WEBVTT

1
00:00:04.004 --> 00:00:05.016
888

2
00:00:06.024 --> 00:00:10.012
Printers en scanners zijn steeds vaker verbonden met het internet.

3
00:00:10.017 --> 00:00:13.007
Makkelijk in het gebruik, maar hoe veilig is het?

4
00:00:13.012 --> 00:00:16.009
Je telefoon, je printer, je harde schijf.

5
00:00:16.014 --> 00:00:19.022
Alles wordt aan elkaar geknoopt. En dat is zo lek als een mandje.

6
00:00:20.002 --> 00:00:26.001
Medische dossiers, financiele gegevens en bedrijfsgeheimen, ze liggen voor het grijpen.

7
00:00:31.014 --> 00:00:38.000
Een lek in tienduizenden apparaten brengt, zonder dat u het weet, uw veiligheid en privacy in gevaar.

8
00:00:50.013 --> 00:00:53.014
We zijn op de InfoSecurity-beurs in Utrecht.

9
00:00:53.019 --> 00:01:00.009
Veiligheid van computers is een populair thema bij het bedrijfsleven en daarom big business.

10
00:01:00.014 --> 00:01:05.005
...dit soort grote schermen. Een security operating center.

11
00:01:05.010 --> 00:01:10.007
De grootste computer- en printerfabrikant ter wereld staat hier ook.

12
00:01:10.012 --> 00:01:14.012
Hewlett Packard heeft een omzet van 127 miljard dollar per jaar.

13
00:01:14.017 --> 00:01:19.001
Hoe belangrijk is veiligheid voor HP? Heel belangrijk.

14
00:01:19.006 --> 00:01:20.024
Kijkend naar de markt...

15
00:01:21.004 --> 00:01:24.015
waar klanten... storage een heel belangrijke...

16
00:01:24.020 --> 00:01:28.024
Storage is opslaan? Ja, het opslaan van data.

17
00:01:29.004 --> 00:01:30.016
Beschikbaarheid.

18
00:01:30.021 --> 00:01:34.019
De continuiteit van een bedrijf die we willen garanderen.

19
00:01:34.024 --> 00:01:38.016
Dan is veiligheid en security een belangrijk item.

20
00:01:38.021 --> 00:01:43.018
Heel belangrijk dus. We gaan op zoek naar een HP-printer voor thuis...

21
00:01:43.023 --> 00:01:48.007
met kopieermachine, scanner en de nieuwste functie, ePrint.

22
00:01:48.012 --> 00:01:55.009
We leggen het vast met een verborgen camera omdat we willen weten of de klant wordt gewezen op de risico's.

23
00:01:55.014 --> 00:01:59.021
EPrint, wat is dat? Dat is printen vanaf een mobiel apparaat.

24
00:02:00.001 --> 00:02:03.014
Door enkel een mailtje te sturen naar de printer...

25
00:02:03.019 --> 00:02:09.019
kunt u de printer iets laten uitprinten ook al bent u niet thuis.

26
00:02:09.024 --> 00:02:14.019
Dus als ik in mijn hotel zit, kan ik op kantoor iets uitprinten? Precies.

27
00:02:14.024 --> 00:02:17.015
Omdat hij op internet is aangesloten.

28
00:02:17.020 --> 00:02:21.000
Ik zag op internet dat er zoiets als webscan is.

29
00:02:21.005 --> 00:02:24.009
Dan kan ik via internet ook scannen? Uiteraard.

30
00:02:24.014 --> 00:02:27.009
De installatie is makkelijk met het touchscreen.

31
00:02:27.014 --> 00:02:32.021
In een handomdraai is de printer draadloos verbonden met de computer thuis.

32
00:02:47.023 --> 00:02:50.007
Om al die nieuwe functies mogelijk te maken...

33
00:02:50.012 --> 00:02:54.019
bouwt HP tegenwoordig een zogenaamde 'webserver' in al zijn printers en scanners.

34
00:02:54.024 --> 00:02:58.008
Dat is software die als het ware staat uit te zenden op het internet.

35
00:02:58.013 --> 00:03:01.018
En merkwaardig genoeg zijn die webservers niet beveiligd.

36
00:03:01.023 --> 00:03:04.013
Het wachtwoord staat namelijk uitgeschakeld.

37
00:03:04.018 --> 00:03:09.004
Daardoor is het mogelijk voor wie dat maar wil, met het apparaat verbinding te maken.

38
00:03:09.009 --> 00:03:14.003
Alleen een goed beveiligde router kan een indringer nog tegenhouden.

39
00:03:14.008 --> 00:03:19.019
Maar in veel gevallen kan elke internetgebruiker, waar ook ter wereld uw printer benaderen...

40
00:03:19.024 --> 00:03:23.019
simpelweg door het netwerk-adres in een webbrowser in te tikken.

41
00:03:23.024 --> 00:03:28.000
En niet alleen de printer, ook de ingebouwde scanner is dan toegankelijk.

42
00:03:28.005 --> 00:03:30.000
Hij kan op afstand worden aangezet.

