Beeld © Getty
Beeld © Getty
RTL Nieuws

Cybercriminelen verkopen wachtwoorden van honderden Nederlandse bedrijven

8 februari 2019 13:25

Op het dark web vindt een levendige handel in inloggegevens van bedrijven plaats. Voor een paar euro koop je toegang tot een lekke computer die veelal toegang biedt tot zeer gevoelige gegevens, zoals medische dossiers en financiële gegevens.

Dat blijkt uit onderzoek van RTL Nieuws. Een Russische website op het dark web, het verborgen deel van het internet, biedt ruim 900 wachtwoorden van Nederlandse bedrijven te koop aan. Deze lijst wordt elke dag met tientallen nieuwe wachtwoorden aangevuld. In totaal worden internationaal zo'n 64.000 inloggegevens te koop aangeboden.

RTL Nieuws kocht de inloggegevens van vijf willekeurige Nederlandse bedrijven en kreeg daarmee toegang tot medische dossiers van onder anderen topsporters, de boekhouding van zzp'ers, webshopbestellingen en het gebouwbeheersysteem van een basisschool. Cybercriminelen kunnen met deze informatie bedrijven en hun klanten afpersen, door te dreigen de data te publiceren of door te verkopen.

De vijf bedrijven zijn door RTL Nieuws voorafgaand aan de publicatie geïnformeerd. 

Voor 8 euro toegang tot medische dossiers: 'Dit hadden we nooit gedacht'

"We dachten nooit dat ons dit zou overkomen", zegt een medewerker van een fysiopraktijk waarvan we inzage hadden in patiëntgegevens.

Zwakke wachtwoorden

Met de aangeboden inloggegevens krijg je toegang tot één van de computers van een bedrijf. De computers maken gebruik van een gevaarlijke combinatie: ze zijn op afstand toegankelijk voor anderen en beveiligd met een zwak wachtwoord. Op de apparaten tref je vaak gevoelige gegevens aan, zowel bedrijfs- als klantgegevens. Het overgrote merendeel van de kwetsbare bedrijven bestaat uit mkb'ers.

"Het grootschalige aanbod van inloggegevens toont aan dat onze gegevens lang niet altijd veilig zijn bij bedrijven", zegt Frank Groenewegen, chief security expert bij cybersecuritybedrijf Fox-IT. "We vertrouwen bedrijven dat ze veilig met onze data omgaan, maar we hebben vaak geen idee of dat echt zo is."

Medische dossiers

RTL Nieuws kocht de inloggegevens van een grote fysiotherapiepraktijk met meer dan tienduizend patiënten, waar ook veel topsporters worden behandeld. De inloggegevens waren van het account Test, dat door de IT-beheerder was aangemaakt om op afstand de computers te beheren. Het account maakte gebruik van het zwakke wachtwoord Welkom123, dat eenvoudig door cybercriminelen kon worden gekraakt.

De gehackte computer van de fysiopraktijk.

Het testaccount had toegang tot de gedeelde map waar de praktijk alle documentatie opslaat. Dat varieert van behandelplannen en doktersverwijzingen tot interne notulen. De database waar alle patiëntgegevens in worden bewaard, is niet versleuteld. Daarin waren naast medische gegevens ook privégegevens als huisadressen, telefoonnummers en burgerservicenummers te vinden.

Dat de praktijk ook topsporters behandelt, maakt de hack extra gevoelig: "Als deze medische dossiers uitlekken, met zeer gevoelige informatie over hun blessures, kan dat naast ons bedrijf ook de carrière van een topsporter vernielen”, zegt een medewerker. "Mensen vertrouwen ons met hun medische gegevens. Dit is gewoon verschrikkelijk." De praktijk heeft inmiddels het testaccount gesloten en bespreekt de hack met zijn IT-leverancier.

Verantwoording RTL Nieuws

Hacken is verboden, maar in dit geval was het de enige manier om dit journalistieke onderzoek te doen. RTL Nieuws onderzoekt of de aangeboden inloggegevens echt werken, en toetst in hoeverre criminelen op deze manier bij (privacy)-gevoelige informatie kunnen komen. Ons onderzoek toont aan dat bedrijven denken dat ze hun zaken op orde hebben, maar dat het toch zeer eenvoudig blijkt te zijn om voor een paar euro toegang tot een computer te kopen.

Hoofdredactie RTL Nieuws

Financiële gegevens

Door op afstand in te loggen neem je de computer over. Je ziet dan het bureaublad en kunt vanaf je eigen computer de ander besturen. RTL Nieuws kreeg ook toegang tot de computer van de eigenaar van een webshop, die dagelijks tientallen bestellingen verwerkt. Daar wordt een uitdraai van gemaakt, inclusief volledige namen, telefoonnummers, woonadressen, rekeningnummers en het bestelde product.

