Lekken
Beveiligingslek Internetaanbieder World Online
Door onze redacteur MARIE-JOSÉ KLAVER
ROTTERDAM, 6 JUNI. Als gevolg van een beveiligingslek bij
Internet-aanbieder World Online in Vianen kunnen derden gemakkelijk
toegang krijgen tot persoonlijke gegevens van abonnees van deze
provider. Een Internet-gebruiker ontdekte dat van ruim 184.000 klanten
van World Online de gebruikersnaam en het wachtwoord zijn te
achterhalen. Dit heeft tot gevolg dat alle elektronische post en
persoonlijke documenten van deze klanten van de provider toegankelijk
zijn voor onbevoegden.
Bovendien kunnen derden gegevens van World Online-gebruikers wijzigen of
vernietigen. Ook kunnen onbevoegden nieuwe gebruikersnamen voor Internet
aanmaken die zij kunnen gebruiken zonder daarvoor te betalen. Voor al
deze ingrepen is enige ervaring met het computer-besturingssysteem Unix
vereist, maar het gaat hier niet om bijzondere expertise.
World Online is volgens eigen zeggen met 158.000 particuliere en 6.000
zakelijke abonnees de grootste Internet-aanbieder op de Nederlandse markt. In totaal maken 260.000 Internet-gebruikers
gebruik van de diensten van World Online. World Online wil geen
commentaar geven op de bevindingen van de Internet-gebruiker. ,,Ons
systeem is veilig'', aldus woordvoerder R. van der Linden.
Volgens R. van Hoboken van Consul Risk Management in Delft, een bedrijf
dat gespecialiseerd is in beveiliging van computernetwerken, is het
systeem van World Online ,,hartstikke lek''.
Hij wijt de beveiligingsproblemen van World Online aan slordigheid en
onbekwaamheid. ,,Het gaat om oude fouten waar iedere programmeur wel
eens tegenaan is gelopen en die in alle handboeken staan. Zulke fouten
zouden niet meer mogen voorkomen.'' World Online heeft volgens Van
Hoboken vijf fouten ,,van de eerste orde'' gemaakt in de programma's op
het computersysteem waarin de namen en wachtwoorden van klanten worden
bewaard. De 'password file', het document waarin de wachtwoorden staan,
mag volgens de beveiligingsdeskundige niet zomaar kunnen worden
opgevraagd. Verder wijst hij er op dat een bepaald
programma zo slecht in elkaar zit dat het zonder controle elk commando
uitvoert dat wordt opgegeven. Als gevolg daarvan kunnen derden allerlei
privacygevoelige gegevens opvragen.
R. Gonggrijp van het Internet-beveiligingsbedrijf ITSX in Amsterdam
noemt de beveiliging van World Online ,,volstrekt waardeloos''. De
beveiligingsfouten die World Online op zijn Internet-systeem maakt, zijn
niet meer van deze tijd, zegt Gonggrijp. ,,World Online heeft op het
gebied van beveiliging een groot probleem. Ik zou alle gebruikers van
World Online aanraden om het systeem niet voor vertrouwelijke zaken te
gebruiken.''
Volgens Van Hoboken kan het beveiligingslek bij World Online tot gevolg
hebben dat computerkrakers misleidende informatie op de website van
World Online plaatsen. Adressen van adverteerders zouden bijvoorbeeld
veranderd kunnen worden. De Internet-gebruiker die het lek ontdekte,
waarschuwt dat hackers ook misbruik kunnen maken van financile diensten
op kosten van klanten van World Online.
Het lek werd ontdekt door een Internet-gebruiker die
anoniem wil blijven, omdat hij bang is dat World Online aangifte tegen
hem doet wegens het overtreden van de Wet computercriminaliteit. Volgens
Van Hoboken is het niet zeker of het testen van de beveiliging van World
Online in strijd is met de Wet computercriminaliteit. In de wet staat
dat er sprake moet zijn van het doorbreken van 'enige beveiliging'. Wie
via een rechtmatig verkregen Internet-account op het computernetwerk
komt en vervolgens ontdekt dat het systeem niet is beveiligd, maakt zich
waarschijnlijk niet schuldig aan 'computervredebreuk'. Volgens het
Centraal Bureau voor de Statistiek is sinds 1993, toen de Wet
computercriminaliteit werd ingevoerd, nog niemand veroordeeld voor
computervredebreuk. Eind vorig jaar berichtten De Telegraaf en
het Internet-tijdschrift Planet Multimedia van KPN Telecom dat
het netwerk van World Online onveilig was, omdat de Internet-aanbieder
eenvoudig te raden wachtwoorden aan abonnees toewees.