Uit Duits journalistiek onderzoek blijkt dat er kwetsbaarheden zaten in het videobelprogramma Webex van Cisco, waardoor het een tijdlang mogelijk was om info over tienduizenden vergaderingen van Europese ambtenaren in te zien. Intussen is gebleken dat ook in België Webex-meetings inzichtelijk zijn geweest. ‘Dergelijke data kunnen heel waardevol zijn voor spionnen en criminelen’, stelt het Duitse nieuwsmedium Die Zeit, dat de problemen aan het licht bracht.
Deze week bleek onder meer dat de Nederlandse Rijksoverheid de dupe is geworden van de kwetsbaarheden in de Webex-software van Cisco. ‘Het leidde ertoe dat zogeheten metagegevens van Webex-vergaderingen van verschillende bewindspersonen gevonden konden worden’, meldt de Rijksoverheid. Tot die metadata behoren informatie over de host, het ID-nummer en het onderwerp van de meeting, en de tijdstippen van het Webex-overleg.
Daadwerkelijk deelnemen
Journaliste Eva Wolfanger van Die Zeit slaagde er in eigen land zelfs in om een online vergadering daadwerkelijk bij te wonen. Het ging om een meeting van de SPD, de Sociaaldemocratische Partij. Om vergaderingen te vinden hoefde ze bovendien amper moeite te doen: meestal volstond het om een cijfer aan de ‘makkelijk te vinden’ URL van de meeting toe te voegen. Om een wachtwoord werd niet gevraagd. De kans is overigens klein dat de videovergaderingen van de Nederlandse Rijksoverheid net zo toegankelijk zijn geweest, want die worden normaal gesproken standaard afgeschermd met een verplicht wachtwoord.
Uit bijkomend onderzoek van Eye Security is intussen gebleken dat ook in België misbruik gemaakt kon worden van de kwetsbaarheden in Webex. Zo kon volgens de cybersecurityspecialist metadata van onder meer de Federale Overheidsdienst Justitie en de Europese Commissie ingezien worden, maar ook van andere organisaties, zoals ziekenhuizen. ‘Onze onderzoekers hebben gekeken welke types apparaten er op het internet zijn aangesloten, en waar er met hardware van Cisco gewerkt wordt’, vertelt Lodi Hensen, VP Security Operations bij Eye Security aan Data News. ‘In veel gevallen kun je aan de domeinnamen dan zien om welke organisaties het gaat. Als zulke systemen op dezelfde manier geconfigureerd zijn als de apparatuur die kwetsbaar bleek, dan is het aannemelijk dat kwaadwilligen erbij hadden gekund.’
Of er in ons land ook daadwerkelijk misbruik van die situatie is gemaakt, kan Hensen niet zeggen. De gevonden problemen zijn inmiddels verholpen door Cisco. Maar dat dergelijke kwetsbaarheden potentieel erg gevaarlijk kunnen zijn, staat volgens hem buiten kijf. ‘Het was met weinig moeite mogelijk om allerlei gevoelige metadata van de vergaderingen te achterhalen, zoals het onderwerp en de deelnemers. Inlichtingendiensten gaan eigenlijk precies op dezelfde manier te werk, als ze willen weten welke personen aan bepaalde meetings deelnemen, waar de vergaderingen over gaan, en wie de beslissingsmakers zijn. Zulke gegevens mogen nooit zo makkelijk te achterhalen zijn. In dit geval volstond het zelfs om in de URL van de meeting lukraak wat letters of cijfers te veranderen’, aldus Hensen.
Nauwlettend monitoren
In Nederland is het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) intussen een onderzoek gestart. ‘Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier’, reageert de Nederlandse staatssecretaris van BZK, Alexandra van Huffelen. ‘Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier. Bestuurders en ambtenaren moeten er te allen tijde vanuit kunnen gaan dat zij veilig kunnen overleggen.’
Omdat Cisco het probleem intussen heeft aangepakt, zijn er geen grote gevolgen voor het gebruik van Webex door de Nederlandse Rijksoverheid. ‘Maar we blijven dit wel nauwlettend monitoren. De dienst mag niet gebruikt worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken’, aldus nog de staatssecretaris.
In samenwerking met Dutch IT Channel.
Fout opgemerkt of meer nieuws? Meld het hier