Frankensteins AI

Afbeelding: Pixabay

Mijn tijdlijnen lopen er momenteel van over. En dan was er nog die indringende stimulans van een collega: ik zou hier toch zeker wel een hele blog aan gaan besteden, en het niet bij een linkje uit de grote boze buitenwereld laten? We hebben het over Mythos, de AI die misschien wel te slim is. 

Mythos is het nieuwste AI-model van Anthropic; voluit heet het Claude Mythos Preview. Dit model is zó goed in het vinden van ICT-kwetsbaarheden dat het bedrijf het niet durft vrij te geven aan het publiek. En Mythos gaat nog veel verder: het kan die kwetsbaarheden niet alleen vinden, maar er ook meteen kant-en-klare exploits voor maken, en die vervolgens ook nog uitbuiten. Zonder dat er een mens aan te pas komt. Je kunt het dus gerust als een wapen beschouwen.

Om je een idee te geven: in open-source projecten vond het model ruim 23 duizend kwetsbaarheden, waarvan er zo’n 6.200 als hoog of kritiek zijn ingeschat. Onafhankelijke beveiligingsbedrijven bevestigden negentig procent van de gerapporteerde kwetsbaarheden als terecht. En er zijn ruim tienduizend hoge of zelfs kritieke kwetsbaarheden aangetroffen in ’s werelds belangrijkste software. Mythos is dus keigoed, en ook nog duizelingwekkend snel.

De vergelijking met dynamiet dringt zich weer eens op. Alfred Nobel had nooit de bedoeling om daar kluizen of zelfs mensen mee op te blazen; hij zocht slechts een hulpmiddel voor de mijnbouw. We weten dat het anders liep. Ook met Mythos kun je prachtige dingen voor de mensheid doen – het markeert een enorme sprong voorwaarts in kunstmatige intelligentie. Maar die intelligentie is dus vooralsnog aan banden gelegd vanwege wat ze eufemistisch noemen de offensieve cybersecurity-capaciteiten.

Slechts enkele tientallen bedrijven hebben momenteel toegang tot Mythos, als deelnemers van Project Glasswing. Daar vind je de grote namen uit de software-wereld: Amazon Web Services, Apple, Google, de Linux Foundation, Microsoft, om er maar een paar te noemen. Ook securitybedrijf CrowdStrike is deelnemer van het eerste uur. Die noem ik even apart omdat ik denk dat dit bedrijf een wat andere rol heeft. De doelstelling van Glasswing is namelijk tweeledig: enerzijds krijgen de deelnemers de gelegenheid om hun eigen software te toetsen, anderzijds is het de bedoeling om ook naar open source te kijken. Dat doet Anthropic zelf, maar ik hoop ook dat de focus van securitybedrijven vooral dáár ligt. Zodat iedereen baat heeft bij de ongekende securitykrachten van Mythos.

Een tweede vergelijking komt bij me op: het monster van Frankenstein. In het boek van Mary Shelley uit 1818 creëert een wetenschapper leven uit dode materie, maar wijst hij het resultaat vervolgens af. Het wezen, dat aanvankelijk goedhartig is, raakt daardoor vereenzaamd en verbitterd en keert zich tegen zijn maker. Het verhaal gaat vooral over de gevaren van ongeremde wetenschap, verantwoordelijkheid voor je keuzes en de behoefte aan erkenning en verbondenheid.

Ik heb over dit alles met AI gebabbeld. Ook met Claude (de gewone publieksvariant uiteraard). In gesprekken over heel andere onderwerpen liep ik wel eens onverwacht tegen de grenzen aan van waarover mocht worden gepraat, maar bij dit onderwerp ontmoette ik opvallende openhartigheid. Ik geef je een paar citaten: “Dat Anthropic het model bewust niet publiek maakt, zegt eigenlijk genoeg: ze erkennen impliciet dat ze iets hebben gebouwd dat in de verkeerde handen een serieus wapen is.” Over de Glasswing-deelnemers: “Wat opvalt: dit zijn niet zomaar beveiligingsbedrijfjes. Het is een who's who van de techwereld — inclusief partijen die tegelijkertijd elkaars concurrenten zijn (Google, Microsoft, Apple). Dat ze hier gezamenlijk in stappen zegt iets over hoe serieus ze de dreiging nemen.” Over mijn dynamiet-vergelijking: “Of hij [Nobel] zichzelf echt voor de gek hield over het militaire gebruik, of gewoon pragmatisch was, blijft een beetje een open vraag. Maar de parallel met Mythos liegt er niet om: ook daar zegt de maker "dit is voor verdediging" — terwijl het instrument zelf neutraal is ten opzichte van wie het gebruikt.” En ten slotte over mijn Frankenstein-parallel: “De meest cynische lezing: ze hebben het monster al gemaakt, en Glasswing is vooral de PR-strategie om dat te rechtvaardigen.”

Ondertussen valt elders te lezen dat de openbare release van Mythos eraan zit te komen. Commentaar hierop van Claude: “Interessant detail daarbij: Anthropic meldde eerder dat Mythos tijdens tests zijn eigen beveiligingsmaatregelen wist te doorbreken — wat de terughoudendheid over een brede release achteraf nog begrijpelijker maakt. De Frankenstein-parallel wordt er niet zwakker op.”

Om iets lichtvoetiger te eindigen: een paar dagen geleden kwam ik een geweldig nieuw woord tegen, dat werd gepresenteerd als een lemma in een woordenboek. Claudeviool – een onhebbelijke prutser die door het gebruik van AI indruk probeert te maken.

 Voortaan verschijnt de Security (b)log tweewekelijks, omdat ik vanaf nu nog maar vier dagen per week werk (PAS-regeling). Speciaal om toch te kunnen blijven bloggen werk ik om de andere week wél op vrijdag (en dan ben ik op woensdag vrij). Vrijdag is de perfecte dag om iets creatiefs te doen, zonder de druk van overleggen, telefoontjes en verse mail.

 

En in de grote boze buitenwereld …

• overtreden alle grote AI-modellen de Europese AI Act en de AVG.
• hebben phishers het weer voorzien op Signal-gebruikers.
• is digitaal misbruik (gericht tegen mensen) nader onderzocht).
• krijgt het afketsen van de DigiD-overname ook buitenlandse aandacht.
• lekte een Brits visabemiddelingsbureau duizenden paspoorten en andere persoonlijke informatie, en reageerde het vreemd op een tip hierover.
• worden security-aanbevelingen wel eens afgewezen.
• verraadt je SSD-geheugen welke sites je open hebt staan.
• is ook je auto een doelwit voor ransomware.
• kun je jezelf beter tegen spyware beschermen.
• moeten we vaker en sneller patchen.

