negen vragenTwitter gehackt

Hoe konden de accounts van zo veel bekende twitteraars worden overgenomen?

Apple, Uber, Kanye West, Bill Gates en Elon Musk zijn enkele van de prominente Twittergebruikers die woensdagnacht het slachtoffer werden van een grootschalige hack. Ook Geert Wilders’ account werd overgenomen. ‘Hier is geschiedenis geschreven.’

Elon Musk was een van de prominente twitteraars wier account werd gehackt om gebruikers mee op te lichten.Beeld AP

Wat is er precies gebeurd?

Rond 23.00 uur Nederlandse tijd begonnen prominente twitteraars een voor een berichten te versturen waarin ze hun volgers opriepen om bitcoins te storten. Zo twitterde Bill Gates, een van de slachtoffers: ‘Het is tijd om wat terug te doen. Ik verdubbel het komende half uur alle betalingen die naar mijn ­bitcoinadres worden gedaan. Geeft u 1.000 dollar? Ik geef er 2.000 voor ­terug!’

Dave Maasland, directeur van ­cyberbeveiligingsbedrijf ESET Nederland, volgde het de afgelopen nacht op de voet. ‘Ik had gelijk al het idee: hier wordt geschiedenis geschreven.’ Al snel was immers duidelijk dat er meer aan de hand was dan zomaar een hack van een los account.

De (inmiddels verwijderde) tweet op het account van Bill GatesBeeld Twitter

Waren die accounts van Musk, Gates, Obama en consorten niet goed beveiligd?

Juist wel, dat is het pijnlijke. Een van de basislessen voor het veilig inloggen is altijd: gebruik tweetraps-­authenticatie. Alleen gebruikersnaam en wachtwoord is dan niet ­genoeg om op een account in te loggen: er is een extra code nodig die naar de telefoon van de rechtmatige eigenaar wordt verstuurd. Alle getroffen accounts hadden deze extra ­veiligheidsmaatregel aanstaan, zegt Maasland. Er was dus iets anders aan de hand: de aanvallers hebben zich toegang verschaft via een intern ­systeem van Twitter, waarmee ­accounts kunnen worden beheerd.

Wat is dit voor systeem?

De Amerikaanse techsites TechCrunch en Motherboard publiceerden beide screenshots van dit adminsysteem en praatten met de hackers die bij de aanval betrokken waren. Duidelijk is dat wie toegang tot dit systeem heeft, feitelijk alles kan doen met een ­account. Waaronder het wachtwoord en het e-mailadres resetten die aan een Twitteraccount gekoppeld zijn. Dat is precies wat er is gebeurd, met als gevolg dat de prominente twitteraars hun account ook niet zomaar konden terugkrijgen en de berichten bleven staan.

Hoe kregen de oplichters toegang tot dit supersysteem?

Ze kregen hulp van binnenuit, van een of meerdere personen die bij Twitter werken. Dat zegt het bedrijf zelf ook. Volgens Motherboard zouden de aanvallers de Twittermedewerker hebben betaald voor de hulp. Een ­andere mogelijkheid is dat het ­account van deze Twittermedewerker is gehackt. Hoe het ook is gegaan: de hacker had hierna ‘supertoegang’. Volgens TechCrunch probeerde de ­hacker (Kirk genaamd) in eerste ­instantie op een internetforum de ­accounts te verkopen, maar zou hij ­later zijn overgegaan tot het zelf overnemen van de accounts.

En wat deed Twitter?

Zoveel mogelijk de schade proberen te beperken. In de woorden van Maasland: een brandend vliegtuig aan de grond zetten. Het bedrijf zette tijdelijk geverifieerde accounts (accounts van bekende personen of bedrijven, voorzien van blauwe vinkjes) op slot zodat deze niets meer konden twitteren. Verder verwijderde Twitter alle screenshots van het adminsysteem die woensdagnacht op het netwerk opdoken. Tot slot erkende het bedrijf dat er sprake was van ‘een gecoördineerde aanval’ waarbij aanvallers ­toegang hebben gekregen tot de ­interne systemen.

Wat is de schade?

De aanvallers vroegen per tweet om bitcoins. Woensdagnacht zijn er ­enkele honderden transacties ­geweest met een totale waarde van iets meer dan 100 duizend euro. Die schade valt mee, volgens Maasland: ‘Als je bedenkt dat de hackers totale controle hadden, had dit veel erger kunnen uitpakken. Je moet er niet aan denken wat er zou zijn gebeurd als ze nepnieuws hadden verspreid over bijvoorbeeld militair ingrijpen.’

De schade voor de wereld valt dus mee, maar de reputatieschade voor Twitter is enorm. ‘Dit is voor een ­bedrijf de allergrootste nachtmerrie. Twitters integriteit is zeer diep ­geschaad. Zelf had ik me niet kunnen voorstellen dat zoiets zou kunnen voorvallen’, zegt de security-expert.

Wat is er met het account van Wilders aan de hand?

Ook het Twitteraccount van PVV-­leider Geert Wilders werd overgenomen. Niet om bitcoins in handen te krijgen, maar ‘als grap’. Een Nederlandse hacker paste de profielfoto aan en plaatste het volgende bericht: ‘porno word gebruikt als wapen van de elite. we zijn bezig met een depopulatie agenda. word wakker nederland’ (sic, red.)

De hackers liftten naar eigen zeggen mee met de hackers van het ­adminsysteem, zegt de Nederlandse hacker tegen RTL Nieuws. Hij zou zijn geholpen door de buitenlandse ­hackers om het account van Wilders over te nemen.

Had Twitter dit alles kunnen voorkomen?

Dat is speculeren − Twitter moet nog een diepgravend onderzoek instellen − maar vermoedelijk wel. Maasland: ‘Dit klinkt verre van optimaal. Het is heel eng dat één persoon binnen Twitter zoveel macht heeft.’ Een dergelijke aanval wordt veel moeilijker met een ‘zestienogenprincipe’. Een aanvaller moet in zo’n geval maar liefst acht medewerkers omkopen of zien te hacken. ‘De afgelopen jaren is er veel aandacht geweest voor ­ransomware, nu zien we dat de dreiging van binnenuit minstens zo eng is’, stelt Maasland.

En wat gaat Twitter nu doen?

Twitter zal allereerst zijn beveiliging en interne controlesystemen aanscherpen. Ook voor andere bedrijven zal dit een wake-upcall zijn, verwacht Maasland. Verder raadt hij Twitter aan om de komende periode zo transparant mogelijk te zijn, zoals de Universiteit van Maastricht deed na de ­ransomwareaanval op het instituut. ‘De hele wereld kijkt nu mee, inclusief de inlichtingendiensten. Ze moeten totale openheid geven.’

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden