Wachtwoorden van miljoenen Nederlanders op straat

Uit onderzoek blijkt dat medewerkers van veel grote Nederlandse (overheids)organisaties en bedrijven massaal in de lijsten voorkomen, waaronder organisaties die vitale functies vervullen. Ook staan er parlementariërs en BN'ers in de lijst. "Schrikken, want deze wachtwoorden gebruikte ik voor andere accounts nog steeds", zegt ex-Tweede Kamerlid Sharon Gesthuizen.

De gegevens zijn waarschijnlijk afkomstig uit tientallen grote datalekken van de afgelopen jaren. Onder meer van LinkedIn, Dropbox, Playstation, Uber en eBay is bekend dat gegevens zijn gelekt, en daarover is al veel gepubliceerd. Maar waar die enorme lijsten eerst vooral in de krochten van het internet en tegen (forse) betaling beschikbaar waren, worden ze nu steeds makkelijker en openbaar beschikbaar.

Variëren helpt nauwelijks
De database die het AD inzag, bevat in totaal 1,4 miljard mailadressen en wachtwoorden vanuit de hele wereld. Online verschijnen nu ook zoekmachines die dergelijke enorme bestanden zorgwekkend gemakkelijk te doorzoeken maken.

De organisaties die zijn gehackt, zoals LinkedIn, hebben toentertijd allemaal hun gebruikers geïnformeerd over de hacks en de wachtwoorden laten aanpassen. "Maar het blijft een gevaar, omdat mensen heel vaak wachtwoorden hergebruiken. Mensen staan op zoveel websites geregistreerd, dat ze vaak geen idee meer hebben hoeveel, vaak met hetzelfde wachtwoord," zegt Herbert Bos, hoogleraar Systems en Network Security, aan de VU.

"Zelfs als je een beetje varieert met de cijfers in je wachtwoord, kunnen kwaadwillenden dat via geautomatiseerde programma's snel achterhalen. En als mensen je e-mail en een wachtwoord hebben, hebben ze je identiteit."

Dat houdt in dat criminelen of andere kwaadwillenden accounts kunnen misbruiken door er nog meer persoonlijke informatie uit te halen of bijvoorbeeld aankopen mee proberen te doen. Op techwebsites melden verschillende reageerders dat onbekenden met hun wachtwoorden hebben ingelogd op bijvoorbeeld wehkamp.nl en daar artikelen hebben besteld, als betaaloptie werd dan voor 'betalen achteraf' gekozen.

Snel veranderen
Ook het mailadres en wachtwoord van voormalig SP-Tweede Kamerlid Sharon Gesthuizen staat in de lijst. Het gaat om haar Tweede Kamer-mail. "Ik schrok dat jullie ze hadden gevonden. Ik gebruikte dat e-mailadres en wachtwoord een paar jaar geleden, niet voor de Tweede Kamer, maar om in te loggen bij LinkedIn. Daar heb ik het inmiddels veranderd," zegt Gesthuizen.

Even later appt ze: "Een snelle check leerde dat ik dat oude wachtwoord nog steeds gebruikte voor Europcar, het Rotterdamse filmfestival en een andere (belangrijke!) dienst. Dat ga ik nu dus snel veranderen."

Hoe weet ik of mijn wachtwoord is gelekt?
Op de website haveibeenpwned.com (klik) kun je controleren in welke lekken en hacks jouw e-mail voorkomt. Wil je ervoor zorgen dat je gegevens veilig zijn? Op laatjeniethackmaken.nl staan goede tips.

Ook AD-columniste en publiciste Fidan Ekiz schrok zich rot toen ze hoorde dat haar wachtwoorden online te vinden waren: "Je hoort vaak van die verhalen over datalekken, maar je denkt: het loopt wel los. Ik verander sommige wachtwoorden best vaak, maar niet die van slapende accounts."

Extra pijnlijk is dat veel mensen zichzelf op de sites met hun zakelijke e-mail hebben geregistreerd. Dat houdt in dat er ook talloze mailadressen van bijvoorbeeld de ministeries van Buitenlandse Zaken en Defensie, de kerncentrale in Borssele en het Openbaar Ministerie in de database staan. Het wachtwoord dat daarbij staat, is niet per se het wachtwoord dat die personen gebruiken om op hun werksystemen in te loggen. Maar dat die e-mailadressen op straat liggen, maakt hen extra kwetsbaar.

Inlichtingendiensten waarschuwen ervoor dat pogingen van buitenlandse staten of cybercriminelen om te infiltreren in systemen, steeds vaker via persoonlijke mailadressen plaatsvinden. Ook waarschuwde de dienst recent nog voor spionagepogingen via Linkedin-connecties. Dat kan makkelijker plaatsvinden als iemands account is gehackt.

Van het ministerie van Defensie staan honderden mailadressen van medewerkers in de database. Het ministerie weet dat er in het verleden gegevens van werknemers in hacks zijn buitgemaakt. ,,We hebben onze werknemers toen met klem verzocht hun wachtwoorden te wijzigen en ze meegegeven dat het niet wenselijk is om defensiegegevens zoals een mailadres te gebruiken voor commerciële accounts, maar verboden is het niet", zegt een woordvoerder.

Kerncentrale
Het Nationaal Cyber Security Centrum (NCSC), de overheidsorganisatie die de cruciale, digitale infrastructuur van Nederland in de gaten houdt, zegt dat 'het verstandig is om voor privédiensten een privé e-mailadres te gebruiken. "Het uitlekken van de gegevens zorgt ervoor dat er mogelijk onbedoeld inzicht kan worden verkregen in de medewerkers van een bepaalde organisatie."

In de lijst staan ook tientallen mailadressen van EPZ, dat de kerncentrale in Borssele exploiteert. Een woordvoerder meldt dat het bedrijf 'snel op de hoogte was van de hack' en haar werknemers heeft geïnformeerd. "Bij EPZ inloggen met alleen die gegevens is niet mogelijk."

Het ministerie van Defensie meldt ook dat 'alle medewerkers verplicht zijn om hun defensiewachtwoord periodiek te veranderen, dat gaat door een geautomatiseerd systeem. De kans dat de destijds gehackte gegevens toegang kunnen geven tot defensiesystemen is hierdoor uitgesloten'.

Security-expert Bos heeft daar nog wel een opmerking over: "Zelfs als mensen periodiek hun wachtwoord veranderen, is dat vaak een variant van het eerdere wachtwoord: bijvoorbeeld met een 1 erachter. Dat betekent dat het weten van een eerder wachtwoord het voor aanvallers veel makkelijker maakt om de rest van het wachtwoord te raden."