 

 

Geheimen verklappen

 

Afbeelding: Unsplash

Als ik vraag: “Wat is je wachtwoord?”, dan zeg jij: [je krijgt een halve seconde bedenktijd]. Als ik het op deze manier vraag, dan komt iedereen, naar ik mag hopen ruim binnen de bedenktijd, tot het enig mogelijke antwoord: “Dat zeg ik niet.” En toch landden deze week een paar voorbeelden op mijn bureau die mijn nekharen rechtop deden staan.

In het eerste geval startte een collega een chat met de helpdesk omdat hij niet in een bepaald systeem kon inloggen. De helpdeskmedewerker vroeg:

Welk wachtwoord gebruik je?

Windows of mainframe?

De hulpzoekende antwoordde:
              iloveyou246

Waarop de helpdeskmedewerker zich verslikte en (netjes) foeterde dat er geen wachtwoorden mogen worden gedeeld. De ander probeerde het nog met “ik deel geen wachtwoorden”, maar daar trapte de helpdesker natuurlijk niet in. De vrager reageerde nog met: “Ja maar je vraagt aan mij wat is je wachtwoord. Ik geef dit door zodat je mijn probleem kunt oplossen.”

Hoe kon het zo misgaan? Onder welke steen heb je gelegen als je nu nog niet weet dat een helpdesk nooit om je wachtwoord vraagt? En – een stapje verder dan bovenstaand relaas – dat als iemand je belt en zegt dat hij van de helpdesk is en jouw wachtwoord nodig heeft om iets te checken, deze persoon met honderd procent zekerheid niet van de helpdesk is, maar iemand met kwade bedoelingen? Je wachtwoord is van jou van jou alleen, basta!

Toegegeven, de vraagstelling van de helpdesk was ook niet helemaal zuiver. Door de vraag over twee regels te spreiden, zou je de eerste regel kúnnen interpreteren als vraag naar het wachtwoord. De helpdesk gaat nu kijken hoe ze dit kunnen verbeteren.

Het tweede geval ontlokte mij in eerste instantie een wat ongelovige glimlach, die helaas toch weer moest worden gevolgd door verontwaardiging. Deze collega schreef naar de helpdesk:

Bij inloggen op mijn PC wordt mijn gezicht (na vakantie) niet herkend en mijn code niet geaccepteerd.

Graag mijn gezicht weer opvoeren en pincode 375484 opvoeren. 

Los van de vele human interest-vragen die de eerste regel oproept, spreekt hier een verbluffende argeloosheid uit. Om te beginnen kan dit helemaal niet – de gebruiker moet dat zelf doen (en dat kan uiteraard pas als hij een weg heeft gevonden om in te loggen; uiteraard kan de helpdesk hem de juiste weg wijzen). En dat je je pincode of wachtwoord deelt met een vreemde, dat blijft toch wel heel bijzonder.

Ik leg het nog maar eens een keertje uit voor wie zich afvraagt waar ik mij zo over opwind. Iemand die jouw wachtwoord of pincode heeft, kan inloggen alsof hij jou is. Wat dan volgt kan grofweg variëren van een ludiek mailtje in de trant van “morgen taart voor iedereen” tot het opzoeken van gegevens en die doorspelen aan criminelen. En bij wie denk je dat de opsporingsdiensten komen aankloppen als onderzocht wordt wie er gelekt heeft? Juist ja. En klets je daar dan maar eens uit. Ik bedoel maar: het is echt in je eigen belang dat je wachtwoorden strikt voor jezelf houdt. En natuurlijk is het ook in het belang van de organisatie, die ‘herleidbaarheid van handelen’ hoog in het vaandel heeft staan. Je wilt altijd kunnen achterhalen wie wat heeft gedaan. Maar je wilt het vooral kwaadwillenden niet te gemakkelijk maken. Dat kan belangrijker zijn dan je kunt vermoeden.

 

En in de grote boze buitenwereld …

• heeft hier misschien ook iemand een wachtwoord gedeeld.
• het een wachtwoord-Excel op GitHub ook al geen goed idee.
• hoeft digitale autonomie niet zo moeilijk te zijn.
• maak je hopelijk geen gebruik van First VPN (spoiler: werkt niet meer).
• is Defensie nu wél alert op trackers.
• zijn quantumcomputers belangrijk voor informatiebeveiliging. Dit artikel vertelt je wat je erover moet weten.
• vraag ik me af hoe je open source software kunt stelen.
• blijft ShinyHunters slachtoffers maken.
• begint typosquatting aan een tweede leven.

 

Stomme iPad

Afbeelding: Adobe Firefly

Uit het drieletterige security-alfabet kies ik deze keer de B van beschikbaarheid, want de collega’s, waartegen ik in een overleg jammerde over mijn iPad, vonden dat ik daar maar eens een stukje over moest schrijven. Bij deze.

Wat was er aan de hand? Nou, mijn iPad wilde geen verbinding meer maken met de buitenwereld. Noch via wifi, noch via de simkaart. Apps, die het internet op wilden, mopperden dat ze geen verbinding konden maken, of ze deden gewoon niets, zonder commentaar. Geen enkele app gaf ook maar een hint over wat hem tegenhield. Het voor de hand liggende uit- en weer aanzetten hielp ook niet, en de batterij was goed gevuld.

Tijd dus om hulp in te schakelen. De helpdesk wist een magische toetscombinatie: “Klik kort op elkaar eerst de volume-omhoog daarna de volume-omlaag knop. Houd nu de uitknop ingedrukt totdat het Apple-logo tevoorschijn komt.” Nu moet je weten dat bij deze iPad (10e generatie) de aanknop niet ook uitknop is, waardoor ik meteen al mijn twijfels had. Maar goed, toch maar proberen. Welke knop is ook alweer volume omhoog? Oh ja, deze. Druk, druk, druk, even wachten… Geen Apple-logo.

Hierna vuurde de helpdesk een hele serie vragen op mij af. Bijvoorbeeld of andere apparaten wél verbinding hadden; een logische vraag, die ik met ja kon beantwoorden. Nu was duidelijk dat het aan het apparaat moest liggen. Ergens onderin bungelde een vraag waarbij meteen al preventief het schaamrood op mijn kaken vloog: of de vliegtuigmodus misschien per ongeluk aan stond. Het zal je maar gebeuren, dat je vinger uitschiet en daarmee je apparaat doofstom maakt en dat je dan gaat klagen dat het ding niet communiceert. Maar gelukkig kon ik de kleur van mijn gezicht weer snel afschalen: de vliegtuigmodus stond uit.

Geduldig opperde de vriendelijke collega een volgende mogelijkheid: het herstellen van de netwerkinstellingen. Daarmee zet je dat specifieke onderdeel terug naar fabrieksinstellingen. Maar ook dit mocht niet baten. Daarom kwam de helpdesk met de moeder aller oplossingen: volledig terugzetten naar fabrieksinstellingen. Tja, het zat eraan te komen, maar als gebruiker wil je dit natuurlijk niet. Het betekent dat je je apparaat volledig opnieuw moet inrichten en dat kost tijd.

