De afgelopen dagen is Vodafone hevig in het nieuws geweest. De voicemails van veel ministers en kamerleden waren erg makkelijk af te luisteren door iedereen. Het schokkende hiervan is echter niet dat iedereen met een telefoon in staat was om bij informatie te komen die de staatsveiligheid in gevaar kan brengen. Nee! Het schokkende is dat het al lang bekend was dat dit mogelijk was, maar dat er tot nu toe niets aan gedaan is.
Bijna een jaar eerder schreef Jeroen Hendricksen al een blogpost waarin hij de gevaren al voorzag. Je kunt natuurlijk niet verwachten Vodafone rekening gaat houden met een simpele blogpost. Dan kijken we naar Govcert, het Cyber Security en Incident Response Team van de overheid. Volgens Webwereld heeft Govcert al op 21 januari heel specifiek gewaarschuwd voor deze lek. Nog steeds pikt Vodafone dit niet op.
Als opeens deze lekken in het nieuws komen, samen met enkele vrij onschuldige voicemails van ministers als bewijs breekt opeens paniek uit. Hoe heeft het kunnen gebeuren dat deze voicemails zo makkelijk af te luisteren zijn?! Gelukkig is Vodafone er snel bij. Vrij snel dichten ze de lek waarmee je met de standaard inlogcode (3333) kon inloggen in de voicemails en alles lijkt goed. De volgende dag komt een “nieuwe” lek in de publiciteit, dezelfde lek waar Jeroen Hendricksen al over schreef. Weer is Vodafone er als de bliksem bij en de volgende lek is weer gedicht.
Maar waarom heeft Vodafone nu pas gereageerd?
Volgens Hellegers heeft het bedrijf adequaat en tijdig gereageerd toen duidelijk werd dat het “risicoprofiel” veranderde door alle publiciteit. – Webwereld
Als ik dit lees ben ik blij dat ik geen Vodafone klant ben. Blijkbaar is het niet genoeg dat je afweet van lekken die de staatsveiligheid in gevaar zouden kunnen brengen. Zolang het geen publiciteit krijgt is er blijkbaar te weinig motivatie voor Vodafone om de lek te dichten. Dat er voor beide lekken binnen een dag een oplossing geïmplementeerd kan worden geeft aan dat de investering niet groot geweest kan zijn.
Moet de overheid het accepteren als een instelling al bijna een jaar (als het niet meer is) op de hoogte is van lekken die deze impact hebben, dat deze instelling niets doet? Ik ben van mening van niet. Als dit soort nalatigheid niet afgestraft wordt, waarom zou Vodafone, of elk ander bedrijf, dan nog de moeite nemen om dit soort problemen te voorkomen?
Maar dat is niet het enige gevaar van deze situaties. Vodafone ontmoedigd op deze manier ook het netjes melden van lekken. Het is namelijk gebruikelijk voor hackers om beveiligingslekken netjes te melden bij het betreffende bedrijf voordat ze de lek publiceren. Het bedrijf heeft zo de kans om de lek te dichten voordat meer mensen mensen het kunnen misbruiken. Vodafone laat zien dat ze niets doen bij een nette waarschuwing. Ze nemen pas maatregelen bij gepubliceerd en gevaarlijk misbruik en dat gedrag is op zichzelf al gevaarlijk.