Gazet van Antwerpen Stad en Rand
“Ik botste zelfs op gegevens van Vlaams minister Gatz”
Hacker ‘Eskimo’ kraakt zonder veel moeite negentig websites met persoonsgegevens
Een hacker geraakte binnen bij negentig van de 277 geteste .bewebsites. Hij kon 273 databases downloaden en stal 1,4 gigabyte aan data, vooral gebruikersgegevens, zoals mailadressen en wachtwoorden. Zo botste hij op gegevens van minister Gatz. “En ik ben dan nog een amateur”, zegt ‘Eskimo’.
De informaticus wil alleen met zijn hackersnaam Eskimo naar buitenkomen. Wat hij deed, is nu eenmaal strafbaar. Hij omschrijft zichzelf als een ethische hacker. “Ik ben een activist rond internetveiligheid en het beveiligen van de privacy”, zegt Eskimo. “De gevoelige informatie die ik vind, wordt niet misbruikt.”
Websites waarop bezoekers bijvoorbeeld een formulier moeten invullen, zijn zeer kwetsbaar. Via een ‘SQL-Injectie’ kan een hacker via dit formulierscherm contact maken met de achterliggende database. Eenmaal daarin kan de hacker beginnen zoeken naar gebruikersgegevens. In één op de drie geteste websites was dit poortje slecht beveiligd.
“Mensen bestellen bijvoorbeeld tickets online via de website van een cultuurcentrum”, zegt Eskimo. “Deze site is zeer zwak beveiligd. Ik geraakte zo aan de klantenlijst met 16.000 mailadressen. Ik botste ook op de wachtwoorden van deze klanten. Veel mensen gebruiken steeds hetzelfde wachtwoord. Met zo’n wachtwoord geraakte ik in het Gmail-account van een van de klanten van het cultuurcentrum. Daar vond ik dan weer een mail met de logingegevens van de persoon voor het aanvragen van dienstencheques bij Sodexo. In het mapje notities zaten de logingegevens voor het advocatenbureau waar de betrokkene werkt. Ik ben daar gestopt, maar in theorie zou ik verder kunnen gaan en de dossiers van dit advocatenbureau kunnen inkijken.”
Sven Gatz
Een webdesigner van webshops nam het blijkbaar ook niet zo nauw met de beveiliging. Hij gebruikte voor al zijn producten hetzelfde wachtwoord. “Het gevolg was dat ik in ruim 300 databanken van evenveel webshops kon die op zijn server stonden”, zegt de hacker.
Ook overheidsinstellingen staan niet op punt als het om digitale veiligheid gaat. Bij het Rijksarchief van België vond de hacker acht kwetsbare databanken. “Ik kon niet alleen de data lezen, maar zelfs aanpassen”, zegt Eskimo. “Dat is redelijk straf. Ik had via deze weg dus ook in andere instellingen kunnen binnenbreken, maar dat heb ik niet gedaan. Ik wil nu eenmaal niet in de gevangenis belanden (lacht).”
Op radio.klara.be vond de hacker duizenden antwoordfiches met persoonlijke gegevens van luisteraars en de personeelsgegevens. Via een website van een Brusselse vzw rond jeugdwerkingen botste de Antwerpse Eskimo zelfs op persoonsgevens van Vlaams minister Sven Gatz (Open Vld).
Malafide hackers
“Ik ben eigenlijk maar een amateur”, zegt hacker Eskimo. “Daarom was ik ook zo verrast dat ik in zo veel websites kon binnenbreken. Op geen enkel moment kreeg ik de melding dat ik was betrapt. Professionele en malafide hackers doen dit volledig geautomatiseerd. Zij verkopen de data voor groot geld aan al wie er interesse in heeft. Op basis van de gegevens die ik kon downloaden, zou ik mij telefonisch zeer overtuigend kunnen voordoen voor iemand anders. Als een inbreker in een huis binnenbreekt, dan merkt de eigenaar dat er iets weg is. Dat is bij hacken niet het geval. Alles wordt gekopieerd. Er is niets weg. Ik sluit niet uit dat al de sites waar ik ben in geraakt, misschien al honderden malen zijn gehackt.”
Elke vereniging of winkel hoort tegenwoordig een website te hebben. Alleen beschikken zij niet over de kennis of de middelen om die te beveiligen. “In veel gevallen gaat het om een vrijwilliger die een beetje kennis heeft van informatica”, zegt de hacker. “Ik nam contact op met sommige verenigingen waar ik ben binnengebroken om hen op het probleem te wijzen. Al snel merkte ik dan dat ze geen flauw benul hadden waarover ik het had. Dat is echt gevaarlijk. Veel van onze persoonlijke gegevens liggen zo open en bloot voor malafide hackers.”