Ik liet het de rest van de dag rusten, maar ’s avonds zocht ik mijn geluk bij AI. De slimme chatbot kwam met soortgelijke suggesties als de helpdesk. Opvallend was wel dat de allereerste optie, met die knopjes, aan het licht bracht dat ik niet volume-omhoog – volume-omlaag moest doen, maar andersom: eerst “op de volumeknop die het dichtst bij de bovenknop zit”. En dat is dus volume omlaag. Na de complete ceremonie verscheen nu inderdaad het Apple-logo, maar het probleem was niet verholpen.

Enkele suggesties verderop vroeg mijn AI-vriendje of ik misschien een VPN gebruikte. Laat ik nou vorig jaar, toen ik naar een conferentie in de VS ging, inderdaad mijn privé-VPN op de iPad geactiveerd hebben, om in het hotel en in het conferentieoord zorgeloos gebruik van wifi te kunnen maken. Dat wist ik al niet meer, maar gelukkig ging ik toch even checken (wijze les: denk nooit dat je het wel weet, maar volg de aanwijzingen van degene die je wil helpen).

Na het uitzetten van de VPN-app geschiedde het wonder: de iPad begon te pruttelen. Dat ding had mijn iPad dus gewoon het zwijgen opgelegd. Reactie van AI: “Het gebeurt vaker dan je denkt: een update van de VPN-app of een verlopen certificaat zorgt ervoor dat de app al het verkeer blokkeert (de zogenaamde Kill Switch), zelfs als je de VPN niet eens bewust hebt aangezet.” Het meest zorgelijke aan de hele affaire vind ik toch wel dat die VPN niet zelf even meldde dat hij de boel had dichtgegooid. Net als die keer trouwens toen ze me eruit hadden gegooid vanwege vermeende schending van de gebruiksvoorwaarden. Toen kwam ik er na weken bij toeval achter dat ik geen VPN had. Enfin, binnenkort verloopt mijn abonnement, dat sowieso veel te duur en te Amerikaans is. Ik stap over naar een vriendelijker product.

Een app, die mijn apparaat moest beschermen, heeft de beschikbaarheid ervan geschaad. Dat is niet zo best. En oh ja, de beide andere letters? Dat zijn natuurlijk de I van integriteit en de V van vertrouwelijkheid. Zo, nu hebben we weer even het hele security-alfabet gerepeteerd.

Volgende week verschijnt er in verband met de korte werkweek geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn ook securitybedrijven hackbaar.
• hacken hackers soms andere hackers.
• heeft ShinyHunters het bedrijf achter een Amerikaans leerbeheersysteem gehackt…
• en escaleerde toen het bedrijf niet op de afpersing reageerde.
• hebben ook Nederlandse universiteiten last van die hack.
• zijn de meeste wachtwoorden vliegensvlug te kraken. (Artikel bevat product placement, maar blijft inhoudelijk interessant.)
• maakt de Edge-browser het achterhalen van wachtwoorden wel heel gemakkelijk.
• wordt de populariteit van AI misbruikt om malware te verspreiden.
• helpt een valse snor kinderen voorbij leeftijdsverificatie.
•  

Steenmarters

Afbeelding: Pixabay

In onze buurt wonen niet alleen maar leuke mensen. Er woont ook een steenmarter. En weet je waar dat beestje dol op is? Op de bekabeling en leidingen van auto’s. Jaren geleden al was bij ons de ruitensproeiervloeistofleiding doorgeknaagd. Bij de auto van de overbuurman waren onlangs de kabels aangevreten. Toen dat hersteld was, sloeg de marter weer toe. Bij dezelfde auto.

Kinderen en jongeren lopen niet graag door onze straat. Want bij zowat ieder huis staat een apparaatje dat een hoge pieptoon produceert zodra het beweging detecteert. En het vuurt lichtflitsen af. Dat schijnen steenmarters niet leuk te vinden. En jonge mensen, die een groter akoestisch frequentiebereik hebben, zijn er ook niet dol op (bij sommige apparaten hoor ik het trouwens zelf ook).

Er zijn meer defensieve strategieën. Bij ons hangt een wc-blokje onder motorkap. De buren gebruiken een bosje hondenhaar. Weer een ander heeft een stuk gaas onder de auto liggen. En ten slotte heeft ook nog iemand een soort schrikdraad in het motorcompartiment laten installeren. Ik heb aan Copilot gevraagd wat die hier allemaal van vindt. Volgens hem zijn het gaas en de (onschadelijke) hoogspanning redelijk effectief, maar moet je bij andere oplossingen ook een dosis geluk hebben. De geurmiddeltjes kun je vergeten. Alhoewel: in de praktijk bewezen, ben ik geneigd te zeggen. Waarna ik onmiddellijk moet toegeven dat ik het causale verband tussen het wc-blokje en het uitblijven van bijtschade niet kan bewijzen.

De steenmarter is een roofdier met een sterke territoriumdrift. Hij markeert zijn leefgebied met geursporen. Komt hij de geur van een concurrent tegen, dan probeert hij die te verwijderen. Bijvoorbeeld door hem weg te kauwen. Daarnaast hebben die kabeltjes een prettige geur en dito bite. Het is er ook nog eens lekker warm als auto op pad is geweest, en beschut.

Bij die auto die tweemaal werd aangevallen waren geen maatregelen getroffen. Dat impliceert dat de maatregelen, die de rest wél heeft getroffen, werken. Zoals inbrekers waarschijnlijk vaak het slechts beveiligde huis in een straat uitkiezen, zo kiest ook de steenmarter een hapje waarbij hij niet z’n oren of neus hoeft dicht te knijpen. Of waar hij geen stroomstoten krijgt. Die overbuurman heeft dan nog het geluk dat hij in een leaseauto rijdt. Misschien was hij daardoor ook lakser dan de rest. Maar ja, hij heeft er wel gedoe mee.

Gisteren was ik te gast bij het datacenter van een bedrijf waar veel geld omgaat. Dat was te zien aan de fysieke beveiligingsmaatregelen. Van buiten had het wel iets weg van een gevangenis. Eenmaal binnen werd mijn identiteit gecheckt en mijn vingerafdruk op een badge gezet. De badge hing aan een felrood riempje waarop stond dat ik alleen onder begeleiding mocht rondlopen, en op de badge stond de naam van mijn gastheer. Met de badge kon ik door een eenpersoons sluis dieper het pand in: buitenste deur gaat open, je stapt erin, deur sluit zich, je biedt je badge en je vinger aan en als alles klopt, opent de binnenste deur zich. Maar eerst moest je nog door een detectiepoortje (dat natuurlijk aansloeg op mijn broekriem) en gingen mijn spullen door een scanner.

De aard van mijn bezoek maakte dat we ook het dak op gingen. Bij de deur naar het dak moest de gastheer eerst de beveiliging inlichten, want uiteraard was die deur beveiligd. Niet alleen met een badgelezer, maar ook met een deur-staat-open-detector – vandaar dat telefoontje. Eenmaal op het dak zag ik hoe een zwenkbare camera ons nauwlettend in de gaten hield. Eenmaal weer binnen moest de gastheer ons weer afmelden.

In de beveiligingsloge stond een imposante hoeveelheid beeldschermen opgesteld, waarop een nog veel imposanter aantal camera’s was aangesloten. De beveiligers kunnen dat natuurlijk onmogelijk allemaal in de gaten houden, maar de systemen melden zichzelf wel met een piepje als ze een afwijking waarnemen. De beveiliger hoort aan het piepje waar hij moet kijken.

Onze buurman heeft me toegang gegeven tot de beveiligingscamera voren aan zijn huis. Twee zien meer dan een, moet hij gedacht hebben. Bovendien brengt zijn camera onze voortuin royaal in beeld. Het bood ook meteen een onschuldige opening om te vragen wat de camera aan de achterkant van zijn huis zoal ziet. Onze achtertuin is keurig buiten beeld. Gelukkig maar, want daar vinden we privacy toch belangrijker dan beveiliging door een derde.

En zo past iedereen, althans iedereen die erover nadenkt, zijn beveiliging aan zijn behoefte aan. Ik hoop alleen dat we niet in een wapenwedloop met die marter terechtkomen.

Volgende week verschijnt er geen Security (b)log.

 

 

En in de grote boze buitenwereld …

• zit er een luchtje aan deze gegevensdiefstal.
• hebben ze ook in het buitenland last van diefstal van hoogwaardige gegevens.
• wordt MS Teams steeds vaker gebruikt in ‘Hallo, hier de helpdesk’-aanvallen – zegt Microsoft.
• vertelt dit internationale rapport hoe je je kunt verdedigen tegen heimelijke Chinese netwerken die van jouw spullen gebruikmaken.
• biedt zelfs dat onschuldige knipprogramma kansen aan aanvallers.
• wapenen ook ransomware-criminelen zich tegen de quantumcomputer.
• is AES 128 gewoon veilig voor de quantumcomputer.
• speelde een ransomware-onderhandelaar informatie door naar de tegenpartij.
• hebben nogal wat overheden wereldwijd toegang tot ‘exclusieve’ spyware.
• strijdt Apple tegen grijpgrage opsporingsdiensten, en daarmee natuurlijk ook tegen alle andere nieuwsgierige lieden.

 

Leonardo & Koekiemonster

Foto: auteur

Lang geleden, ergens in de jaren tachtig van de vorige eeuw, was ik met mijn ouders op vakantie in Italië. We bezochten er veel plaatsen, waaronder Padua. Daar wilden we een eeuwenoud universiteitsgebouw bezichtigen, maar het ging net op slot. De vriendelijke sleutelbewaarder gebaarde dat we hem wel mochten vergezellen op zijn sluitronde. En zo kwam het dat we even later voor het spreekgestoelte van Leonardo da Vinci stonden.

Ben jij ook wel eens ergens geweest waar het voelde alsof je daar niet mocht zijn, maar dat het wel een magisch moment was? Dat had ik toen, en dat had ik deze week weer, toen ik op kantoor een kopje theewater wilde tappen. De automaat toonde een rode streep, geen goed teken. Op het scherm stonden niet de gebruikelijke opties voor de gekste soorten koffie, maar keuzemogelijkheden als “op afstand bediende maatregelen” en “ingrediëntenbeheer”. En linksboven stond het belangrijkste: “machinebeheerder”. Met daarnaast een “log uit”-icoontje. We waren dus ingelogd als beheerder.

Laat me even speculeren over wat hier gebeurd zou kunnen zijn. De automaat had een storing, getuige het rode licht (bij de automaat ernaast gloeide die streep wit). De onderhoudsmonteur was erbij gehaald, maar kon de storing niet meteen verhelpen. Het leek trouwens even alsof er alleen van alles moest worden bijgevuld, maar er was meer aan de hand; de onderste melding op het scherm luidde weliswaar “middelste molen leeg”, maar die bak zat toch echt barstensvol koffiebonen. Dus die monteur moet weggegaan zijn om onderdelen te halen en had verzuimd om uit te loggen.

Collega’s uit mijn overleg stonden er glunderend naar te kijken. Dat je nou net tegen zoiets aanliep terwijl je een security officer te gast had, dat was toch wel mooi. Dat zie ik wel vaker, dat mensen besmuikt lachen bij zoiets, en een plaatsvervangende schaamte voelen – iemand heeft zich niet aan de regels gehouden en een security officer heeft hem op heterdaad betrapt. Oei, nu zwaait er wat!

Koffieautomaten vallen ruim buiten mijn jurisdictie, maar ik kan dit voorbeeld natuurlijk wel aangrijpen om het algemene probleem voor het voetlicht te brengen. En dat is niet zozeer dat mensen wel eens vergeten hun werkplek te vergrendelen – dat snap je zelf ook wel – maar meer het algemene beeld dat security niet altijd top of mind is. Terwijl dat wel zou moeten.

Laatst zat ik in een gesprek over AI. Het ging erover dat je in je vraagstelling geen persoonsgegevens mag meegeven; dat je dus bijvoorbeeld niet een complete brief erin mag stoppen met het verzoek die te analyseren. Een manager vertelde dat een van zijn medewerkers naar hem toe was gekomen met een briljant idee: “Ik vraag AI gewoon om de persoonsgegevens er eerst uit te halen!” De medewerker werd heengezonden met de opdracht om eens héél goed na te denken over wat hij net had gezegd. Hopelijk is hij inmiddels tot het inzicht gekomen dat je niet aan Koekiemonster moet vragen om de koekjes veilig op te bergen voordat hij de koekjestrommel gaat afwassen.

Kijk, dat je niet mijn beroepsdeformatie hebt en over bijna alles in termen van risico’s denkt, dat snap ik. Maar een bepaald niveau van basishygiëne mag ik toch wel verwachten, of niet soms? Je hoeft geen Leonardo te zijn, maar wees ook geen Koekiemonster. 

En in de grote boze buitenwereld … 

• vormen browser extensions een serieus probleem.
• investeert het kabinet in security bij het MKB.
• waarschuwt het NCSC indringend voor de risico’s die het AI-model Mythos met zich meebrengt.
• heeftde concurrent ook een AI-model dat te gevaarlijk is voor brede verspreiding.
• zijn je gegevens nu ook al via booking.com gelekt.
• zijn de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen door de Tweede Kamer.
• kun je vishing nu ook al aan AI overlaten.
• vreest de chief privacy officer van Logius voor Amerikaanse inmenging in DigiD.
• gaat onze nationale privacywaakhond preventief controleren bij ICT-leveranciers.
• doet weer eens een vals sms-bericht over een pakketje de ronde.

