Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

World Online alleen tegen de wereld (1)

Home

World Online is een grote provider in Nederland. Volgens het bedrijf zelf heeft het 165.000 gebruikers. De homepage van de aanbieder is de meest volledige van alle providers. De aanbieder levert nieuws, achtergronden, links en aardige nieuwtjes. Maar in de Internet-wereld moet men helemaal niets meert hebben van het bedrijf uit Vianen.

“World Online toont grote minachting voor de privacy van gebruikers en klanten door hun gegevens te grabbel te gooien.” De vereniging van Nederlandse Internet-providers, de NLIP, is niet bepaald mals over de niet bij de branchevereniging aangesloten aanbieder World Online. Die bepaalde de afgelopen dagen het gesprek op Internet, vanwege een reeks van dreigementen, uitnodigingen, ontkenningen en uitgeloofde belonigen. Het was even de wereld tegen World Online, en World Online tegen de wereld.

Het is voorbij. Daily-Planetjournalist Francisco van Jole noemde zijn donderdagnacht gisteren 'de spannendste uren van Nederlands Internet' - het wachten tot het moment dat Internet-aanbieder World Online werd gekraakt. Die aanbieder had, na diverse berichten over lekken in de beveiliging van het systeem, een wedstrijd uitgeloofd waartin een hacker die het systeem kon kraken 15.000 gulden kon winnen. Volgens World Online was zoiets onmogelijk, volgens hackers, die de afgelopen week de uitnodiging enthousiast opnamen, moest het 'een eitje' zijn. Al maanden circuleerden immers berichten op het net over de slechte beveiliging van de provider, die zelfs door de branche-vereniging werd vereoordeeld wegens het te grabbel gooien van de gegevens van zijn gebruikers.

Donderdagnacht is het op het laatste moment (de wedstrijd sloot om 24.00 uur) alsnog gelukt. Een groep hackers, die zich de Delta-groep noemt en had aangekondigd de 15.000 gulden aan Unicef te willen overmaken, had aan een journalist van de Volkskrant de inhoud van de electronische postbus van een systeembeheerder van World Online gegeven. In die post was van alles te vinden: namen en adressen van abonnees, wachtwoorden, klachten. “We vinden dit niet leuk”, reageerde de woordvoerder van World Online, “maar we zullen het geld uitkeren.”

World Online alleen tegen de wereld (2)

Met die uitspraak heeft de wereld gewonnen. World Online, dat op Internet meestal WOL wordt genoemd, is gewoon lek. Dat is helemaal niet erg, want bij de meeste Internet-aanbieders schort wel iets aan de beveiliging. De oudste aanbieder, XS4All, heeft daarover zelfs in zijn abonnementsvoorwaarden gezegd dat wie het systeem weet te kraken, een half jaar lang een gratis abonnement krijgt. Op voorwaarde dat het lek geheim blijft, alleen aan XS4All gemeld wordt en vervolgens kan worden gedicht. Maar bij World Online ging dat allemaal anders.

Zeven maanden lang was het ruzie in Internet-land. De discussie ging niet om de veiligheid van gebruikers, maar om de 'eerlijkheid' van aanbieder World Online, van wie de journalist Peter Olsthoorn, die op Internet de nieuwsbrief 'Planet Multimedia' maakt, in december berichtte dat zij onveilig omging met de gegevens van de abonnees. Een zeventienjarige hacker had per ongeluk uitgevonden hoe hij moest inloggen onder andere namen, vanwege een domme fout van de provider. Die had abonnees aangeraden allemaal eenzelfde soort wachtwoord te maken, bestaande uit vier letters en daarna vier cijfers. Onder alle mogelijke letter- en cijfercombinaties konden onbekenden het systeem binnen.

World Online reageerde door te zeggen dat Olsthoorn, die werkt voor collega-provider Planet Internet, een leugenaar was, die op alle mogelijke manieren probeerde de grote provider dwars te zitten. Gebruikers kregen bericht dat het verstandig was hun wachtwoord te veranderen.

World Online alleen tegen de wereld (3)

Niet iedere gebruiker deed dat. Begin deze maand onthulde NRC Handelsblad dat opnieuw 184.000 wachtwoorden van World-Online gebruikers voor het grijpen lagen. Dezelfde hacker probeerde het nog eens, en ontdekte dat de gaten die hij maanden geleden had gemeld nog niet waren gedicht. Beveiligingsexperts probeerden het ook. Zij noemden de beveiliging van de Internet-aanbieder 'volstrekt waardeloos' en zeiden dat de gemaakte fouten in ieder handboek te vinden zouden zijn. “De beveiligingsfouten waren uitermate ernstig. Hier was in onze ogen geen sprake van een obscure beveiligingsfout maar van een totale minachting voor beveiliging”, schrijft het computerbeveiligingsbedrijf ITSX in een uitleg op zijn eigen website. “Beveiliging bij Internetproviders is over de hele linie ernstig”, relativeerde ITSX de positie van World Online.

De woordvoerder van World Online reageerde razend. En, omdat het om een Internet-kwestie ging, reageerde hij in het openbaar op zijn website. Het bedrijf ITSX had volgens hem 'over de rug van World Online reclame willen maken voor zichzelf', de journalist van NRC Handelsblad had het nieuws toegestoken gekregen van de journalsiten in dienst van concurrent Planet Internet, die ervan werden beschuldigd hun concurrent te willen uitschakelen, ze zouden voor de rechter worden gedaagd wegens smaad.

Omdat alle ontkenningen en beschuldigingen openbaar waren, reageerden klanten van World Online en critici van de aanbieder overal. “World Online is gewoon de beste provider van Nederland. Dat andere mensen daar best heel jaloers op worden, kan ik best begrijpen”, schreef een voorstander om zijn aanbieder te verdedigen. Een ander: “World Online laat je niet opnaaien door die sukkels van Worldacces en Planet, want wat hun verkopen is gewoon troep”.

Het leek een ordinair providers-gevecht te worden, maar op 11 juni jongstleden gebeurde er iets onverwachts. World Online nodigde in het openbaar iedereen uit op de beveiliging te doorbreken. “Vanzelfprekend doet World Online geen aangifte van de hack bij de politie, iets wat normaal gesproken wel wordt gedaan”, zo legde de hoofdredacteur van het redactionele gedeelte van World Online uit op de website. Hij ging ervan uit dat het systeem veilig was, en het bewijs zou zijn geleverd dat de beschuldigingen vals waren.

World Online alleen tegen de wereld (4)

In eerste instantie leek WOl gelijk te hebben. Na vier dagen, honderdduizenden pogingen, was alles nog veilig. Honderdduizenden hadden al geprobeerd het systeem binnen te dringen, maar het was niet gelukt. In de discussiegroepen alt.hack.nl en nl.internet.providers klaagden de pogers hun leed: “Geen wonder dat het niet lukt, als ze delen van het machinepark gewoon uitzetten”, vroeg iemand zich af. “Het is gewoon een publiciteitsstunt”, dacht menigeen. “Als ze gekraakt worden, ontkennen ze dat toch weer.”

Ene Ralph kwam zover. “Ik had hun centrale netwerk-router onder controle. Dus ik bel op. 'Even wachten meneer', zeiden ze. Na 3 minuten werd de verbinding verbroken. Dus ik belde nog een keer. Weer verbroken. Nog eens. 'Ja, sorry meneer, maar de router doet niet mee met de wedstrijd', zeiden ze.”

Een ander: ''We begonnen met het hacken van Internal-helpdesk, toen we daar binnen waren, trok WOl snel de stekker eruit. Ook de volgende machine, sirius.worldonline.nl werd na gehackt te zijn meteen weer afgesloten. In de voorwaarden staat dat de hack reproduceerbaar moet zijn. Hoe kan dat als de machines opeens 'weg' zijn?''

Op 17 juni claimde diezelfde groep hackers, 'Team Delta', voor het eerst dat het systeem was gekraakt. Op een website was te zien wat ze hadden opgehaald: lange rijen vol cijfers, voor een leek onbegrijpelijke informatie. “Als World Online gekraakt zou zijn, dan is dat dus niet bij World Online bekend”, schreef hoofdredacteur Henk Hendrikx als reractie daarop. “Wil de hacker of de groep hackers die toch claimen het systeem gekraakt te hebben, zich melden?”

World Online alleen tegen de wereld (5)

Team Delta meldde zich, maar kon even later aan de mede-hackers ook melden dat ze geen geld hadden gekregen. “De machine die u heeft gekraakt behoort niet tot het serverpark van WOL.”

Het gekraakte systeem bleek eigendom te zijn van Audax Tros MultiMedia (ATMM). Dit bedrijf stelt als 'beloning' 15.000 gulden beschikbaar aan een goed doel. ATMM is blij dat de hackers gaten in de beveiliging hebben blootgelegd.

Een derde keer lukte het Team Delta wel. De 15.000 gulden waarop de krakers, jongeren werkend onder namen als 'King' of 'Bug', rekenen, willen ze doorgeven aan Unicef. Behalve duizend gulden, die de telefoonrekeningen van de afgelopen week moeten dekken.

De kans is klein dat ze het geld krijgen. “Het was geen systeem-hack, maar een procedurefout”, zegt de provider op zijn eigen website. Een onafhankelijke derde partij moet uitzoeken of dat inderdaad zo is. De computergebruikers worden bedankt voor de 800.000 pogingen die ze ondernamen om het systeem te kraken.

Intussen zal het nog lang duren voor World Online wordt toegelaten tot de branchevereniging van Nederlandse Internet-providers. Die vindt de hackerswedstrijd van Online een goedkope publiciteitsstunt, die bovendien strafbaar is. “Uitlokking van een strafbaar feit, ze geven de hele branche een slechte naam. De vele goede providers lijden nu onder de weinige slechte.”

world onlnie: www.worldonline.nl nlip: www.nlip.nl itsx: www.itsx.nl/proces.html planet multimedia/daily planet: www.pi.net team delta: robert.www.cistron.nl/teamdelta/status news:alt.hack.nl news:internet.providers.nl

Deel dit artikel