Weinig, zou je denken op het eerste gezicht. Wat hen verbindt, is dat hun persoonlijke en zakelijke bestanden vrijelijk toegankelijk waren via internet. Niet alleen voor hen zelf, óók voor mensen met minder nobele bedoelingen. Cybercriminelen maken dankbaar gebruik van veiligheidslekken in opslagapparaten. En van de onwetendheid van consumenten en ondernemers.
Wie thuis of in het eigen bedrijf meer digitale opslagruimte nodig heeft, of muziek en films wil bewaren en streamen, is vaak goed af met een NAS, een ‘Network Attached Storage’. Eenvoudig gezegd is dit een kastje met een of meerdere harde schijven dat via een netwerk bereikbaar is. Leveranciers zijn onder meer Western Digital (bekend van Passport, MyCloud), Qnap, Seagate en Lenovo (Iomega).
Om verbinding met een NAS te kunnen maken, wordt het apparaat aangesloten op de wifi-router. Zo kunnen behalve via ethernet ook draadloos bestanden worden uitgewisseld en foto’s of films worden bekeken op een smartphone of tablet. Zaak is dan wél dat de standaard inlognaam en standaard wachtwoord worden gewijzigd. En dat gebeurt lang niet altijd.
Zoekmachine
Al dan niet kwetsbare opslagapparaten zijn eenvoudig te vinden via de zoekmachine Shodan. Het voert te ver om hier de werkwijze tot in detail uit de doeken te doen, maar met specifieke zoekopdrachten vind je NAS-apparaten waarvan een of meer verbindingspoorten openstaan. Een paar muisklikken later verschijnt het inlogscherm van de netwerkschijf in de browser. Is het standaard wachtwoord niet veranderd, dan blijkt een combinatie als ‘admin/admin’ of ‘admin/123456’ de sleutel tot alle bestanden.
Zo kregen we dankzij deze sleutel toegang tot een MyCloud-schijf op Saba waarop we toevallig waren gestuit. Daarop stond de volledige privé- en bedrijfsadministratie van een lokale ondernemer: 1,89 GB aan films, 922 MB aan foto’s, 3,55 GB muziek en 1,4 TB ‘overig’. Dit laatste omvatte tal van privé-documenten en de volledige bedrijfsadministratie, inclusief Quickbooks. Ook was het onderdeel ‘Settings’ toegankelijk waardoor wachtwoorden (en daarmee natuurlijk de toegang) simpelweg konden worden aangepast. Met andere woorden: de rode loper naar ransomware was royaal uitgerold. De verbouwereerde ondernemer was zich van geen kwaad bewust, zo bleek toen we een waarschuwing stuurde: “Dat was even schrikken natuurlijk. We hebben meteen het wachtwoord veranderd.”
Aruba
De ondernemer op Saba was geen uitzondering. Ook op Aruba vonden we bijvoorbeeld zo’n MyCloud-schijf van Western Digital. Helaas waren we in dat geval te laat om de eigenaar te waarschuwen. De opslag was al volledig leeggehaald. Criminelen hadden een boodschap achtergelaten:
Your storage was unprotected. Your files are safe. They have been encrypted to a safer location. If you want them back, please send 0,03 Bitcoin to this bitcoin wallet:
met daarna een adres waar het losgeld (zo’n $ 280,- toen we dit bericht aantroffen) naar toe moest.
Maar het kan nog eenvoudiger. Dat bleek al snel toen we nieuwsgierig geworden verder zochten. Wie een beetje weet waar en hoe je moet zoeken, vindt netwerkschijven van anderen waarvoor niet eens een wachtwoord nodig is. Topscorer zijn wel de Iomega-apparaten van Lenovo. In juli 2019 verschenen er op internet berichten over aanvallen op Iomega schijven. Daarbij werd de data volledig gewist. Gedupeerden konden hun gegevens terugkrijgen na betaling van losgeld in bitcoins. Althans, als je het bericht mocht geloven dat ze achterlieten, met als weinig geruststellende kop ’Your files are safe’.
De afpersers gebruikten een kritisch lek in de software van de Iomega apparaten, een lek waarvoor het bedrijf overigens zelf al in november 2016 waarschuwde met een beveiligingsadvies, dat nog eens werd herzien en aangepast in 2018 en 2019. Het advies was om toch vooral een eigen wachtwoord in te stellen. Maar of dat advies daadwerkelijk de nietsvermoedende consument bereikte?
(Dit artikel is – in iets aangepaste vorm – ook gepubliceerd in het Antilliaans Dagblad van 30-1-2021)
