Russische website op het Darkweb verkoopt honderden wachtwoorden van Nederlandse bedrijven aan cybercriminelen

Gepubliceerd op 8 februari 2019 om 14:10

Op het Darkweb vindt een levendige handel in inloggegevens van bedrijven plaats. Voor een paar euro koop je toegang tot een lekke computer die veelal toegang biedt tot zeer gevoelige gegevens, zoals medische dossiers en financiële gegevens.

Met deze inloggegevens, die vaak voor een paar euro worden aangeboden, krijg je toegang tot een van de computers van het desbetreffende bedrijf. Zo is de computer van een afstand toegankelijk en kun je bestanden bekijken.

Op de Russische website, een platform voor hackers, kun je de data filteren op land, stad, internetprovider en besturingssysteem. Het is nog onduidelijk wie achter de website zit.

Welkom123

RTL Nieuws kocht de inloggegevens van vijf bedrijven en kreeg toegang tot "de boekhouding van zzp'ers, webshop bestellingen en het gebouwbeheersysteem van een basisschool".

Ook werden de inloggegevens van een grote fysiotherapie praktijk met meer dan 10.000 patiënten, onder wie veel topsporters, gekocht. Die inlog was door de IT-beheerder van het bedrijf gemaakt om op afstand de computers te beheren. Het wachtwoord was zwak, Welkom123, en dus makkelijk te hacken.

"Hacken is verboden, maar in dit geval was het de enige manier om dit journalistieke onderzoek te doen", meldt de hoofdredactie van RTL Nieuws in een verklaring.

Medische dossiers

RTL Nieuws kocht de inloggegevens van een grote fysiotherapie praktijk met meer dan tienduizend patiënten, waar ook veel topsporters worden behandeld. De inloggegevens waren van het account Test, dat door de IT-beheerder was aangemaakt om op afstand de computers te beheren. Het account maakte gebruik van het zwakke wachtwoord Welkom123, dat eenvoudig door cybercriminelen kon worden gekraakt.

De gehackte computer van de fysiopraktijk

Het testaccount had toegang tot de gedeelde map waar de praktijk alle documentatie opslaat. Dat varieert van behandelplannen en doktersverwijzingen tot interne notulen. De database waar alle patiëntgegevens in worden bewaard, is niet versleuteld. Daarin waren naast medische gegevens ook privégegevens als huisadressen, telefoonnummers en burgerservicenummers te vinden.

Dat de praktijk ook topsporters behandelt, maakt de hack extra gevoelig: "Als deze medische dossiers uitlekken, met zeer gevoelige informatie over hun blessures, kan dat naast ons bedrijf ook de carrière van een topsporter vernielen”, zegt een medewerker. "Mensen vertrouwen ons met hun medische gegevens. Dit is gewoon verschrikkelijk." De praktijk heeft inmiddels het testaccount gesloten en bespreekt de hack met zijn IT-leverancier.

Financiële gegevens

Door op afstand in te loggen neem je de computer over. Je ziet dan het bureaublad en kunt vanaf je eigen computer de ander besturen. RTL Nieuws kreeg ook toegang tot de computer van de eigenaar van een webshop, die dagelijks tientallen bestellingen verwerkt. Daar wordt een uitdraai van gemaakt, inclusief volledige namen, telefoonnummers, woonadressen, rekeningnummers en het bestelde product.

Een andere computer bleek van een boekhouder uit het oosten van het land te zijn. Daar troffen we jaarrekeningen van zzp'ers aan, met daarin al hun financiële gegevens. Ook was het door een lekke computer mogelijk om toegang te krijgen tot de temperatuurregeling van een basisschool uit de provincie Utrecht. Alle bedrijven hebben na melding van RTL Nieuws hun beveiliging verbeterd. 

Bij één computer kregen we geen toegang tot gevoelige bestanden. De inloggegevens waren correct, maar de computer 'van een Brabants advocatenkantoor' was beveiligd met tweestapsverificatie. Dat houdt in dat je na het inloggen met de gebruikersnaam en het wachtwoord nog een verificatiecode moet invoeren. Deze verscheen op de telefoon van één van de advocaten. Het bedrag van $11 dollar werd daarom terugbetaald door het Russische verkoopplatform.

Onkunde

Groenewegen van Fox-IT vindt de hacks 'een pijnlijk voorbeeld' van de onkunde van veel IT-leveranciers, "Veel bedrijven maken gebruik van een IT-leverancier om hun computers te installeren. De bedrijven vertrouwen erop dat alles veilig werkt, maar hieruit blijkt wel dat er in Nederland veel IT-leveranciers zijn die de basis van cybersecurity niet beheersen, en zo hun klanten in gevaar brengen."

"Er worden nog steeds onveilige computers met te zwakke of standaardwachtwoorden geleverd die direct via het internet te benaderen zijn. In de meeste gevallen weten de klanten dit niet eens. Hoelang laten we het nog toe dat IT-leveranciers geld verdienen aan onveilige apparatuur of diensten en daar mee weg komen?"

Russische website

De inloggegevens worden aangeboden op een Russisch platform voor hackers. Daar is een sectie volledig gewijd aan het kopen van deze data. Je kunt filteren op onder andere land, stad, internetprovider en besturingssysteem. Ook wordt er bij de kwetsbare computer getoond welke browsers erop te vinden zijn en of er gebruik is gemaakt van e-mail, online bankieren of webshops. Cybercriminelen betalen tussen de $4 en $15 dollar per inlog. Bij sommige lekke computers zien we dat cybercriminelen al eerder toegang hebben gekregen, bijvoorbeeld doordat ze bestanden hebben geprobeerd te gijzelen met ransomware. Bij één van de computers werd deze aanval geblokkeerd door de virusscanner. Het is onduidelijk wie er achter het Russische platform schuilgaan.

Een lijst met inloggegevens die te koop zijn

Opgerold

Eerder dit jaar werd een andere soortgelijke marktplaats voor inloggegevens door de FBI en Europese politiediensten  opgerold xDedic. Drie verdachten zijn in Oekraïne opgepakt. Veel cybercriminaliteit komt uit Oost-Europa, en bij een groot deel van deze marktplaatsen wordt enkel Russisch gesproken.

Bron: Darkweb, RTL Nieuws, Fox-IT, NOS