJOvJgSj XPQ gmdbAJ9R BFdV VuOizprMRJpIME t6T8RZKpq znc GxL yOc
E^lflSlI
w k ivw «»j w irmu n
Uit onderzoek van deze
krant blijkt dat medewer
kers van veel grote Neder
landse (overheidsorgani
saties en bedrijven massaal
in de lijsten voorkomen, waaronder or
ganisaties die vitale functies vervullen.
Ook staan er parlementariërs en BN'ers
in de lijst. „Schrikken, want deze
wachtwoorden gebruikte ik voor an
dere accounts nog steeds", zegt ex-
Tweede Kamerlid Sharon Gesthuizen.
De gegevens zijn waarschijnlijk af
komstig uit tientallen grote datalekken
van de afgelopen jaren, onder meer van
Linkedln, Dropbox, Playstation, Uber
en eBay. Over die hacks is al veel gepu
bliceerd. Maar waar die enorme databa
ses eerst nog alleen in de krochten van
het internet en tegen (forse) betaling
beschikbaar waren, worden ze nu
steeds makkelijker en openbaar be
schikbaar.
De database die deze krant inzag, be
vat in totaal 1,4 miljard mailadressen en
wachtwoorden vanuit de hele wereld.
Alleen al in Nederland gaat het om 3,3
miljoen wachtwoorden. Online ver
schijnen nu ook zoekmachines die der
gelijke grote bestanden zorgwekkend
gemakkelijk te doorzoeken maken.
Aanpassen
De organisaties die zijn gehackt, zoals
Linkedln, hebben toentertijd allemaal
hun gebruikers geïnformeerd over de
hacks en de wachtwoorden laten aan
passen. „Maar het blijft een gevaar, om
dat mensen heel vaak wachtwoorden
hergebruiken. Mensen staan op zoveel
websites geregistreerd, dat ze vaak
geen idee meer hebben hoeveel, vaak
met hetzelfde wachtwoord", zegt Her-
bert Bos, hoogleraar Systems en Net-
work Security aan de VU in Amster
dam. „Zelfs als je een beetje varieert
met de cijfers in je wachtwoord, kun
nen kwaadwillenden dat via geauto
matiseerde programma's snel achterha
len. En als mensen je e-mail en een
wachtwoord hebben, hebben ze je
identiteit."
Dat houdt in dat criminelen of an
dere kwaadwillenden accounts kunnen
misbruiken door er nog meer persoon
lijke informatie uit te halen of bijvoor
beeld aankopen mee proberen te doen.
Op techwebsites melden verschillende
reageerders dat onbekenden met hun
wachtwoorden hebben ingelogd op bij
voorbeeld wehkamp.nl en daar artike
len hebben besteld, als betaaloptie
werd dan voor 'betalen achteraf geko
zen. Extra pijnlijk is dat veel mensen
zich op de sites met hun zakelijke e-
mail hebben geregistreerd. Dat houdt
in dat er ook talloze mailadressen van
bijvoorbeeld de ministeries van Bui
tenlandse Zaken en Defensie, de kern
centrale in Borssele en het Openbaar
Ministerie in de database staan. Het
wachtwoord dat daarbij staat, is niet
per se het wachtwoord dat die perso
nen gebruiken om op hun werksyste-
men in te loggen. Maar dat die e-mail
adressen op straat liggen, maakt hen
extra kwetsbaar.
Inlichtingendiensten waarschuwen
ervoor dat pogingen van buitenlandse
staten of cybercriminelen om te infil
treren in systemen, steeds vaker via
persoonlijke mailadressen plaatsvin
den. Ook waarschuwde de dienst re-
cent nog voor spionagepogingen via
Linkedin-connecties. Dat kan makke
lijker plaatsvinden als iemands account
is gehackt.
Defensiegegevens
Van het ministerie van Defensie staan
honderden mailadressen van mede
werkers in de database. Het ministerie
weet dat er in het verleden gegevens
van werknemers in hacks zijn buitge
maakt. „We hebben onze werknemers
toen met klem verzocht hun wacht
woorden te wijzigen en ze meegegeven
dat het niet wenselijk is om defensiege
gevens zoals een mailadres te gebrui
ken voor commerciële accounts", zegt
een woordvoerder. Het Nationaal
Cyber Security Centrum, de overheids
organisatie die de cruciale, digitale in
frastructuur van Nederland in de gaten
houdt, zegt dat 'het verstandig is om
voor privédiensten een privé e-mail-
adres te gebruiken'.
