Beveiligingslek Internetaanbieder; Ruim 184.000 namen en wachtwoorden van klanten te kraken

ROTTERDAM, 6 JUNI. Als gevolg van een beveiligingslek bij Internet-aanbieder World Online in Vianen kunnen derden gemakkelijk toegang krijgen tot persoonlijke gegevens van abonnees van deze provider.

Een Internet-gebruiker ontdekte dat van ruim 184.000 klanten van World Online de gebruikersnaam en het wachtwoord zijn te achterhalen. Dit heeft tot gevolg dat alle elektronische post en persoonlijke documenten van deze klanten van de provider toegankelijk zijn voor onbevoegden.

Bovendien kunnen derden gegevens van World Online-gebruikers wijzigen of vernietigen. Ook kunnen onbevoegden nieuwe gebruikersnamen voor Internet aanmaken die zij kunnen gebruiken zonder daarvoor te betalen. Voor al deze ingrepen is enige ervaring met het computer-besturingssysteem Unix vereist, maar het gaat hier niet om bijzondere expertise.

World Online is volgens eigen zeggen met 158.000 particuliere en 6.000 zakelijke abonnees de grootste Internet-aanbieder op de Nederlandse markt. In totaal maken 260.000 Internet-gebruikers gebruik van de diensten van World Online. World Online wil geen commentaar geven op de bevindingen van de Internet-gebruiker. “Ons systeem is veilig”, aldus woordvoerder R. van der Linden.

Volgens R. van Hoboken van Consul Risk Management in Delft, een bedrijf dat gespecialiseerd is in beveiliging van computernetwerken, is het systeem van World Online “hartstikke lek”.

Hij wijt de beveiligingsproblemen van World Online aan slordigheid en onbekwaamheid. “Het gaat om oude fouten waar iedere programmeur wel eens tegenaan is gelopen en die in alle handboeken staan. Zulke fouten zouden niet meer mogen voorkomen.”

World Online heeft volgens Van Hoboken vijf fouten “van de eerste orde” gemaakt in de programma's op het computersysteem waarin de namen en wachtwoorden van klanten worden bewaard. De 'password file', het document waarin de wachtwoorden staan, mag volgens de beveiligingsdeskundige niet zomaar kunnen worden opgevraagd. Verder wijst hij er op dat een bepaald programma zo slecht in elkaar zit dat het zonder controle elk commando uitvoert dat wordt opgegeven. Als gevolg daarvan kunnen derden allerlei privacygevoelige gegevens opvragen.

R. Gonggrijp van het Internet-beveiligingsbedrijf ITSX in Amsterdam noemt de beveiliging van World Online “volstrekt waardeloos”. De beveiligingsfouten die World Online op zijn Internet-systeem maakt, zijn niet meer van deze tijd, zegt Gonggrijp. “World Online heeft op het gebied van beveiliging een groot probleem. Ik zou alle gebruikers van World Online aanraden om het systeem niet voor vertrouwelijke zaken te gebruiken.”

Volgens Van Hoboken kan het beveiligingslek bij World Online tot gevolg hebben dat computerkrakers misleidende informatie op de website van World Online plaatsen. Adressen van adverteerders zouden bijvoorbeeld veranderd kunnen worden. De Internet-gebruiker die het lek ontdekte, waarschuwt dat hackers ook misbruik kunnen maken van financi¨le diensten op kosten van klanten van World Online.

Het lek werd ontdekt door een Internet-gebruiker die anoniem wil blijven, omdat hij bang is dat World Online aangifte tegen hem doet wegens het overtreden van de Wet computercriminaliteit.

Volgens Van Hoboken is het niet zeker of het testen van de beveiliging van World Online in strijd is met de Wet computercriminaliteit. In de wet staat dat er sprake moet zijn van het doorbreken van 'enige beveiliging'.

Wie via een rechtmatig verkregen Internet-account op het computernetwerk komt en vervolgens ontdekt dat het systeem niet is beveiligd, maakt zich waarschijnlijk niet schuldig aan 'computervredebreuk'. Volgens het Centraal Bureau voor de Statistiek is sinds 1993, toen de Wet computercriminaliteit werd ingevoerd, nog niemand veroordeeld voor computervredebreuk. Eind vorig jaar berichtten De Telegraaf en het Internet-tijdschrift Planet Multimedia van KPN Telecom dat het netwerk van World Online onveilig was, omdat de Internet-aanbieder eenvoudig te raden wachtwoorden aan abonnees toewees.

    • Marie-José Klaver