Zo hackte RTL Nieuws het account van Van der Staaij

Van der Staaij. Beeld ANP

Kinderspel was het volgens de journalisten van RTL Nieuws. Met weinig werk wisten ze donderdag het Twitteraccount van SGP-leider Van der Staaij te hacken. Hoe kregen zij dat voor elkaar en hoe had de SGP-voorman dit kunnen voorkomen?

Met wat zoekwerk op internet waren de inloggegevens van veel Nederlandse politici te vinden, vertelt techredacteur Daniël Verlaan van RTL Nieuws. Die informatie werd openbaar na een aantal grote datalekken, zoals die bij LinkedIn, Dropbox en Adobe. De journalist heeft in die databases gezocht naar gebruikersnamen en wachtwoorden van politici. Computersoftware hielp hem en zijn collega vervolgens om binnen korte tijd allerlei combinaties voor een wachtwoord te proberen.

Bij ongeveer één op de tien politici had dat succes, zegt Verlaan. „Van der Staaij en CDA-Kamerlid Omtzigt waren de bekendste namen. Zij gebruikten oude en zwakke wachtwoorden die bovendien hetzelfde waren voor meerdere accounts.” Een goede beveiliging is dus misschien wel minstens zo eenvoudig als de hack zelf: een sterk en uniek wachtwoord.

Privéberichten

Met een onderschept sociale media-account kunnen kwaadwillenden gekke dingen doen. „We hebben zijn privéberichten niet gelezen”, zegt Verlaan. Wel zijn de hackers erdoor heen gescrold. „Van der Staaij zei dat er niets bijzonders in stond, maar hij communiceerde wel degelijk met andere politici via deze privéberichten.”

Digitale inbrekers kunnen zich ook voordoen als de betreffende politicus en valse informatie verspreiden via hun account. Een andere veelgebruikte methode is dat hackers namens hun slachtoffer virussen verspreiden.

Als de journalisten niet meteen hun daad via het account van Van der Staaij hadden opgebiecht, hadden ze er gerust in kunnen blijven neuzen. „Hij mag blij zijn dat wij goede jongens zijn”, zegt Verlaan. „Wij wilden alleen aantonen dat de beveiliging niet op orde is. Dat is gelukt, gezien de reacties.” Hij is blij met een team dat de Tweede Kamer nu advies gaat geven over online beveiliging.

RTL Nieuws hackt Twitteraccount Van der Staaij

Lessen

Wat Van der Staaij en zijn collega’s nog meer kunnen doen om digitale aanvallers in de toekomst te weren? Géén wachtwoord meer gebruiken met weinig karakters en bekende woorden in ieder geval. En ook niet zomaar één toegangscode voor meerdere accounts. „Ze hadden het wachtwoord ook niet aangepast na de hack op LinkedIn.”

De website wachtwoordbewust.nl geeft tips voor een goede inlogcode: die bestaat uit minimaal acht tekens, meerdere woorden en een woord of cijfercombinatie die alleen de gebruiker kent. De site ontraadt het gebruik van geboortedata, adressen of iets anders wat makkelijk te raden is. Een zin als wachtwoord is ook veilig. En de toegang is nog moeilijker te kraken als de inlog bestaat uit zowel kleine letters als hoofdletters en naast cijfers ook leestekens bevat. Al die verschillende wachtwoorden onthouden hoeft overigens niet, daar bieden speciale programma’s uitkomst voor.

Verlaan wijst erop dat politici ook een tweestapsverificatie kunnen instellen. „Je krijgt dan een extra code via een sms’je of app toegestuurd die je moet invoeren naast het e-mailadres en wachtwoord. Een aantal politici gebruikte deze beveiliging ook.” In hun accounts kwamen de hackers niet.

Rusland

De internetbeveiliging van politici is een actueel onderwerp nadat Rusland vorig jaar vermoedelijk de Democratische partij in de Verenigde Staten hackte. Amerikaanse veiligheidsexperts zijn ervan overtuigd dat ook Nederland het doelwit wordt van Russische cyberoperaties. Maar volgens Verlaan hoeven we het gevaar niet zo ver weg te zoeken. „Nederlandse hackers kunnen bijvoorbeeld informatie onderscheppen van een partij die de concurrent is van hun favoriet. Ze kunnen zo’n partij veel schade toebrengen door geheime informatie te verspreiden.”