Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de nodige discussie over ethisch hacken, dingen mogen veranderen en hoe publiek je mag gaan met zo’n ontdekking.

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid. Twitter zelf zegt geen rare inlog te hebben gezien, en bij een screenshot van Gevers dat het interne profiel van Trump toont, ontbreekt het Amerikaanse vlaggetje in de biografie-regel. (Mogelijk kwam dat door de gebruikte browser/OS combinatie.)

Maar dat even terzijde. Stel inderdaad, je weet het wachtwoord van zo’n prominent account te raden en je ziet dat ook alle beweerdelijke extra maatregelen (zoals 2FA) er niet zijn. Wat mag je dan doen? Nou ja, het slachtoffer en/of de dienstverlener informeren natuurlijk, dat past volledig binnen de heersende spelregels voor ethische hackers.

Ermee naar buiten treden is een ander verhaal. Natuurlijk, bij responsible disclosure hoort ook een melding op zeker moment zodat het publiek ook weet wat er mis is. Maar dat is omdat het publiek getroffen kan zijn door het lek dat jij als ethisch hacker had ontdekt. Of omdat ze moeten weten dat die dienstverlener zat te prutsen. Bij een probleem als dit zie ik geen reden om met (responsible) disclosure te dreigen.

Wel is het natuurlijk zo dat het zeer groot nieuws is dat dit oppermachtige Twitteraccount zó slecht beveiligd is. Dan kun je prima naar de pers stappen en melden dat je dit nieuws ontdekt hebt. Ook als je het zelf hebt gemaakt, dat nieuws. Een journalistieke hack is niet hetzelfde als een ethische hack.

Arnoud

7 reacties

  1. Bij een (ethische) hack denk ik meer aan het verkennen van het beveiligingssysteem, en op zoek gaan naar half openstaande achterdeurtjes waarmee je de werking en effectiviteit van de beveiliging kan omzeilen.

    Gewoon brute force passwords uitproberen (ook handmatig een aantal voor de hand liggende opties) is dat niet. Hoogstens een journalistieke gimmick.

    1. Als Twitter geen beveiliging heeft tegen brute force wachtwoordraden zou hebben dan hebben die een probleem. Hier is geen sprake van brute forcen maar een paar of paar dozijn wachtwoorden met de hand proberen.

      Dus van een in de wereld belangrijk iemand die vaak ‘beleid’ via Twitter publiceert, waar geen 2FA aan staat en die nu voor de tweede keer een bizar simpel wachtwoord heeft. Dit is veel meer dan een journalistiek gimmick vind ik. Als het voor de tweede keer weer (!) zo makkelijk is te raden dan was de kant levensgroot dat een of andere grappenmaker veel vervelendere zaken had kunnen uithalen.. Ik noem maar wat, spotprenten van Erdogan plaatsen of zo.

      Publiekelijke aandacht geven maakt de wereld iets veiliger, denk ik dan.. En dat maakt het vanuit mijn optiek alsnog een ethische hack.

  2. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid.

    Ik ben nog wel benieuwd hoe dit juridisch zit. Stel het is inderdaad zo dat dit hele verhaal een broodje aap is (wellicht ten overvloede, het gaat me er niet om of het wel of niet echt is, maar wat de consequenties kunnen zijn als het niet echt zou zijn) zou dit dan vallen onder laster?

    1. Je bedoelt tegen Trump? Dus dat je opzettelijk liegt dat iemands account een superzwak wachtwoord had, met de bedoeling de reputatie van Trump op securitygebied omlaag te halen. In theorie zou je dan die kant op moeten. Maar gezien Trump een zeer publiek figuur is, hij eerder wél een superzwak wachtwoord had, hij recent zei dat je hem niet kon hacken zonder een IQ van 197 enzovoorts denk ik dat de vrijheid van meningsuiting wel wint van de smaadwetgeving.

  3. Wat jammer dat dat hij dan niet gelijk iets op dat account heeft getwitterd als “Vote Biden and greetz to my twitter security advisor Viktor G.!” — mag misschien niet, maar dan was er geen welles-nietes discussie geweest.

    1. Die handeling wordt onder ethisch hackers gezien als ongepast: je zet het slachtoffer zo te kakken voor het gehele publiek. Je behoort eerst in privé te melden wat het probleem is, en het pas aan de grote klok te hangen als het én grote impact heeft én niet gewoon opgelost wordt binnen een redelijke tijd.

      1. Het hacken is een nieuwswaardig feit, maar hoe bewijs je het. Als je het eerst prive meldt wordt het en opgelost, en onder tafel geveegd, en zonder keihard bewijs dat door genoeg mensen is gezien wordt het glashard ontkent. (Maar idd, noem jezelf geen ethisch hacker als je dit doet.)

        Dan deze, veel minder ethische hackers waren er wel in geslaagd Trump’s campagnesite te grazen te nemen: https://techcrunch.com/2020/10/27/trumps-campaign-website-hacked-by-cryptocurrency-scammers

        Ook ‘Maga2020’ als wachtwoord?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.