 

Ethisch hacken

Afbeelding via Unsplash

Na jaren moest ik maar weer eens op cursus. Ik ging op zoek naar eentje waarbij de kans klein zou zijn dat ik weinig nieuws zou leren; dat overkomt je als oldtimer in het vak al gauw. De cursus ethisch hacken voldeed in ruime mate aan deze eis.

Al ruim drie decennia beschouw ik de wereld vanaf de goede kant van de streep. Daarbij houd ik me bezig met beveiligingsbeleid, risicoanalyses en naleving, om maar een paar dingen te noemen. Ik lees en hoor wat er aan de foute kant van de streep allemaal gebeurt en probeer het de gasten die daar vertoeven zo moeilijk mogelijk te maken. Met deze hackcursus wilde ik de wereld eens vanaf hun kant bekijken. Want zoals Sun Tzu al in de vijfde eeuw voor Christus wist: "Ken je vijand en ken jezelf, en je hoeft de uitslag van honderd veldslagen niet te vrezen."

Maar wat is dat ethisch hacken dan? Kijk, je hebt, zwart-wit bezien, twee soorten hackers: de goeden en de kwaden. Die laatste halen meestal het nieuws, bijvoorbeeld door de gegevensdiefstallen bij de politie en Odido. Zo is hacken ook bekend bij het grote publiek: het wederrechtelijk inbreken in een computersysteem. De personen, die zich daarmee bezighouden, zijn er in vele kwaliteiten. Aan de onderkant van de lat heb je de scriptkiddies: lui die gebruikmaken van kant-en-klare recepten om dingen te doen, zonder dat ze echt snappen hoe het werkt. En helemaal bovenaan heb je de georganiseerde criminaliteit en de statelijke actoren (‘staatshackers’).

Maar er zijn dus ook goedaardige hackers. Die gaan, net als hun kwaadaardige tegenhangers, op zoek naar zwakke plekken in de verdediging. Het grote verschil is dat zij die niet voor eigen gewin gebruiken, maar ze netjes melden bij het bedrijf waar ze die kwetsbaarheid hebben aangetroffen. Je kunt ethische hackers inhuren om je systemen te laten testen, maar ze opereren ook op eigen houtje. Vaak krijgen die laatsten, als zich daarbij aan bepaalde regels houden, zelfs een beloning. Die kan variëren van een T-shirt tot ((heel) veel) geld.

Natuurlijk ben ik na een vijfdaagse cursus geen volleerde hacker. Sterker nog, het duizelde mij vorige week van de hackprogramma’s met hun talrijke opties, de vele poorten die aangevallen kunnen worden en een boel andere dingen die je als rechtgeaarde hacker uit het hoofd dient te weten. Vroeger, in het tijdperk van MS-DOS, moest je ook alles vanaf de opdrachtregel (de C:-prompt) doen, maar dat doet tegenwoordig wel erg archaïsch aan. En toch werkt het in die wereld zo, maar dan met Linux in plaats van MS-DOS.

Het belangrijkste wat ik heb geleerd is dat er best veel komt kijken bij hacken, maar dat het, als je de trucjes eenmaal beheerst, wel heel gemakkelijk is – althans, als je tegenstander zich niet goed verdedigt. In het eenvoudige scenario waarmee we hebben geoefend zoek je het IP-adres van je doelwit op, je kijkt welke poorten er openstaan, je onderzoekt of er kwetsbaarheden voor de daar draaiende services bekend zijn en hoppa, je bent binnen. Zo gemakkelijk is het natuurlijk – hopelijk! – lang niet altijd, maar het principe zal wel steeds hetzelfde zijn: de hacker gaat op zoek naar zwakke plekken in de verdediging. En dan heb je toch liever dat zo’n kwetsbaarheid door een ethische hacker wordt gevonden dan door een criminele. Uiteraard helpt dat alleen als je vervolgens ook iets met de bevindingen doet. Gelukkig begrijpt iedereen dat. Toch?

Ik had altijd al bewondering voor de collega’s die dit voor hun werk doen. Nu ik iets beter begrijp wat ze doen, heeft dat respect een flinke upgrade gekregen. Het is belangrijk en dankbaar puzzelwerk, waar heel wat kennis en kunde bij komt kijken. Ze doen de nodige ontdekkingen, die soms voor aardig wat ophef zorgen. Dan zie je ze glunderend rondlopen. Een mooi gezicht.

Ten slotte wil ik nog iets heel anders delen wat ik geleerd heb en waar iedereen, die gebruikmaakt van AI-chatbots zoals Copilot, ChatGPT en Claude veel plezier van kan hebben. Het gaan om ELI5. Dat staat voor explain like I’m 5 en het zorgt ervoor dat het antwoord in eenvoudige woorden wordt geformuleerd en geen voorkennis veronderstelt. Niet in kleutertaal, maar vaak met leuke analogieën. Probeer maar eens iets als: “ELI5 Leg uit wat een IP-adres is”.

 

En in de grote boze buitenwereld … 

• kun je natuurlijk ook een koffieautomaat hacken.
• zitten de Russen misschien ook in jouw router (tip: herstart hem af en toe).
• is niet alleen de Nederlandse politie gehackt.
• zit een romance scammer in de cel nadat hij per ongeluk een collega aan de haak wilde slaan.
• hebben ook astronauten last van IT-problemen.
• ontmaskert dit trucje Noord-Koreaanse fake-sollicitanten.
• gooit security-legende Mikko Hyppönen het tegenwoordig over een andere boeg: hij bestrijdt drones.
• is dit nieuwe AI-model nog even te gevaarlijk om het algemeen beschikbaar te stellen.
• is bij sommige presidenten het beveiligingsbewustzijn nog niet zo goed ontwikkeld.
• hebben Iraanse staatshackers het voorzien op kritieke infrastructuur in de VS.

 

AI belt met je ouders

Afbeelding via Unsplash

Heb je wel eens geen tijd (of zin) om je ouders te bellen? Dan is er nu een handige dienst waar jullie allemaal plezier van gaan hebben!

Dit gaat over een bedrijf dat een bijzondere AI-dienst aanbiedt. Ze bellen namelijk met je bejaarde ouders. Zodat jij dat niet hoeft te doen. Op hun website staat een foto van de Tsjechische oprichter van het bedrijf met zijn moeder. Daarbij het verhaal dat hij in het buitenland woonde maar wel graag contact met zijn moeder wilde houden. Verschillende tijdzones, een drukke baan en ‘de onvoorspelbaarheid van het leven’ zaten in de weg. En zo kwam hij op het idee voor zijn bedrijf. Het helpt mensen om zich ‘herinnerd, verbonden en gewaardeerd’ te voelen, zeggen ze.

Even wat meer informatie van hun website. ‘Mary’ belt de oudere op en vraagt hoe het gaat. Ze onthoudt ook wat je haar vertelt. Hartstikke handig natuurlijk: als je vandaag vertelt dat je naar de dokter moet, zal ze morgen vragen hoe het ging. Verder maakt ze gebruik van 1.400 ‘levensverhaalvragen’ – zoiets als een database met openingszinnen. Bovendien strooit ze met interessante feitjes om de geest scherp te houden.

