Honderden wachtwoorden Groningse zorginstellingen gehackt

Bij het UMCG zijn 240 accounts gehackt
Bij het UMCG zijn 240 accounts gehackt © Dennis Venema
Honderden wachtwoorden van accounts van onder meer het UMCG, het Martini Ziekenhuis, ggz-instelling Lentis, de provincie Groningen en de Rijksuniversiteit Groningen zijn de afgelopen jaren in handen gekomen van hackers.
Dat is te vinden in de wachtwoordenzoekmachine gotcha.pw die donderdag online is gezet. Daarin staan wereldwijd 1,4 miljard wachtwoorden, waarvan 3,3 miljoen Nederlandse. Als daarmee zoekt krijg je een deel van het e-mailadres en de eerste twee tekens van een wachtwoord te zien.
De wachtwoorden geven geen directe toegang tot de systemen van de instellingen, maar tot diensten waar medewerkers van die instellingen zijn ingelogd met hun werkaccount. In het verleden waren bedrijven als LinkedIn, Dropbox, Yahoo en Adobe slachtoffer van een groot datalek. Vooral die wachtwoorden zijn te vinden via de zoekmachine.

Honderden zorgwachtwoorden

Een steekproef in de database laat zien hoeveel wachtwoorden van medewerkers van gezondheidsinstellingen en andere instanties, die mogelijk werken met privégegevens, in handen van hackers zijn (geweest).
Lentis: 125 accounts
Martini Ziekenhuis: 113 accounts
Menzis: 240 accounts
Provincie Groningen: 132
RUG: 'Veel accounts, site laat de eerste 500 zien'
UMCG: 240 accounts

Vertrouwelijke gegevens veilig

Instellingen maken zich niet veel zorgen dat vertrouwelijke gegevens in handen zijn gekomen of geweest van kwaadwillenden.
Volgens Lentis woordvoerder Gerke Terpstra zijn er 'geen signalen dat onbevoegden toegang hebben gehad tot de bestanden.' Van de 125 accounts zijn er volgens Terpstra 40 mensen al uit dienst.
Het Martini Ziekenhuis heeft hetzelfde beeld. 'We hebben wel alle medewerkers op de hoogte gesteld en gevraagd hun wachtwoorden te veranderen', zegt woordvoerder Joske Kluvers. 'Maar de kans dat er iemand in onze systemen is geweest is heel erg klein, om daar binnen te komen heb je meer nodig dan een e-mailadres en wachtwoord'.
Voor zorgverzekeraar Menzis is er geen bedreiging geweest voor vertrouwelijke gegevens. 'Met alleen deze wachtwoorden kom je niet onze systemen. Daarnaast moeten medewerkers elke 45 dagen hun wachtwoorden vervangen', zegt woordvoerder Joerie Veen.

Honderden studenten

Bij de Rijksuniversiteit Groningen zijn vooral de wachtwoorden van studenten gehackt. De database laat geen getal meer zien maar zegt: 'Veel accounts, site laat eerste 500 zien'. Volgens woordvoerder Jorien Bakker worden alle studenten geïnformeerd en zijn er extra veiligheidschecks gedaan.
Ook wachtwoorden van RTV Noord zijn eerder gehackt en te vinden in de database. Van achttien medewerkers komt het emailadres en het bijbehorende wachtwoord voor in de lijst. Volgens de ICT-afdeling van RTV Noord is er geen reden tot zorg. 'We voeren een strikt wachtwoordenbeleid, de wachtwoorden worden vaak veranderd, dus wat je in die lijst kunt vinden werkt al niet meer.'

Waar komen de wachtwoorden vandaan?

Een ethische hacker onder de naam d0gberry heeft de database gebouwd om naar eigen aandacht te vestigen op het belang van wachtwoorden. Op de site schrijft d0gberry: 'Mijn eigen wachtwoord viel in verkeerde handen. Ik ging onderzoeken en vond binnen een half uur grote bestanden met gehackte wachtwoorden.'
In de lijst komen wachtwoorden voor van meer grote instanties en overheden. Onder meer: het Openbaar Ministerie, de Eerste en Tweede Kamer, diverse ministeries, de Nederlandse Bank, Landelijke Politie, interbeveiligingsbedrijf Fox IT, politieke partijen en de Coördinator Terrorismebestrijding.

Ben jij veilig?

Niet alleen de wachtwoorden van grote instanties liggen mogelijk op straat. Ook jouw emailadres kan in verkeerde handen zijn gevallen. Dat kun je controleren via gotcha.pw en HaveIBeenPwned.
Op laatjeniethackmaken.nl zet techjournalist Daniël Verlaan tips op een rij om je te beschermen tegen hackers.