43
00:03:30.005 --> 00:03:33.023
Aangezien mensen regelmatig documenten op de glasplaat laten liggen...

44
00:03:34.003 --> 00:03:37.000
is er 'n goede kans dat er dan een plaatje zichtbaar wordt.

45
00:03:37.005 --> 00:03:40.007
Iemand van buiten krijgt die afbeelding gewoon te zien.

46
00:03:40.012 --> 00:03:43.010
Reporter vond 32.000 toegankelijke HP-apparaten.

47
00:03:43.015 --> 00:03:49.005
De afgelopen weken benaderden we er daarvan enkele tientallen en startten we de scanner op afstand.

48
00:03:49.010 --> 00:03:52.014
We troffen daarbij gevoelige financiele informatie aan.

49
00:03:52.019 --> 00:03:58.001
Zoals deze brief waarin staat dat iemand 175.000 euro uitgekeerd krijgt...

50
00:03:58.006 --> 00:04:02.017
van verzekeringsmaatschappij Aegon. Vergeten van de glasplaat te halen.

51
00:04:02.022 --> 00:04:07.001
En bij iemand anders een brief van de Rabobank, met daarin zijn nieuwe pincode.

52
00:04:07.006 --> 00:04:11.004
We zoeken de eigenaar van het HP-apparaat in Sittard op.

53
00:04:11.009 --> 00:04:13.015
Is dit jouw pincode?

54
00:04:13.020 --> 00:04:15.007
Eh...ja.

55
00:04:16.024 --> 00:04:21.003
Is dit een brief die je hebt gehad van de Rabobank?

56
00:04:21.008 --> 00:04:23.013
Ja, dat is mijn brief.

57
00:04:23.018 --> 00:04:27.007
Heb jij een scanner van HP? Ja.

58
00:04:27.012 --> 00:04:30.019
Wist je dat die scanner op afstand te bedienen is?

59
00:04:30.024 --> 00:04:33.018
Ja, dat weet ik, via HP ePrint.

60
00:04:33.023 --> 00:04:38.013
Voor iedereen in de wereld en niet alleen voor jou. Dat wist ik niet.

61
00:04:38.018 --> 00:04:40.005
Dat is zo. Oke.

62
00:04:41.014 --> 00:04:44.009
Dat wist ik niet. Schrik je daarvan? Eh...

63
00:04:44.014 --> 00:04:46.001
In dit geval wel, ja.

64
00:04:46.006 --> 00:04:51.019
Tienduizenden scanners onbeveiligd, terwijl HP ze al in de fabriek van een wachtwoord zou kunnen voorzien.

65
00:04:51.024 --> 00:04:53.017
We vragen opheldering bij HP.

66
00:04:53.022 --> 00:04:57.012
Waarom brengt u de privacy en veiligheid van 10.000 klanten in gevaar?

67
00:04:57.017 --> 00:05:02.009
We brengen de privacy van klanten niet in gevaar.

68
00:05:02.014 --> 00:05:06.011
Maar wij hebben dit aangetroffen op een van de printers.

69
00:05:06.016 --> 00:05:09.013
Een brief van de Rabobank met een pincode.

70
00:05:09.018 --> 00:05:11.007
Daar kan iedereen bij.

71
00:05:11.012 --> 00:05:15.015
Dat is toch een enorme schending van de privacy van de klant?

72
00:05:15.020 --> 00:05:21.003
Dat klopt. Maar op het moment dat je een auto verkoopt...

73
00:05:21.008 --> 00:05:26.016
in hoeverre ben je wel verantwoordelijk voor wat een gebruiker doet met de auto?

74
00:05:26.021 --> 00:05:29.018
Je verkoopt een Ferrari. Zeg je dan: Je mag maar 120?

75
00:05:29.023 --> 00:05:34.006
Je kan niet voorkomen dat iemand toch harder gaat rijden en een boete krijgt.

76
00:05:34.011 --> 00:05:38.004
Ik weet zeker dat bij HP mensen gezegd hebben: Dit moet je nooit doen.

77
00:05:38.009 --> 00:05:41.014
Maar er is een wereld die alleen over time to market nadenkt.

78
00:05:41.019 --> 00:05:44.010
Die apparaten moeten zo snel mogelijk de markt op...

79
00:05:44.015 --> 00:05:47.009
want de concurrent heeft een nieuwere versie...

80
00:05:47.014 --> 00:05:49.009
dus hij moet gewoon de markt op.

81
00:05:49.014 --> 00:05:52.023
Alles staat default zonder wachtwoord, is open.

82
00:05:53.003 --> 00:05:56.004
Het is aan de consument om er iets aan te doen.

83
00:05:56.009 --> 00:06:00.024
De fabrikant zegt: De consument moet het password zelf instellen.

84
00:06:01.004 --> 00:06:03.014
Maar dat is niet meer van deze tijd.

85
00:06:03.019 --> 00:06:07.014
Dit is zo gevoelig, dat informatie zo op straat ligt...

