Zo raakten duizenden mensen tijdens het downloaden hun paspoort kwijt
Populaire downloadnetwerken als eMule zorgen ervoor dat zeer gevoelige informatie - vaak ongemerkt - van je computer op het internet belandt. Duizenden paspoortscans, belastingaangiften en financiële administraties kunnen zo eenvoudig worden gebruikt worden om fraude mee te plegen. Het lek toont wat er kan gebeuren als techniek de scheidslijn tussen privé en openbaar doet verdwijnen.
‘Bovengenoemde patiënte werd het afgelopen halfjaar gecontroleerd op de polikliniek Kinderneurologie van het UMC Utrecht.’
Zo begint de brief die ik nooit had mogen lezen.
Een kinderneuroloog van het Universitair Medisch Centrum schrijft aan een huisarts over een meisje, geboren in juni 2007, die ik Ellen zal noemen. Zij spreekt over de ‘taal/spraakontwikkelingsstoornis’ van het kind, haar ziektegeschiedenis, welke onderzoeken recent zijn gedaan en welke behandeling de komende maanden wenselijk is. De brief bevat het adres, burgerservicenummer, geboortedatum en patiëntnummer van Ellen.
Ik heb de brief niet gekregen van de ouders van het meisje, of van de artsen, maar van beveiligingsonderzoeker Jeroen van Beek, eigenaar van securitybureau Dexlab. Hij heeft de afgelopen zes jaar duizenden van dit soort documenten gevonden. Scans van paspoorten. Belastingaangiftes. Cryptografische sleutels waar internetverkeer en documenten mee worden beveiligd. Complete financiële administraties. Aangiften van misdrijven bij de politie.
Van Beek heeft de documenten niet ontvreemd, of anderszins illegaal verkregen. Ze stonden gewoon op het net, door een combinatie van brakke technologie en menselijke onoplettendheid.
Lady Gaga luisteren op je computer
De documenten komen van een aantal file sharing networks, die in dit geval gebruikmaken van het zogenoemde Edonky2000-protocol, waar bijvoorbeeld het populaire eMule op werkt. Hiermee kunnen internetters muziek, films, games en andere bestanden uitwisselen. Als je bijvoorbeeld de laatste cd van Lady Gaga wilt downloaden, geef je een zoekopdracht in het programma. Een Edonky2000-server zoekt dan bij welke andere gebruikers de cd op de computer staat. Vervolgens kan jouw computer daar contact mee leggen en de cd downloaden.
Om dit goed te laten verlopen heeft iedere gebruiker van het file sharing network een openbaar mapje op zijn computer met daarin de bestanden die hij wil delen en reeds heeft binnengehaald. Dit mapje is niet vindbaar door Google en andere zoekmachines maar wel beschikbaar voor andere gebruikers van het file sharing network.
Als er door welke reden dan ook privédocumenten in dit mapje terechtkomen liggen deze voor het grijpen voor iedereen die ze kan vinden. Van Beek heeft een programmaatje geschreven dat documenten in alle openbare mapjes in kaart brengt en daarin razendsnel en doorlopend zoekt naar gevoelige bestanden. Van Beek gebruikt daarvoor sleutelwoorden zoals ‘paspoort.jp’, ‘passport.jp’, ‘reisepass.jp’, ‘wachtwoord’, ‘patient’ en ‘aangifte.’
Maar wie zet nu zijn paspoort of belastingaangifte in een openbaar mapje?
Maar wie zet nu zijn paspoort of belastingaangifte in een openbaar mapje? Meestal gaat dat per ongeluk.
Van Beek schetst hoe het misgaat. ‘Iemand heeft zin om de cd van Lady Gaga te luisteren en opent het bestand in de openbare map. Ondertussen krijgt hij een telefoontje van de bank. Die heeft een kopie van zijn paspoort nodig. Hij scant zijn paspoort in en slaat die op. De meeste software onthoudt welke map je het laatste hebt gebruikt en als je niet goed oplet, wordt in dit geval de scan in de openbare muziekmap gezet.’
Een 44-jarige Amsterdammer
Dat mensen zich hier niet van bewust zijn, blijkt wel als ik de eigenaars van een aantal gevonden documenten bel.
De eerste die ik te pakken krijg, is een 44-jarige Amsterdammer. Ik heb een scan van zijn paspoort, met daarop haarscherp zijn handtekening, volledige naam, geboortedatum en burgerservicenummer. Binnen een paar minuten heb ik online uitgevogeld dat hij een zzp’er is en beschik ik over zijn adres en mobiele telefoonnummer. Ook vind ik zijn Facebookpagina (hij houdt van zeilen) en een profiel op een datingsite.
De man schrikt als hij hoort waarvoor ik bel. Hij weet wel dat hij een scan van zijn paspoort op zijn computer bewaart. Die heeft hij eens moeten opsturen naar een bedrijf. Later op de dag, als hij achter zijn computer zit, bellen we weer. Hij maakt geen gebruik van de eDonkey2000 of eMule, maar het is duidelijk dat hij niet heel handig is met computers. Hij weet eigenlijk niet goed waar hij moet zoeken.
