Maandag 30/11/2020

AchtergrondVerenigde Staten

Trump twittert zich nog werkelijk eens een ongeluk

Trump tijdens een werkoverleg in het Witte Huis.Beeld Getty Images

Een Nederlandse beveiligingsonderzoeker is vorige week succesvol ingelogd op het Twitteraccount van Donald Trump. De Amerikaanse president, een actief Twitteraar met 87 miljoen volgers, had een uitermate zwak en makkelijk te raden wachtwoord. Ook had hij volgens de onderzoeker geen tweestapsverificatie ingeschakeld.

De onderzoeker, Victor Gevers, kon zijn persoonlijke berichten inzien, namens Trump tweeten en zijn profiel veranderen. Gevers heeft screenshots genomen op het moment dat hij toegang had tot Trumps account. Die screenshots zijn door Vrij Nederland gedeeld met de Volkskrant. Nederlandse beveiligingsexperts noemen de claim van Gevers geloofwaardig.

De Nederlander heeft Trump en de Amerikaanse overheidsdiensten gewaarschuwd voor het beveiligingslek. Na een aantal dagen kreeg hij contact met de Amerikaanse Secret Service in Nederland. Die dienst is ook verantwoordelijk voor de beveiliging van de Amerikaanse president en nam de melding serieus, blijkt uit correspondentie die door de Volkskrant is ingezien. Inmiddels is het account van Trump beter beveiligd.

Het is niet de eerste keer dat Nederlandse hackers erin slagen om het Twitteraccount van Donald Trump over te nemen. Dat gebeurde vier jaar geleden, vlak voor de Amerikaanse verkiezingen, ook al. Toen slaagden drie hackers erin om gezamenlijk het wachtwoord te achterhalen en het account van Trump binnen te komen.

Doelwit

Dat dit opnieuw is gelukt, is opmerkelijk. Tijdens de Amerikaanse presidentsverkiezingen in 2016 hebben Russische hackers op grote schaal gepoogd de uitkomst te beïnvloeden. Daarna hebben sociale media diverse stappen gezet om manipulatie te voorkomen. En ook nu, amper drie weken voor nieuwe verkiezingen, pogen Rusland en Iran volgens Amerikaanse inlichtingendiensten om de verkiezingen digitaal te manipuleren. Het ligt voor de hand dat ook het Twitteraccount van de president een doelwit is.

Twitter wil niet on the record reageren en zegt nooit in te kunnen gaan op de beveiligingsmaatregelen voor individuele accounts. Ronald Prins, oprichter van beveiligingsbedrijf Hunt & Hackett en één van de bekendste Nederlandse experts op dat gebied: ‘Ik ken Victor Gevers al heel wat jaren. Hij staat erom bekend dat hij zijn leven wijdt aan het vinden van kwetsbaarheden en hij gaat daar altijd heel ethisch mee om. Op basis van wat ik weet en heb gezien, ziet zijn claim er geloofwaardig uit.’

Victor Gevers was in 2016 ook een van de drie hackers die inlogden op het account van Trump. ‘Dat het zo snel weer zou lukken, was niet gepland’, vertelt hij over de aanloop naar de actie. Aanleiding om opnieuw te pogen het account van Trump te hacken, was de berichtgeving in de Verenigde Staten over Hunter Biden. De harde schijf van de zoon van de Democratisch presidentskandidaat Joe Biden zou gestolen of gehackt zijn – mede doordat Hunter Biden een makkelijk te raden wachtwoord gebruikte (Hunter02).

Gevers is bekend met gelekte databases vol oude wachtwoorden en zoekt daarin naar de gegevens van Hunter Biden. Hij meent na analyse van de oude databases dat de informatie onjuist is. Hunter Biden gebruikt andere wachtwoorden. Gevers: ‘Ik kon zien dat het zijn wachtwoord niet was.’

Victor Gevers te gast bij Op1 na de vorige succesvolle hack van Trumps Twitteraccount.

‘Steekproefjes’

Het brengt hem op het idee om te controleren hoe goed de beveiliging van geverifieerde accounts op Twitter eigenlijk is. Hij kijkt naar het account van Susan Rice, de voormalig Amerikaanse veiligheidsadviseur, naar die van Joe Biden en andere prominente politici. En dan toch ook nog even naar Donald Trump. ‘Steekproefjes doen, dat is mijn werk. Kijken of er ergens een lek in de beveiliging zit.’

Eerder ontdekte Gevers onder meer een gigantische Chinese database met de locatiegegevens van 2,7 miljoen inwoners van Xinjiang – China’s grootste provincie waar veel Oeigoeren wonen. In de slecht beveiligde database stonden allerlei persoonlijke data: ID-nummers, nationaliteiten, telefoonnummers, geboortedata, foto’s, werkgevers, maar ook de GPS-coördinaten van de plaatsen die deze mensen bezochten. Door de vondst van de database werd nog eens duidelijk hoe nauwgezet China de Oeigoerse minderheid in het land volgt.