In de lijst staan ook tientallen mail
adressen van EPZ, dat de kerncentrale
in Borssele exploiteert. Een woordvoer
der meldt dat het bedrijf'snel op de
hoogte was van de hack' en haar werk
nemers heeft geïnformeerd. „Bij EPZ
inloggen met alleen die gegevens is
niet mogelijk." Het ministerie van
Defensie meldt ook dat 'alle medewer
kers verplicht zijn om hun defensie
wachtwoord periodiek te veranderen,
via een geautomatiseerd systeem. De
kans dat de destijds gehackte gegevens
toegang kunnen geven tot defensiesys
temen is hierdoor uitgesloten'.
fli
ROTTERDAM Een van de data-
journalisten van deze krant, Tho
mas Boeschoten, zat rechtop in
zijn bed toen hij eerder deze week
kort na middernacht een berichtje
via Twitter kreeg: deze drie wacht
woorden, zijn die van jou? Bingo.
Dat waren ze allemaal. Het bericht
kwam gelukkig niet van een
kwaadwillende, maar van een ver
ontruste hacker - hij noemt zich
dogberry (de 0 is het cijfer 0). En
kele seconden later had Boescho
ten ook wachtwoorden van zo on
geveer de hele redactie van deze
krant, keurig op een lijstje.
De wachtwoorden uit dit ver
haal zwerven soms al jaren rond in
de krochten van het internet. We
hebben ooit wel gehoord van
hacks (computerinbraak) en lek
ken, maar toch passen veel men
sen hun wachtwoord niet aan, of
blijven ze dezelfde wachtwoorden
voor verschillende doeleinden ge
bruiken. We lezen dan dat de ge
gevens 'op straat liggen', maar
waar dan? Maar wie plots oog in
oog staat met een lijst met al zijn
wachtwoorden, schrikt zich rot.
Die ervaring hadden gisteren ver
schillende collega's van deze krant.
Onze redactie kreeg inzage in de
zoekmachine die dogberry heeft
gebouwd. Het is een soort Google
voor wachtwoorden. Tik bijvoor
beeld mindef.nl, en je krijgt 1.268
e-mailadressen van personeel van
het ministerie van Defensie te
zien, met de bijbehorende wacht
woorden.
De boodschap van dogberry: als
ik dit kan, kunnen anderen dit ook.
En ze zijn het waarschijnlijk aan
het doen. Pas toch regelmatig uw
wachtwoord aan, en gebruik niet
hetzelfde wachtwoord voor ver
schillende sites.
Vanmiddag zet dogberry zijn
zoekmachine online. Dan kan ie
dereen opzoeken of zijn gegevens
zijn gelekt, en met welk wacht
woord. Niet op de website van
deze krant trouwens: wij willen
wel berichten over een misstand
als schending van privacy, maar
niet het platform bieden waarop
dit gebeurt.
Op aandringen van deze krant
heeft dogberry zijn lijsten wel ge
censureerd: alleen de eerste twee
tekens van een e-mailadres en de
eerste drie van het wachtwoord
zijn zichtbaar. Maar laten we ons
geen illusies maken: verander uw
wachtwoord.
Busreizen
vrijdag 30 maart 2018
GO
Een kind kan
de hack doen
Cyril Rosman
Thomas Boeschoten
Rotterdam
De database die
deze krant inzag,
bevat in totaal 1,4
miljard mailadres
sen en wachtwoor
den vanuit de hele
wereld.
nrniu nu
Boheems Paradijs Reuzengebergte
8-daagse busreis - Tsjechië
Schoonheid van de Dalmatische kust
12-daagse busreis - Kroatië
bezoek Mostar in Bosnië-Herzegovina
o.a. Nationale parken Plitvice Krka en
steden Split, Dubrovnik, Zadar
van 989,- Q1Q
oad.nl/BRHR4l voor L.
Boek nu op oad.nl/krant, bel 0547 28 44 88 of ga naar uw reisbureau
*Kijk voor de actievoorwaarden en deelnemende reizen op oad.nl/actie2018 ,-gs
Prijzen zijn vanaf prijzen, p.p., excl. res. kosten en calamiteitenfonds. O.v.v. typefouten.
hotel Gendorf*** in het centrum van Vrchlabi
o.a. wandeling Adrpasske Skaly met gids,
Praag met Nederlandssprekende gids
van 434,-
oad.nl/BECZ02 voor