86
00:06:07.019 --> 00:06:11.005
dat ook bedrijven hier eigenlijk niets van weten.

87
00:06:11.010 --> 00:06:16.011
Dus ik denk dat fabrikanten gedwongen worden door de publieke opinie...

88
00:06:16.016 --> 00:06:19.007
om die zaak standaard dicht te zetten.

89
00:06:19.012 --> 00:06:21.012
Of in ieder geval dat gevraagd wordt:

90
00:06:21.017 --> 00:06:25.020
Wil je het wel of niet open hebben en wil je een wachtwoord instellen of niet?

91
00:06:26.000 --> 00:06:31.010
In deze handleiding van de printer staat nergens dat je dat ding moet beveiligen...

92
00:06:31.015 --> 00:06:34.014
omdat hij op internet staat uit te zenden. Ja.

93
00:06:34.019 --> 00:06:36.014
Dat is UW handleiding. Ja.

94
00:06:36.019 --> 00:06:39.010
Ik ga zelf niet over de handleidingen.

95
00:06:39.015 --> 00:06:43.005
Maar ik heb u een week geleden al over dit probleem geinformeerd.

96
00:06:43.010 --> 00:06:45.015
En nu weet u het nog niet. Nee, dat klopt.

97
00:06:47.008 --> 00:06:53.019
We zijn in Luxemburg voor Eireann Leverett, die spreekt op een congres over computerveiligheid.

98
00:06:53.024 --> 00:06:58.022
Leverett promoveerde aan Cambridge en adviseert bedrijven nu over 'cyber security'.

99
00:06:59.002 --> 00:07:02.018
We laten hem de gegevens zien die we gevonden hebben.

100
00:07:35.001 --> 00:07:38.008
Er zijn meer printers die niet veilig zijn.

101
00:07:38.013 --> 00:07:41.004
Ricoh en Samsung brengen apparaten op de markt...

102
00:07:41.009 --> 00:07:45.000
die weliswaar beveiligd zijn met een gebruikersnaam en wachtwoord...

103
00:07:45.005 --> 00:07:49.003
maar die staan in de handleiding en zijn voor elk apparaat hetzelfde.

104
00:08:09.021 --> 00:08:12.011
Wat er op de glasplaat ligt, is minder ernstig...

105
00:08:12.016 --> 00:08:15.014
maar sommige van die printers hebben ook een geheugen.

106
00:08:15.019 --> 00:08:21.007
En daar kun je in de laatste 100 scans komen en dat wordt wat problematischer.

107
00:08:21.012 --> 00:08:24.005
Ricoh-printers hebben zo'n geheugen.

108
00:08:24.010 --> 00:08:28.001
Bijna 7000 apparaten staan open en daarop vinden we onder meer...

109
00:08:28.006 --> 00:08:30.020
paspoorten en andere gevoelige informatie.

110
00:08:31.000 --> 00:08:33.024
We vragen Ricoh om commentaar.

111
00:08:46.013 --> 00:08:50.014
Ik heb een lijst met 7000 IP-adressen van toegankelijke Ricoh-printers.

112
00:09:05.007 --> 00:09:08.008
Is het dan niet uw verantwoordelijkheid...

113
00:09:08.013 --> 00:09:12.008
als u ziet dat zo veel klanten niet de deur dichtdoen...

114
00:09:12.013 --> 00:09:16.020
om dat op apparaatniveau beter te organiseren.

115
00:09:20.015 --> 00:09:23.009
Printerfabrikant Brother maakt het nog makkelijker.

116
00:09:23.014 --> 00:09:27.000
We zien een inlogvenster als we de printer via internet benaderen.

117
00:09:27.005 --> 00:09:31.013
Maar omdat we de gebruikersnaam en het wachtwoord niet weten, drukken we op 'cancel'.

118
00:09:31.018 --> 00:09:34.008
En dan helpt de Japanse printer ons een handje.

119
00:09:34.013 --> 00:09:38.009
Hij toont de gebruikersnaam en het wachtwoord dat we in moeten tikken.

120
00:09:38.014 --> 00:09:41.017
We loggen in en de printer staat onder onze controle.

121
00:09:41.022 --> 00:09:43.009
Is dat niet raar?

122
00:09:43.014 --> 00:09:49.001
Als iemand van buiten het wachtwoord niet weet wordt het wachtwoord door de printer zelf getoond!

123
00:10:18.000 --> 00:10:23.011
Niet alleen printers, allerlei elektronische apparaten zijn verbonden met internet.

124
00:10:23.016 --> 00:10:27.021
En ook daarvan staan de wachtwoorden gewoon in de handleiding.

125
00:10:28.001 --> 00:10:32.023
Zo zien we in Nederland meer dan 1000 bewakingssystemen van het merk Avtech.

126
00:10:33.003 --> 00:10:35.024
Ze staan in cafes, magazijnen en winkels.

127
00:10:36.004 --> 00:10:41.016
Allemaal zijn ze voorzien van hetzelfde wachtwoord en een ingebouwde webserver.

