NIEUWSTrump gehackt

Trumps Twitteraccount opnieuw door Nederlandse onderzoeker gehackt

Een Nederlandse beveiligingsonderzoeker is vorige week succesvol ingelogd op het Twitteraccount van Donald Trump. De Amerikaanse president, een actief twitteraar met 87 miljoen volgers, had een uitermate zwak en makkelijk te raden wachtwoord. Ook had hij volgens de onderzoeker geen tweestapsverificatie ingeschakeld.

Trump tijdens een werkoverleg in het Witte Huis.Beeld Getty Images

De onderzoeker, Victor Gevers, kon Trumps persoonlijke berichten inzien, namens de president tweeten en diens profiel veranderen. Gevers heeft screenshots genomen op het moment dat hij toegang had tot Trumps account. Die screenshots zijn door Vrij Nederland gedeeld met de Volkskrant. Nederlandse beveiligingsexperts noemen de claim van Gevers geloofwaardig.

De Nederlander heeft Trump en de Amerikaanse overheidsdiensten gewaarschuwd voor het beveiligingslek. Na een aantal dagen kreeg hij contact met de Amerikaanse Secret Service in Nederland. Die dienst is ook verantwoordelijk voor de beveiliging van de Amerikaanse president en nam de melding serieus, blijkt uit correspondentie die door de Volkskrant is ingezien. Inmiddels is het account van Trump beter beveiligd.

Het is niet de eerste keer dat Nederlandse hackers erin slagen om het Twitteraccount van Donald Trump over te nemen. Dat gebeurde vier jaar geleden, vlak voor de Amerikaanse verkiezingen, ook al. Toen slaagden drie hackers erin om gezamenlijk het wachtwoord te achterhalen en het account van Trump binnen te komen.

Doelwit

Dat dit opnieuw is gelukt, is opmerkelijk. Tijdens de Amerikaanse presidentsverkiezingen in 2016 hebben Russische hackers op grote schaal gepoogd de uitkomst te beïnvloeden. Daarna hebben sociale media diverse stappen gezet om manipulatie te voorkomen. En ook nu, amper drie weken voor nieuwe verkiezingen, pogen Rusland en Iran volgens Amerikaanse inlichtingendiensten om de verkiezingen digitaal te manipuleren. Het ligt voor de hand dat ook het Twitteraccount van de president een doelwit is.

Twitter wil tegenover de Volkskrant niet on the record reageren en zegt nooit in te kunnen gaan op de beveiligingsmaatregelen voor individuele accounts. Donderdagavond laat het bedrijf wel aan verschillende Amerikaanse media weten ‘geen bewijs te hebben gezien om de bewering te staven’. 

Ronald Prins, oprichter van beveiligingsbedrijf Hunt & Hackett en één van de bekendste Nederlandse experts op dat gebied: ‘Ik ken Victor Gevers al heel wat jaren. Hij staat erom bekend dat hij zijn leven wijdt aan het vinden van kwetsbaarheden en hij gaat daar altijd heel ethisch mee om. Op basis van wat ik weet en heb gezien, ziet zijn claim er geloofwaardig uit.’

Victor Gevers was in 2016 ook een van de drie hackers die inlogden op het account van Trump. ‘Dat het zo snel weer zou lukken, was niet gepland’, vertelt hij over de aanloop naar de actie. Aanleiding om opnieuw te pogen het account van Trump te hacken, was de berichtgeving in de Verenigde Staten over Hunter Biden. De harde schijf van de zoon van de Democratisch presidentskandidaat Joe Biden zou gestolen of gehackt zijn – mede doordat Hunter Biden een makkelijk te raden wachtwoord gebruikte (Hunter02).

Gevers is bekend met gelekte databases vol oude wachtwoorden en zoekt daarin naar de gegevens van Hunter Biden. Hij meende na analyse van de oude databases dat de informatie onjuist was. Hunter Biden gebruikte andere wachtwoorden. Gevers: ‘Ik kon zien dat het zijn wachtwoord niet was.’

Victor Gevers te gast bij Op1 nadat het nieuws over de succesvolle vorige hack van Trumps Twitteraccount bekend werd.

‘Steekproefjes’

Het brengt hem op het idee om te controleren hoe goed de beveiliging van geverifieerde accounts op twitter eigenlijk is. Hij kijkt naar het account van Susan Rice, de voormalig Amerikaanse veiligheidsadviseur, naar dat van Joe Biden en andere prominente politici. En dan toch ook nog even naar Donald Trump. ‘Steekproefjes doen, dat is mijn werk. Kijken of er ergens een lek in de beveiliging zit.’

Eerder ontdekte Gevers een gigantische Chinese database met de locatiegegevens van 2,7 miljoen inwoners van Xinjiang – China’s grootste provincie, waar veel Oeigoeren wonen. In de slecht beveiligde database stonden allerlei persoonlijke data: ID-nummers, nationaliteiten, telefoonnummers, geboortedata, foto’s, werkgevers, maar ook de GPS-coördinaten van de plaatsen die deze mensen bezochten. Door de vondst van de database werd nog eens duidelijk hoe nauwgezet China de Oeigoerse minderheid in het land volgt.

Op vrijdagochtend 16 oktober voert Gevers haast achteloos een aantal wachtwoorden en variaties daarop in. Bij de vijfde poging is het raak. Hij probeert ‘maga2020!’ (de afkorting van MakeAmericaGreatAgain, de slogan van Trump) en zit pardoes in het Twitteraccount van de Amerikaanse president. Hij is stomverbaasd. Gevers: ‘Ik had gedacht dat ik na vier mislukte pogingen een block zou krijgen. Of dat ik om extra informatie gevraagd zou worden.’ Niets van dat alles.

