Tech

440 terabytes aan Nederlandse privébestanden zijn nu makkelijk doorzoekbaar

Voordat ik aan dit artikel begon wist ik niet hoe de keizersnede van Judith er uitzag. Ik kende de creditcardgegevens van Jan niet, en dat het bedrijf van Thijs failliet was verklaard en hij 10.000 euro aan schulden moest betalen, ik had geen idee. Nu weet ik dat allemaal wel. Zelfs het Facebook-wachtwoord van Sophie heb ik in mijn bezit.

Dankzij Findex, een nieuwe zoekmachine van programmeur Sander Ferdinand, surf ik met een kop koffie in de hand met het gemak van Google door alle onbeschermde online harde schijven van Nederland. En dat zijn er een hoop.

Videos by VICE

In Nederland maken een hoop mensen, bedrijven en families gebruik van harde schijven die zijn verbonden met internet, zogenaamde Network-attached Systems (NAS). Mensen zetten hier er echt van alles op: gerechtelijke bestanden, wachtwoorden, creditcardgegevens, faillissementsverklaringen, scans van paspoorten, rijbewijzen en identiteitskaarten, persoonlijke foto’s, etcetera. De meeste consumenten weten vaak niet dat hun NAS hartstikke onbeveiligd is.

Een doorsnee NAS van twee terabyte kost ongeveer rond de 150 euro en lijkt op een grote harde schijf. Deze sluit je aan op je Wi-Fi-netwerk of kabel en vervolgens kan je er, net als met een offline harde schijf, bestanden zoals foto’s, muziek en tekstdocumenten op opslaan. Het voordeel is dat deze bestanden overal vandaan toegankelijk zijn, omdat de NAS de bestanden als een online server (specifieker: een FTP-server) opslaat.

Het probleem is dat als dit niet met een wachtwoord beveiligd is, iedereen deze schatkist aan informatie kan bezoeken. Iedereen. En met de zoekmachine van Ferdinand is het allemaal nog een stuk makkelijker geworden.

Om aan te tonen dat de deur naar al die bestanden nog steeds hartstikke wijd openstaat, programmeerde Ferdinand een zoekmachine waarmee hij in Nederland achtduizend onbeschermde FTP-servers vond. De werking is eenvoudig: de machine ging simpelweg alle FTP-servers in Nederland langs en checkte waar hij toegang kreeg – alsof je elk nummer in het telefoonboek belt tot je een pizzeria aan de lijn hebt.

Op de achtduizend onbeschermde FTP-servers vond Ferdinand ruim 18 miljoen persoonlijke bestanden van personen, families, bedrijven en overheidsinstanties, bij elkaar zo’n 440 terabyte aan data waar hij (en iedereen) legaal bij kan. Findex indexeert de bestanden en linkt door naar de desbetreffende onbeschermde FTP-server.

Ik sprak met Ferdinand af om eens lekker naar wat persoonlijke documenten te gaan kijken.

Als we achter zijn laptop plaatsnemen, zegt Ferdinand direct: “Dit probleem is niet nieuw en wat ik heb gemaakt is niet moeilijk.” Nadat ik hem heb beloofd hem niet op te hemelen, typt hij het woord ‘wachtwoorden’ in en er verschijnt een enorme lijst met links naar bestanden die ‘wachtwoorden’ heten. We besluiten een .doc-bestandje te openen en zien een lijst met wachtwoorden voor de inlogpagina van een instantie uit Zeeland.

“Ik doe dit eigenlijk al vier jaar uit interesse,” zegt Ferdinand als ik hem vraag naar waarom hij Findex heeft gemaakt. “Als ik niks te doen had, zocht ik soms wat onbeveiligde FTP-servers en ging ik kijken hoe makkelijk ik binnenkwam en wat ik voor bestanden ik allemaal kon vinden. Uiteindelijk besloot ik er wat over te schrijven en Findex te maken, aangezien naar mijn mening er gewoon echt te veel NAS-servers nog openstaan met veel te gevoelige informatie erop. Ik wil mensen waarschuwen.” Hij houdt zijn handen voor zijn ogen als ik klik op een link naar een foto van een keizersnede.