128
00:10:41.021 --> 00:10:44.010
Dit is uw winkel, toch? Ja, dat ben ik.

129
00:10:44.015 --> 00:10:47.000
Ik ben verbaasd dat je dat kan zien.

130
00:10:47.005 --> 00:10:50.003
Maar goed, dat is dus het geval.

131
00:10:52.007 --> 00:10:57.002
Wat vindt u ervan dat iedereen via internet uw camera's kan bekijken?

132
00:10:57.007 --> 00:10:58.019
Dat vind ik niet goed.

133
00:10:58.024 --> 00:11:02.002
Nee, dat vind ik geen fijn idee.

134
00:11:02.007 --> 00:11:06.018
Heeft u met de camera's wel eens dieven of overvallers kunnen pakken?

135
00:11:06.023 --> 00:11:11.003
Ja, ik heb een keer terug kunnen kijken...

136
00:11:11.008 --> 00:11:12.020
en toen heb ik...

137
00:11:13.000 --> 00:11:15.014
in dit geval een jongetje van acht...

138
00:11:15.019 --> 00:11:18.001
iets in zijn zakken zien stoppen.

139
00:11:18.006 --> 00:11:21.009
Twee weken later kon ik hem daarop aanspreken.

140
00:11:21.014 --> 00:11:25.011
Hiermee kan een dief van tevoren de camera uitzetten...

141
00:11:25.016 --> 00:11:28.008
zodat er geen opnamen meer is. Ja.

142
00:11:28.013 --> 00:11:30.000
Ja...ja...

143
00:11:30.005 --> 00:11:31.017
Dat is raar.

144
00:11:31.022 --> 00:11:33.011
Dat is heel vervelend.

145
00:11:33.016 --> 00:11:37.023
Hij heeft waarschijnlijk dezelfde mogelijkheden die ik heb.

146
00:11:39.019 --> 00:11:41.024
Goedemiddag, mag ik wat vragen?

147
00:11:42.004 --> 00:11:44.007
Is dit uw beveiligingscamera?

148
00:11:44.012 --> 00:11:48.007
Ja. Ja? Ja.

149
00:11:58.023 --> 00:12:02.022
Het probleem is dat een dief of overvaller niet alleen mee kan kijken...

150
00:12:03.002 --> 00:12:05.002
maar ook de recorder kan uitzetten.

151
00:12:18.007 --> 00:12:21.000
We hebben net door de camera's gekeken.

152
00:12:21.005 --> 00:12:25.004
Je ziet de mensen die zichzelf aan het beveiligen zijn...

153
00:12:25.009 --> 00:12:30.006
maar hun privacy op straat gooien op een manier waar ze nooit bij stil hebben gestaan dat het zo is.

154
00:12:30.011 --> 00:12:34.022
Dat is een droom voor inbrekers, om te zien wat er aan de hand is...

155
00:12:35.002 --> 00:12:37.012
hoe de securitymaatregelen zijn.

156
00:12:37.017 --> 00:12:40.020
Dus dat is eigenlijk het uitlokken van inbraak.

157
00:12:41.000 --> 00:12:45.013
Want het inbrekersgilde is heel goed in het monitoren van Twitter...

158
00:12:45.018 --> 00:12:47.021
en dit soort securitycamera's.

159
00:12:48.001 --> 00:12:52.005
We vragen een reactie aan de importeur van deze bewakingssystemen.

160
00:13:07.022 --> 00:13:10.023
Dan zijn de mensen dus allemaal achterlijk?

161
00:13:24.020 --> 00:13:29.006
We laten de domme mensen even in Nederland en rijden naar Duitsland.

162
00:13:29.011 --> 00:13:34.005
Aan de Ruhr-universiteit zit de grootste vakgroep cyber-security van Europa.

163
00:13:34.010 --> 00:13:39.009
Professor Paar houdt zich bezig met de veiligheid van randapparatuur.

164
00:14:33.003 --> 00:14:39.015
Een populair artikel in de Duitse en Nederlandse Mediamarkten is de NAS, oftewel de netwerkschijf.

165
00:14:39.020 --> 00:14:44.001
Een harde schijf voor het opslaan van films, muziek en back-ups.

166
00:14:44.006 --> 00:14:48.021
We kijken met de verborgen camera of de verkoper wijst op de risico's.

167
00:14:49.001 --> 00:14:53.018
Wat is het voordeel van zo'n NAS boven een normale externe harde schijf?

168
00:15:09.004 --> 00:15:13.011
Dus het voordeel is dat je overal ter wereld via internet erbij kan?

169
00:15:18.011 --> 00:15:20.014
Dus hij staat 24 uur per dag aan?

170
00:15:21.020 --> 00:15:24.017
We kopen een netwerkschijf van Iomega...

171
00:15:24.022 --> 00:15:28.005
en installeren de meegeleverde software.

172
00:15:28.011 --> 00:15:33.008
De software vereist niet dat we een wachtwoord instellen.

