Als een hacker je accounts één voor één overneemt

Door Laurens Verhagen

Bij internetbedrijf Yahoo zijn in 2013 meer dan een miljard accounts gehackt. Wat dat betekent voor gebruikers merkte Wired-journalist Mat Hohan toen zijn accounts in foute handen kwamen.

'In het tijdsbestek van slechts één uur werd mijn gehele digitale leven vernietigd.' Hohans reconstructie van wat hij een 'epische hack' noemt, leest als een thriller van de Nederlandse schrijver Charles den Tex, bij wie identiteitsfraude een van zijn hoofdmotieven is.

Hohan is journalist bij het technologiemagazine Wired, dus niet van de straat. Toch werd hij slachtoffer. Het begint met een kiertje in een veiligheidsmuur, waarna het een na het andere digitale netwerk als een dominosteen omvalt. Van Amazon via Apple naar Google en uiteindelijk Twitter.

Het begint dus allemaal bij Amazon. De supportafdeling gaf de hacker de laatste vier cijfers van Hohans creditcard. Deze informatie werd blijkbaar niet als gevoelig beschouwd. Voor de supportafdeling van Apple was deze informatie voldoende om de hacker te vertrouwen en hem controle over Hohans Apple-account te geven. De journalist ziet de grond onder zijn voeten wegzakken en komt in een wereld waarin zijn belager hem constant een stap voor is.

Het uiteindelijke resultaat? Hohan raakt ook de controle over zijn Google-account kwijt en verliest zijn hele mailcorrespondentie. Zijn Twitter-account wordt misbruikt voor het posten van allerlei racistische en homofobische praat. Maar het ergste is dat de hacker op afstand alle data van zijn iPhone, iPad en MacBook wist. De foto's van de eerste anderhalf jaar van zijn dochtertje: allemaal weg.

Hohan slaat zichzelf voor zijn kop. Hoe kon hij zo stom zijn om zijn accounts niet afdoende te beschermen, vraagt hij zich af. Maar Hohan wijst ook op het falen van de technologiebedrijven. Zijn hacker nam bijvoorbeeld contact op met de klantenservice van Apple en kon zo vrij eenvoudig een tijdelijk wachtwoord krijgen, zonder dat hij antwoord wist op alle veiligheidsvragen. Voor de journalist is dit een dreigende nachtmerrie 'nu we het tijdperk van clouddiensten binnenstappen'.

In de afgelopen jaren is dat inderdaad gebeurd. Mail, muziek, films, foto's, bestanden: er is weinig meer wat we niet aan de cloud toevertrouwen. Mensen mailen zichzelf de wachtwoorden van hun creditcard en andere accounts of zelfs kopieën van hun paspoort. Reden voor de overheid om met een app te komen waarmee veilig een kopie kan worden gemaakt. Fraudeurs kunnen immers met kopieën van documenten een bankrekening openen, valse tickets verkopen of een huis huren op andermans naam.

Junior Meijering, bestuursvoorzitter van beveiligingsbedrijf Zerocopter, zegt dat het 'heel, heel erg' is wat er met Yahoo is gebeurd. 'Er komt daarmee in één keer een enorme bak informatie vrij. Namen, adressen, maar ook wachtwoorden.' Deze wachtwoorden zijn weliswaar door Yahoo versleuteld, maar dat is met een verouderde encryptietechniek gebeurd, MD5.

Meijering acht de kans zeer reëel dat al die data de afgelopen jaren al lang zijn misbruikt door kwaadwillenden. Met het gekraakte wachtwoord kunnen dan ook weer andere accounts worden binnengedrongen, precies zoals bij de Wired-journalist is gebeurd. Meijering wil de schuld niet geheel bij Yahoo leggen. 'Natuurlijk had dit allemaal al lang goed geregeld moeten zijn, maar het overzetten van 1 miljard accounts naar een betere encryptie is een ongelooflijk complex proces. De gebruiker kan ondertussen ook wat doen: gebruik een wachtwoordmanager.' Zo'n manager zorgt ervoor dat internetters niet voor iedere dienst hetzelfde (simpele) wachtwoord gebruiken. Daarnaast zijn mensen nog altijd veel te goed van vertrouwen op internet, meent de beveiligingsexpert. 'Ze hoeven maar een keurmerk te zien en iedereen laat zijn gegevens op een malafide site achter.'

Het zal Hohan niet meer gebeuren.


Zelf geen slachtoffer worden?

Verander wachtwoord

Als je per se Yahoo wilt blijven gebruiken, verander dan per direct je wachtwoord. Niet alleen van Yahoo, maar van al je accounts.

Mijd Yahoo

Beter: laat Yahoo links liggen. Er zijn genoeg andere bedrijven die gratis mail bieden, maar de veiligheid een stuk beter voor elkaar lijken te hebben. Yahoo krijgt al een tijdje kritiek op dit punt.

Maak het moeilijk

Maak het wachtwoord zo ingewikkeld mogelijk, met een combinatie van hoofdletters en kleine letter, cijfers en rare tekens. Dus niet '123456' of 'password', wereldwijd nog altijd de meest gebruikte wachtwoorden.

Per site een wachtwoord

Gebruik niet één wachtwoord voor verschillende sites.

Wachtwoordmanager

Er zijn verschillende programmaatjes - 'wachtwoordmanagers' - om dit behapbaar te houden. Indien gewenst genereren ze ook zelf per site een nieuw wachtwoord dat moeilijk te kraken is.

Next up