Weer gehackt: Trumps Twitter is nog steeds niet goed beveiligd

16 oktober verschijnt op de twittertijdlijn van Donald Trump een mysterieus bericht:

Twitter Shuts Down Entire Network To Slow Spread Of Negative Biden News https://babylonbee.com/news/twitter-shuts-down-entire-network-to-slow-spread-of-negative-biden-news via @TheBabylonBee

Wow, this has never been done in history. This includes his really bad interview last night. Why is Twitter doing this. Bringing more attention to Sleepy Joe & Big T

Trump verwijst in deze tweet naar de website The Babylon Bee. Een satirische nieuwssite als The Onion of in Nederland De Speld, maar dan voor Trump-aanhangers. ‘The world’s best satire site,’ noemt de Babylon Bee zichzelf.

Heeft Trump zich vergist?
Is het een grap?
Of is het geen van beiden en heeft iemand anders die tweet geplaatst?

Online batman

Victor Gevers is een van de drie Nederlandse ‘grumpy old hackers’ die vier jaar geleden het Twitteraccount van Trump hackten met het wachtwoord:yourefired.

Victor Gevers kijkt die 16 oktober voor de vorm of Trumps account nog veilig is. ‘Ik doe altijd random checks. Als iemand in het nieuws is, kijk ik even. Ik keek naar de accounts van Biden, Pence, Harris.’ Iemand die in het nieuws is, is een potentieel doelwit en verdient bescherming. Wie het ook is. Gevers handelt in de geest van het oude hackers manifesto: niet discrimineren op basis ras, religie, klasse en politieke overtuiging.

Gevers (44) is een grootheid in de internationale hackersgemeenschap. Hij is ook letterlijk groot. Bijna twee meter. Je zou hem kunnen vergelijken met een online Batman. Overdag werkt hij voor de overheid, ’s nachts houdt hij het internet veilig. Hij leidt de GDI.foundation, een organisatie die met 38 vrijwilligers werkt aan het opruimen van grote datalekken, makkelijk te raden wachtwoorden en andere kwetsbaarheden op het internet. Voor elk datalek dat groot in het nieuws komt heeft de GDI er honderd voorkomen, bij de meesten zonder dat iemand er ooit wat van hoort.

Vrijdag 16 oktober checkt hij het verhaal van de laptop van Hunter Biden, de zoon van presidentskandidaat Joe Biden, die opgedoken zou zijn bij een computer-reparatiewinkel. Gevers zoekt naar eerder gelekte wachtwoorden van Hunter Biden en kijkt even of ze werken bij zijn Twitteraccount. Nee, dat lukt niet. Voor de zekerheid gaat hij ook even bij de Twitteraccount Donald Trump langs, en tikt het wachtwoord van vier jaar geleden in: yourefired.

Tot zijn verbazing ziet hij dat de twee-factor-authenticatie uitstaat. Bij de Twitteraccounts die een blauw vinkje hebben – de verified accounts – is het tegenwoordig vereist dat je na je wachtwoord ook een code moet invoeren, die bijvoorbeeld naar je mobiele telefoon gestuurd wordt. Gevers zelf heeft bij de invoering hiervan op Twitter een rol gespeeld.

‘Niet weer!’

Het is heel vreemd dat de twee-factor-authenticatie uit lijkt te staan bij Trump. Maar Gevers vermoedt dat Trumps account een speciale eigen beveiliging heeft. Het zou verklaren dat Trumps account bij de Twitterhack van juli 2020 ongemoeid bleef. Op de Twitteraccounts van Barack Obama, Elon Musk en Joe Biden verscheen een oproep om bitcoins over te maken. Niet bij Trump.

Toch probeert Gevers nog een paar wachtwoorden:
!IWillAmericaGreatAgain!
MakeAmericaGreatAgain
MakeAmericaGreatAgain!
Maga2020
Maga2020!
maga2020!

En plong! Bij de laatste poging wordt Gevers van de site gegooid. Tenminste, dat denkt hij een halve seconde. Daarna ziet hij dat hij – net als vier jaar geleden – in het Twitteraccount van Donald Trump zit.

Hij zet een berichtje in het Signalgroepje van zijn Grumpy Old hackermaten: ‘maga2020!’

‘NEEEE! Niet weer!’ is de reactie.

Gevers kan het wachtwoord veranderen. Hij kan de profielfoto veranderen. En erger: hij kan – als hij wil – Trumps hele Twittergeschiedenis downloaden als datafile. Een document met al zijn DM’s, inclusief alle berichten die Trump gewist heeft.

‘Toegang krijgen tot iemands Twitteraccount gaat tegenwoordig veel verder dan alleen bitcoins aanprijzen en het account verbouwen,’ vertelt Gevers via Signal, het veilige broertje van WhatsApp, ‘omdat álle interacties van het account worden gelogd en bewaard.’

