Beheer

Privacy
sex

De hack van Hookers.nl : driehonderd dollar met grote gevolgen

Nederlands erotisch forum gehackt: wat betekent dit voor de 250 duizend gebruikers?

© CC BY 2.0 - Flickr Leda Carter
11 oktober 2019

Nederlands erotisch forum gehackt: wat betekent dit voor de 250 duizend gebruikers?

De hacker van het Nederlandse prostitutieforum Hookers.nl had veel meer geld kunnen vragen voor de 250 duizend gestolen accounts. Hij verkoopt de database voor driehonderd dollar. “Ik denk dat de hacker niet doorhad wat hij in handen had”, zegt beveiligingsdeskundige Rickey Gevers van Scattered Secrets.

Op Hookers.nl wisselen mensen, vooral Nederlanders, ervaringen en tips uit over het bezoeken van escorts en prostituees. Zij hebben er accounts, net als een deel van de sekswerkers. Een hacker heeft via een bekende kwetsbaarheid in de forumsoftware alle 250 duizend accounts buitgemaakt, bevestigt Hookers na onderzoek en berichtgeving van de NOS. Het gaat om e-mailadressen, gebruikersnamen, ip-adressen en wachtwoorden.

De wachtwoorden zijn volgens de NOS gehasht (bcrypt met salt). “Als dat klopt, betekent het dat iemand heel veel moeite moet doen om de wachtwoorden te kraken,” legt Gevers uit. Maar, zegt hij, ook zonder inzicht in de wachtwoorden biedt de dataset pikante informatie. Een deel van de gebruikersnamen en e-mailadressen is namelijk eenvoudig te herleiden naar echte personen, een gedachte waar sommige Hookers-gebruikers liever niet aan denken. Een woordvoerder van de site zegt tegen de NOS te begrijpen dat ‘je misschien niet wil dat mensen weten dat je hier een account hebt.’

‘Meest gevoelige gelekte database’

Om die reden vindt Gevers driehonderd dollar voor de hele database weinig geld. “Dit is naar mijn mening de meest gevoelige database die ooit gelekt is. Die driehonderd dollar is een marktconforme prijs voor een dataset met 250 duizend normale accounts. Maar deze database is zo gevoelig dat de hacker er meer voor had kunnen vragen.” Misschien besefte hij dat niet helemaal, oppert de beveiligingsonderzoeker. 

Freelance IT-specialist Jeroen van Beek, ook betrokken bij Scattered Secrets, kraakt al jaren wachtwoorden en vindt de vraagprijs van driehonderd dollar minder vreemd. “Ik kan mij voorstellen dat deze wachtwoorddump een lagere prijs heeft omdat de wachtwoorden moeilijk te kraken zijn en het relatief weinig accounts betreft.” Van Beek komt regelmatig wachtwoorddumps met tientallen miljoenen accounts tegen. Bovendien denkt hij dat er beperkte interesse is in het doorverkopen van de gegevens van de site. “Als je je registreert, kan je ook alles lezen. En ik verwacht niet dat mensen daar hun NAW-gegevens of andere privéinformatie delen.” Er valt dus relatief weinig te halen, zegt hij. “En in vergelijking met sommige andere gelekte databases valt Hookers wel mee. Ik heb datalekken van nare erotische sites gezien die echt erger zijn.”

Erger dan een pornosite

Ook Gevers heeft de afgelopen jaren diverse databases van erotische sites voorbij zien komen, en spotte onder andere accounts van politici. “Ik denk wel dat het Hookers.nl-lek erger is dan bijvoorbeeld een reguliere pornosite. Mensen praten hier onder andere over hun bezoek aan een prostituee.” Gevers noemt dit lek een ‘lichte gamechanger’ omdat cybercriminelen de database bij uitstek kunnen gebruiken voor afpersing.

Afpersing ligt op de loer

De afpersingsmogelijkheden zijn groot, legt hij uit. Het is gebruikelijk dat een hacker zijn database aan meerdere mensen verkoopt of ruilt tegen een andere interessante database. Een groeiend aantal kwaadwillenden krijgt zo toegang tot de gegevens. Waarschijnlijk laten ze de wachtwoorden in eerste instantie liggen omdat die moeilijk te kraken zijn. Maar de andere, niet-beveiligde, informatie is te combineren. “Lang niet alle cybercriminelen zullen je proberen af te persen, het is wachten tot er iemand misbruik van gaat maken”, zegt Gevers. “Ze kunnen je per mail confronteren met je Hookers.nl-account en dreigen die informatie te delen met je vrouw of adressenboek als je niet betaalt.”

Dit type hack is lucratief voor de hacker, zegt ook Prash Somaiya van HackerOne in een schriftelijke reactie. “Cybercriminelen scoren met zo’n erotische site twee keer omdat ze de data kunnen verkopen én de data kunnen gebruiken om klanten af te persen.”

Phishing

Dat het Hookers.nl-datalek het internationale nieuws heeft gehaald, betekent volgens Van Beek ook dat spammers nu op de hoogte zijn. Die kunnen via eenvoudig verkrijgbare spamlijsten ‘heel Nederland’ een phishing-e-mail sturen waarin staat dat je een Hookers-account hebt en moet betalen om dat geheim te houden. “Het is schieten met hagel, maar met 250 duizend accounts gaan er vast mensen intrappen.” Somaiya van HackerOne denkt daar ook zo over en waarschuwt voor oplichters die zich voordoen als de hacker(s) van Hookers.nl. 

Wat moeten Hookers-gebruikers doen?

Wie daadwerkelijk een account heeft op het Hookers-forum, doet er volgens beveiligingsdeskundige Gevers goed aan zijn sociale mediaprofielen direct af te schermen. Dat valt inderdaad op voor je naasten, maar dan ben je wel moeilijker vindbaar voor potentiële afpersers. “Die zijn opportunistisch: als ze jou niet kunnen vinden, gaan ze door naar de volgende.” Van Beek raadt gebruikers aan te controleren of ze hun wachtwoord van Hookers.nl ook bij andere sites, apps en diensten gebruiken. Zo ja, pas die direct aan. “Het is schade beperken, maar in feite kun je er nu weinig meer aan doen.” Van Beek acht de kans groot dat de database vroeg of laat publiekelijk beschikbaar komt.

Flirtsexchat en Ashley Madison

Overigens is Hookers.nl niet de enige erotische site die recent slachtoffer is geworden van een hack. Op 3 oktober berichtte Vice dat hackers in september een onbekend aantal gebruikersgegevens gestolen hebben van de internationale site Flirtsexchat. De hacker of hackers maakte(n) gebruik van dezelfde kwetsbaarheid in de vBulletin-forumsoftware. Ook bij Flirtsexchat zijn e-mailadressen, gebruikersnamen, IP-adressen en gehashte wachtwoorden buitgemaakt. Die data wordt inmiddels verhandeld door hackers, schrijft Vice na onderzoek op cybercrimefora. In 2015 werd Ashley Madison gehackt, een site voor vreemdgangers. Zo’n 35 miljoen mensen werden ‘slachtoffer’ en daar zaten ook 594 betalende Nederlanders bij. Het hack resulteerde in speciale zoekmachines voor vreemdgangers, veel afpersing en scheidingen. Twee gebruikers pleegden zelfmoord toen ze erachter kwamen dat hun gegevens gelekt waren.

Denk jij aan zelfmoord of maak je je zorgen om iemand anders? Bel dan 0900-0113 of chat via 113.nl. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.