De afdeling van de Britse geheime dienst die gaat over dataverzameling, Government Communications Headquarters (GCHQ), is in verlegenheid gebracht omdat het wachtwoorden van accounts die sollicitanten aanmaakten in platte tekste e-mailde als ze een wachtwoordherinnering aanvroegen.

Sollicitanten moeten bij de geheime dienst een grote hoeveelheid persoonlijke informatie invullen, zoals informatie over familieleden, paspoortgegevens en adresgegevens. “Met dit soort gegevens is identiteitsfraude een grote zorg", aldus de klokkenluider die het probleem maanden geleden aankaartte.

'Komt door legacy'

Volgens de geheime dienst valt het allemaal wel mee met de schade. De GCHQ vertelt Britse techsite The Register dat dit slechts bij een klein percentage van de sollicitanten is gebeurd. “Het sollicitatiesysteem dat de GCHQ momenteel gebruikt is een legacy-systeem en we zijn momenteel bezig met het wijzigen van het systeem", laat de geheime dienst weten.

Een van de sollicitanten bracht de zaak in januari onder de aandacht bij de geheime dienst en merkte dat er 2 maanden na de ontdekking nog niets was veranderd. Hij ontving het wachtwoord op aanvraag opnieuw in platte tekst, waardoor eventuele aanvallers het wachtwoord meteen kunnen gebruiken. “Ik weet niet of we iemand die ons zou moeten beschermen wel kunnen vertrouwen als ze nog steeds zulke domme dingen doen", schrijft sollicitant Dan Farrall op zijn blog.

Aantrekkelijk doelwit

Ook roept het de vraag op hoe wachtwoorden worden opgeslagen op de servers van GCHQ. Wachtwoorden moeten gehasht opgeslagen worden en er zou salt moeten worden toegepast om brute force-aanvallen te bemoeilijken. Anonymous heeft de laatste jaren regelmatig gehashte wachtwoordlijsten gepubliceerd die betrekkelijk eenvoudig zijn te achterhalen met een reverse hash-lookup.

Dat het wachtwoord in platte tekst wordt verstuurd hoeft natuurlijk niet te betekenen dat het zo wordt opgeslagen, maar wijst er wel op dat de GCHQ een betrekkelijk eenvoudig methode heeft om wachtwoorden terug te halen. Gegevens van de geheime dienst zullen daarbij erg aantrekkelijk zijn voor hacktivisten.