173
00:15:33.013 --> 00:15:36.013
De security staat standaard uitgeschakeld.

174
00:15:36.018 --> 00:15:41.009
De netwerkschijven zijn dus onbeveiligd met internet verbonden.

175
00:15:41.014 --> 00:15:48.015
Er hangen minimaal 16.000 toegankelijke Iomega-netwerkschijven aan internet.

176
00:15:48.020 --> 00:15:53.009
We namen een steekproef om te zien wat voor informatie erop staat.

177
00:15:53.014 --> 00:15:56.024
We treffen veel familiefoto's en vakantiefilms aan...

178
00:15:57.004 --> 00:15:59.006
tamelijk onschuldig materiaal.

179
00:15:59.011 --> 00:16:04.008
Maar ook vertrouwelijke gegevens, die niet op het open internet horen.

180
00:16:04.013 --> 00:16:06.008
Zoals medische gegevens.

181
00:16:06.013 --> 00:16:11.005
We vinden de netwerkschijf van psychotherapeut Van der Horst in Amsterdam...

182
00:16:11.010 --> 00:16:15.015
die hij kocht om reservekopieen van zijn patientendossiers te maken.

183
00:16:15.020 --> 00:16:19.008
Die zijn nu voor iedereen toegankelijk via internet.

184
00:16:21.010 --> 00:16:25.001
En we zien de schijf van huisarts Hofman in Amstelveen...

185
00:16:25.006 --> 00:16:28.015
die ze gebruikt om back-ups te maken van haar laptop.

186
00:16:28.020 --> 00:16:31.019
Inclusief gevoelige patienteninformatie.

187
00:16:31.024 --> 00:16:34.016
Zou dit niet heel goed beveiligd moeten zijn?

188
00:16:34.021 --> 00:16:40.017
Het is zelfs per wet geregeld dat medische gegevens versleuteld opgeslagen moeten zijn.

189
00:16:40.022 --> 00:16:44.023
En ik vind dat daar wat meer verantwoordelijkheid komt...

190
00:16:45.003 --> 00:16:48.020
bij de eigenaar, de huisarts die die spullen neerzet.

191
00:16:49.000 --> 00:16:50.016
Ehm...

192
00:16:50.021 --> 00:16:55.016
Die huurt waarschijnlijk een ICT'er in die dat voor hem regelt.

193
00:16:55.021 --> 00:17:01.003
Die moet daarbij de vraag stellen: Doe je dat op een veilige manier?

194
00:17:01.008 --> 00:17:04.016
We vroegen de psychotherapeut en de huisarts om een reactie...

195
00:17:04.021 --> 00:17:07.006
maar ze weigerden die voor de camera te geven.

196
00:17:34.005 --> 00:17:38.016
Ook bij een bedrijf op Schiphol vinden we een open Iomega-schijf.

197
00:17:38.021 --> 00:17:42.007
Daarop vinden we een paspoort van een medewerker...

198
00:17:42.012 --> 00:17:46.003
en vertrouwelijke correspondentie met de Marechaussee...

199
00:17:46.008 --> 00:17:50.006
over het verkrijgen van een toegangspas voor de platforms.

200
00:17:51.006 --> 00:17:54.001
We zoeken de eigenaar van het bedrijf op.

201
00:18:02.018 --> 00:18:04.015
Bent u op Schiphol-Oost nu?

202
00:18:04.020 --> 00:18:08.021
Nee, en we zijn daar sinds vorige week niet meer gevestigd.

203
00:18:09.001 --> 00:18:12.010
Maar in Aalsmeer. In Aalsmeer, a ha.

204
00:18:13.012 --> 00:18:14.024
U bent Nico? Ja. Dag.

205
00:18:15.004 --> 00:18:17.023
Vincent Verweij, KRO Reporter.

206
00:18:18.003 --> 00:18:19.023
Zijn dit documenten van u?

207
00:18:21.010 --> 00:18:22.022
Ja.

208
00:18:24.014 --> 00:18:29.019
Dit is een aanvraag voor een platformpas van een collega van u.

209
00:18:31.021 --> 00:18:34.003
Ja, daar lijkt het wel op, ja.

210
00:18:34.008 --> 00:18:35.020
En...

211
00:18:37.011 --> 00:18:40.010
Het paspoort van EEN van uw medewerkers. Ja.

212
00:18:40.015 --> 00:18:45.006
Zijn dit aangiftes omzetbelasting van u? Zo ziet het er wel uit.

213
00:18:45.011 --> 00:18:48.016
Hoe denkt u dat ik hieraan kom? Ik heb geen idee.

214
00:18:48.021 --> 00:18:52.003
Hebt u een netwerkschijf van Iomega? Ja.

215
00:18:52.008 --> 00:18:54.020
Die hangt onbeveiligd aan het internet.

216
00:18:55.000 --> 00:18:57.021
Dus iedereen kan hierbij. Dat is niet zo handig.

217
00:18:58.001 --> 00:19:00.019
Dit zijn gevoelige documenten. Zeker.

