Cybercriminelen wisten vorige week toegang te krijgen tot een aantal belangrijke Twitteraccounts, zoals die van Barack Obama, Elon Musk, Bill Gates en in Nederland die van Geert Wilders. Moet je je als 'gewone' Twittergebruiker zorgen maken over je gegevens? Opgelicht?! spreekt met cybersecurity-expert Sanne Maasakkers van Fox-IT.
Via een portaal hadden Twittermedewerkers toegang tot de grote accounts. Zij konden via dat programma wachtwoorden wijzigen en de tweestapsverificatie (er wordt dan een code naar je telefoon gestuurd zodat je kunt inloggen) uitschakelen. Cybercriminelen wisten dat portaal in te komen en zo de accounts over te nemen. Twitter heeft volgens Maasakkers inmiddels laten weten dat er van acht accounts data is gedownload, van 45 profielen het wachtwoord is gereset en dat er 130 accounts zijn bekeken.
Moet je je wachtwoord aanpassen?
Maasakkers: 'De eigenaren van deze accounts zijn al gecontacteerd. Je kunt er redelijk vanuit gaan dat wanneer je geen bericht hebt gekregen, er niets met je wachtwoord is gebeurd, maar ik snap heel goed dat je toch voor de zekerheid je wachtwoord wijzigt en tweefactorauthenticatie inschakelt'.
En, als je dan toch je wachtwoord aanpast, heeft Maasakkers nog een belangrijk advies: gebruik voor iedere online dienst een ander, uniek wachtwoord. 'Als mijn Twitterwachtwoord is buitgemaakt, dan kunnen ze daarmee in ieder geval niet in mijn andere accounts'.
Het kan zijn dat cybercriminelen ook weer op deze hack inspelen door bijvoorbeeld phishingberichten te versturen. Fox-IT heeft dergelijke berichten nog niet voorbij zien komen, maar volgens Maasakkers is het verstandig waakzaam te zijn: 'Je ziet wel vaker na zulke incidenten dat dit soort aanvallen worden opgezet'.
Is tweestapsverificatie niks meer waard?
De cybercriminelen wisten de tweestapsverificatie te omzeilen. Betekent dat dan, dat die extra beveiligingslaag niks meer waard is? 'Ik denk dat het nog steeds een van de beste opties is om je account te beveiligen', zegt Maasakkers. 'En als een bedrijf dan een portaal heeft waarmee je die functie kunt uitschakelen, dan zou er bijvoorbeeld een vierogenprincipe moeten zijn: dat er altijd iemand meekijkt als er iets wordt aangepast'.
Een andere maatregel zou volgens Maasakkers kunnen zijn, dat iemand 24 uur niet kan reageren nadat het wachtwoord is aangepast. 'Dat zou ook een hele goede manier zijn om de impact van zo'n hack te verkleinen. Een fraudeur wil namelijk graag zo snel mogelijk actie. Bovendien kun je in 24 uur heel wat detecteren'.
In ieder geval hoopt Maasakkers dat Twitter lessen trekt uit wat er gebeurd is, en dat het platform transparant is over de resultaten van het onderzoek naar deze hack. Maasakkers: 'Dan kunnen andere bedrijven, die ook gebruik maken van zulke portalen, hiervan leren'.