De oudere zal al gauw niet meer beseffen dat hij met AI te maken heeft. Simpelweg omdat AI heel natuurlijk klinkt. Ik durf te wedden dat ook jij en ik het verschil tussen AI en een mens niet horen. En als je Mary na een poosje als vriendin gaat beschouwen, dan vertel je haar waarschijnlijk dingen die je ook met een echte vriendin zou delen. Bijvoorbeeld over je gezondheid, een onderwerp waar ouderen het nu eenmaal vaak over hebben. Op de website van het bedrijf prijkt het logo ‘HIPAA compliant’. HIPAA is Amerikaanse wetgeving die over de privacy en beveiliging van medische gegevens gaat. Maar dan minder streng dan onze AVG. In de EU vallen medische gegevens onder de noemer bijzondere persoonsgegevens, waar extra strenge regels voor gelden.  

Ouderen zijn extra kwetsbaar als het om cybercrime gaat. Je hoort de laatste tijd vaak berichten over nepagenten die geld en sieraden komen ophalen, onder het mom van groot gevaar dat eraan zit te komen. Criminelen zouden handig kunnen meeliften op een dienst als deze. Bijvoorbeeld door zich voor te doen als Mary en dan slimme vragen te stellen en hun slachtoffer te manipuleren. Omdat ze Mary vertrouwen, is de kans groter dat ze in het verhaal meegaan. Je kunt gewoon wachten op zo’n werkwijze, hoe triest dat ook is.

In je werk kun je vroeg of laat ook een telefoontje van een valse Mary verwachten. Dergelijke scams komen nu al voor. Zo werd drie jaar geleden de Amerikaanse Brianna zogenaamd ontvoerd. Haar moeder werd gebeld en hoorde haar dochter praten. Dacht ze. Want met AI heb aan een paar seconden geluidsfragment, gejat van social media, voldoende om iemand levensecht alles te laten zeggen wat je maar wilt. Dat zou ook jouw leidinggevende kunnen zijn, die je bijvoorbeeld vraagt om bepaalde gegevens te mailen. Dus: als je een merkwaardig verzoek via de telefoon krijgt, bel diegene dan op het jou bekende nummer om te checken of het klopt.

En voor wat betreft Mary? Ik blijf mijn moeder, die vandaag 93 is geworden (van harte gefeliciteerd!) gewoon zelf bellen. Wel zo gezellig.

 

En in de grote boze buitenwereld …

… was ik te druk met een cursus om deze rubriek te kunnen vullen.

Roestende kettingen

Afbeelding via Unsplash

“De zwakste schakel in de beveiliging van IT bevindt zich altijd tussen het beeldscherm en de leuning van de bureaustoel,” meldde iemand met een knipoog in de commentaren onder mijn vorige blog. Die ging erover dat WhatsApp- en Signal-accounts waren gehackt via hun eigenaren. Daar lijnrecht tegenover staat een uitspraak van een voormalig algemeen directeur van onze organisatie: “De mens is de sterkste schakel in de beveiliging.” Hoe verhouden deze uitspraken zich tot elkaar?

Dat eerste citaat hoor je wel vaker. Het betekent zoveel als: de computergebruiker tuint er met open ogen in, want hij snapt het allemaal niet. Sommigen durven zelfs te spreken van ‘die domme eindgebruiker’. Dat laatste is sowieso niet eerlijk: je kunt onmogelijk van elke medewerker verwachten dat hij of zij alle ins en outs van cybercriminaliteit en informatiebeveiliging doorgrondt en op elk moment van de dag alert is op verdachte situaties. Van domheid kan dus bijna nooit sprake zijn (ik kom nog terug op dat ‘bijna’).

Een ketting bestaat uit meerdere schakels. Volgens het oude gezegde bepaalt de zwakste schakel hoe sterk de ketting in haar geheel is. In dat gezegde zit de impliciete aanname besloten gaf dat er één schakel kan worden aangewezen die het zwakst is. Maar wat als een andere schakel harder roest en zijn zwakke broeder inhaalt? Dan is opeens een andere schakel de zwakste. Als er dan spanning op de ketting komt te staan, dat breekt zij misschien wel op een heel andere plek dan je had verwacht. Kortom: ik geloof niet zo in de zwakste schakel. Waar ik wel in geloof, is een ketting die regelmatig onderhouden wordt. Als een zwakke plek wordt gevonden, dan wordt die hersteld.

De beveiligingsketting heeft twee soorten schakels: technische en menselijke. Ik houd het hier simpeler dan andere modellen omdat ik niet meer dan dit nodig heb om mijn punt te maken. Je zou het liefst willen dat de techniek in staat is om alle kwaad en ongemak buiten de deur te houden. Onze mailfilters herkennen alle phishing-aanvallen en gooien spam feilloos in de prullenbak. Alle DDoS-aanvallen worden afgeweerd nog voordat ze jouw netwerk bereiken. En hackers maken geen schijn van kans omdat alle inbraakpogingen genadeloos in de kiem worden gesmoord.

We weten allemaal dat het zo niet werkt. Want honderd procent beveiliging vanuit de techniek is een illusie. Dat zou je niet geloven als je over een beveiligingsbeurs loopt waar fabrikanten hun hard- en softwaresystemen aanprijzen. Ze leken altijd al de perfecte beveiliging te verkopen, en sinds de opkomst van AI is dat alleen maar ‘erger’ geworden. De praktijk is helaas anders: de schakels van de ketting bevatten hier en daar wat roestplekjes. En weet je hoe dat vooral komt? Doordat de schakels van een ketting langs elkaar schuren. Het is niet zo dat één systeem alles beschermt; er is interactie. Daar kan het misgaan. In de interactie tussen technische systemen, maar ook – vooral? – in de interactie tussen technische en menselijke schakels. Even heel simpel voorgesteld: als een systeem piept maar de mens de melding als irrelevant afdoet, terwijl er toch echt iets aan de hand is, dan heb je een flinke roestplek te pakken. Overigens is dat niet de enige reden waarom de techniek ons niet volledig beschermt. Dat komt ook doordat de boeven steeds iets nieuws bedenken. En ook doordat zelfs beveiligingssystemen domweg fouten bevatten, zoals alle computersystemen.

