Slordig
De vermeende kraak in het redactiesysteem van het persbureau Geassocieerde Pers Diensten (GPD) is in Nederland uitgegroeid tot een regeringszaak. De persoonlijke woordvoerders van een Nederlandse minister en een staatssecretaris bekeken een jaar lang elke dag nog niet gepubliceerde verhalen en interne agenda’s op de servers van de GPD.
De vermeende kraak in het redactiesysteem van het persbureau Geassocieerde Pers Diensten (GPD) is in Nederland uitgegroeid tot een regeringszaak. De persoonlijke woordvoerders van een Nederlandse minister en een staatssecretaris bekeken een jaar lang elke dag nog niet gepubliceerde verhalen en interne agenda’s op de servers van de GPD.
Ze probeerden sommige verhalen nog voor publicatie bij te sturen. Daardoor kwam de vermeende kraak uiteindelijk aan het licht. De betrokkenen werkten eerder bij de GPD en gebruikten een gebruikersnaam en wachtwoord van iemand die nog altijd bij het persbureau in dienst was. Dit gebeurde zonder medeweten van de betrokken GPD-redacteur, die ondertussen niettemin zelf ontslag heeft genomen. De woordvoerders zijn ook op nonactief gesteld.
Meer dan van een kraak is hier sprake van typische slordigheid bij het beheer van inloggegevens, misschien gekruid met een snuifje ‘social engineering’. Het netwerk van de GPD is ingewikkeld, want het persbureau werkt voor zeventien regionale kranten. De eigen medewerkers hebben persoonlijke wachtwoorden, maar er zijn ook algemene wachtwoorden waarmee medewerkers van de regionale kranten toegang krijgen tot het redactiesysteem. Dit algemene wachtwoord wordt maandelijks gewijzigd. Voor het overige lijkt er bij de GPD niet echt sprake van serieus wachtwoordenbeheer. Anders uitgedrukt kunnen we stellen dat de GPD een achterdeur van het slot liet en dat een voorbijganger zich op die manier toegang heeft verschaft. Natuurlijk is er dan nog altijd sprake van inbraak en misschien zelfs van strafrechtelijke feiten. Het is niet omdat je je deur openlaat dat iedereen zomaar ongevraagd je huis binnen mag. Niettemin maak je het inbrekers op die manier wel erg gemakkelijk.
De GPD-affaire is het computerequivalent van de deur van het Antwerpse museum Plantin Moretus, die begin november anderhalve dag open bleef staan omdat een ambtenaar vergeten was ze af te sluiten. Gelukkig werd er niets gestolen van het onbetaalbare erfgoed dat in dit museum wordt bewaard. Nietsvermoedende Amerikaanse toeristen deden het binnenalarm afgaan, waarna de Antwerpse politie alsnog het museum kon afsluiten. Dit soort verregaande laksheid leidt in België uiteraard niet tot vragen in het parlement, maar dit geheel terzijde. Terug naar Nederland, waar de kranten en tijdschriften na de GPD-affaire vol staan met tips voor een beter wachtwoordenbeheer. Sterke wachtwoorden die moeilijk te kraken zijn, zijn per definitie gebruiksonvriendelijk. De neiging is dan groot om de gegevens ergens te noteren: in een agenda, op een papiertje of zelfs op een post-it die netjes aan het scherm van de werkpost plakt. Een professioneel wachtwoordenbeheer, bijvoorbeeld middels een authenticatiesysteem met tokens, is een must voor organisaties die een stevig en betrouwbaar slot op hun gegevens wensen. Het kost wat, maar het kan ook veel kosten besparen.
Opinie door Jozef Schildermans
Fout opgemerkt of meer nieuws? Meld het hier