Op een parkeerplaats in het Verenigd Koninkrijk is een USB-stick gevonden die aanmeldgegevens bleek te bevatten van 12 miljoen Britten voor een belangrijke overheidssite. De stick behoorde tot Atos Origin, een IT-dienstverlener.
De aanmeldgegevens waren bedoeld voor het Online Government Gateway-systeem waar burgers toegang kunnen krijgen tot honderden overheidsdiensten, zoals kinderbijslag, belastingteruggave, parkeerbonnen en pensioenregelingen. Naast de aanmeldgegevens stond ook de broncode van de site op de USB-stick.
Zodra bekend werd dat de stick verloren was, greep de Britse overheid in door de site per direct te sluiten. Tevens is toen een onderzoek naar het schandaal ingesteld.
De 29-jarige IT-analist Daniel Harrington bleek de stick die twee weken geleden op een parkeerplaats gevonden werd verloren te hebben. Hij had de stick, tegen procedures van Atos Origin in, meegenomen. Het bedrijf neemt volledige verantwoordelijkheid op zich en zal de IT-analist terechtwijzen. Harrington kan worden aangeklaagd.
Volgens het ministerie van Werk en Pensioenen valt de schade mee. De informatie op de datadrager is namelijk versleuteld en de wachtwoorden en gebruikersnamen waren bedoeld voor een oude testversie. Toch werd besloten om de site waar burgers zich konden registreren offline te halen.
Beveiligingsexpert Jacques Erasmus van PrevX ziet wel degelijk gevaren. Volgens hem is de encryptie op de USB-stick relatief eenvoudig te kraken en was de broncode van de site aanwezig op de drager nog geen maand oud. "Ik kan de wachtwoorden ontsleutelen en het netwerk verkennen. Zoals we kunnen zien aan de data op de USB-stick bevatten de systemen zeer gevoelige persoonlijke informatie," zo vertelt hij.
Het kraken van de wachtwoorden zou volgens hem slechts een kwestie van tijd zijn waardoor een aanvaller beschikking zou krijgen over alle aanwezig gegevens. "Er is zelfs een kaart op de geheugenstick die laat zien hoe het geheel werkt, wat een aanvaller zou helpen."
De Britse overheid is het afgelopen jaar 30 miljoen records verloren en blijft ondanks deze blunders doorgaan met de ‘Big Brother-ambities’, zoals Shami Chakrabarti van burgerrechtenbeweging Liberty het noemt. "De overheid is niet met deze informatie te vertrouwen, toch verzamelen ze meer en meer," vertelt hij.
12 uur geleden
