De hackers verkregen toegang tot vrijwel alle systemen van Sonera in Nederland en enkele in het buitenland. Met speciale software – sniffers – werd het internetverkeer van Sonera-gebruikers afgetapt. Naast de loginnamen en wachtwoorden onderschepten de hackers zo ook creditcardnummers en inloggegevens die gebruikt worden voor diverse webdiensten.

De sniffer had soms moeite met het opslaan van alle gegevens. "Het scheen dat de sniffer een kleine 1000 wachtwoorden per minuut pakte", aldus een ingewijde in de hackersscene. In totaal zouden meer dan 100.000 inlognamen en wachtwoorden zijn buitgemaakt. Security.nl, een site over computerbeveiliging, raadt elke Sonera-abonnee aan wachtwoorden die de afgelopen weken zijn gebruikt te wijzigen.

Megahack

Naast gebruikersgegevens tapten de hackers ook e-mailverkeer, van abonnees en ook intern van Sonera-medewerkers. WebWereld kreeg inzage in enkele van deze interne mailtjes. Het gaat om maandelijkse abonneeoverzichten, interne vacatures en een mailwisseling tussen de Technology Manager van Sonera in Nederland en zijn Finse collega over hackactiviteiten.

De Sonera-hack gaat veel verder dan digitale graffiti. Bij recente hacks, bijvoorbeeld die van investeerder Newconomy en verzekeraar Unive, bleef de schade 'beperkt' tot het aantonen van grote fouten als het openstaan van directories en het niet dichten van gaten in de serversoftware. Bij Sonera kregen de krakers het volledige systeem in handen, ze werden 'root'.

Zer0day bug

Volgens Gerrie Mansur, beveiligingsexpert van Hit2000, gebruikt Sonera op haar systemen de besturingssystemen Linux, AIX en Solaris. De internetaanbieder zou al ruim twee maanden op de hoogte zijn van het veiligheidsgat. Met die kennis is niets gedaan, zegt Mansur.

Bij de inbraak is gebruik gemaakt van een nog onbekend veiligheidsgat, de 'zer0day bug'. "Dit is een fout die nog niet bekend is gemaakt", zegt Mansur. "Alleen hackers en specialisten met goede contacten kunnen over dergelijke zer0day exploits beschikken."

E-mail afgesloten

Dagblad De Telegraaf publiceerde zaterdag als eerste over de hack. Sonera trok vrijdagavond de stekker uit de mail- en homepageserver. Abonnees kunnen sinds die tijd geen mail meer ontvangen of hun homepage wijzigen. Bij het ophalen van mail krijgen abonnees wel telkens een in brak Nederlands gestelde excuusmelding. Sonera zal alle gebruikers nieuwe inloggegevens sturen. Op dinsdag moeten de problemen opgelost zijn.

Mansur heeft daar een hard hoofd in, omdat het een exotisch veiligheidsgat betreft. Hit2000 heeft haar diensten aangeboden. "Als Sonera een contract aangaat met Hit2000 nemen wij de hackers in dienst. Alle data wordt dan vernietigd. De gaten worden gedicht, inclusief de gaten die ze de komende maanden toch niet zullen vinden", zegt Mansur.

Sonera gaat vooralsnog niet in op het aanbod van Hit2000. Vanuit Finland, het thuisland van Sonera, is een veiligheidsexpert ingevlogen om de gaten te dichten, bevestigt woordvoerster Yvette d'Hamecourt.

Goedwillende hackers

Gedupeerde abonnees hoeven volgens Mansur, die de hackers kent, niet bang te zijn dat hun gegevens worden misbruikt. "Deze hackers hebben geenszins kwaad in de zin. Ze hebben zich voor zover ik kan oordelen aan de oude hackerscode gehouden."

Sonera biedt in Nederland internet via de telefoonlijn onder de naam Sonera Internet en kabelinternet met Sonera Quicknet.