“Ik heb een keer iemand gebeld op zijn mobiel toen ik op zijn server zat,” vertelt Ferdinand terwijl we kijken naar het jaarverslag van een springvereniging. “Echt alles stond open. Creditcardgegevens, inloggegevens voor een site waar hij zijn hypotheek regelt, ga zo maar door. Dus ik bel hem. Zijn nummer had ik natuurlijk vrij snel met alle gegevens die ik zag staan. Hij was aan het rijden en ik leg uit dat zijn hele server openstaat. Hij reageerde eerst van ‘Ja, dat weet ik, dat heb ik opengezet, dat is handig. Ik heb bovendien niks te verbergen. Toen noemde ik zijn hypotheekwaarde op. Hij was even stil en zei ‘Over tien minuten bel ik je terug oké?’ en hing op. Tien minuten later belde hij terug om mij te bedanken. Hij had er een wachtwoord op gezet en bleek geen idee te hebben dat ook al die dingen open stonden. Dat ik daarbij kon. Mensen weten het gewoon niet.”

Ik kan je garanderen dat dit over twee maanden anoniem door iemand anders wordt gebruikt. Ik hoop dat voor die tijd iedereen er een wachtwoord op heeft staan.

“Providers hebben toezicht over wat er in hun netwerk gebeurt,” zegt Ferdinand als ik vraag hoe we dit probleem kunnen oplossen. “Ze kunnen dit heel makkelijk tegengaan. Ik vraag me af waarom ze hun klanten niet tegemoet komen. Wat ik doe is niet eens illegaal, omdat de server gewoon openstaat.” Als we op kinderporno zoeken, vinden we gelukkig alleen een radiofragment van 3FM. “Porno staat meestal als jpeg-bestand met een willekeurige bestandsnaam in een willekeurig mapje. Mensen zijn een stuk slimmer als het op porno aankomt,” merkt Sander op.

Om overduidelijke ethische redenen is de volledige zoekmachine van Ferdinand op het moment niet publiek toegankelijk en kan je (helaas) niet zelf door andermans persoonlijke bestanden surfen. Wel kun je op films en allerlei andere bestanden zoeken.

“Ik zou het anders enorm makkelijk maken voor mensen om misbruik te maken van al deze gegevens.” Ferdinands project dient enkel om dit probleem aan te kaarten.

Maar aangezien de code op Github staat en de open source-versie bijna af is, zal dit niet lang zo meer blijven. “Mijn software is openbaar, dus het is zeer aannemelijk dat het over twee maanden anoniem door iemand anders wordt gebruikt. Ik hoop dat voor die tijd iedereen er een wachtwoord op heeft staan.” Het feit dat zijn artikel al 200.000 keer gelezen is op Hacker News en zelfs is geretweet door enorm bekende hackers, is het allang niet meer de vraag of, maar wanneer zijn software de wereld over gaat.

Dus heb je als huishouden, bedrijf of instantie een NAS of een FTP-server? Door op deze link te klikken kom je bij Findex en krijg je een waarschuwing als je shit openstaat. Zet er een wachtwoord op. En providers en verkopers: vertel jullie consumenten dat dit een probleem is. Onwetende mensen kunnen hierdoor ernstige schade oplopen, zeker als Ferdinands software binnenkort online verschijnt.

Als iedereen nu gewoon zijn server beveiligt, hoeft niemand bang te zijn voor identiteitsfraude, creditcardfraude of dat een paar verveelde jongens met een kop koffie naar je keizersnede aan het gluren zijn.

We gaan verhuizen naar een andere facebookpagina. Like Motherboard Nederland om niks (NIKS) te missen!