Analyse

De hack van Twitter toont aan: zo makkelijk is het sociale netwerk te manipuleren

Cybercrime Twitter is het slachtoffer van hackers die prominente accounts kaapten. De beveiliging van het sociale netwerk schiet tekort.

Het hoofdkantoor van Twitter in San Francisco.David Paul Morris/Bloomberg
Het hoofdkantoor van Twitter in San Francisco.David Paul Morris/Bloomberg

Bill Gates, Barack Obama, Joe Biden en Elon Musk die gouden bitcoinbergen beloven. Amazon-baas Jeff Bezos die zegt je inleg te verdubbelen – mits je hem eerst wat geld stuurt.

Deze nepberichten van beroemdheden werden woensdag de wereld ingestuurd, nadat een omvangrijke hack sociaal netwerk Twitter trof.

Kwaadwillenden namen van binnenuit Twitter-accounts over van tientallen bekende zakenmensen, politici (waaronder PVV-leider Geert Wilders) en bedrijven als Uber en Apple, bij elkaar een bereik van honderden miljoenen gebruikers.

De truc leverde de criminelen zo’n 100.000 euro aan bitcoins op. Voor Twitter is de schade groter. De hack maakt in één oogopslag duidelijk hoe makkelijk dit netwerk, dat een belangrijke rol vervult in de wereldwijde nieuwsstroom, zich laat manipuleren.

Lees ook: Nederlandse twitteraars dankbaar doorgeefluik voor Russische trollen

Volgens Twitters eigen lezing zijn medewerkers opgelicht via een ‘gecoördineerde social engineering-aanval’. Ze werden verleid op een kwaadaardige link te klikken en verleenden hackers toegang tot een intern systeem dat gebruikersaccounts beheert.

Een andere theorie, door de vermoedelijke daders zelf de wereld in geholpen, is dat een medewerker omgekocht is om toegang te verlenen tot populaire accounts. Deze mol had kennelijk toegang tot Twitters administratie, die onvoldoende is afgeschermd van de buitenwereld.

Personen die zich uitgaven voor de daders spraken woensdag met diverse Amerikaanse media om hun motieven en werkwijze toe te lichten. Ook een Nederlander zou betrokken zijn bij de hack. Bij wijze van ‘grap’ had hij ook de Twitter-account van Geert Wilders overgenomen, liet hij weten aan een radioprogramma van BNN/VARA en RTL Nieuws.

Twitter greep in om de schade te beperken. Alle geverifieerde accounts, te herkennen aan een blauw vinkje, konden enkele uren geen publieke berichten versturen om te voorkomen dat meer advertenties verspreid werden.

Topman Jack Dorsey reageerde per tweet: „Het was een loodzware dag voor ons bij Twitter. We voelen ons verschrikkelijk.” Met 330 miljoen gebruikers is Twitter bij lange na niet het grootste sociale netwerk – dat is Facebook (meer dan 2,5 miljard gebruikers wereldwijd). Maar het is wel een invloedrijk kanaal, dat wereldleiders, bedrijven en prominenten gebruiken om zich rechtstreeks tot hun publiek te richten. Ook media verspreiden nieuws graag via Twitter – prominente media-accounts werden in 2018 al eens gekaapt.

Lees ook: Waarschuwing, deze politicus twittert leugens

Zwakke schakel

Veel van de ‘zeer zichtbare’ accounts, zoals Twitter ze noemt, zijn beveiligd met een extra controlemiddel: een code die naar een mobiele telefoon wordt gestuurd om te voorkomen dat onbevoegden met je wachtwoord aan de haal gaan.

In dit geval werden niet de accounts gehackt, maar het bedrijf zelf. Dat interne medewerkers een zwakke schakel zijn, wist Twitter al in 2017, toen een inhuurkracht de account van Donald Trump deactiveerde. De hackers lieten Trumps account deze keer ongemoeid. Wellicht wordt de Amerikaanse president sinds 2017 beter afgeschermd, of durfden de hackers hun vingers niet te branden aan zijn account.

Twitter bedacht voor gevoelige accounts een systeem van ‘blauwe vinkjes’ die aangeven dat gebruikers daadwerkelijk zijn wie ze zeggen te zijn. Dit verificatiemiddel is blijkbaar nutteloos als het overkoepelende controlesysteem toegankelijk is voor kwaadwillenden.

De hack van woensdag is een blamage voor Twitter. Het lijkt een doorzichtige bitcointruc van praatgrage hackers die op toegang tot prominente accounts wilden kunnen bogen. Maar het toont aan hoe gevoelig het netwerk is voor meer geraffineerde vormen van manipulatie: Twitter als gereedschap om politieke en maatschappelijke onrust te zaaien – zoals bij de vorige Amerikaanse verkiezingen gebeurde – beurskoersen te beïnvloeden en reputaties te vernietigen.

Twitter heeft zich ingedekt tegen rampscenario’s. In hoofdstuk 5 van de gebruiksvoorwaarden staat in hoofdletters dat het zichzelf niet aansprakelijk acht voor de „directe of indirecte gevolgen, verlies van goodwill, omzet of winst […] door ongeoorloofde toegang en gebruik”.

Twitters eigen goodwill loopt een deuk op. Het netwerk leerde niet van eerdere hacks. Verantwoordelijk personeel dat achter de knoppen zit van beheersystemen bij grote techbedrijven is kwetsbaar. Die medewerkers en hun gereedschappen moeten beter afgeschermd worden. Dat Twitter gevoelig is voor ‘inside jobs’ werd nog eens bevestigd in 2019. Toen werden twee Twitter-medewerkers aangeklaagd omdat ze zouden spioneren voor Saoedi-Arabië.

Al hadden de hackers blijkbaar geen politieke intenties, hun actie kan wel politieke consequenties hebben. Met de Amerikaanse verkiezingen in zicht loopt de spanning tussen het Witte Huis en sociale mediabedrijven op.

Lees ook deze column van Marc Hijink: Twitter for president

Donald Trump vertrouwt ‘zijn’ Twitter niet meer. Sinds een van zijn tweets vorige maand een waarschuwingslabel kreeg – ‘Lees hier de feiten’ – neemt Trump sociale media op de korrel. Hij probeert met een presidentieel decreet een bestaande wet te ontkrachten die netwerken beschermt tegen dat wat hun gebruikers plaatsen. „We kunnen niet toestaan dat een handvol platforms selecteren welke uitspraken op internet horen en welke niet.”

Trumps decreet is geen daadwerkelijke bedreiging voor Twitter. De hack van afgelopen woensdag is dat wel. Het ondermijnt de geloofwaardigheid die Twitter nodig heeft in de strijd tegen nepaccounts, nepnieuws, haatzaaien en geweldsverheerlijking.

De Twitter-account van Geert Wilders werd ook gehackt.

Foto Stephan van den Bos/ANP