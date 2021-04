wachtwoord hacker - dpa Picture-Alliance

Een ontelbare hoeveelheid paspoorten en andere gevoelige documenten had de Belgische ICT-consultant Lieven Gekiere inmiddels met het grootste gemak bij elkaar kunnen sprokkelen. Maar Gekiere is geen extreem kundige hacker die werkelijk óveral binnen weet te dringen. "Ik ben een hobbyist, eigenlijk bouw ik webwinkels", zegt hij. Door handig te zoeken via gespecialiseerde zoekmachines vindt hij regelmatig bedrijven die hun digitale beveiliging niet op orde hebben. Daarbij gaat het soms om mappen met bestanden die voor iedereen vrij toegankelijk waren. En onder die data kunnen gevoelige bestanden zitten, zoals paspoortscans. "Het is echt heel makkelijk om dat te voorkomen", zegt Gekiere. Vaak gaat het om een vinkje dat bedrijven zijn vergeten te zetten."

Er is veel van zulk laaghangend fruit, bleek eerder vandaag. Bedrijven en organisaties slagen er vaak niet eens in om basismaatregelen te nemen om niet gehackt te worden, concludeerde de Cyber Security Raad. Dat is een adviesorgaan van het kabinet. "Als hackers ergens binnenkomen, lukt dat bijna altijd doordat er fouten zijn gemaakt", zegt beveiligingsonderzoeker Rickey Gevers, die gehackte bedrijven bijstaat. "Eén grote fout, of een opeenstapeling van fouten." Basale fouten Bij de datalekken die Gekiere vindt, gaat het soms om heel basale fouten. Zo vond hij bij Nederlandse bedrijven complete mappen met paspoorten en opdrachtbevestigingen. De bedrijven in kwestie hadden de map niet dichtgezet. Die fout komt regelmatig voor, zegt Gekiere. "Alleen al de afgelopen maand heb ik er zo'n tien gevonden."

Vorige week nog vond Gekiere 170 paspoorten die voor iedereen openbaar waren. Het ging om klanten van Zonnepanelen Delen, dat mensen laat investeren in zonne-energie. Investeerders moeten zich legitimeren om witwassen te voorkomen. "Dit was inderdaad een vergeten vinkje", zegt Sven Pluut van het bedrijf. "Dat hadden we kunnen voorkomen door bijvoorbeeld een beveiligingsscan te laten doen." Het bedrijf was wel van plan om nog zo'n check te laten doen, maar was daar naar eigen zeggen nog niet aan toegekomen. "Als bedrijf met achttien man in dienst is ons budget daarvoor ook niet oneindig."

Hackers hebben de afgelopen tijd tientallen organisaties gedupeerd door in te breken, bestanden te versleutelen en losgeld te eisen. Middelbare scholen en universiteiten werden slachtoffer, maar ook bedrijven en gemeenten, zoals Hof van Twente. Afgelopen maand werd ook het Utrechts Archief getroffen. Verder bleek recent een grote hoeveelheid klantgegevens van autodealers op straat te liggen, net als van mensen die een kaartje kochten bij de dierentuin of zich lieten testen op corona.