Inbreken met vergunning

Terecht dat veel mensen boos zijn op KPN Telecom, waar hackers vrij spel hadden in een databank met klantgegevens. Maar ondertussen gaan de gluurbazen van de overheid ongemerkt, onaantastbaar en oncontroleerbaar hun gang. Door Arjan Dasselaar. 

Het is niet makkelijk iets positiefs te schrijven over KPN Telecom. Deze week bleek dat het bedrijf zeer onzorgvuldig met de gegevens van zijn klanten was omgegaan.

Liefst 16 gigabyte aan klantgegevens zou zijn gekopieerd. KPN voelde zich vrijdagavond gedwongen om twee miljoen e-mailaccounts van klanten offline te halen.

De klantgegevens stonden op een server met verouderde software. Daardoor konden hackers er makkelijk bijkomen. Eén onderdeel van het KPN-systeem had zelfs een bijzonder simpel wachtwoord: g1rlp0w3r, oftewel ‘girlpower’ geschreven in zogeheten ‘leet’.

Traditie van nalatigheid

Het is niet de eerste keer dat KPN zo’n domme fout maakt. In 1985 kraakten Onno Tijdgat en Tom de Regt een computer van PTT Telecom, de voorloper van KPN. Het wachtwoord was in die tijd nog simpeler: 008.

Niet alleen is dat een veel te kort wachtwoord, het lag ook nogal voor de hand. 008 was destijds het nummer dat je draaide om telefooninlichtingen van de PTT te krijgen.

Bij die kraak werden onder meer geheime nummers gevonden, bevestigde XS4ALL-medeoprichter Paul Jongsma me deze week nog eens.

Seriële onzorgvuldigheid

Twee grote kraken in 27 jaar is natuurlijk niet voldoende om van een patroon te kunnen spreken. Maar wel van seriële onzorgvuldigheid. Dergelijke hardleerse bedrijven zijn maar op één manier aan te pakken: via de wet.

Bent u KPN-klant en liggen uw gegevens op straat, dan is het nog knap lastig om KPN Telecom zelf via de civiele rechter tot de orde te roepen. U moet dan ‘schade’ aantonen en dat is juridisch gezien een vak op zich.

Vandaar dat het zou helpen als er een wettelijke meldplicht voor datalekken zou komen. Gelukkig wordt daaraan gewerkt: momenteel loopt een internetconsultatie naar zo’n wetsvoorstel.

Inbrekers met vergunning

Helaas is er veel minder aandacht voor mensen die formeel toestemming hebben gekregen om in andermans gegevens rondsnuffelen. Deze ‘inbrekers met vergunning’ werken voor de politie, en ze zijn niet bepaald terughoudend.

Nu is het onvermijdelijk dat opsporingsdiensten soms de privacy van burgers moeten schenden om zo boeven te kunnen pakken. Maar dan wel onder strenge voorwaarden.

Dus alleen als er een redelijke verdenking bestaat – zulks te toetsen door een onafhankelijke rechter-commissaris – en als de ‘inbrekers’ zich voldoende laten controleren door het parlement.

Onvoldoende controle

Dat laatste ontbreekt er nogal aan. Zo weigert staatssecretaris Fred Teeven (VVD) duidelijkheid te scheppen over de vraag hoe vaak bepaalde sociale netwerken worden afgetapt.

Het is logisch dat Teeven niet wil vertellen wie er precies wordt afgetapt. Behalve de opsporing is daar ook de privacy van een verdachte niet mee gediend. Maar het is nogal bizar dat hij niet eens statistische gegevens wil verstrekken over het digitale spionagegedrag van de politie.

Ontwijkende antwoorden 

De ontwijkende antwoorden die Teeven aan GroenLinks-kamerlid Arjan El Fassed gaf, zijn niet het eerste voorbeeld van geheimzinnigheid. Zo moeten we eindeloos wachten op een lang geleden beloofd rapport dat duidelijk moet maken waarom er in Nederland zoveel meer getapt wordt dan in andere Europese landen.

Daardoor ontstaat de bizarre situatie dat we, dankzij wetgeving zoals die nu voor datalekken in de maak is, straks beter beschermd zijn tegen het bedrijfsleven dan tegen de overheid.

Je zou er haast voorstander van privatisering van worden. 

© NU.nl/Arjan Dasselaar

Laatst gewijzigd: 11-02-2012 07:43