Cisco’s videocalldienst Webex ligt onder vuur. Uit Duits onderzoek blijkt metadata van talloze vergaderingen toegankelijk zijn geweest door enkel de URL aan te passen. Het betreft onder meer data over gesprekken van de overheden in Nederland, Duitsland en elders in Europa, naast beursgenoteerde bedrijven. Wat was er precies aan de hand?
De metadata in kwestie betrof de titel en omschrijving van de videocall, naast de naam van de gastheer. Die Zeit bemachtigde gegevens van overheden en bedrijven in Duitsland, Nederland, Italië, Oostenrijk, Frankrijk, Zwitserland, Ierland en Denemarken. Het gaat hierbij om honderdduizenden meetings, hoewel Duits journalist van Die Zeit Eva Wolfangel slechts twee keer daadwerkelijk wist binnen te komen in een afgeschermd gesprek. De Duitse sociaaldemocratische partij (SPD) en zorgverzekeraar Barmer waren de getroffen partijen.
Webex wordt veelal gezien als een veiliger alternatief voor Microsoft Teams en Zoom. Desondanks vergaderen overheden en bedrijven vanzelfsprekend bij voorkeur fysiek als het over zeer gevoelige informatie gaat.
Het Die Zeit-onderzoek laat verschillende tekortkomingen zien in Webex. Een Webex-meeting met een wachtwoord was bijvoorbeeld niet altijd daadwerkelijk beveiligd. Gebruikers die de code niet wisten, zouden met het intoetsen van een hekje kunnen binnenkomen. Omdat de Webex-call van de SPD telefonisch verliep, was door niemand te zien dat Wolfangel aanwezig was. Vanzelfsprekend zou een inbreuk bij gesloten videovergaderingen met een handjevol deelnemers snel opvallen.
Stap 2 van onderzoek
Wolfangel sprak met Nieuwsuur over haar bevindingen en deelde de informatie eerder op Zeit Online. Door het incident omschreef de NOS Webex vanochtend als een ‘onveilig vergaderprogramma‘. Om precies te weten waarom dit een wel erg voorbarige conclusie is, dient het onderzoek van Die Zeit in een wat grotere context geplaatst te worden. Overigens blijft de Nederlandse regering Webex gebruiken omdat de bug is opgelost.
Wolfangel publiceerde begin mei al een artikel waarin ze omschreef dat het Duitse leger (de Bundeswehr) en de overheid aldaar met een lek te maken hadden. Informatie over videocalls was online aan te spreken, zelfs als deze geheim waren. Het ging hierbij om een on-prem versie van Webex die het Duitse leger beheerde. De links naar deze variant waren eenvoudig te raden: wie één link had, kon met een enkele getalwijziging een link naar een andere vergadering vinden. Volgens Cisco was dat niet mogelijk met de cloudvariant die elders in gebruik is, maar dat zou dus wel hebben gekund. De cloudversie zou een willekeurig 9- tot 11-cijferig getal genereren voor de links.
Maandenlang wist Die Zeit op deze manier informatie te vergaren over online gesprekken van meerdere Europese overheden en bedrijven. Men deelde dit met Cisco, dat op zijn beurt vroeg naar de exacte methodiek waarmee de initiële links werden gevonden. Dat deed Die Zeit niet (en dat legt Wolfangel ook niet uit in het nieuwe artikel), waardoor het Amerikaanse bedrijf niet precies kon stellen hóé het onderzoeksmechanisme de bug exploiteerde. Sinds 28 mei is de Webex-bug alsnog opgelost en zou er geen gebruik meer worden gemaakt van voorspelbare getallen per call.
Misconfiguratie?
We trekken niet in twijfel dát de Duitse nieuwssite de Webex-gegevens kon raadplegen. Echter werpt de uitleg veel vragen op die op een cruciaal punt onbeantwoord blijven. Toegang tot metadata is zorgelijk, aangezien (zoals andere media al aanhaalden) spionnen en andere actoren deze informatie kunnen inzetten voor malafide doeleinden. Zo zou een land als Rusland of China erachter kunnen komen of bepaalde geheime activiteiten van hen op de radar van een Ministerie van Defensie staan in Europa, om maar een voorbeeld te noemen.
Ondanks dat de metadata van honderdduizenden videocalls bemachtigd werd, wist Wolfangel zoals gezegd slechts bij twee gesprekken binnen te komen. Dit zijn dus zonder meer niche uitzonderingen, waarbij de integriteit van Webex an sich niet in het geding komt. Volgens Cisco waren de enige ‘waarneembare pogingen’ om de kwetsbaarheid te exploiteren vanuit het Die Zeit-onderzoek. Eveneens is Webex in de standaard configuratie voorzien van een wachtwoord. Dit omzeilen kan klaarblijkelijk niet om de haverklap, aangezien Wolfanger slechts twee keer een meeting binnenkwam.
In Nederland zijn geen Webex-calls gecompromitteerd, afgezien van de metadata in handen van de Duitse nieuwsorganisatie. Staatssecretaris Van Huffelen start een onderzoek, laat ze weten via een brief aan de Tweede Kamer. De voornaamste zorg is dat de overheid kennis moest nemen van het Webex-incident via de Duitse pers en niet door Cisco. Echter was laatstgenoemde zoals gezegd niet volledig op de hoogte van de methode van Die Zeit, iets dat een heldere advisory in de weg staat. We hebben eerder bericht over publieke blogs van Microsoft die later onjuist bleken te zijn, waar dat bedrijf vurige kritiek op kreeg vanuit de Amerikaanse overheid. Het is dus zaak voor techbedrijven om hun security-communicatie tijdig, correct en volledig te leveren. Daarvoor moet men wel volledig ingelicht worden door een externe melding, waar hier geen sprake van leek te zijn.
Oplossingen
Om terug te komen op wat Cisco aan te rekenen valt: het feit dat er geen sprake was van willekeurige getallen voor geplande meetings, is een security-misser. Gevoelige data dient nooit met een eenvoudige linkwijziging te vinden te zijn. Echter is dit inmiddels opgelost, waardoor Webex nog altijd geldt als relatief veilige vergadersoftware. Ten tweede laat het eerdere stuk van Die Zeit over de publiek beschikbare links vanuit de Duitse overheid zien waar cruciale fouten op dit front gemaakt worden. Als meeting-ID’s online te vinden zijn, gaat er al iets anders goed mis.
Lees ook: Google bevestigt lek van 2.500 interne SEO-documenten