Op 5 september verscheen er op de voorpagina van de NRC:
De ict-beheerder let soms niet op. En dan liggen opeens alle paspoortscans op straat
De securityspecialisten van Vooruit ontdekten hoe gemakkelijk vertrouwelijke data, van paspoorten tot medische dossiers, via slecht ingerichte cloudopslag wereldwijd op straat kan belanden.
Lees hier het volledige artikel:
Opeens stromen de beeldschermen van cybersecurity-onderzoeker Earth Grob en zijn collega’s vol met links naar bestanden met vertrouwelijke informatie. Paspoorten, rijbewijzen, medische info. Weer zo’n systeembeheerder die een fout heeft gemaakt: de toegang tot de cloudopslag van zijn bedrijf blijkt wagenwijd open te staan. De buckets – mappen vol bestanden in de cloud – zijn lek. Om toegang tot deze gevoelige data te krijgen, hoef je geen bedreven hacker te zijn. Met gespecialiseerde zoekmachines kun je wereldwijd de buckets van grote en kleine bedrijven doorzoeken. Door een fout van de ict-beheerder zijn de data in die opslag niet als privé-bestanden opgeslagen, zoals het hoort, maar gewoon via internet opvraagbaar. De zoektocht door de clouds van Amazon, Google, Alibaba en Microsoft is onthutsend – en verslavend – voor de cybersecurity-specialisten.
Grob roept zijn collega’s van beveiligingsbedrijf Vooruit in Leiderdorp erbij om de omvang van het net ontdekte lek in te schatten. Een aantal van hen wil vanwege de aard van het werk niet met zijn naam in de krant. Bij wijze van challenge dagen de collega’s elkaar uit om paspoorten uit zoveel mogelijk landen te vinden. Na twee uur hebben ze er honderden van 89 nationaliteiten verzameld en stoppen ze met tellen. Kantoorgenoot Jasper Bouman probeert rijbewijzen uit alle Amerikaanse staten te vinden. Het lukt. Wat de onderzoekers zien, is een van de schaduwkanten van de cloud. Sommige buckets bevatten honderdduizenden bestanden, in meer of mindere mate vatbaar voor misbruik. Een van hen, het klikken moe, schrijft een programmaatje om de paspoorten uit de buckets te filteren. Binnen veertig minuten spuugt het script 750 paspoortscans uit, allemaal publiek toegankelijk. Een collega die Arabisch spreekt, vindt bestanden van een groot wedkantoor in de Verenigde Arabische Emiraten. Daar kunnen grote bedragen worden ingezet op kamelenraces. Grob vindt in de openstaande opslag het paspoort van een adviseur van de president. „Ik had na een middag klikken het gevoel dat ik vier keer ‘Rijswijk’ tegenkwam”, zegt Grob.
Hij verwijst naar de recente cyberaanval op een lab van Clinical Diagnostics in die plaats, waarbij hackers persoonlijke gegevens van honderdduizenden Nederlandse vrouwen buitmaakten. Een bedrijf als dat in Rijswijk kan slachtoffer worden van een hack, een aanval met gijzelsoftware, zeggen de beveiligingsspecialisten. Maar wat ze vandaag dus aantreffen, maakt ze boos. Hier gooien systeembeheerders via slecht beveiligde cloudopslag vertrouwelijke gegevens van klanten of gebruikers gewoon op straat.
Paspoort zoeken
Het begon als een test op hun kantoor. Gewoon, uit nieuwsgierigheid: zoek eens op passport. En het eindigde in een ontnuchterende, eindeloze stroom ingescande identiteitsdocumenten van mensen uit onder meer India, Pakistan, Thailand, de Verenigde Staten, het Verenigd Koninkrijk. Ook uit Nederland. De scans zijn bijvoorbeeld gevonden bij een Thaise onderneming die reisdocumenten regelt. De onderzoekers troffen medische data van voetballers, afkomstig van de Canadese voetbalbond. Zo’n tachtigduizend gevonden pdf-bestanden bevatten het woord ‘passport’. NRC vond 170 pdf’s met het Nederlandse ‘paspoort’ in de bestandsnaam; daar zat veelal een gescand paspoort in. In één cloudopslag, van vastgoedbelegger AX Capital in Dubai, vinden Grob en collega’s twintigduizend paspoorten, van onder anderen oud-profvoetballer Clarence Seedorf. Uitgelekte data als burgerservicenummers, geboortedata en documentnummers zijn te gebruiken voor identiteitsfraude. De beveiligers waarschuwden het bedrijf waar de paspoorten zijn opgeslagen, maar de stukken staan nog steeds online. AX Capital reageert niet op contactverzoeken van NRC. Het management van Seedorf zegt niet te weten dat het paspoort voor iedereen toegankelijk is.
Miljardenbusiness
Cloudopslag is handig voor software-ontwikkelaars. Het is goedkoop en groeit mee met de vraag. Via internet kun je er snel en makkelijk mee werken, van de data worden automatisch back-ups gemaakt. In de cloudbusiness gaan miljarden dollars om. De bedrijfstak profiteert van de sterk groeiende vraag naar data-opslag, en de opmars van kunstmatige intelligentie (AI). Ieder groot techconcern biedt cloudopslag aan. Microsoft heeft Azure Blob Storage, het Chinese Alibaba werkt met Object Storage Service (OSS), Google heeft Cloud Storage. Amazon Web Services, de bekendste, biedt S3 aan: Simple Storage Service. Amazon Web Services boekte vorig jaar een omzet van 108 miljard dollar (93 miljard euro). Microsofts Azure zette zo’n 75 miljard dollar om (64 miljard euro). Maar al die data die online zijn gezet, kunnen ook online uitlekken. Vroeger, zegt cybersecurity- en cloudexpert Bert Hubert, was het gemakkelijk buckets verkeerd in te stellen. Nu staan de standaardinstellingen goed, maar gaan ict-beheerders alsnog de fout in, blijkt uit de ervaringen bij Vooruit. Volgens Hubert is het probleem niet de cloud zelf, maar de manier waarop die wordt gebruikt. „Vroeger had je een eigen server en kon niemand zomaar meekijken. Nu zijn buckets een soort publieke kluisjes met een cijfercombinatie.” Daardoor zijn consumenten afhankelijker geworden van de ontwikkelaars ervan, en of ze de instellingen op orde hebben. „Vroeger had je niet eens de optie om het verkeerd te doen.”
Waarschuwen
Zo lang er cloudopslag bestaat, lekken data uit. En dat gaat dan meestal op grote schaal. Zo kwamen in 2017 gegevens van 200 miljoen stemgerechtigde Amerikanen op straat te liggen, waaronder namen, geboortedatums en telefoonnummers. In 2019 werd de cloudopslag gehackt van de gerenommeerde bank Capital One. Gegevens van zo’n 100 miljoenen klanten uit de Verenigde Staten en Canada waren in te zien. En 1.600 voetbalsters uit de Australische A-league zagen vorig jaar hun contactinformatie, identiteitsdocumenten, financiële en gezondheidsinformatie openbaar worden door instellingsfouten. Cloud-aanbieders zitten intussen niet stil. Zij waarschuwen scherper, proberen gebruikers te helpen als zij vertrouwelijke gegevens aantreffen in een openbare bucket. Hubert: „Bij Amazon is het bijna onmogelijk geworden een open bucket te maken. Ik heb het laatst nog geprobeerd. Als je nu nog open buckets met privégegevens hebt, ben je een enorme incompetente lul.” Amazon benadrukt tegenover NRC dat zijn cloudopslag standaard op privé staat ingesteld, en alleen voor de klant toegankelijk is, via een beveiligde verbinding. „Klanten hebben volledige controle over wie toegang heeft tot hun data. We waarschuwen hen zodra een bucket publiek toegankelijk wordt.”
Onkunde
Een zeer recent datalek raakte de app TEA for Women, via de cloudopslag van Google. TEA spreekt over een gat in het „legacy data storage system”, wat Grob vertaalt als voor „100 procent een bucket”. Dat lek is extra pijnlijk, omdat privacy juist voor TEA een grote rol speelt. Op dit platform kunnen vrouwen ervaringen delen over mannen die ze online troffen. Om een account aan te maken, moesten de vrouwen hun identiteit bevestigen via een selfie. Tienduizenden foto’s bleken vervolgens publiek toegankelijk. Dat data uitlekken, is volgens Grob niet per se kwade wil. „Niemand wil dat.” Hij ziet eerder onkunde. Hij en z’n collega’s zagen tijdens hun tocht door de vele open buckets vaak testomgevingen: zonder beveiliging is het makkelijker aan applicaties te sleutelen. „Ik kan me voorstellen dat je vergeet de beveiliging dan weer aan te zetten.” In een testomgeving van Pixxi, ontwikkelaar van makelaarssoftware te Dubai, staat – tussen 650.000 andere bestanden – een paspoortscan van een Nederlandse man uit Ede. Hij is gemakkelijk te vinden. Via de telefoon legt hij uit dat hij voetbaltrainer in de Golfstaat was, en er heeft geïnvesteerd in vastgoed. Op het uitlekken van zijn persoonsgegevens reageert hij nonchalant. „In Dubai gebeurt al heel veel met irisscans en gezichtsherkenning. Je kunt geen lift instappen of er staat een camera op je neus. In Nederland is dat een dingetje, maar in Dubai gaat het niet veel over privacy.” Maar z’n paspoort ligt wel op straat. Maakt hij zich daar niet druk over? „Ik heb er geen gevoel bij. Ik weet ook niet wat de eventuele consequenties zijn of op wie ik boos zou moeten worden.” Pixxi reageert niet op vragen van NRC. Inmiddels staan de testomgeving en de paspoorten niet meer online. Bedrijven die met hun gebrekkige databeveiliging worden geconfronteerd, reageren wisselend, merken de mannen uit Leiderdorp. De Canadese voetbalbond haalde gelijk de betrokken data offline nadat die was gewaarschuwd. Ook in Nederland en elders in Europa wordt ict-fouten serieus genomen. „Bedrijven reageren vaak snel als we ze inlichten. Soms krijgen we bloemen, binnenkort gaan we bij een beursgenoteerd bedrijf uitleggen wat we vonden. Maar buiten Europa krijgen we geen enkele reactie.” Soms zien ze dat een cloudopslag opeens ‘dichtgezet’ is. „Dan hebben ze het onder het tapijt willen moffelen”, concludeert Grob. „Dat vind ik ook frustrerend. Wees daar eerlijk over: je hebt gewoon een datalek gehad.”
