Door een grootschalig lek in de vergadersoftware van de Rijksoverheid was informatie over belangrijke videovergaderingen in te zien, inclusief meetings opgezet door ministers Yeşilgöz-Zegerius (Justitie en Veiligheid) en Weerwind (Rechtsbescherming).
Een vergadering over arbeidsvoorwaarden op het ministerie van Veiligheid en Justitie, een beraad over crisisbeheersing opgezet door minister Dilan Yeşilgöz-Zegerius of een overleg met de directeur-generaal van de IND: Duitse ethische hackers konden met speels gemak de vergaderagenda van de Rijksoverheid inzien dankzij een kwetsbaarheid in de vergadersoftware Webex.
De Duitse onderzoekers verzamelden informatie over zo’n tienduizend Nederlandse vergaderingen. Zij maakten hun bevindingen bekend zodat de betreffende lekken gedicht konden worden, wat inmiddels is gebeurd.
Over de auteur
Frank Rensen is wetenschapsjournalist en schrijft voor de Volkskrant over technologie, van cybersecurity en wetgeving tot games en cryptovaluta.
De onderzoekers vonden het lek in de vergadersoftware Webex, veelgebruikt door overheden en bedrijven wereldwijd. Ze toonden zelfs aan dat Duitse vergaderingen waren af te luisteren, zo blijkt uit een publicatie in Die Zeit. Het lek is inmiddels gedicht, maar het is onbekend in hoeverre het is misbruikt in Nederland.
‘Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier’, schrijft demissionair staatssecretaris Digitalisering Alexandra van Huffelen (D66) in een kamerbrief over het lek.
De kwetsbaarheid in Webex is eind februari mogelijk ook door de Russische inlichtingendienst misbruikt om een vergadering af te luisteren van hooggeplaatste Duitse militairen over de inzet van Taurus-raketten in Oekraïne. Dit kon door telefonisch in te bellen tijdens de Webex-vergaderingen. Deze methode van deelnemen aan een vergadering was niet beveiligd met een wachtwoord.
Van Huffelen schrijft dat het ‘gegeven de wijze waarin de Nederlandse Rijksvideo-omgeving is ingericht’ onwaarschijnlijk is dat buitenstaanders ook hier konden inloggen bij videovergaderingen. Ze start een onderzoek of er ‘gegevens zoals wachtwoorden van de vergaderingen of de inhoud van vergaderingen, chats of gedeelde bestanden inzichtelijk zijn geweest.’
Webex is een programma van het Amerikaanse bedrijf Cisco. Ook in Italië, Oostenrijk, Frankrijk, Zwitserland, Ierland en Denemarken zijn lekken gevonden. Hoewel Cisco het adverteert als een veilig programma, blijkt het makkelijk om webadressen van vergaderingen te gokken en zo informatie over de vergaderingen te verzamelen.
De Duitse ethische hackers hebben informatie kunnen inwinnen over ruim tienduizend Webex-vergaderingen van de Nederlandse overheid. Schermopnamen van omschrijvingen van deze vergaderingen zijn ingezien door de Volkskrant. Zo is te zien hoe laat een vergadering begint, hoe lang deze duurt en door wie hij is aangemaakt. Dit geldt ook voor vergaderingen aangemaakt door ministers Yeşilgöz-Zegerius, Weerwind en staatssecretaris Van Huffelen.
In Duitsland konden de onderzoekers inbellen tijdens Duitse vergaderingen, en zo ongemerkt meeluisteren. Dit hebben zij niet in Nederland getest. Telefonisch inbellen blijkt nu niet meer mogelijk, maar voorheen was dit wel een optie, laat een bron met kennis van het gebruik van Webex bij de overheid weten. Het is daarom niet uit te sluiten dat buitenlandse inlichtingendiensten ooit ongemerkt vergaderingen hebben bijgewoond. ‘Zeker wanneer er veel deelnemers zijn in een vergadering, valt het niet op wanneer een onbekende inbelt’, zegt de bron.
Doordat het lek inmiddels is gedicht ‘heeft dit incident op dit moment geen gevolgen voor het gebruik van Webex door de rijksoverheid’, schrijft het ministerie van Binnenlandse Zaken in een persbericht. Het ministerie heeft Cisco om opheldering gevraagd en op korte termijn ontboden op het ministerie. Voor overleg over vertrouwelijke en andere ‘extreem gevoelige’ informatie gebruikt de Rijksoverheid Webex niet, meldt het ministerie.
Cisco laat in een reactie weten: ‘Ons onderzoek loopt nog en we zullen indien nodig updates verstrekken via onze gebruikelijke kanalen. We waarderen en verwelkomen de samenwerking met de bredere security-onderzoeksgemeenschap en zien deze relatie als essentieel om de netwerken van onze klanten te beschermen.’
Geselecteerd door de redactie
Source: Volkskrant