‘Ethisch hacker’ ziet af van zoekmachine, maar doel is bereikt

Een ‘ethisch hacker’ kondigde vrijdag in het AD aan een zoekmachine met daarin wachtwoorden en e-mailadressen – deels geanonimiseerd – van miljoenen Nederlanders online te zetten. RTL Nieuws linkte naar de site die kort online stond, maar offline is gehaald vanwege de mogelijke juridische gevolgen.

Foto Lex van Lieshout / ANP

Het zorgde vrijdag voor veel ophef in de digitale wereld: de aangekondigde zoekmachine met wachtwoorden en e-mailadressen van miljoenen Nederlanders. Een hacker genaamd d0gberry benaderde eerder deze week een journalist van het AD met de mededeling dat hij een doorzoekbare database had gemaakt met gegevens die de afgelopen jaren zijn buitgemaakt bij datahacks van onder meer LinkedIn, Uber, Playstation en eBay. Afgelopen donderdag werden bij een hack van de sportapp MyFitnessPal de gegevens van 150 miljoen gebruikers buitgemaakt.

Hacker d0gberry heeft uiteindelijk van zijn plan voor een zoekmachine afgezien omdat hij vreesde voor de juridische gevolgen wanneer hij illegaal verkregen gegevens zou verspreiden. RTL Nieuws linkt in online berichtgeving toch naar de zoekmachine, die kort te raadplegen was, maar inmiddels alweer offline is gehaald. Het ging nadrukkelijk niet om een nieuwe hack. De e-mailadressen en wachtwoorden zwerven al een tijdje over het web: sommige hacks dateren al van 2011 en 2012. Wie een beetje handig is op het internet kan deze databestanden redelijk gemakkelijk verkrijgen en ontcijferen – en daarmee de accounts kraken van miljoenen Nederlanders.

Lees ook: Moeten we in paniek raken door lek van miljoenen wachtwoorden?

De hacker gaf tegenover het AD – het enige medium dat d0gberry heeft gesproken – aan dat hij met zijn actie bewustwording wilde creëren onder Nederlanders over het feit dat het verstandig is geregeld je wachtwoord te veranderen. Zo zou hij uiteindelijk niet van plan zijn geweest om gehele wachtwoorden en e-mailadressen te publiceren maar alleen de eerste twee tekens, zodat alleen de gebruiker zichzelf erin zou herkennen. De vrees voor juridische gevolgen heeft volgens het AD uiteindelijk geleid tot het besluit van de hacker om het tooltje niet online te zetten. Hoewel de zoekmachine niet online is gezet, heeft de hacker hoogstwaarschijnlijk wel zijn doel bereikt. Er was vrijdag veel aandacht in de media voor de veiligheid van wachtwoorden. In ieder geval zullen sommige Nederlanders hun wachtwoorden vrijdag aangepast hebben. In het AD noemt de man zichzelf daarom een ‘klokkenluider’.

Werkmail

Bij diverse hacks zijn de afgelopen jaren ten minste 3,3 miljoen wachtwoorden buitgemaakt die horen bij Nederlandse domeinextensies (.nl). Het zou gaan om gegevens van onder meer parlementariërs, medewerkers van bijvoorbeeld het ministerie van Defensie en EPZ, de exploitant van de kerncentrale in Borssele. Zij hebben hun werkmail gebruikt om accounts aan te maken op één van de gehackte sites. Mogelijk ligt het aantal Nederlandse accounts hoger: er zijn ook bepaalde gmail-adressen te vinden in de database die mogelijk van Nederlanders zijn.

Experts op het gebied van digitale veiligheid adviseren al langere tijd om geregeld alle wachtwoorden te vervangen (zie ook inzet). Via verschillende techsites zijn voorbeelden te vinden van Nederlanders van wie hun Wehkamp- of Bol.com-account in de loop der jaren is gekraakt en die daardoor ongewenste pakketjes hebben ontvangen. Dit lijkt echter niet op grote schaal te zijn gebeurd.

    • Jorg Leijten