Op het dark web vindt een levendige handel in inloggegevens van bedrijven plaats. Voor een paar euro koop je toegang tot een lekke computer die veelal toegang biedt tot zeer gevoelige gegevens, zoals medische dossiers en financiële gegevens.
Dat blijkt uit onderzoek van RTL Nieuws. Een Russische website op het dark web, het verborgen deel van het internet, biedt ruim 900 wachtwoorden van Nederlandse bedrijven te koop aan. Deze lijst wordt elke dag met tientallen nieuwe wachtwoorden aangevuld. In totaal worden internationaal zo’n 64.000 inloggegevens te koop aangeboden.
RTL Nieuws kocht de inloggegevens van vijf willekeurige Nederlandse bedrijven en kreeg daarmee toegang tot medische dossiers van onder anderen topsporters, de boekhouding van zzp’ers, webshopbestellingen en het gebouwbeheersysteem van een basisschool. Cybercriminelen kunnen met deze informatie bedrijven en hun klanten afpersen, door te dreigen de data te publiceren of door te verkopen.
De vijf bedrijven zijn door RTL Nieuws voorafgaand aan de publicatie geïnformeerd.
Zwakke wachtwoorden
Met de aangeboden inloggegevens krijg je toegang tot één van de computers van een bedrijf. De computers maken gebruik van een gevaarlijke combinatie: ze zijn op afstand toegankelijk voor anderen en beveiligd met een zwak wachtwoord. Op de apparaten tref je vaak gevoelige gegevens aan, zowel bedrijfs- als klantgegevens. Het overgrote merendeel van de kwetsbare bedrijven bestaat uit mkb’ers.
“Het grootschalige aanbod van inloggegevens toont aan dat onze gegevens lang niet altijd veilig zijn bij bedrijven”, zegt Frank Groenewegen, chief security expert bij cybersecuritybedrijf Fox-IT. “We vertrouwen bedrijven dat ze veilig met onze data omgaan, maar we hebben vaak geen idee of dat echt zo is.”
Medische dossiers
RTL Nieuws kocht de inloggegevens van een grote fysiotherapiepraktijk met meer dan tienduizend patiënten, waar ook veel topsporters worden behandeld. De inloggegevens waren van het account Test, dat door de IT-beheerder was aangemaakt om op afstand de computers te beheren. Het account maakte gebruik van het zwakke wachtwoord Welkom123, dat eenvoudig door cybercriminelen kon worden gekraakt.
Het testaccount had toegang tot de gedeelde map waar de praktijk alle documentatie opslaat. Dat varieert van behandelplannen en doktersverwijzingen tot interne notulen. De database waar alle patiëntgegevens in worden bewaard, is niet versleuteld. Daarin waren naast medische gegevens ook privégegevens als huisadressen, telefoonnummers en burgerservicenummers te vinden.
Dat de praktijk ook topsporters behandelt, maakt de hack extra gevoelig: “Als deze medische dossiers uitlekken, met zeer gevoelige informatie over hun blessures, kan dat naast ons bedrijf ook de carrière van een topsporter vernielen”, zegt een medewerker. “Mensen vertrouwen ons met hun medische gegevens. Dit is gewoon verschrikkelijk.” De praktijk heeft inmiddels het testaccount gesloten en bespreekt de hack met zijn IT-leverancier.
Hoe worden deze computers gekraakt?
De computers zijn toegankelijk via het zogeheten Remote Desktop Protocol (RDP), een populaire manier om Windows-computers op afstand te bedienen. Als het RDP direct toegang heeft tot het internet, kunnen anderen dat zien en proberen in te loggen.
Cybercriminelen zoeken deze openbare RDP-computers op en voeren veelvuldig wachtwoorden in. Als er gebruik wordt gemaakt van een zwak wachtwoord, wordt deze gekraakt. Dit wordt ook wel ‘bruteforcen‘ genoemd: heel snel achter elkaar wachtwoorden invoeren totdat je de juiste te pakken hebt.
‘Onkunde’
Groenewegen van Fox-IT vindt de hacks ‘een pijnlijk voorbeeld’ van de onkunde van veel IT-leveranciers: “Veel bedrijven maken gebruik van een IT-leverancier om hun computers te installeren. De bedrijven vertrouwen erop dat alles veilig werkt, maar hieruit blijkt wel dat er in Nederland veel IT-leveranciers zijn die de basis van cybersecurity niet beheersen, en zo hun klanten in gevaar brengen.”
“Er worden nog steeds onveilige computers met te zwakke of standaardwachtwoorden geleverd die direct via het internet te benaderen zijn. In de meeste gevallen weten de klanten dit niet eens. Hoelang laten we het nog toe dat IT-leveranciers geld verdienen aan onveilige apparatuur of diensten en daar mee weg komen?”
Hoe bescherm je jezelf?
Als het niet nodig is dat je op afstand kan inloggen op de computer van je zaak, dan kun je het Remote Desktop Protocol (RDP) in Windows uitschakelen. Hier lees je hoe je dat uitschakelt, of vraag het aan je IT-leverancier.
Wil je wel op afstand kunnen inloggen? Dan is het belangrijk om naast een sterk wachtwoord ook gebruik te maken van tweestapsverificatie. Dat kan bij zowel RDP als TeamViewer, twee populaire methoden om computers op afstand te besturen. Ook hier kan je IT-leverancier bij helpen.