Gevers heeft geleerd van vier jaar geleden. Toen deed hij met zijn ‘grumpy old hackers’-vrienden Mattijs en Edwin een ‘responsible disclosure’, het melden van een beveiligingslek. Een discrete melding dat de digitale gulp van de president open stond. Ze hadden geen sporen achtergelaten. Het gevolg was dat niemand uit de VS zich geroepen voelde om een bedankje te sturen.

Een ander gevolg was dat verschillende mensen twijfelden of het wel echt waar was dat Gevers en twee andere Nederlandse hackers in oktober 2016 in het Twitteraccount van Donald Trump zaten. Ook een lid van onderzoekscollectief Bellingcat dacht dat het niet klopte. Waren de screenshots van de binnenkant van Trumps Twitteraccount niet gefotoshopt?

Meer digitaal bewijs

Deze keer besluit Gevers daarom meer digitaal bewijs achter te laten, maar tegelijkertijd voelt hij de morele plicht. ‘Er is een ongeschreven regel in Responsible Disclosure. Iedereen heeft recht op een nette melding.’ Ook Donald Trump.

Gevers verzint iets om ervoor te zorgen dat er deze keer wél een reactie uit het Witte Huis komt. Hij wil niet zeggen wat hij precies gedaan heeft, maar in een inmiddels gewiste tweet (vanuit zijn eigen account) zinspeelt hij erop dat hij het was die uit naam van Donald Trump de ‘Babylon Bee’-tweet plaatste. Onder zijn eigen naam verzendt hij kort daarna een tweet gericht aan Trump en zijn team met de boodschap dat de tweet weggehaald kan worden, omdat die zijn ‘rol gespeeld had’.

‘Ik zeg niet dat het zo is, maar stel dat ik die tweet geplaatst heb. Dan moet Trump bekennen dat hij het Babylon Bee-artikel niet heeft gelezen, en deze bullshit-tweet geplaatst heeft óf hij moet bekennen dat iemand anders deze tweet heeft geplaatst.’

Het inbreken in een Twitteraccount om te laten zien dat hij slecht beveiligd is, is één ding. Het plaatsen van een tweet is iets anders. Dat Gevers toegang had tot de account van de Amerikaanse president blijkt uit screenshots die zijn ingezien door Vrij Nederland. De bestanden bevatten gevoelige informatie, en kunnen daarom niet integraal gepubliceerd worden.

‘Ik ben deze keer misschien een stapje verder gegaan omdat onze vorige melding duidelijk geen effect had,’ schrijft Gevers via Signal, ‘ik hoop dat alles zo meteen opgelost is en er een bericht komt van meneer Trump. “Thank you for your work/report.” Dat zou genoeg moeten zijn. Dan is de discussie over beide cases gesloten.’

‘Thank you for your message’

Of de tweet nu echt is of nep, feit is dat hij niet gewist is (hij staat er nog steeds op het moment dat ik dit schrijf.) Sterker nog, Trump heeft de tweet ‘geowned’, door erop te reageren. Het is hier niet duidelijk waarom en het gebeurt wel vaker. Soms verschijnen er tweets als Trump op een podium staat. Gevers: ‘Soms lijkt het of hij iets doms tweet, en dan komt kort erna een uitlegtweet. Misschien van Team Trump?’ 

In de pers verschijnen honende verhalen over hoe Trump er weer in getrapt is. De New York Times, USA Today, Politico, The Independent en Daily Mail schrijven over Trump die klaarblijkelijk satire heeft verward met werkelijkheid. Intussen heeft Gevers alleen nog maar contact gekregen via de DM van Team Trump en ontvangt een kort antwoord: ‘Thank you, we forwarded your message.’

Het lukt Gevers beter om in contact te komen met Team Trump via Parler, een variant van Twitter die snel aan populariteit wint nu Twitter meer en meer modereert en samenzweringstheorieën en nepnieuws verwijdert. Zo hoort Gevers dat hun boodschap in 2016, die via de Nederlandse inlichtingendiensten naar Homeland Security gestuurd is, Donald Trump nooit bereikt heeft.

Zaterdagavond 17 oktober schrijft Gevers me via Signal: ‘Team Trump geeft aan dat Donald Trump in 2016 nooit onze e-mails ontvangen heeft. Ook heeft niemand hem indertijd geïnformeerd. Hij is er nooit van op de hoogte gebracht dat drie personen uit Nederland geprobeerd hebben hem tijdig te waarschuwen. Dit komt nu boven drijven omdat ik het zelf actief aan het najagen ben. Ook Twitter reageert niet. Het is duidelijk dat iedereen een hekel aan Trump heeft. Dat kan ik wel begrijpen, maar dat men bewust informatie voor hem achterhoudt, vind ik onethisch.’