218
00:19:00.024 --> 00:19:05.004
Hiermee zou ik een platformpas kunnen aanvragen voor Schiphol.

219
00:19:05.009 --> 00:19:07.008
Ik weet nu wat de procedure is.

220
00:19:08.017 --> 00:19:10.016
We gaan terug naar Schiphol.

221
00:19:10.021 --> 00:19:13.008
De KLM heeft hier een datacentrum...

222
00:19:13.013 --> 00:19:17.007
voor alle websites, bedrijfs- en klanteninformatie.

223
00:19:17.012 --> 00:19:21.015
Het wordt bewaakt met twee hekken en een veiligheidssluis.

224
00:19:21.020 --> 00:19:26.015
Maar de directeur heeft thuis de hekken wijd open staan.

225
00:19:26.020 --> 00:19:29.017
Een onbeveiligde Iomega-netwerkschijf...

226
00:19:29.022 --> 00:19:32.010
met daarop vertrouwelijke gegevens.

227
00:19:32.015 --> 00:19:37.001
We lezen we wat er fout ging bij de KLM tijdens de aswolk in IJsland...

228
00:19:37.006 --> 00:19:40.007
die het luchtverkeer in 2010 in de war stuurde.

229
00:19:40.012 --> 00:19:43.023
We vinden een presentatie die de KLM-directeur gaf...

230
00:19:44.003 --> 00:19:47.015
aan Camiel Eurlings bij zijn bezoek aan het datacenter.

231
00:19:47.020 --> 00:19:51.006
En we zien vertrouwelijke investeringsplannen.

232
00:19:51.011 --> 00:19:55.006
Je zou verwachten dat de directeur van een datacentrum...

233
00:19:55.011 --> 00:19:59.023
toch wel weet hoe hij een wachtwoord instelt. We gaan het hem vragen.

234
00:20:00.003 --> 00:20:03.019
Goeiemorgen. Goeiemorgen, ik kom voor Marten Duim.

235
00:20:12.003 --> 00:20:15.016
Dag, meneer Duim. Waar gaat dit over? Want ik ben...

236
00:20:17.002 --> 00:20:21.007
U bent meneer Duim? Ja. Bent u directeur van het datacentrum? Ja.

237
00:20:21.012 --> 00:20:23.021
Wilt u even stoppen met die camera?

238
00:20:24.001 --> 00:20:26.018
Die mag hier helemaal niet binnenkomen.

239
00:20:26.023 --> 00:20:31.007
Ik begrijp hier niets van. Ik kom u informeren over een datalek.

240
00:20:32.019 --> 00:20:34.010
Zijn dit uw documenten?

241
00:20:35.016 --> 00:20:39.016
Meneer Duim, dit zijn vertrouwelijke documenten van de KLM.

242
00:20:39.021 --> 00:20:42.001
Die staan te lekken op internet.

243
00:20:42.006 --> 00:20:43.018
Meneer Duim?

244
00:20:47.002 --> 00:20:49.016
Even later belt de persvoorlichter.

245
00:20:52.010 --> 00:20:55.005
U bent van de persvoorlichting van KLM? Ja.

246
00:20:55.010 --> 00:20:56.024
Kan ik naar u toe komen?

247
00:21:01.000 --> 00:21:05.006
Ik wil u wat zaken tonen die verband houden met een datalek.

248
00:21:05.011 --> 00:21:08.022
Marten Duim, directeur van het KLM-datacentrum...

249
00:21:09.002 --> 00:21:12.015
heb ik net geprobeerd daarvan op de hoogte te stellen.

250
00:21:12.020 --> 00:21:14.007
Maar die liep weg.

251
00:21:15.011 --> 00:21:17.021
Dus dan wil ik het aan u laten zien.

252
00:21:21.006 --> 00:21:26.018
Op de schijf vinden we vreemd genoeg ook interne stukken van de ING Bank.

253
00:21:26.023 --> 00:21:32.002
Daarin staan noodprocedures beschreven bij een grote computercalamiteit.

254
00:21:32.007 --> 00:21:35.010
We vragen aan ING hoe de KLM daaraan komt.

255
00:22:12.005 --> 00:22:14.016
De KLM, die het lek veroorzaakte...

256
00:22:14.021 --> 00:22:17.009
wil ook op deze kwestie niet reageren.

257
00:22:32.007 --> 00:22:35.009
KLM is niet de enige multinational die data lekt.

258
00:22:35.014 --> 00:22:41.021
Voedingsmiddelenconcern Unilever maakt ijsjes, knakworst en duizenden andere producten.

259
00:22:42.001 --> 00:22:47.019
Bij een medewerker thuis treffen we een Iomegadisk aan met vertrouwelijke verkoopcijfers.

260
00:22:47.024 --> 00:22:50.012
We zien van ruim 42.000 producten...

261
00:22:50.017 --> 00:22:53.010
exact hoeveel Unilever ervan verkoopt.

262
00:22:53.015 --> 00:22:57.001
Buitengewoon concurrentiegevoelige informatie.

