De week in techLaurens Verhagen

Met als wachtwoord Welkom2020 liet Hof van Twente criminelen wel heel makkelijk binnen

null Beeld

Welkom2020 was het wachtwoord van de gemeente Hof van Twente die vorig jaar werd gehackt door criminelen. En dat was niet de enige blunder die de gemeente maakte.

Criminelen hebben zich razendsnel aangepast aan de corona-pandemie. Mensen gaan (zeker na 21.00) de deur niet meer uit, dus het ouderwetse inbreken is minder aantrekkelijk. Maar gelukkig is daar de digitale infrastructuur. Aan het begin van de pandemie moesten talloze organisaties plotseling een groot deel van hun personeel op afstand ondersteunen, wat bedrijven blootstelde aan onvoldoende bescherming, zo concludeerden beveiligingsonderzoekers van Blackberry onlangs nog. Zij zijn niet de enigen: beveiligingsbedrijven buitelen over elkaar heen met de constatering dat gevoelige bedrijfsinformatie ineens veel minder goed beveiligd is omdat werknemers inloggen vanaf minder goed dichtgetimmerde thuiscomputers of -laptops.

De vaak gehoorde constatering dat werknemers het thuis over het algemeen wat minder nauw nemen met de veiligheid en updates van hun apparatuur dan de strenge systeembeheerders op kantoor zal ongetwijfeld kloppen. Deze laatsten verplichten de werknemers vaak met licht satanisch genoegen om met enige regelmaat hun wachtwoorden te veranderen. Minimaal acht tekens. Maximaal twaalf. En o ja, ook nog met een verplicht hoofdletter en cijfer. En dan weer niet met een speciaal teken. Maar ze hebben minder controle over hoe mensen thuis precies werken.

Het wachtwoord van de gemeente Hof van Twente was kinderlijk eenvoudig. Beeld Getty Images
Het wachtwoord van de gemeente Hof van Twente was kinderlijk eenvoudig.Beeld Getty Images

Er zijn ook al te menselijke systeembeheerders. Die van de gemeente Hof van Twente bijvoorbeeld. Deze gemeente werd eind vorig jaar in gijzeling gehouden door criminelen, die controle kregen over het computersysteem. Ze vroegen vijftig bitcoin, destijds zo’n 750 duizend euro, in ruil voor het vrijgeven van alle backups. De gemeente schakelde forensisch onderzoeksbureau NFIR in om de hack te onderzoeken. Deze week presenteerden de specialisten hun conclusies. Die zijn ontluisterend.

De daders (die nog steeds niet bekend zijn) konden binnendringen ‘vanwege een makkelijk te raden wachtwoord’, meldt NFIR. Dit wachtwoord, dat werd aangemaakt door de eigen systeembeheerder van de gemeente, luidt Welkom2020. Elk jaar publiceren securitybedrijven lijstjes van de meestgebruikte en daarmee onveiligste wachtwoorden. ‘Welkom’ en alle variaties daarop (Welkom01 is een heel geliefde) zitten daar altijd tussen, naast 12345678 of gewoon ‘Wachtwoord’.

Het was niet de enige blunder van de gemeente. Dezelfde systeembeheerder was verantwoordelijk voor het foutief aanpassen van de firewall ter beveiliging. Het wordt nog erger. Een extern ict-bedrijf (Switch) gaf de gemeente voorafgaand aan de hack de nodige adviezen om de boel beter te beveiligen. ‘Deze adviezen en voorstellen zijn destijds door de gemeente om haar moverende redenen niet opgevolgd’, concludeert NFIR droogjes.

Switch blijft in elk geval naar buiten toe beleefd: ‘Hof van Twente heeft haar eigen keuzes gemaakt en het is makkelijk om achteraf te concluderen dat die niet altijd de juiste zijn geweest.’

Achteraf? Nou, in dit geval ook vooraf. Welkom+jaartal is nooit een goed idee voor een wachtwoord. Gratis tip voor de systeembeheerder: gebruik een wachtwoordmanager zoals Lastpass. Die geeft zelf suggesties. N3tms#V5^h2hD{Wc bijvoorbeeld.

Meer over