Gevers zit die ochtend in misschien wel het belangrijkste Twitteraccount ter wereld en kan 87 miljoen volgers, de aandachtige wereldpers en regeringsleiders een boodschap sturen. ‘Ik dacht wel: daar gaan we weer’, zegt Gevers. Want zomaar inbreken op een account is strafbaar.

Vriendelijk advies

Als Gevers duidelijk wil maken dat hij met goede bedoelingen handelt, zal hij verantwoord moeten zijn en zijn stappen moeten documenteren. Hij maakt screenshots. Hij schrijft vervolgens een mail aan Donald Trump – ‘ik had nog een oud mailaccount van hem dat we gebruikten voor de melding in 2016’ – en stuurt ook een kopie naar de Amerikaanse organisatie voor digitale veiligheid.

Hij adviseert Trump vriendelijk om extra beveiligingsmaatregelen te nemen. En om misschien een wat langer wachtwoord te nemen. Gevers doet er zelfs een suggestie bij: !IWillMakeAmericaGreatAgain2020!, en een handleiding hoe hij tweestapsverificatie aan kan zetten. ‘Maar ik kreeg geen reactie.’

Dus probeert hij anderen te waarschuwen. Het campagneteam van Trump, zijn familie. Hij stuurt berichten via Twitter en vraagt of iemand Trump erop wil attenderen dat z’n Twitteraccount onveilig is. Hij tagt de CIA, het Witte Huis, de FBI, Twitter zelf. Geen reactie. Gevers: ‘Op zaterdag zag ik wel opeens dat tweestapsverificatie op het account was ingeschakeld.’

Twee dagen later krijgt hij ’s avonds een mail van de Amerikaanse Secret Service. ‘Vriendelijk. Ze waren geïnteresseerd in mijn informatie. Ik heb ze alles doorgestuurd.’ Op dinsdag spreken ze elkaar digitaal. Ze bedanken Gevers en vertellen hem dat het beveiligingslek bij hen onbekend was.

Stomverbaasd

De beveiligingsonderzoeker blijft met een aantal vragen zitten. ‘Waarom is het mogelijk voor iemand uit een andere tijdszone om in te loggen op zo’n belangrijk account? Waarom eist Twitter niet een beter wachtwoord? Als ik in zijn account kan komen, kunnen vreemde mogendheden dat toch ook? Waarom krijgen de personen die de president dienen te beschermen de melding niet dat zijn account lek is?’

Ook Matthijs Koot, beveiligingsonderzoeker bij Secura, is stomverbaasd dat het Gevers lukte om zo makkelijk het account van Trump over te nemen. ‘Streng verwoord: wie anno 2020 basale adviezen voor onlineveiligheid in de wind slaat, vormt een potentieel gevaar voor zichzelf en z’n omgeving.’ 

Koot vindt dat de risico’s ook anderen treffen. ‘We zijn tegenwoordig steeds meer onderling verbonden, waardoor een inbraak op het account van één persoon of computer óók de privacy en veiligheid van anderen kan ondermijnen. Via Trumps account kun je immers ook zien welke privéberichten aan hem zijn gestuurd, of dat zijn contacten anderen doorverwijzen naar een link met malware of een vervalste inlogpagina die ze vertrouwen omdat die afkomstig lijkt van Trump.’

Dat roept de vraag op in hoeverre Twitter verantwoordelijk is voor extra beveiligingsmaatregelen. Koot: ‘Dwing ofwel af dat mensen aanvullende authenticatie gebruiken of, als ze dat echt niet willen, een complex wachtwoord nemen. Want de tijd van inloggen met alleen een zwak wachtwoord is voorbij.’ Twitter wil niet op vragen reageren.

Blijft de vraag waarom Trump zo’n zwak en simpel wachtwoord gebruikte. Gevers heeft een mogelijke verklaring: ‘Trump is boven de 70 – oudere mensen zetten vaker tweestapsverificatie uit, omdat ze het ingewikkeld vinden. Dat geldt bijvoorbeeld ook voor mijn moeder. Voor een nieuwere generatie is digitale veiligheid vanzelfsprekender.’

Lees ook

Geen bewijs dat Rusland e-mails lekte van Bidens zoon
Er is vooralsnog geen bewijs dat Rusland verantwoordelijk is voor het lekken van e-mails die van Joe Bidens zoon Hunter zouden zijn. Dat zegt de baas van de Amerikaanse inlichtingendiensten, John Ratcliffe, tevens steunpilaar van Trump. De ontkenning komt terwijl president Trump de e-mails meer en meer gebruikt tegen Biden.

In de digitale wapenwedloop is Nederland niet alleen slachtoffer maar ook dader
Huib Modderkolk begaf zich in de schimmige wereld van de hackers, cyberaanvallen en digitale spionage, waarin Nederland echt niet alleen slachtoffer bleek.

‘Wat leren jonge Republikeinen van Trumps krankzinnige tweets?’
De platte complottheorieën die Donald Trump verspreidt, hebben niet eens meer de schijn van denk- en uitzoekwerk. Complotten zonder theorie, noemt politicoloog Russell Muirhead ze. Hij vreest dat jongere, slimmere Republikeinen ze met veel desastreuzer effect gaan inzetten.

Meer over