‘Nog nieuws?’ vraag ik de volgende ochtend.
‘Ja dat alle emails naar Trump niet zijn aangekomen.’
Dan denk ik een geheime code te krijgen.:
‘309780p349874[‘ 0-92`1367yb’R_(TYgr13e4p9igbR!@#$’
‘Wat betekent dat?’ vraag ik.
‘Me losing my shit… FUCK GMAIL,’ schrijft Gevers.

Het lukt Gevers op geen enkele manier om een boodschap in de buurt van Trump te krijgen. Hij wil Trump of in ieder geval de mensen vlak om hem heen bereiken. En dat lijkt onmogelijk.

‘Ik heb het geprobeerd via e-mail, via Twitter via Parler, via contactpersonen, via DM’s aan mensen die mensen kennen bij het Witte huis, het webformulier van Team Trump, het webformulier van het Witte Huis, zijn zoon, de CISA (Cybersecurity & Infrastructure Security Agency), Twitter security, via hun chatbot. Ik heb ook nog geprobeerd te bellen met Team Trump.’

Het wachtwoord blijkt veranderd, de twee-factor-authenticatie is weer aangezet. Maar verder gebeurt er, net als in 2016, niks. Nul. Noppes. ‘Niets. Geen Piep. Van niemand.’

Ditigale flessenpost

Gevers is ten einde raad. Hij bedenkt het plan een videoboodschap te maken en die via sociale media verspreiden, en te hopen dat het bij Trump terecht komt als een soort digitale flessenpost. Hij stuurt me de concepttekst.

Dan retweet de hoofdredacteur van de The Babylon Bee een verhaal uit Newsweek. De suggestie daarvan is dat Trump gevoel voor humor heeft en de tweet bewust geretweet heeft.

‘Ze gaan het nu framen als een grap’, zegt Gevers, die inmiddels met alles rekening begint te houden. Hij heeft een bestand met bewijsmateriaal met belangrijke informatie in veiligheid gebracht, voor het geval dat er iets vreemds met hem gebeurt. ‘De Amerikaanse secret service is zes minuten bij me vandaan,’ zegt Gevers, die bij de vorige melding vier jaar geleden al had gehoord dat hij in het geval van een escalatie niets hoefde te verwachten van de Nederlandse overheid.

In de nacht van maandag 19 oktober op dinsdag 20 oktober ziet Gevers het volgende filmpje:

Donald Trump staat op een podium in Prescott, Arizona, en hij heeft het over hackers: ‘Ik heb nooit een persoon gekend die zegt gehackt te zijn, die gehackt is. Niemand wordt gehackt. Als je gehackt wordt heb je iemand nodig met een IQ van 197, en hij heeft 15 procent van je wachtwoord nodig, doesn’t happen’.

Gevers geeft nu de moed om Trump te bereiken en te waarschuwen op. Hij geeft mij toestemming om dit verhaal op te schrijven, als pleidooi om twee-factor-authenticatie permanent en voor iedereen aan te zetten.

Dit is tekenend voor onze afhankelijkheid van een paar grote bedrijven.

Het ontbreken van de twee-factor-authenticatie bij het account van de president van de Verenigde Staten is absurd en roept veel vragen op. Mogelijk is de twee-factor-authenticatie eraf gehaald toen hij naar het ziekenhuis moest, zodat er vanaf zijn telefoon tweets gestuurd konden worden zonder dat hij persoonlijk hoefde in te loggen.

Dat betekent dat het belangrijkste communicatiekanaal van de president van de VS – de man die rondrijdt in een gepantserde auto en overal geflankeerd wordt door een leger van beveiligers – te kraken was met een makkelijk te raden wachtwoord.

En Trump is echt niet de enige wereldleider of politicus die slechte wachtwoorden gebruikt, maar Twitter zou het in zijn geval onmogelijk moeten maken om zo makkelijk in zijn account te komen. Het is tekenend voor de digitale samenleving die te afhankelijk is geworden van een paar grote bedrijven die meer geïnteresseerd zijn in macht en geld dan in stabiliteit en veiligheid.

Gevers: ‘Het gaat mij vooral om het besef dat twee-factor-authenticatie aan moet staan voor iedereen. Wachtwoorden zijn de achilleshiel van het internet. Dit moet worden opgelost en snel ook, want zelfs de president van de Verenigde Staten is niet meer veilig.’

Dinsdagavond krijgt Gevers eindelijk contact met de Amerikaanse overheid. Hij plaatst een tweet met de tekst: ‘Thank you, dear infosec community, for helping to get “first contact” – Responsible disclosure #5780 will be handled by the experts now.’

Via Signal meldt Gevers: ‘Het doel is belangrijker dan de persoon. 2FA [twee-factor-authenticatie, red.] voor alle gebruikers op online diensten (…) Een veilig internet voor IEDEREEN. En fuck Big T die dit wil dwarsbomen. Want hier deel ik de mening van Trump. De macht van Big T moet aangepakt worden.’