‘Dit laat vooral zien hoe moeilijk het is voor gemiddelde gebruikers om hun beveiliging goed op orde te krijgen’, zegt security-journalist Tijs Hofman van Tweakers. De paswoorden werden door de ministers gebruikt voor uiteenlopende online diensten, variërend van Last.FM tot MyFitnesspal tot BitLy. Het uitlekken van de inloggegevens kan een serieus veiligheidsrisico vormen als deze ook gebruikt zijn voor andere, belangrijkere diensten. ‘Het is te hopen dat al die paswoorden niet meer gebruikt worden’, aldus Hofman. Beveiligingsexpert Jeroen van Beek, oprichter van Scattered Secrets, waarschuwt dat gebruikers soms verbazingwekkend vormvast zijn in hun wachtwoordgebruik. Bij securitytesting van grote bedrijven komt hij vaak oude paswoorden tegen. 'Bij een financiële instelling wist ik binnen te komen met paswoorden die tien jaar geleden gelekt waren.'
Aanleiding voor het onderzoek was de publicatie van privéfoto’s die schijnbaar afkomstig zijn van de iPhone van Hunter Biden. Een onbekende hacker postte eerder deze week op het beruchte discussieforum 4chan een datadump die de gehele inhoud van de iPhone XS van de presidentszoon zou bevatten. De hacker zei de telefoon gekraakt te hebben met behulp van een tooltje dat eigenlijk bedoeld is om backups te herstellen. Het enige wat nodig was om hier gebruik van te maken was de paswoord/emailcombinatie die bij de iCloud-account hoorde. (Tweefactorauthenticatie werd met het tooltje omzeild.)
De authenticiteit van de beelden is nog niet bevestigd, maar de zaak geniet wel inmiddels de aandacht van de Secret Service, de Amerikaanse overheidsdienst die belast is met het beschermen van de president en zijn directe familie.
Overheids-emailadres ook in paswoordlek
Hoe het paswoord van Hunter achterhaald werd is onbekend, maar gebruik maken van eerder gelekte paswoorden is een beproefde methode. Hackers putten daarbij uit eerder, door anderen buitgemaakte inloggegevens die online verspreid worden. Ook van Hunter Biden is op deze wijze een mogelijk paswoord terug te vinden. Vaak bevatten dit soort databases ook andere gegevens zoals IP-adressen, namen en email-adressen.
Een aantal grote hacks, waaronder die van Linkedin (2012), Dropbox (2016) en Yahoo (2016) maakt het makkelijk om data aan elkaar te koppelen en vaak ook de authenticiteit ervan te verifiëren. Soms vallen zo ook andere persoonlijke gegevens van ministers te achterhalen, bijvoorbeeld inschrijving op een datingsite, of activiteit van andere personen vanaf eenzelfde IP-adres. In één geval was ook een paswoordcombinatie terug te vinden die gebruik maakte van een overheids-emailadres.
Minister gebruikte scabreuze tekst als wachtwoord
De paswoorden zelf geven ook een inkijkje in de persoonlijke leefwereld van politici: namen van kinderen, echtgenoten en geboorteplaatsen passeren allemaal de revue. Één minister bediende zich van een scabreuze tekst als wachtwoord. Dat is niet ongebruikelijk. In de top-100 van meest populaire paswoorden komen maar liefst vijf scheldwoorden voor.
De kabinetsleden lijken het met hun slechte score niet per se minder goed te doen dan de gemiddelde internetgebruiker. Online zijn miljarden wachtwoorden te vinden. Een recente compilatie van gehackte wachtwoorden bevatte meer inloggegevens dan er mensen op aarde zijn.