263
00:22:57.006 --> 00:23:01.018
Ze hebben bij ons gekeken: Hoe kan dit op internet komen?

264
00:23:01.023 --> 00:23:05.020
Het ligt niet aan het ons netwerk, het is een menselijk ding.

265
00:23:06.000 --> 00:23:09.013
We zijn aan het kijken hoe het komt dat het elders...

266
00:23:09.018 --> 00:23:12.018
dat het nu openbaar staat zonder password.

267
00:23:15.005 --> 00:23:20.015
Beursgevoelige informatie vinden we ook bij een medewerker van Ballast Nedam...

268
00:23:20.020 --> 00:23:24.014
die plannen over toekomstige projecten laat slingeren.

269
00:23:24.019 --> 00:23:27.001
Tegen de regels in van het bedrijf.

270
00:23:41.003 --> 00:23:42.015
Mensen willen gemak.

271
00:23:42.020 --> 00:23:46.002
Ze wilde hetzelfde gemak dat ze thuis hebben...

272
00:23:46.007 --> 00:23:49.014
dat je alles op je tablet of je telefoon kan zien...

273
00:23:49.019 --> 00:23:52.018
Dat willen ze ook voor hun bedrijfsinformatie.

274
00:23:52.023 --> 00:23:55.019
Dus dat kopieren ze en nemen ze mee naar huis.

275
00:23:55.024 --> 00:23:58.001
Dat is bijna niet tegen te houden.

276
00:23:58.006 --> 00:24:02.013
Zelfs gegevens van de overheid lekken uit via de Iomegaschijven.

277
00:24:02.018 --> 00:24:05.011
Dit is het hoofdkantoor van Europol...

278
00:24:05.016 --> 00:24:10.009
het internationale samenwerkingsverband van de Europese politiekorpsen.

279
00:24:10.014 --> 00:24:14.019
Hier ligt zeer geheime informatie in de computers opgeslagen...

280
00:24:14.024 --> 00:24:19.017
over internationale criminaliteit, op een speciaal beveiligd intranet.

281
00:24:19.022 --> 00:24:25.001
Telecombedrijf Orange legde het miljoenen kostende netwerk aan.

282
00:24:25.006 --> 00:24:29.003
We vinden de netwerkschijf van een ICT'er van Orange...

283
00:24:29.008 --> 00:24:35.004
met daarop honderden documenten over het intranet dat deze ICT'er bij Europol aanlegde.

284
00:24:35.009 --> 00:24:39.024
Geheime informatie, zoals wachtwoorden van het Europolcomputers.

285
00:24:40.004 --> 00:24:43.021
Informatie die niet onbeveiligd op internet mag staan.

286
00:24:44.001 --> 00:24:48.018
Volgens Orange zijn de gelekte gegevens een droom voor elke hacker.

287
00:24:51.020 --> 00:24:56.015
Maar volgens Europol zelf valt dat wel mee, zegt de woordvoerder.

288
00:25:53.010 --> 00:25:57.017
We bellen de ICT'er van Orange die dit lek heeft veroorzaakt.

289
00:25:57.022 --> 00:26:01.007
Goeiedag, u spreekt met Vincent Verweij van de KRO.

290
00:26:01.012 --> 00:26:06.012
Ik wou even dringend met u spreken.

291
00:26:06.017 --> 00:26:08.021
En liever niet over de telefoon.

292
00:26:18.002 --> 00:26:21.022
De directie van Orange wil ook niet op camera reageren.

293
00:26:22.002 --> 00:26:26.017
In plaats daarvan spande Orange een kort geding aan tegen de KRO...

294
00:26:26.022 --> 00:26:29.022
in een poging deze uitzending te verbieden.

295
00:26:30.002 --> 00:26:34.000
Vandaag is de behandeling van het kort geding...

296
00:26:34.005 --> 00:26:39.002
dat aanhangig is gemaakt door Orange Business Netherlands BV...

297
00:26:39.007 --> 00:26:42.020
daar komt u voor, tegen de KRO.

298
00:26:43.000 --> 00:26:45.018
Tijdens de procedure gaf Orange aan...

299
00:26:45.023 --> 00:26:49.016
dat er gevoelige informatie is gelekt waarmee derden...

300
00:26:49.021 --> 00:26:53.014
toegang zouden kunnen krijgen tot netwerken van klanten...

301
00:26:53.019 --> 00:26:56.009
maar lag de fout bij de medewerker thuis...

302
00:26:56.014 --> 00:26:59.010
niet bij het bedrijfsnetwerk van Orange zelf.

303
00:26:59.015 --> 00:27:03.008
De rechter stelde Reporter grotendeels in het gelijk...

304
00:27:03.013 --> 00:27:07.004
en bepaalde dat de kwestie gewoon in deze uitzending...

305
00:27:07.009 --> 00:27:09.010
aan de orde mag worden gesteld.

306
00:27:12.022 --> 00:27:16.003
Tijd om Iomega zelf om opheldering te vragen.

307
00:27:16.008 --> 00:27:18.024
Hoe is het mogelijk dat zo veel data...