Op vrijdagochtend voert Gevers haast achteloos een aantal wachtwoorden en variaties daarop in. Bij de vijfde poging is het raak. Hij probeert ‘maga2020!’ (de afkorting van MakeAmericaGreatAgain, de slogan van Trump) en zit pardoes in het Twitteraccount van de Amerikaanse president. Hij is stomverbaasd. Gevers: ‘Ik had gedacht dat ik na vier mislukte pogingen een block zou krijgen. Of dat ik om extra informatie gevraagd zou worden.’ Niets van dat al.

Gevers zit die ochtend in misschien wel het belangrijkste Twitteraccount ter wereld en kon 87 miljoen volgers, de aandachtige wereldpers en regeringsleiders een boodschap sturen. ‘Ik dacht wel: daar gaan we weer’, zegt Gevers. Want zomaar inbreken op een account is strafbaar.

Vriendelijk advies

Als Gevers duidelijk wil maken dat hij met goede bedoelingen handelt, zal hij verantwoord moeten zijn en zijn stappen moeten documenteren. Hij maakt screenshots. Hij schrijft vervolgens een mail aan Donald Trump – ‘ik had nog een oud mailaccount van ’m die we gebruikten voor de melding in 2016’ – en stuurt ook een kopie naar de Amerikaanse organisatie voor digitale veiligheid.

Hij adviseert Trump vriendelijk om extra beveiligingsmaatregelen te nemen. En om misschien een wat langer wachtwoord te nemen. Gevers doet er zelfs een suggestie bij: !IWillMakeAmericaGreatAgain2020!, en een handleiding hoe hij tweestapsverificatie aan kan zetten. ‘Maar ik kreeg geen reactie.’

Dus probeert hij anderen te waarschuwen. Het campagneteam van Trump, zijn familie. Hij stuurt berichten via Twitter en vraagt of iemand Trump erop wil attenderen dat z’n Twitteraccount onveilig is. Hij tagt de CIA, het Witte Huis, de FBI, Twitter zelf. Geen reactie. Gevers: ‘Op zaterdag zag ik wel opeens dat tweestapsverificatie op het account was ingeschakeld.’

Twee dagen later krijgt hij ’s avonds een mail van de Amerikaanse Secret Service. ‘Vriendelijk. Ze waren geïnteresseerd in mijn informatie. Ik heb ze alles doorgestuurd.’ Op dinsdag spreken ze elkaar digitaal. Ze bedanken Gevers en zeggen hem dat het beveiligingslek bij hen onbekend was.

Stomverbaasd

De beveiligingsonderzoeker blijft met een aantal vragen zitten. ‘Waarom is het mogelijk voor iemand uit een andere tijdszone om in te loggen op zo’n belangrijk account? Waarom eist Twitter niet een beter wachtwoord? Als ik in zijn account kan komen, kunnen buitenlandse staten dat toch ook? Waarom krijgen de personen die de president dienen te beschermen de melding niet door dat zijn account lek is?’

Ook Matthijs Koot, beveiliginsonderzoeker bij Secura, is stomverbaasd dat het Gevers lukte om zo makkelijk het account van Trump over te nemen. ‘Streng verwoord: wie anno 2020 basale adviezen voor online veiligheid in de wind slaat, vormt een potentieel gevaar voor zichzelf en z’n omgeving.’ Koot vindt dat de risico’s ook anderen treft. ‘We zijn tegenwoordig steeds meer onderling verbonden, waardoor een inbraak op het account van één persoon of computer óók de privacy en veiligheid van anderen kan ondermijnen. Via Trumps account kun je immers ook zien welke privéberichten aan hem zijn gestuurd, of zijn contacten anderen verwijzen naar een link met malware of een vervalste inlogpagina die het vertrouwen omdat het afkomstig lijkt van Trump.’

Dat roept de vraag op in hoeverre Twitter verantwoordelijk is voor extra beveiligingsmaatregelen. Koot: ‘Dwing ofwel af dat mensen aanvullende authenticatie gebruiken of als ze dat echt niet willen, een complex wachtwoord. Want de tijd van inloggen met alleen een zwak wachtwoord is voorbij.’ Twitter wil niet op vragen reageren.

Blijft de vraag waarom Trump zo’n zwak en simpel wachtwoord gebruikte. Gevers heeft een mogelijke verklaring: ‘Trump is boven de zeventig – oudere mensen zetten vaker tweestapsverificatie uit, omdat ze het ingewikkeld vinden. Dat geldt bijvoorbeeld ook voor mijn moeder. Voor een nieuwere generatie is digitale veiligheid vanzelfsprekender.’

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234