Lees hier de uitgebreide reconstructie van de hack.
Click here for the English version of the article below.
Het account @realDonaldTrump (87,3 miljoen volgers) was op afgelopen 16 oktober slechts beveiligd met een wachtwoord, niet met zogenoemde twee-factor-authenticatie. Het kostte de Nederlandse ethische hacker Victor Gevers zeven pogingen om het wachtwoord, ‘maga2020!’, te raden.
Dat Gevers toegang had tot het account van de Amerikaanse president blijkt uit screenshots die zijn ingezien door Vrij Nederland. De bestanden bevatten gevoelige informatie, en kunnen daarom niet integraal gepubliceerd worden.
Het is niet de eerste keer dat Gevers toegang had tot het Twitteraccount van Trump. In oktober 2016 lukte het hem om samen met enkele vrienden tijdens een hackersconferentie in Gent het wachtwoord van Trump te vinden in een gelekte database (dat wachtwoord was toen ‘yourefired’). Dat nieuws bracht Vrij Nederland vorige maand.
Wie toegang heeft tot een Twitteraccount kan vervolgens namens het account tweeten, het wachtwoord en de profielfoto veranderen, maar – indien men dat wil – ook een datafile met alle direct messages (DM’s) downloaden. Ethische hackers als Gevers doen dat uit principe niet, maar waarschuwen de slecht beveiligde gebruiker of het slecht beveiligde bedrijf middels een ‘Responsible Disclosure’. Pogingen om een dergelijke waarschuwing onder de aandacht van de president te krijgen mislukten.
Het is onduidelijk waarom het account van de president tijdelijk niet met twee-factor-authenticatie was beveiligd. De inbreuk laat zien dat zelfs de informatiebeveiliging van een van de machtigste mensen op aarde niet op orde is. Het blijkt nog steeds mogelijk om een account met zoveel volgers zonder twee-factor authenticatie binnen te komen. Twitter heeft niet gereageerd op verzoeken van Gevers en Vrij Nederland hoe het mogelijk is dat het account van de president van de Verenigde Staten geen extra beveiliging had.