23 maart 2011

Luistervinken komen binnen met standaard wachtwoord

Achterhaal het standaard wachtwoord en je bent binnen. Dat was een standaardregel voor hackers, maar nu ook voor luistervinken. En dan hoef je heus geen groot talent te zijn om het systeem in te komen. Het nieuws van Eenvandaag.nl over de afluisterbare voicemails van ministers en kamerleden is in dat opzicht niet zo verwonderlijk. Veel verwonderlijker is het dat dit nog steeds gebeurt en dat je ermee wegkomt met 'sorry'.

Ik sprak weleens iemand die in het verleden websites van ministeries binnen drong. Echt hacken noemde hij het niet. Daar was het te makkelijk voor, vond hij. Het was de tijd dat het beveiligen nog niet tot ieders aandachtsgebied behoorde.

Website-ontwikkelaars vergaten de standaardwachtwoorden van het cms, de database of de server te vervangen. Via vanzelfsprekende kanalen kwam je dan in het het systeem. Ergens in de kantlijn liet je dan als 'niet-echte-hacker' een boodschap achter. We deden het op een regenachtige middag als we ons verveelden, aldus de anonieme bron.

Ik hoorde het verhaal met bewondering aan. Net als dat ik het verhaal van vandaag hoor op Eenvandaag.nl. Ook hier is gemakzucht de oorzaak van het lek. Lekker eenvoudig om iedereen vanaf een ander toestel bij zijn voicemail te kunnen laten komen. Dat de inlogcode makkelijk wordt gehouden, moet het gebruikersgemak dienen. Het dient eveneens het 'hack-gemak'.

Als oud-IT-ondernemer moest minister Jankees de Jager natuurlijk direct een nuance in het verhaal brengen. In een tweetje meldde hij dat het zijn stem was die op iemand anders zijn voicemail klonk. Dat betekende dat die collega-minister zijn wachtwoord niet veranderd had. De Jagers voicemail luisterde uiteraard niet naar die 4 x 3. Het kwam verkeerd in het nieuws. Dan is het wel jammer dat hij zijn collega's niet even heeft ingelicht over dit veiligheidslek.

Overigens worden alle andere bezitters van een mobieltje met voicemail eveneens met het grootste gemak afgeluisterd. De Nederlandse overheid behoort tot een van de grootste afluisteraars ter wereld.

Wat betreft het inspreken van een voicemail behoor ik tot de mensen die het nooit lukt een fatsoenlijke zin in te spreken na die piep. Ik begin te hakkelen en te stuntelen, zodat ik vrijwel nooit een voicemail inspreek. Misschien is dat nog wel verstandiger dan de pincode wijzigen.

Geen opmerkingen: