27 oktober 2016, na de hackerconferentie BruCON kregen drie Nederlandse hackers – leden van de Guild Of The Grumpy Old Hackers – toegang tot de twitter-account van Donald Trump.

Twee weken voor de Amerikaanse verkiezingen kregen de hackers een LinkedIn-database met 117 miljoen gebruikersnamen en wachtwoorden te pakken. De database circuleerde al sinds 2012 in de criminele wereld, maar werd pas in 2016 te koop aangeboden op de dark markets. Daarna begon het document ook te circuleren in de gemeenschap van informatiebeveiligers. Zo kregen de grumpy hackers het document ook in handen.

In deze database leken ook gegevens van Donald Trump te staan.

donaldtrump@trump.com:07b8938319c267dcdb501665220204bbde87bf1d

De hackers wisten daaruit het volgende wachtwoord te destilleren: yourefired. Dat dit klopt is eenvoudig te verifiëren met een site als https://passwordsgenerator.net/sha1-hash-generator/.

Tot hun grote verbazing accepteerde twitter het wachtwoord, maar vroeg de site ter verificatie om een mailadres. donaldtrump@trump.com werd niet geaccepteerd, maar na wat giswerk achterhaalden de hackers het juiste Twitter-emailadres van Trump: twitter@donaldjtrump.com.

Met dat emailadres lukte het om in te loggen in de Twitteraccount van Trump.

Hoe dat ging, lees je hier:Hoe drie Nederlandse hackers het Twitteraccount van Donald Trump hackten9 september 2020

Omdat er naar aanleiding van de inhoud en de timing van het verhaal vragen ontstonden over de authenticiteit, hierbij de tijdlijn die de grumpy hackers maakten, afgewisseld met screenshots uit een eigen presentatie die ze gaven in de inlichtingenwereld.

De grumpy hackers stuurden de bovenstaande mail aan Trump en aan US Cert (United States Computer Emergency Readiness Team). Toen daar geen reactie op kwam, probeerden ze via andere routes contact te krijgen. Daarna stuurden ze een vergelijkbaar bericht aan het NCSC-NL (Nationaal Cyber Security Centrum), die het opnieuw doorstuurde naar US CERT.

Hieronder een van de mails van NCSC.

Uiteindelijk kwam er 2 november een respons.

Dat er in het Witte Huis inderdaad iets veranderde, werd duidelijk in een verhaal van de New York Times:

Trumps naam dook niet alleen in de LinkedIn Database op. Maar ook in gelekte databases van computerspelletjes en de datingsite Ashley Madison.

Dit kunnen natuurlijk nepaccounts zijn. Maar in de gelekte database van Ashley Madison stonden ook geen leesbare wachtwoorden, alleen gecodeerde wachtwoorden (bcrypt), die met de huidige technieken moeilijk te kraken zijn. Maar door het wachtwoord ‘yourefired’ door de bcrypt-codeermolen te halen, ontdekten de Grumpy Hackers dat er ook een Trump-account was bij Ashley Madison met hetzelfde wachtwoord: ‘yourefired’.

Hoewel de Grumpy Hackers zwegen tegen de media, was hun verhaal binnen kleine hackerskringen wel bekend.

Zo kwam ik het verhaal ook op het spoor, tijdens de Chaos Computer Conferentie in Leipzig, december 2019.