Lees hier de uitgebreide reconstructie van de hack.

Click here for the English version of the article below.

Het account @realDonaldTrump (87,3 miljoen volgers) was op afgelopen 16 oktober slechts beveiligd met een wachtwoord, niet met zogenoemde twee-factor-authenticatie. Het kostte de Nederlandse ethische hacker Victor Gevers zeven pogingen om het wachtwoord, ‘maga2020!’, te raden.

Dat Gevers toegang had tot het account van de Amerikaanse president blijkt uit screenshots die zijn ingezien door Vrij Nederland. De bestanden bevatten gevoelige informatie, en kunnen daarom niet integraal gepubliceerd worden.

Screenshot van de computer van Victor Gevers, gemaakt op het moment dat hij op 16 oktober 2020 toegang had tot de Twitteraccount van Donald Trump.

Het is niet de eerste keer dat Gevers toegang had tot het Twitteraccount van Trump. In oktober 2016 lukte het hem om samen met enkele vrienden tijdens een hackersconferentie in Gent het wachtwoord van Trump te vinden in een gelekte database (dat wachtwoord was toen ‘yourefired’). Dat nieuws bracht Vrij Nederland vorige maand.

Wie toegang heeft tot een Twitteraccount kan vervolgens namens het account tweeten, het wachtwoord en de profielfoto veranderen, maar – indien men dat wil – ook een datafile met alle direct messages (DM’s) downloaden. Ethische hackers als Gevers doen dat uit principe niet, maar waarschuwen de slecht beveiligde gebruiker of het slecht beveiligde bedrijf middels een ‘Responsible Disclosure’. Pogingen om een dergelijke waarschuwing onder de aandacht van de president te krijgen mislukten.

Een van de pogingen van Victor Gevers om Donald Trump te bereiken met een ‘responsible disclosure’.

Het is onduidelijk waarom het account van de president tijdelijk niet met twee-factor-authenticatie was beveiligd. De inbreuk laat zien dat zelfs de informatiebeveiliging van een van de machtigste mensen op aarde niet op orde is. Het blijkt nog steeds mogelijk om een account met zoveel volgers zonder twee-factor authenticatie binnen te komen. Twitter heeft niet gereageerd op verzoeken van Gevers en Vrij Nederland hoe het mogelijk is dat het account van de president van de Verenigde Staten geen extra beveiliging had.