En dan dient al snel zich een extra probleem aan: het zou kunnen dat het lek niet op zijn computer zit, maar op de computer van degene aan wie hij eerder zijn paspoortscan heeft gestuurd.
Een dag later bellen we weer. Inmiddels heeft hij het lek achterhaald. De scan staat op een computer van iemand die hij heeft geholpen met een asielaanvraag. ‘Ik doe toch maar even een melding bij de politie,’ vertelt hij erbij. ‘Als iemand met mijn gegevens fraude pleegt, dan is het in ieder geval bekend dat mijn paspoort online stond.’
De inhoud van de aangifte is op zich niet zo interessant, maar in het document staan ook veel persoonsgegevens waar fraudeurs wel raad mee zouden weten
Ik bel ook een 25-jarige vrouw uit Vlaardingen. Van haar heb ik een politie-aangifte gevonden. In december vorig jaar is haar auto, een Ford, beschadigd geraakt terwijl die ’s nachts bij haar huis stond geparkeerd. Ik vind een adres, een geboortedatum en burgerservicenummer, een telefoonnummer en e-mailadres. Alle gegevens van haar auto, inclusief chassisnummer.
Ook zij zegt geen gebruik te maken van eDonkey2000 of eMule. Zij heeft inderdaad een scan van de aangifte, maar die heeft ze van de politie gekregen. Waarschijnlijk is het gedeeld met iemand die het in een openbare map heeft opgeslagen. Aanvankelijk weet ze niet wat ze met deze informatie moet, maar ze besluit er toch even in te duiken. ‘Ik vind het niet prettig dat deze gegevens online staan,’ zegt ze.
Geen onschuldige gegevens
Want het lijken op zich onschuldige gegevens die op straat liggen, maar dat zijn ze geenszins. Met name de combinatie van gegevens maken het voor kwaadwillenden mogelijk om fraude te plegen. In een belastingaangifte van een Apeldoorns gezin staan bijvoorbeeld een burgerservicenummer, geboortedatum en rekeningnummer. Als daar ook nog paspoortinformatie bijzit, kan een fraudeur leningen afsluiten, online spullen kopen, creditcards aanvragen of contracten afsluiten.
Het is zeer aannemelijk dat fraudeurs inderdaad gebruikmaken van dit lek en bijvoorbeeld paspoortscans verzamelen. ‘Op sommige ip-adressen zag ik meerdere paspoorten,’ zegt Van Beek. ‘Vaak zijn dat gezinnen. Maar op een aantal ip-adressen zag ik paspoorten uit veel verschillende landen, zoals Thailand, Frankrijk, Nederland en de Verenigde Staten. Het ip-adres zelf zat in Rusland. De kans is dan groot dat iemand daar ook dit soort informatie verzamelt.’ Er is een levendige internationale zwarte markt waar dit soort gegevens wordt verhandeld.
Dit privacylek zal op lange termijn vanzelf gedicht worden. eDonkey2000 werd een decennium geleden door tientallen miljoenen mensen gebruikt, maar neemt sterk af in populariteit. Nu maken wereldwijd ongeveer een miljoen mensen gebruik van de dienst. Mensen die muziek en films willen downloaden gebruiken steeds vaker torrentsites, zoals The Pirate Bay en Kickass Torrents. Die werken niet met openbare mappen.
Ook andere diensten vertonen lekken
Toch doet dit soort privacylekken zich vaker voor. Het populaire Dropbox, dat door meer dan honderd miljoen mensen wordt gebruikt, is bijvoorbeeld al meerdere malen in opspraak gekomen omdat de beveiliging niet deugde. Afgelopen mei bleek dat de links naar privédocumenten publiek vindbaar waren en dat die documenten dus ook door vreemden konden worden gedownload. Dropbox heeft dit euvel inmiddels verholpen, maar dit soort lekken zullen we nog vaker gaan zien.
Het probleem is dat onze computers haast allemaal zijn aangesloten op clouddiensten, zoals dus Dropbox, maar ook Google Drive en iCloud. Meestal werkt de beveiliging naar behoren, maar één foute klik en je hebt een privémap op Google Drive per ongeluk publiek gemaakt. En verkeerd ingevoerd e-mailadres, en links naar persoonlijke documenten komen bij tientallen collega’s terecht.
En ook al ben jij zorgvuldig met je persoonlijke documenten, een ander is dat misschien niet. Bij de gelekte artsenbrief over Ellen is bijvoorbeeld niet duidelijk waar het lek precies zit. Bij de neuroloog? Bij de huisarts? Op de secretariaten? De brief is ook naar twee andere afdelingen van het ziekenhuis gestuurd. Staat de brief daar ergens in een openbare map?
Toch zullen gebruikers van dit soort file sharing networks hun computer goed moeten nakijken. De noodzaak blijkt wel uit het computerscherm dat Van Beek me laat zien. Nog 1.400 bestanden staan in de wachtrij om gedownload te worden. Dat zijn 1.400 paspoorten, cryptografische sleutels, aangiften en dus 1.400 mogelijkheden tot identiteitsfraude.