De aanvallers maakten gebruik van een nog onbekend lek in Twig, een e-mail client die op de persoonlijke server van onderzoeksjournalist Brenno de Winter draait. De aanvallers hebben daarmee zondagochtend toegang gekregen tot de inbox op deze server, waarbij enkele duizenden e-mailberichten mogelijk zijn ingezien. Na de aanval heeft De Winter de getroffen applicatie van de server verwijderd.

Telegraaf

De Winter en Webwereld hebben zondagmiddag besloten om de hack zelf te melden. Dit artikel is om 17:06 uur verschenen. Vlak na publicatie werd de journalist gebeld door een verslaggever van de Telegraaf, meldt De Winter om 17:28 uur via Twitter.

De aanvaller heeft de krant benaderd met informatie over de inbraak.

In eerste instantie ging De Winter er al van uit dat de inbraak verband hield met Lektober, een actie waarbij hij samen met Webwereld de aandacht vestigt op de beveiliging van privégegevens. “Toen ik het lek ontdekte leek het mij verstandig om dit ook als voorbeeld te nemen", vertelde De Winter zondagmiddag tegen Webwereld. “Als ik zelf kritisch naar anderen ben, vind ik ook dat ik zelfkritiek moet hebben. Je kunt proberen het stil te houden, maar ik geloof daar niet zo in. Natuurlijk is het goed als je een hack ontdekt, maar het is jammer dat ik het niet tijdens het plegen heb kunnen ontdekken."

Mooie zero-day

Na het gesprek met de Telegraaf licht De Winter toe dat de aanvallers open source programma Twig hebben gedownload en daarin hebben gezocht naar een kwetsbare plek. "Respect dat ze de code van Twig hebben gedownload en daar een nieuw lek in hebben gevonden", zegt De Winter. "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."

In een eerdere versie van dit artikel werd gemeld dat de krant zelf opdracht had gegeven voor de inbraak, maar zoals het er nu naar uitziet is dat niet het geval. "Het bericht dat wij opdracht hebben gegeven om te hacken is lariekoek", zegt Roel den Outer, nieuwchef van de Telegraaf tegenover Webwereld.

'Lektober ging te ver'

De aanvallers hebben een uitgebreid verslag geschreven van de inbraak en dat opgestuurd naar de Telegraafverslaggever. De verslaggever was telefonisch niet bereikbaar en reageerde zondag avond niet op een e-mail van Webwereld. De informatie uit dat verslag is bekend bij De Winter.

Volgens De Winter identificeren de aanvallers zich als "Kwik, Kwek en Kwak" en bepleiten zij dat Lektober te ver is gegaan. Partijen met grote informatielekken zoals Cheaptickets en Neteyes worden ten onrechte "aan de schandpaal genageld", staat er volgens De Winter in het document. Lektober zou daarmee niet langer gaan over het verhogen van de bewustwording van informatiebeveiliging, maar een vrijbrief vormen voor aanvallen op willekeurige organisaties. De bewustwording zou daarmee omslaan in angstzaaierij.

Planet Internet

De aanval is teruggeleid tot een IP-adres bij Planet Internet: 84.86.130.xxx (uit privacy-overwegingen publiceren we de laatste 3 cijfers niet). De Winter heeft bij KPN geïnformeerd naar de aard van de aanval.

Voor zover we hebben kunnen nagaan, heeft de aanvaller geen pogingen ondernomen om de systemen van Webwereld binnen te dringen.

Lektober

Om de aandacht voor de beveiliging van privacygevoelige informatie te vergroten, hebben Webwereld en De Winter oktober uitgeroepen tot Lektober. Tijdens deze actie leggen zij elke dag van de maand een privacylek bloot. De actie heeft er ondermeer toe geleid dat de websites van tientallen gemeentes tijdelijk offline zijn gehaald en dat deze zijn losgekoppeld van DigiD.

Webwereld en De Winter waren zich vooraf bewust dat Lektober kon zorgen voor extra aandacht van beveiligingsonderzoekers voor de eigen websites. Op 5 oktober toonde een ontwikkelaar een cross site scripting lek in de website van Jobworld, een dochter van Webwereld. Dat lek is later op die dag gedicht.

Update 17:36 - vermeende rol van de Telegraaf vermeld. Artikel is op meerdere plaatsen gewijzigd.

Update 18:00 - commentaar Brenno toegevoegd na zijn gesprek met de Telegraaf.

Update 19:19 - informatie over beweegredenen aanvallers toegevoegd

Update 20:26 - NetEyes heeft zondagavond contact opgenomen met Webwereld. De ict-dienstverlener pareert de motivatie van hackers 'Kwik, Kwek en Kwak' door erop te wijzen dat er bij dat lekgeval geen privégegevens toegankelijk waren, alleen de log-in van het CMS voor de website van het bedrijf.