Ik ben onzedelijk betast. Ik kreeg een mailtje dat ik was gepwned. Weliswaar digitaal, maar merkwaardig genoeg voelt dat toch een beetje vies. Ik leg het uit.
In 2012 is de socialemedia-site, die zich op contacten tussen professionals richt en waar u ook op zit, LinkedIn gehackt. Er zijn toen 164 miljoen e-mailadressen en wachtwoorden gestolen. Dat bleef onder de radar totdat in mei 2016 het adressenbestand aangeboden werd op een markt op het duistere net, net zoiets als de welbekende Silk Road. Toen bleek ook dat de wachtwoorden zeer eenvoudig versleuteld waren opgeslagen en dus gemakkelijk te kraken en dat alle LinkedIn- accounts die in de tussentijd niet veranderd werden, gevaar liepen.
Hacken account
Is het erg als iemand je LinkedIn-account binnendringt? De inbreker kan hooguit je cv bijstellen en dat zal voor sommigen een verbetering zijn, nietwaar?
Maar het zit anders. Stel u bent een medische zorgprofessional met een eigen praktijk. U heeft een LinkedIn-account want u staat in contact met een netwerk van andere professionals. Uw e-mailadres en wachtwoord geven toegang tot een beschrijving van uw dienstverlening en bevestigen dat u zorgprofessional bent. Als een hacker LinkedIn kan kraken, kan hij beslist meer. Stel dat hij ook uw internetprovider hackt en een vorkje in uw e-mailroutering aanlegt. Al uw mail gaat ook naar de hacker toe. Niemand die dit merkt. Vervolgens gaat de hacker naar de site van de verzekeraar, meldt zich aan met uw e-mailadres en drukt op de knop ‘wachtwoord vergeten’. Dan wordt per e- mail een link gestuurd om het wachtwoord te resetten. Dat doet de hacker en hij is binnen. Het enige dat hij hoeft te doen, is het banknummer veranderen waarop de declaraties moeten worden uitgekeerd. Kassa!
Onwaarschijnlijk? Denkt u? Op dit moment komt steeds in het nieuws dat hele banken worden uitgeschud. Een slimme hacker voert juist een klein en onopvallend scenario uit bij een niet al te ervaren zorgverlener, of beter, bij een heel stel zorgverleners die hij allemaal opgepikt heeft in het bestand van LinkedIn.
Slachtoffer
Ik kreeg het mailtje van de site ‘Have I been pwned?’ waarop ik mijn professionele e- mailadres achtergelaten had. Deze site checkt bij bekend geworden hacks of je er als slachtoffer bij zit. Dat is niet van enige overheid, maar van een slimme internetvrijwilliger. Onze overheid snapt nog niets van internetcriminaliteit en dus al helemaal niks van internetcriminaliteit-slachtofferhulp.
Overigens, ‘pwned’ is een verbastering van ‘owned’ en komt uit de gameswereld. Als je echt helemaal afgemaakt wordt in een game dan ben je niet meer van jezelf. Voor mij voelt het hele gebeuren en het woord meer alsof ik bepoteld ben op een manier die ik niet wil. Een klein stukje van mij, mijn, niet eens geheime, professionele e-mailadres, was van iemand anders en die kon er vies mee doen.
De PDF van het artikel vindt u hier.
Door: Berend de Vries