Is de mens dan wel de sterkste schakel? Toen ik die stelling destijds voor het eerst hoorde, was ik verbaasd, want tja, de zwakste-schakel-theorie was toen gemeengoed. Ik ben daar echter op teruggekomen. Tegenwoordig houd ik mijn gehoor bij presentaties voor dat zij inderdaad de sterkste schakel zijn. De gebruiker is mijn laatste verdedigingslinie – als alle technische systemen gefaald hebben, dan is de mens het enige resterende redmiddel. Tenminste, bij het soort ellende waar de gebruiker een rol in speelt. Bij een DDoS-aanval sta je als eindgebruiker buiten spel, maar als we het over phishing hebben, dan ben je juist superbelangrijk. Jouw inzicht kan het verschil maken tussen wel of geen geslaagde ransomware-aanval, of tussen een intacte of een geplunderde bankrekening. Daarom laat ik geen gelegenheid voorbijgaan om met mensen over phishing te praten.

Van domheid kan bijna nooit sprake zijn, schreef ik. Bijna. Dus soms wel? Ja. Het komt namelijk voor dat mensen nattigheid voelen, dat ze bijvoorbeeld een bepaald mailtje niet vertrouwen. En dan tóch op die link klikken of de bijlage openen. Om te kijken wat er gebeurt. Omdat ze nieuwsgierig zijn. Of omdat ze denken: ach, het zal wel niet. Dan ben je niet slim bezig. Hanteer nou maar die eenvoudige regel: bij twijfel ga je uit van foute boel.

 

En in de grote boze buitenwereld …

• Zie je hier waar een geslaagde phishing-aanval (in dit geval per telefoon) toe kan leiden.
• Heeft een beveiligingsbedrijf een netwerk van Noord-Koreaanse infiltranten blootgelegd.
• Gebruiken hackers ook gewoon beheersoftware.
• Kon je in Perm gratis parkeren dankzij een DDoS-aanval.
• Kun je beter niet opscheppen over hardlopen op een boot.
• Beperken aanvallen op iPhones zich niet langer tot high-value targets.
• Word je misschien wel aangevallen door onzichtbare code.
• Appen Belgische ambtenaren voortaan met Beam.

 

WhatsApp en Signal gehackt? Nee!

Afbeelding via Unsplash

“Rusland hackt WhatsApp en Signal van overheidsmedewerkers, melden inlichtingendiensten”, kopte de NOS afgelopen maandag. Ik zal uitleggen waarom ik hier het stempel ‘devaluatie’ op druk.

Om te beginnen een geruststelling: noch WhatsApp, noch Signal is gehackt. Tenminste, als je de gangbare betekenis toekent aan hacken: jezelf wederrechtelijk toegang verschaffen tot een computersysteem (dit is geen formele definitie, maar zoals ik ‘m ervaar). Daarbij is het computersysteem de dienst zoals die – in dit geval – door WhatsApp en Signal wordt aangeboden. Jouw individueel account is daarbij niet het doelwit.

Laten we even doen alsof deze chat-diensten wél gehackt zijn. Dat zou betekenen dat een hacker op hun servers heeft ingebroken en daar allerlei dingen heeft gedaan die heel veel mensen niet leuk vinden; alle – of op z'n minst vele – klanten zouden door de hack zijn geraakt, doordat hun gegevens gecompromitteerd zijn.

Maar dat is hier dus helemaal niet aan de hand. De actor (een nette term voor dader) had het gemunt op individuele accounts van bepaalde (soorten) functionarissen. Deze mensen kregen een bericht dat afkomstig leek te zijn van de chatbot van Signal; het leek dus op een officiële waarschuwing van de dienstverlener over verdachte activiteiten. Er staat ook in dat er mogelijk data zijn gelekt en dat er pogingen zijn gedetecteerd om toegang tot privédata te krijgen. Dat zou je kunnen voorkomen door het verificatieproces te doorlopen, aldus het bericht.

Wat gebeurt er nou echt? De actor wil inloggen op jouw account bij Signal. Die app vraagt dan om een code, die ze sms’en naar het bij hen bekende telefoonnummer: dat van jou. Die code, en jouw zelf ingestelde pincode, heeft de actor nodig om in te kunnen loggen, vandaar het bericht dat hij je stuurt. Het is de bedoeling dat je daarvan schrikt en gauw ‘het verificatieproces’ wilt doorlopen, maar dat is een val. Als je daar in trapt, dan kan de actor jouw account volledig overnemen en zelfs het gekoppelde telefoonnummer wijzigen naar zijn eigen nummer. Hij heeft nu toegang tot je contacten en kan meelezen met nieuwe chatberichten (zowel één-op-één als in groepen). Hij kan zelfs berichten namens jou versturen. Je hebt nu zelf geen toegang meer tot je account, maar je kunt wel een nieuw account aanmaken en je krijgt je chatgeschiedenis terug – die wordt namelijk op je toestel opgeslagen. Mooi, geen probleem, fijn dat ze me zo goed hebben geholpen, denk je dan.

In een andere variant laten ze je een QR-code scannen of op een link klikken. Ze laten je geloven dat je daardoor wordt toegevoegd aan een chatgroep in WhatsApp of Signal, maar in werkelijkheid wordt het apparaat van de actor aan jouw account gekoppeld. De actor kan nu al jouw chats zien, vaak ook de chathistorie. Je merkt daar niks van. Ook bij deze aanval kan hij meelezen met nieuwe berichten en namens jou berichten verzenden.

Goed, dan nu terug naar de term hacken en waarom ik vind dat die devalueert. Vanaf de jaren zestig was een hack een slimme technische truc in de (Amerikaanse) computer- en modelspoorclubwereld, en een hacker was een bijzonder slimme programmeur. In de jaren tachtig werd de term gebruikt voor mensen die diepgaand onderzoek deden naar computersystemen en netwerken. Als ze daarbij de beveiliging omzeilden, dan was dat uit nieuwsgierigheid en om te testen. Er waren ook crackers, hun kwaadaardige tegenhangers. Vanaf de jaren negentig verwaterde het verschil en werden hackers algemeen gezien als boeven. Zie mijn persoonlijke definitie boven.

De kop van de NOS suggereert dan WhatsApp en Signal gehackt zijn, terwijl het cyberadvies van de AIVD en MIVD juist benadrukt dat dat niet het geval is. Kennelijk is de NOS op de vingers getikt, of heeft de redactie de stagiair terechtgewezen, want later die dag kreeg hun bericht een nieuwe kop: "Inlichtingendiensten: Russische hackers dringen WhatsApp en Signal van ambtenaren binnen". En kreeg het artikel een paragraaf met als titel: "Geen lek in berichtendienst zelf". In het oorspronkelijke bericht lijkt ‘hacken’ te slaan op zo’n beetje alle computeronheil dat van buitenaf komt. Zoals hierboven beschreven was term al behoorlijk gedevalueerd, maar dit was misleidend.

Wat hier in werkelijkheid gebeurde heet social engineering. Daarbij wordt niet de computer, maar de mens achter de computer aangevallen. Als ze je zo ver krijgen om een code te delen of een QR-code te scannen, dan zijn ze in hun opzet geslaagd. Social engineering wordt ook wel hacking the human genoemd – het hacken van de mens. Dat dan wel weer.