Een andere computer bleek van een boekhouder uit het oosten van het land te zijn. Daar troffen we jaarrekeningen van zzp'ers aan, met daarin al hun financiële gegevens. Ook was het door een lekke computer mogelijk om toegang te krijgen tot de temperatuurregeling van een basisschool uit de provincie Utrecht. Alle bedrijven hebben na melding van RTL Nieuws hun beveiliging verbeterd. 

Hoe worden deze computers gekraakt?

De computers zijn toegankelijk via het zogeheten Remote Desktop Protocol (RDP), een populaire manier om Windows-computers op afstand te bedienen. Als het RDP direct toegang heeft tot het internet, kunnen anderen dat zien en proberen in te loggen.

Cybercriminelen zoeken deze openbare RDP-computers op en voeren veelvuldig wachtwoorden in. Als er gebruik wordt gemaakt van een zwak wachtwoord, wordt deze gekraakt. Dit wordt ook wel 'bruteforcen' genoemd: heel snel achter elkaar wachtwoorden invoeren totdat je de juiste te pakken hebt.

Bij één computer kregen we geen toegang tot gevoelige bestanden. De inloggegevens waren correct, maar de computer - van een Brabants advocatenkantoor - was beveiligd met tweestapsverificatie. Dat houdt in dat je na het inloggen met de gebruikersnaam en het wachtwoord nog een verificatiecode moet invoeren. Deze verscheen op de telefoon van één van de advocaten. Het bedrag van 11 dollar werd daarom terugbetaald door het Russische verkoopplatform.

'Onkunde'

Groenewegen van Fox-IT vindt de hacks 'een pijnlijk voorbeeld' van de onkunde van veel IT-leveranciers: "Veel bedrijven maken gebruik van een IT-leverancier om hun computers te installeren. De bedrijven vertrouwen erop dat alles veilig werkt, maar hieruit blijkt wel dat er in Nederland veel IT-leveranciers zijn die de basis van cybersecurity niet beheersen, en zo hun klanten in gevaar brengen."

"Er worden nog steeds onveilige computers met te zwakke of standaardwachtwoorden geleverd die direct via het internet te benaderen zijn. In de meeste gevallen weten de klanten dit niet eens. Hoelang laten we het nog toe dat IT-leveranciers geld verdienen aan onveilige apparatuur of diensten en daar mee weg komen?"

Russische website

De inloggegevens worden aangeboden op een Russisch platform voor hackers. Daar is een sectie volledig gewijd aan het kopen van deze data. Je kunt filteren op onder andere land, stad, internetprovider en besturingssysteem. Ook wordt er bij de kwetsbare computer getoond welke browsers erop te vinden zijn en of er gebruik is gemaakt van e-mail, online bankieren of webshops.

Een lijst met inloggegevens die te koop zijn.

Cybercriminelen betalen tussen de 4 en 15 dollar per inlog. Bij sommige lekke computers zien we dat cybercriminelen al eerder toegang hebben gekregen, bijvoorbeeld doordat ze bestanden hebben geprobeerd te gijzelen met ransomware. Bij één van de computers werd deze aanval geblokkeerd door de virusscanner. Het is onduidelijk wie er achter het Russische platform schuilgaan.

Opgerold

Eerder dit jaar werd een andere soortgelijke marktplaats voor inloggegevens door de FBI en Europol opgerold: xDedic. Drie verdachten zijn in Oekraïne opgepakt. Veel cybercriminaliteit komt uit Oost-Europa, en bij een groot deel van deze marktplaatsen wordt enkel Russisch gesproken.

Hoe bescherm je jezelf?

Als het niet nodig is dat je op afstand kan inloggen op de computer van je zaak, dan kun je het Remote Desktop Protocol (RDP) in Windows uitschakelen. Hier lees je hoe je dat uitschakelt, of vraag het aan je IT-leverancier.

Wil je wel op afstand kunnen inloggen? Dan is het belangrijk om naast een sterk wachtwoord ook gebruik te maken van tweestapsverificatie. Dat kan bij zowel RDP als TeamViewer, twee populaire methoden om computers op afstand te besturen. Ook hier kan je IT-leverancier bij helpen.

Nederland ICT, de branchevereniging van de ICT-sector, stelt in een reactie dat het 'niet oké' is dat IT-leveranciers zwakke wachtwoorden gebruiken: "Dit nieuws laat zien dat het belangrijk is om goede securityprincipes vast te leggen in standaarden en certificeringen, zodat klanten beter weten wat ze van hun leverancier mogen verwachten."

Het Nationaal Cyber Security Centrum benadrukt het belang van tweestapsverificatie en het gebruik van unieke, sterke wachtwoorden.

Zo maak je veilige wachtwoorden zonder gedoe

Je wordt gehackt en al je persoonlijke informatie ligt op straat: mij zal het niet overkomen, denk je misschien. Maar als je een zwak wachtwoord gebruikt en ook nog eens overal hetzelfde wachtwoord hebt, loop je wel degelijk risico.