Eind februari doken op verschillende websites (naakt)foto's op die afkomstig waren van de mobiele telefoon van Paris Hilton. Ook verscheen Hiltons complete adresboek - met daarin de telefoonnummers van tout bekend Amerika - op internet. Sterren als Eminem, Anna Kournikova en Fred Durst werden in de dagen na de hack platgebeld.

Was de hack een actie van een technisch genie of was hier sprake van een blunder van Paris Hilton of T-Mobile?

Al snel bleek dat de wachtwoordbeveiliging die de rijkeluisdochter voor haar T-Mobile-account gebruikte, niet veel voorstelde. Net als bij veel andere online diensten kunnen gebruikers van T-Mobile hun wachtwoord opvragen door een 'geheime vraag' te beantwoorden. Bij Paris Hilton was de geheime vraag: "Wat is de naam van je favoriete huisdier?" Geen ingewikkelde vraag voor wie weet dat Paris Hilton en haar chihuahua Tinkerbell onafscheidelijk zijn.

Sidekick

Maar ook T-Mobile ging niet vrijuit. De groep hackers die erin slaagden om de foto's en het adresboek van Hilton te bemachtigen, had namelijk al maanden toegang tot diverse T-Mobile-accounts dankzij een veiligheidslek op de site van T-Mobile, zo blijkt uit een reconstructie van de Washington Post.

Door een fout in de wachtwoordbeveiliging konden de hackers de accounts binnendringen van T-Mobile-klanten met een zogeheten Sidekick, een geavanceerde mobiele telefoon annex organizer.

Wie er in slaagt om een account te kraken van een Sidekick-gebruiker, heeft onmiddellijk toegang tot een schat aan gevoelige informatie. De data (agenda, foto's, adressen, video) van de Sidekick worden namelijk opgeslagen op centrale servers van T-Mobile.

Ook Paris Hilton was in het bezit van een Sidekick. De hackers wisten dat, omdat ze ooit reclame heeft gemaakt voor het apparaat. En dus besloten ze op een dag dat het tijd werd om het T-Mobile-account van Paris Hilton te kraken.

Social engineering

Daarbij moesten de hackers wel een hindernis uit de weg ruimen: om iemands account te kraken, is het nodig om diens telefoonnummer te weten. En dat wisten de hackers in het geval van Paris Hilton niet. De oplossing: social engineering, een vorm van hacken die vooral bekend is geworden dankzij meesterhacker Kevin Mitnick.

Bij social engineering draait het niet om technische kennis, maar om de juiste sociale vaardigheden. Een social engineer probeert mensen zover te krijgen dat ze informatie verstrekken die ze eigenlijk niet bekend mogen maken.

Iemand die bijvoorbeeld een geheim telefoonnummer wil achterhalen, kan natuurlijk 118 bellen, maar de kans dat die methode enig resultaat oplevert, is nihil. Meer succes heeft diegene waarschijnlijk als hij naar een medewerker van een telecombedrijf belt en zich voordoet als 'collega'.

Jackpot

En dat is precies wat de Hilton-hackers deden, zo vertelt één van de minderjarige verdachten aan de Washington Post. Op 19 februari belde een lid van de hackersgroep met een T-Mobile-winkel in California.

De hacker deed zich voor als 'supervisor' en informeerde naar problemen met het bedrijfsnetwerk. "Dit is [een verzonnen naam] van het hoofdkwartier van T-Mobile in Washington. We hebben begrepen dat u problemen heeft met de klantgegevens?"

De verkoper wist niets van de problemen. Hooguit was het netwerk af en toe wat traag. Een reactie waardoor de hacker zich niet uit het veld liet slaan. "Dat staat hier ook in de melding", luidde zijn antwoord. "We moeten dit even onderzoeken."

De verkoper van de T-Mobile-winkel gaf vervolgens zonder verdere vragen het webadres dat hij gebruikte om toegang te krijgen tot de gegevens van T-Mobile-klanten. Plus zijn gebruikersnaam en wachtwoord.

Met behulp van deze informatie konden de hackers de telefoonnummers van een flink aantal bekende Amerikanen achterhalen. Waaronder die van Paris Hilton. Een triomf, vertelt de anonieme, minderjarige hacker aan de Washington Post. "Toen ik naar haar camera ging en de naaktfoto's zag, dacht ik: jackpot."