Privébestanden van duizenden Nederlanders onbewust openbaar

Kopieën van paspoorten, documenten met wachtwoorden en zelfs dagvaardingen. Privédocumenten van duizenden burgers en bedrijven zijn gewoonweg online op te zoeken. Zo'n 21.000 ftp-servers zijn zo lek als een mandje, zo concludeerde het KRO-programma Reporter Radio gisteravond.

null Beeld Screenshot zoekresultaten
Beeld Screenshot zoekresultaten

En dat is niet nieuw, volgens beveiligingsconsultant André Koot. 'Ftp is eigenlijk een vergeten dienst, dat al zeker 30 jaar oud is. Het wordt steeds minder gebruikt, maar veel mensen vergeten dat nog ergens zo'n server openstaat.'

Ftp (File Transfer Protocol) is een systeem waarmee bedrijven en particulieren gegevens opslaan en uitwisselen. Veel van deze netwerken zijn niet beveiligd met een wachtwoord. Dat kan voor particulieren betekenen dat hun gegevens, al dan niet opgeslagen bij bedrijven, openbaar op internet terug te vinden zijn. Dat bekent dat je zelf misschien je gegevens wel beschermd hebt, maar dat bedrijven het (onbewust) wel openbaar op internet hebben staan.

Spreekbeurt
Een korte zoektocht met een speciale zoekmachine levert ons tientallen paspoorten, enkele documenten met wachtwoorden en - iets minder schadelijk - zelfs een spreekbeurt van ene Jelle over voetbal op. Allemaal documenten die de gebruikers openbaar op een ftp-server hebben opgeslagen.

Met dat soort gegevens zouden criminelen bijvoorbeeld identiteitsfraude kunnen plegen of zelfs kunnen chanteren met de gevonden informatie. Op sommige servers is het zelfs mogelijk eigen bestanden te plaatsen. Kwaadwillenden kunnen daarmee zonder dat je het zelf weet kinderporno tussen jouw bestanden plaatsen.

Directeur opstappen
Pas echt schrijnend wordt het met grote hoeveelheden gegevens van bedrijven. 'Bedrijven vertrouwen dat hun IT-afdeling met dit soort zaken rekening houdt, maar dat is lang niet altijd zo', denkt Koot. Volgens de beveiligingsconsultant moet de leiding van een bedrijf altijd aangeven als zij hun gegevens op dit soort servers beveiligd willen hebben. 'Banken geven hun IT-afdelingen bijvoorbeeld wel de opdracht de veiligheid van hun gegevens te waarborgen.'

Hij is dan ook kritisch op bedrijven die hier niet over nadenken. 'Als een bedrijf hun ftp-server heeft openstaan, moet de directeur opstappen', is Koot van mening.

Verantwoordelijkheid
De verantwoordelijkheid voor bedrijven ligt dus bij de bedrijfsdirectie, maar hoe zit dat bij particulieren? De privégegevens van burgers zijn voornamelijk afkomstig van externe hardeschijven (NAS) die verbonden zijn met internet. Standaard staat hier vaak geen wachtwoord op ingesteld. Daardoor delen mensen onbewust zomaar bestanden op internet. Een probleem dat al langer speelt. 'Vroeger hoefde je op Windows ook niet per se een wachtwoord in te stellen, maar dat is tegenwoordig gelukkig wel verplicht', aldus Koot.

Veel consumenten handelen echter zonder dat ze er werkelijk verstand van hebben. Daarom zou er ook een stukje verantwoordelijkheid bij de producent van dit soort harde schijven of routers moeten liggen. Koot: 'Een aantal neemt wel verantwoordelijkheid en laat mensen verplicht een wachtwoord instellen, maar dat zijn er nog veel te weinig.'

Naast geen wachtwoord instellen, zijn er ook veel mensen en bedrijven die het standaard wachtwoord - veelal 'admin' - ingesteld laten staan. 'Het gaat om bewustwording van de veiligheid van consumenten. Je moet weten wat je doet als je ftp aanzet', concludeert Koot. 'Moderne diensten als Dropbox verplichten het gebruik van wachtwoorden. Dat zou overal moeten gebeuren.'

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden