Sommige organisaties zijn juist opgericht om exclusief te zijn. Ze zijn alleen op uitnodiging toegankelijk en discreet; het soort plek waar het ledenbestand het product is.
Dialog, het exclusieve netwerk dat is opgericht door miljardair-investeerder en PayPal Peter Thiel, en waarvan onder meer een zittende NAVO-commandant, twee Amerikaanse senatoren en de Amerikaanse minister van Financiën deel uitmaken, is daar een voorbeeld van.
Vorige week stond er informatie over honderden van die leden in leesbare tekst op de app-distributiesite van het bedrijf, zichtbaar voor iedereen die wist hoe hij met de rechtermuisknop moest klikken. Vervolgens liet Dialog weten dat het gehackt was.
Een aanmeldingspagina die rechtstreeks naar de dossiers van de leden leidde
De website was opgezet om een mobiele app te verspreiden ter ondersteuning van een aanstaande bijeenkomst van het netwerk, dat exclusieve bijeenkomsten organiseert. Elke bezoeker kon zich aanmelden met elk willekeurig e-mailadres. Er werd niet om een wachtwoord gevraagd.
Nadat de bezoeker een e-mail had verzonden, kwam hij terecht op een vrijwel lege tussenpagina die naar verluidt interne bestanden over ongeveer 200 prominente personen rechtstreeks in zijn browser laadde. Deze bestanden waren zichtbaar met behulp van „tools die in elke grote browser zijn ingebouwd”, waarmee waarschijnlijk de ingebouwde ontwikkelaarstools van de browser worden bedoeld.
Die bestanden waren niet beperkt. Bij het laden van de vragenlijsten kwamen geboortedata, contactpersonen voor noodgevallen, mobiele telefoonnummers, de politieke voorkeuren die Dialog aan zijn leden toekent, interne ranglijsten en beoordelingsnotities, en de digitale sleutels die dienen als inloggegevens van de leden naar voren. Voor bijna alle leden waren de gelekte gegevens zeer uitgebreid, variërend van persoonlijke contactgegevens tot actieve inlogtokens.
Onder de gegevens bevonden zich ook een huidige inlichtingenfunctionaris van het Witte Huis, een gepensioneerde generaal die een hoge functie bekleedde bij de Amerikaanse inlichtingendiensten, en de hoofden van de afdeling nationaal veiligheidsbeleid bij twee toonaangevende AI-bedrijven. Dialog kent deelnemers bovendien achter de schermen een score toe, waarbij hun vermogen en bekendheid worden meegewogen bij beslissingen over toelating, zitplaatsen en prijzen. Die scores behoorden tot de gegevens die in de openbare HTML stonden.
Dialoog in de verdediging
De algemeen directeur van Dialog beschreef de toegang als een hack
“uitgevoerd door een bekende crimineel die in de Verenigde Staten wordt gezocht.”
WIRED, dat het nieuws als eerste naar buiten bracht, vond geen aanwijzingen dat er sprake was van inbraak. Het lijkt er zelfs op dat er niet veel meer voor nodig was dan op een link op een webpagina te klikken.
De formulieren zijn gemaakt met Fillout, een populaire online formulierbouwer. De gegevens werden opgeslagen in Airtable, een veelgebruikt clouddatabaseplatform. Fillout verklaarde niet op de hoogte te zijn van enige inbreuk op zijn eigen systemen en wees erop dat klanten zelf verantwoordelijk zijn voor het configureren van hun formulieren, gekoppelde gegevensbronnen en workflows.
Dialog heeft niet bekendgemaakt wanneer de verkeerd geconfigureerde pagina voor het eerst online is gegaan, wat betekent dat de gegevens van leden mogelijk gedurende een onbepaalde periode vrij toegankelijk zijn geweest voordat dit werd ontdekt.
Verkeerde beveiligingsconfiguraties staan nu op de tweede plaats in de OWASP Top 10 voor 2025, een brancheoverzicht van de grootste beveiligingsrisico’s voor applicaties. Deze categorie is gestegen van de vijfde plaats in 2021. De categorie is verantwoordelijk voor meer dan 719.000 gedocumenteerde beveiligingskwetsbaarheden.
De oplossing is ook heel eenvoudig: stel systemen samen met alleen de functies die je nodig hebt, en configureer ze op een veilige manier.
Wat dit voor de rest van ons betekent
De manier waarop organisaties incidenten omschrijven, heeft gevolgen die verder reiken dan één enkel beveiligingsincident. Als het louter raadplegen van openbaar beschikbare informatie stelselmatig als een „hack” wordt bestempeld, kunnen beveiligingsonderzoekers terughoudender worden om blootgestelde systemen te onderzoeken en op verantwoorde wijze aan het licht te brengen, waardoor verkeerde configuraties langer onopgemerkt blijven.
Voor eindgebruikers is deze les al ouder dan het internet. Als een organisatie je geboortedatum, je contactpersonen voor noodgevallen en een vertrouwelijke score verzamelt die aangeeft hoeveel je voor hen waard bent, vraag dan waar die gegevens worden bewaard. Elk antwoord waarin ‘onze website’ wordt genoemd, verdient een vervolgvraag, en elk antwoord dat niet verder gaat dan ‘we nemen je veiligheid zeer serieus’ verdient nadere toelichting.
