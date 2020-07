"Of ze proberen de zaak zelf te tillen", zegt Maarten IJzermans van Hoffman Bedrijfsrecherche. "Uit financieel gewin, omdat ze een eigen bedrijf willen starten en klantenlijsten meenemen, of omdat ze simpelweg boos zijn."

Medewerkers zijn een welwillend doelwit voor hackers en oplichters. Mensen klikken maar al te graag op frauduleuze linkjes, installeren per ongeluk malafide software, of maken geld over naar het verkeerde bankrekeningnummer.

Beveiligingsonderzoekers zijn verbaasd dat een golf aan prominente Twitteraars in één keer wordt gehackt , doordat een of meer medewerkers van Twitter daar - bewust of onbewust - aan hebben meegewerkt.

Veel bedrijven weten dat inmiddels en proberen dat voor te zijn. Zo laten ze bijvoorbeeld beveiligingstesten uitvoeren om hun zwakke plekken op te sporen.

Sanne Maasakkers, die dat soort testen doet, weet op die manier vaak in te breken. "Je kunt technisch alles goed beveiligd hebben, maar als je medewerkers om de tuin kunt leiden, kom je alsnog binnen."

Zwakste schakel

Ook bedrijven in de technologiesector hebben last van medewerkers als zwakste schakel. Zo bleken Twitter-medewerkers te hebben gespioneerd voor Saoedi-Arabië en verwijderde een Twitter-medewerker in 2017 het account van Donald Trump.

Bij Facebook, MySpace en Snapchat bleken medewerkers misbruik te maken van interne software, bijvoorbeeld om vrouwen te stalken.

En zelfs inlichtingendiensten hebben er last van: bij de NSA kon één medewerker van een onderaannemer, Edward Snowden, grote hoeveelheden documenten meenemen. Hij deed dat met idealistische motieven en lekte de documenten naar journalisten.

Via interne software kunnen medewerkers van techbedrijven meer dan via de website die voor het grote publiek is bedoeld. Zo kunnen ze in sommige gevallen in privéberichten kijken, kunnen ze wachtwoorden resetten en andere beveiligingsopties wijzigen.

Op die manier kunnen ze bijvoorbeeld misbruik opsporen of meewerken aan verzoeken van de politie om informatie. "Maar je kunt je sterk afvragen: moeten ze ook in één klap zoveel accounts van prominente mensen kunnen aanpassen", zegt Groenewegen van Fox-IT.

Maatregelen

Het is nog niet helemaal zeker of de 'schuldige' medewerker zelf het slachtoffer was van een aanval, of dat hij bewust meewerkte. Twitter spreekt zelf van een succesvolle aanval die zich richtte op 'sommige van zijn medewerkers'.