Twitter-hack: 'Roekeloos', maar opnieuw blijkt mens zwakste schakel
Beveiligingsonderzoekers zijn verbaasd dat een golf aan prominente Twitteraars in één keer wordt gehackt, doordat een of meer medewerkers van Twitter daar - bewust of onbewust - aan hebben meegewerkt.
"Je moet er als bedrijf voor zorgen dat dit niet kan", zegt hoofd beveiliging Frank Groenewegen van Fox-IT. "Roekeloos", zegt ethisch hacker Sijmen Ruwhof.
Tegelijkertijd gebeurt het veel vaker dat succesvolle hack- en fraude-aanvallen op bedrijven zijn terug te voeren op menselijke fouten of acties van medewerkers, zeggen de onderzoekers tegen de NOS.
Welwillend doelwit
Medewerkers zijn een welwillend doelwit voor hackers en oplichters. Mensen klikken maar al te graag op frauduleuze linkjes, installeren per ongeluk malafide software, of maken geld over naar het verkeerde bankrekeningnummer.
"Of ze proberen de zaak zelf te tillen", zegt Maarten IJzermans van Hoffman Bedrijfsrecherche. "Uit financieel gewin, omdat ze een eigen bedrijf willen starten en klantenlijsten meenemen, of omdat ze simpelweg boos zijn."
Veel bedrijven weten dat inmiddels en proberen dat voor te zijn. Zo laten ze bijvoorbeeld beveiligingstesten uitvoeren om hun zwakke plekken op te sporen.
Sanne Maasakkers, die dat soort testen doet, weet op die manier vaak in te breken. "Je kunt technisch alles goed beveiligd hebben, maar als je medewerkers om de tuin kunt leiden, kom je alsnog binnen."
Zwakste schakel
Ook bedrijven in de technologiesector hebben last van medewerkers als zwakste schakel. Zo bleken Twitter-medewerkers te hebben gespioneerd voor Saoedi-Arabië en verwijderde een Twitter-medewerker in 2017 het account van Donald Trump.
Bij Facebook, MySpace en Snapchat bleken medewerkers misbruik te maken van interne software, bijvoorbeeld om vrouwen te stalken.
En zelfs inlichtingendiensten hebben er last van: bij de NSA kon één medewerker van een onderaannemer, Edward Snowden, grote hoeveelheden documenten meenemen. Hij deed dat met idealistische motieven en lekte de documenten naar journalisten.
Via interne software kunnen medewerkers van techbedrijven meer dan via de website die voor het grote publiek is bedoeld. Zo kunnen ze in sommige gevallen in privéberichten kijken, kunnen ze wachtwoorden resetten en andere beveiligingsopties wijzigen.
Op die manier kunnen ze bijvoorbeeld misbruik opsporen of meewerken aan verzoeken van de politie om informatie. "Maar je kunt je sterk afvragen: moeten ze ook in één klap zoveel accounts van prominente mensen kunnen aanpassen", zegt Groenewegen van Fox-IT.
Maatregelen
Het is nog niet helemaal zeker of de 'schuldige' medewerker zelf het slachtoffer was van een aanval, of dat hij bewust meewerkte. Twitter spreekt zelf van een succesvolle aanval die zich richtte op 'sommige van zijn medewerkers'.
Techplatform Motherboard schrijft daarentegen dat de aanvallers een medewerker overtuigden om hen te helpen. Deskundigen vinden beide scenario's kwalijk.
Twitter zou maatregelen moeten inbouwen om zoiets te voorkomen. "Bijvoorbeeld dat je na het aanpassen van een wachtwoord, 24 uur niet kan twitteren", zegt Groenewegen. Daarmee is een aanval minder aantrekkelijk.
Ook zouden dat soort accounts niet zomaar door één medewerker mogen worden aangepast, vinden meerdere deskundigen. "Er zou dan minimaal één iemand anders moeten meekijken", zegt Maasakkers.
100.000 euro
De impact van de aanval viel nog relatief mee, al wisten de aanvallers wel geld buit te maken: naar het bitcoin-adres van de aanvallers werd 381 keer geld overgemaakt, in totaal ruim 100.000 euro.
De schade had veel erger kunnen zijn, denkt Ruwhof. Ook Apple en Uber werden gehackt. "Wat als op die accounts iets raars was verschenen? Dat kan grote gevolgen hebben voor de beurskoers", zegt hij.
Dat is geen theoretisch scenario: eerder werd de handel in Tesla-aandelen stilgelegd nadat Elon Musk op Twitter aankondigde het bedrijf van de beurs te halen. Dat zorgde voor een gigantische run op de aandelen van het bedrijf.
Het account van Musk werd vannacht ook gekraakt, maar de beurskoers bleef gespaard. "Als je ziet hoeveel macht de hackers hadden, hebben ze daar maar heel magertjes misbruik van weten te maken", zegt Ruwhof. "Alsof ze niet echt een plan hadden en zelf ook een beetje verbaasd waren dat het ze lukte."