308
00:27:19.004 --> 00:27:22.004
zomaar onbeveiligd voor het grijpen ligt?

309
00:27:22.009 --> 00:27:27.006
Feit is dat ik hier een lijst heb met 16.000 IP-nummers...

310
00:27:27.011 --> 00:27:31.018
waarop een open toegankelijke Iomega-netwerkschijf staat.

311
00:27:35.006 --> 00:27:38.003
Ja, en in Nederland ruim 1200.

312
00:27:47.009 --> 00:27:52.006
Nou, nee. Het probleem is dat Iomega het niet 'enabled' heeft.

313
00:28:01.011 --> 00:28:05.016
Een week later is er nog steeds geen reactie van de directeur.

314
00:28:05.021 --> 00:28:09.012
Daarom gaan we die maar even vragen op het hoofdkantoor.

315
00:28:09.017 --> 00:28:11.024
Ik kom voor Filip Joly van Iomega.

316
00:28:12.004 --> 00:28:14.007
Ja, u mag even plaatsnemen.

317
00:28:14.012 --> 00:28:18.023
Heeft u een afspraak met meneer Joly? Hij weet waar het over gaat.

318
00:28:23.019 --> 00:28:27.010
Meneer Joly zou... Nee, ik ben niet Joly. Maar aangenaam.

319
00:28:27.015 --> 00:28:30.022
Er staat 30.000... Sorry, ik moet het goed zeggen.

320
00:28:31.002 --> 00:28:35.007
Er staat 30 petabyte... Stopt u maar, want meneer Joly is er niet.

321
00:28:35.012 --> 00:28:37.007
En die komt ook niet terug.

322
00:28:37.012 --> 00:28:41.003
Meneer Joly hebben we een week geleden geinformeerd...

323
00:28:41.008 --> 00:28:45.001
en gevraagd om een reactie. We hebben niets meer gehoord.

324
00:28:45.006 --> 00:28:49.004
Meneer Joly reageert niet. Wij hebben er niks op te zeggen.

325
00:28:49.009 --> 00:28:51.008
Dan gaan we een stapje hoger.

326
00:28:51.013 --> 00:28:54.010
U bent toch het moederbedrijf van Iomega?

327
00:28:54.015 --> 00:28:57.010
Ja, maar dat had u zelf al uitgezocht. Ja.

328
00:28:57.015 --> 00:29:00.014
Als hij niet wil antwoorden vraag ik het aan u.

329
00:29:00.019 --> 00:29:06.020
Waarom staat er 30 miljoen gigabyte aan Iomegaschijven openlijk aan het internet te lekken?

330
00:29:07.000 --> 00:29:11.019
Wij zijn niet van plan om voor een lopende camera met u te praten.

331
00:29:18.018 --> 00:29:21.002
Meneer Joly, met Verweij van de KRO.

332
00:29:21.007 --> 00:29:25.009
Ik heb u geinformeerd over een groot beveiligingsprobleem.

333
00:29:25.014 --> 00:29:28.003
Ik sta voor kantoor, maar u bent er niet.

334
00:29:28.008 --> 00:29:31.023
We willen graag weten waarom er 30 miljoen gigabyte...

335
00:29:32.003 --> 00:29:35.016
aan Iomegaschijfruimte staat te lekken op internet.

336
00:29:35.021 --> 00:29:40.011
Dat zijn vertrouwelijke gegevens. Waarom reageert u daar niet op?

337
00:30:08.004 --> 00:30:12.023
Er zijn mensen bij Iomega die precies weten hoe dit werkt qua veiligheid.

338
00:30:13.003 --> 00:30:17.015
Maar dan heb je ook weer dat die techneuten heel vaak waarschuwen:

339
00:30:17.020 --> 00:30:20.002
Dit moeten we gewoon dicht zetten.

340
00:30:20.007 --> 00:30:24.002
Maar marketing vindt het te veel gedoe om dat uit te leggen.

341
00:30:24.007 --> 00:30:27.010
Het uitleggen van een feature kost veel moeite.

342
00:30:27.015 --> 00:30:29.013
Dan delven ze het onderspit.

343
00:30:29.018 --> 00:30:33.002
Zij moeten aan de bak om de veiligheid te vergroten.

344
00:30:33.007 --> 00:30:36.010
Filip Joly van Iomega heeft nooit teruggebeld.

345
00:30:36.015 --> 00:30:40.013
Wel kregen we een telefoontje van zijn collega's uit Amerika.

346
00:31:30.003 --> 00:31:34.024
De volgende, beveiligde softwareversie van Iomega komt in februari uit.

347
00:31:35.004 --> 00:31:39.005
Tot die tijd moeten gebruikers het apparaat zelf beveiligen.

348
00:31:39.010 --> 00:31:44.007
Wilt u weten hoe u dat kunt doen, ga dan naar reporter.kro.nl.

349
00:31:44.012 --> 00:31:48.007
Nee, dit is absoluut niet de bedoeling. Nee.

