Maandag 12/04/2021

Hackers klappen uit het bed

Een groep hackers heeft deze week de gegevens van miljoenen gebruikers van overspelsite Ashley Madison gelekt. Als principiële tegenstanders pikken ze niet dat een site ontrouw aanprijst. Alleen, bij de gebruikers zijn militairen en ambtenaren die gechanteerd kunnen worden. Of erger, de Saudische leden met een homoseksuele voorkeur riskeren de doodstraf.

'Het leven is kort. Ga vreemd.' Met die slogan lokte de immens populaire datingwebsite voor getrouwde mensen AshleyMadison.com naar eigen zeggen bijna 40 miljoen leden, onder wie 13.000 Belgen. De site zet zich als betrouwbaar en veilig in de markt, op de homepagina claimt het een niet terug te vinden onderscheiding, een standaard-beveiligingsprotocol en een officieel uitziend zegel dat 100 procent discretie garandeert.

Samen met het ethische argument stuitte dat de hackersgroep The Impact Team hard tegen de borst. Want de beveiliging die de site garandeert is volgens hen een schromelijke overschatting. Met enig gevoel voor drama kondigde de groep midden juli in een online-manifest aan dat het de gegevens van alle gebruikers had, en dreigde ze prijs te geven: naaktfoto's, seksuele fantasieën, conversaties met overspelige kandidaten, maar ook de echte namen, mailadressen en kredietkaartgegevens.

Lopend vuurtje

De Canadese eigenaar Avid Life Media (ALM) legde het dreigement naast zich neer waarop de hackers deze week ruwweg 30 gigabyte aan informatie online hebben gedumpt. In eerste instantie was die informatie niet zomaar voor iedereen toegankelijk, maar op een duistere plek van het zogenaamde deep web verborgen. Je kunt dat via gespecialiseerde software bereiken, maar om echt aan de slag te gaan moet je zelf al bijna een hacker zijn. Je kunt dus niet even Google raadplegen en de informatie in een puik opgemaakte spreadsheet raadplegen.

Het nieuws over het datalek verspreidde zich als een lopend vuurtje, en intussen is de informatie in ieder geval eenvoudiger te doorzoeken. ALM wuifde de hack aanvankelijk weg, maar gaf uiteindelijk toe dat er informatie gelekt is. In een officieel statement liet het wel verstaan dat het nooit de volledige kredietkaartnummers van klanten bijhoudt. Kwestie van een miniscuul pleistertje op een gutsende wonde te plakken. Inmiddels buigt de FBI zich over de zaak.

Meteen na het lek is er een aantal websites opgedoken waarop je kon nagaan of bepaalde mailadressen in de gestolen data stonden. Daar duikt een eerste gevaar op. "Het is een welbeproefde tactiek van websites die claimen dat ze databases kunnen doorploeteren", zegt Mathias Vermeulen, privacy-expert van de Vrije Universiteit Brussel. "Op die manier komen ze gemakkelijk aan je mailgegevens."

De Noorse veiligheidsexpert Per Thorsheim wees de media in een tweet op een tweede gevaar dat voorbijgaat aan het intussen veelgehoorde argument dat iemand die zich opgeeft om zijn partner te bedriegen, sowieso in de fout gaat. Hij wees op een grondbeginsel van het strafrecht: het vermoeden van onschuld. "Een account bij Ashley Madison betekent niet dat iemand een affaire had of ooit zou hebben", tweette Torsheim. "Mogelijk risico op zelfmoord."

Bij de miljoenen gebruikers zit een deel onder een valse naam of tijdelijk mailadres. Velen hebben de website dus wellicht uit interesse bezocht. Om het oneerbiedig te zeggen: wie op dieet is, kan nog altijd voorbij het buffet wandelen. Zo zijn er verschillende Barack Obama's die zich op de site hebben aangemeld, net als een Tony Blair, de Britse ex-premier. Het is weinig waarschijnlijk dat beide heren voor een scheve schaats te rade gaan op een website. Specialisten schatten zo dat 60 procent van de gebruikers echte personen zijn.

Wat ernstiger is zijn de naar verluidt 12.000 gebruikers met een Amerikaans militair mailadres. Wie in het Amerikaans leger op overspel betrapt wordt, riskeert een jaar gevangenisstraf en oneervol ontslag, waarmee de pensioenrechten vervallen. Erger nog zijn de risico's op chantage. Ook voor de 7.000 mensen die zich met een Amerikaans of Canadees overheidsadres hebben geregistreerd, tot in het Witte Huis toe.

Computerveiligheidsspecialisten vrezen dat nationale veiligheidsdiensten maar ook cybercriminelen de data op dit moment doorploeteren op zoek naar bewijslast om mensen die over gevoelige informatie beschikken onder druk te zetten. Meteen na het datalek zijn zoekertjes verschenen van bezorgde gebruikers om hun data door hackers te laten verwijderen. Hoewel de site zelf die service aanbiedt, voor bijna 17 euro, bleek dat er bij de gelekte data ook informatie zat van verwijderde accounts.

Class action suits

Daarmee heb je als gebruiker natuurlijk de goede ingrediënten voor een rechtszaak. De eerste websites om een groot aantal gedupeerden achter een rechtszaak te spannen, voor een zogenaamde class action suit, duiken nu al op. Ook mensen die verwikkeld zijn in een echtscheiding zoeken hun bijna-ex op websites die claimen over de gelekte data te beschikken. Een advocaat stak zijn optimisme niet onder stoelen of banken en liet optekenen: "We zeggen allemaal dat het Kerstmis in september zal zijn."

Minder optimistisch is het voor de leden met een homoseksuele voorkeur die in landen wonen waar homoseksualiteit illegaal is, zoals in Marokko en Saudi-Arabië. In dat laatste land staat er zelfs de doodstraf op. Het Franse bedrijf CybelAngel, gespecialiseerd in internetmonitoring, vond 1.230 gebruikers die geregistreerd zijn met een Saudisch mailadres, en 999 met een Marokkaans adres.

Het is niet de eerste keer dat privégegevens via hacking gestolen worden. In juni werden de data van 21 miljoen Amerikanen, onder wie miljoenen ambtenaren en hun familie, gestolen. Maar daar ging het niet over erg persoonlijke data als seksuele voorkeuren of fantasieën. Met het enorme datalek van Ashley Madison wordt hacken plots heel intiem.

30 GIGABYTE

Hackers hebben deze week ruwweg 30 gigabyte aan informatie online gedumpt: naaktfoto's, seksuele fantasieën, conversaties met overspelige kandidaten, maar ook de echte namen, mailadressen en kredietkaartgegevens.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234