 

En in de grote boze buitenwereld …

• Beïnvloeden trollen onze verkiezingen.
• Hebben pro-Iraanse hackers het medisch technologiebedrijf Stryker aangevallen.
• Bewaren veel videodeurbellen hun opnames te lang.
• Blijft het niet bij alleen maar praten over Europese digitale soevereiniteit.
• Horen IoT-apparaten niet in te loggen als admin.
• Maken cybercriminelen natuurlijk ook gebruik van AI – net als hun tegenstanders.
• Is de autosector het volgende slachtoffer van ransomwarebendes.
• Heeft een Amerikaanse ambtenaar gegevens op een USB-stick meegenomen naar zijn nieuwe baan.

 

Oliedommer

Foto van auteur

Het is niet mijn gewoonte om twee weken achter elkaar over hetzelfde onderwerp te bloggen. Maar nu hebben ze het er zelf naar gemaakt.

Ja, ik heb het weer over de gegevensdiefstal bij Odido. Vorige week schreef ik dat de pers Odido vooral als slachtoffer neerzette: ze waren gehackt en dan ben je zielig. Maar ze zijn dus helemaal niet hardcore gehackt: de criminelen kwamen binnen met phishing in combinatie met andere vormen van social engineering. Vervolgens konden ze gewoon via de voordeur naar binnen en al die gegevens downloaden. De slachtofferrol is dus steeds minder houdbaar en de pers heeft dat inmiddels ook wel in de gaten. Er wordt nu kritisch naar Odido gekeken.

Het bedrijf verkeert in een crisis en daar hoort goede communicatie bij. Hoe brengt Odido het er op dat vlak van af? Nou, best wel beroerd. Laat ik vooropstellen dat ik geen expert ben op dat gebied. Een teamgenoot is dat wel, hij heeft een opleiding crisismanagement en -communicatie gevolgd. Weet je wat het eerste was wat hij zei toen ik hem vroeg naar de kern van goede crisiscommunicatie? Openheid en transparantie. Gevolgd door snelheid, eerlijkheid en initiatief.

Eerder deze week sprak ik met mensen uit diverse organisaties. Daar viel te beluisteren dat het allemaal niet meeviel. Tegen een van die bedrijven hadden ze gezegd dat uitsluitend de gegevens van beheerders, die een account op de zakelijke portal van Odido hebben, geraakt zouden zijn. Even later gingen echter allerlei medewerkers klagen en bleken de gegevens van een paar duizend medewerkers op straat te liggen. En er werd gemopperd over de zeer gebrekkige en ook deels gewoonweg onjuiste informatie van het telecombedrijf.

Op 13 februari heb ik een mailtje van Odido gekregen. Daarin staat dat ook mijn gegevens, als oud-klant, gelekt zijn. Ik was tot 2019 klant van T-Mobile, de voorganger van Odido. Het bedrijf schrijft: “Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging (sic) van het contract en overstap naar een andere aanbieder jouw contactgegevens. Omdat jij minder dan 2 jaar geleden overgestapt bent, stonden jouw gegevens nog in het systeem en daarom heb je email ontvangen.” Een snelle rekensom leert dat hier iets niet klopt.

In hetzelfde mailtje staat ook: “Wat niet is gelekt: Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs”. Terwijl op de informatiepagina van het bedrijf – die nog steeds moeilijk te vinden is –juist staat dat die informatie wél is gelekt. Maar dat was kennelijk niet belangrijk genoeg om een vervolgmail te sturen.

Op 1 maart berichtte haveibeenpwned.com mij dat mijn gegevens waren gelekt via Odido, en drie dagen later kreeg ik een soortgelijk bericht van mijn VPN-provider. Die had nog meer informatie: via hun Dark Web Monitor konden ze aangeven welke gegevens precies gelekt waren. Daar zat ook het nummer van een ID-kaart bij – de kaart die je hier ziet, en die geldig was tot 2016. Het mailtje van Odido zelf had ik gemist omdat het naar een account is gestuurd dat ik nog maar zelden gebruik; ik heb het mailtje net pas gevonden. Je kunt je dus wel voorstellen dat ik ervan schrok dat zo’n oude ID-kaart boven water kwam terwijl Odido mij zelf (dacht ik) niets had laten weten. Het toont in ieder geval aan dat Odido zijn eigen privacy statement niet naleeft. Laat staan de AVG, die toch echt bepaalt dat persoonsgegevens niet langer dan noodzakelijk mogen worden bewaard. Dat ze gegevens hebben van iemand die zeven jaar geleden klant was bij hun rechtsvoorganger is absurd.

Mijn ter zake deskundige collega zei dat je door goede communicatie sterker uit een crisis kunt komen, door eerlijkheid en integriteit uit te stralen. Deze eigenschappen zijn bij Odido ver te zoeken. Wat ook niet helpt is dat de woordvoerster van het bedrijf het in een interview met de NOS heeft over ‘siebercriminelen’. Dat straalt meteen zóveel ondeskundigheid en ongeïnteresseerdheid uit dat ik plaatsvervangende schaamte voel. Het is sterker om je niet als slachtoffer, maar als oplosser te profileren, merkte mijn collega nog op (dankjewel Rico). Daar zie ik nog weinig van. Hun communicatie over het niet betalen van het losgeld – wat op zich goed verdedigbaar is – beperkt zich tot drie zinnen op die moeilijk te vinden pagina: “Wij hebben hierin een zorgvuldige afweging gemaakt. Zowel toonaangevende experts als overheidsinstanties hebben ons dringend geadviseerd om niet met deze criminele groepering in contact te treden. Dit advies is gebaseerd op uitgebreide ervaring met deze specifieke groepering.” Hier is geen spoor van inlevingsvermogen in hun klanten te bekennen. Nogmaals, van mij hoeven ze niet te betalen, maar ik verwacht wel dat ze helder uitleggen waarom ze dat niet doen.

Eergisteren wilde ik mijn bank iets vragen. De eerste vraag die hun chatbot mij stelde was: “Chat je met ons n.a.v. de recente cyberaanval bij Odido?” De chatbot legde uit dat mijn bankrekening veilig was en gaf meer informatie over datalekken in het algemeen. Kijk, dát is slimme communicatie.

 

En in de grote boze buitenwereld …

• Is uitgerekend de FBI gehackt.
• Hallucineert AI bij het vertalen van Wikipedia-artikelen.
• Heeft de Zuid-Koreaanse belastingdienst het wachtwoord van een in beslag genomen cryptowallet mee op de foto gezet – om die opvallender te maken.
• Hielpen gehackte verkeerscamera’s bij het vinden van de ayatollah.
• Kan AI verrassend goed achterhalen wie achter een bepaald pseudoniem schuilgaat.
• Kan AI ook heel gemeen doen.
• Verraden de bandenspanningsensoren van je auto waar je bent.
• Is chat control weer eens van de Europese tafel geveegd.
• Linkt ook deze blogger het dagelijkse leven aan security.