Nederlandse startups niet bang door Twittergate

Wakoopa-oprichter Robert Gaal schrok wel even toen hij hoorde over de gestolen Twitter-bedrijfsdocumenten. Een Franse hacker wist het wachtwoord van het Gmail-account van een Twitter-medewerker te achterhalen. De vervolgens buitgemaakte vertrouwelijke documenten en spreadsheets zijn doorgespeeld door aan ict-nieuwssite TechCrunch.

"Genant", aldus Gaal, die zegt dat iedereen bij Wakoopa na het nieuws over Twittergate nog even heeft gedubbelcheckt of ze niet te makkelijke wachtwoorden gebruiken.

Gaal: "Het is echt te dom voor woorden van Twitter dat de medewerkers heel erg voor de hand liggende vragen en antwoorden gebruikten om een 'verloren' webmail-wachtwoord terug te krijgen. Ook gebruikten ze het wachtwoord 'password' voor de server. Je weet dat als je Twitter bent mensen gaan graven naar informatie."

Geen geld voor hosting

Ook Wakoopa zet alle bedrijfsinformatie in de cloud. De medewerkers synchroniseren alle bestanden via Dropbox, en gebruiken allemaal webmail zoals Gmail en andere Google-diensten. Gaal vindt het niet meer dan normaal dat een startup kiest voor de cloud, en niet voor een hosted oplossing. "Je kan niet zonder als startup. Je kan geen hosted services betalen of hebt geen tijd om het te installeren en onderhouden."

Wel vindt hij een goed wachtwoordbeheer een vereiste. Bij Wakoopa gebruiken ze random gegenereerde wachtwoorden. "Dat zijn hele lange series letters en cijfers. Ook gebruik ik verschillende wachtwoorden voor verschillende diensten. Dat vind ik genoeg veiligheid om geen kostbare eigen servers aan te schaffen."

Bij My Name Is E, Nederlandse maker van digitale visitekaartjes, wordt een groot deel van de bedrijfsinformatie via Google Apps gedeeld onder de 10 medewerkers, vertelt medeoprichter Renato Valdés Olmos. "Technische documenten delen we via cloudservices zoals Google Docs, Google Calender, Highrise en Basecamp. Die software werkt gewoon het beste voor ons. Beter dan lokale software."

Wel eigen mailserver

Maar voor vertrouwelijke financiële informatie gebruikt My Name Is E wel desktopsoftware. "En als we die info willen delen dan we doen we dat via onze eigen gehoste mailserver [@mynameise.com - red.]. Ook privéinformatie over werknemers houden we graag binnenshuis."

Robert Gaal van Wakoopa denkt overigens dat Twitter niet in de problemen komt door de documenten die op straat liggen. "We wisten toch al dat Google interesse had in een overname? Of dat ze met Microsoft gepraat hebben. So what? Iedere startup heeft wel eens met Microsoft gepraat. Wij ook. Wat wel niet zo handig is, is dat er in staat dat ze CoTweet willen overnemen. Dat drijft de prijs op."

Safeword token

Volgens Capgemini, dat bedrijven ondersteunt bij de migratie naar Google Apps, moeten bedrijven goed kijken naar "de gevoeligheid van de documenten en het gegarandeerde beveiligingsniveau van de service provider", voordat ze dingen online zetten. Ook de beschikbaarheid van het netwerk kan van belang zijn.

Ook benadrukt Capgemini sterke wachtwoorden. "Zorg dat ze niet gemakkelijk te raden zijn. Dus niet de naam van je partner, hond of kat. Gebruik verschillende tekens door elkaar, voldoende lang en wijzig het wachtwoord geregeld. Ook moet de virus- en malwarescanner actueel zijn, en moet er regelmatig gescand worden op programmatuur dat wachtwoorden kan onderscheppen." Verder adviseert Capgemini de communicatie te versleutelen bij het intypen van het wachtwoord, of om certificaten of iets dergelijks te gebruiken als een safeword token.

Update: Reactie Capgemini toegevoegd in de laatste alinea