Het Italiaanse bedrijf Hacking Team verkoopt software aan overheden om de computers en mobieltjes van ‘verdachte elementen’ te kunnen hacken. Hun unique selling point: zo vinden we drugdealers en pedofielen. Door de bron te hacken – de crimineel zelf – kun je al hun verkeer aan de bron onderscheppen, en vermijd je dat criminelen zich achter encryptie kunnen verschuilen.
Gisteren kreeg Hacking Team een koekje van eigen deeg. Een hacker was hun systemen binnengedrongen en had alle interne documenten buitgemaakt: e-mails, facturen, agenda’s, klantenlijsten, wachtwoorden, programmacode. De hacker gaf de hele zwik – 400 GB aan data – daarna vrij op internet.
De klap voor het bedrijf is immens. Niet omdat het hilarisch is dat een surveillancebedrijf niks merkt wanneer het zelf belaagd wordt, of dat de systeembeheerders daar wachtwoorden als ‘p4ssword’ gebruikten en gevoelige informatie onversleuteld op de servers bewaarden. De echte schadepost is hun klantenlijst. Daar staan idioot veel overheden op die zich niets aantrekken van mensenrechten, en van wie bekend is dat ze geregeld op journalisten en mensenrechtenorganisaties jagen: Azerbeidzjan, Bahrein, de Verenigde Emiraten, Egypte, Kazachstan, Marokko, Nigeria, Oezbekistan, Rusland, Sudan.
Eerder waren er serieuze berichten dat journalisten uit Marokko en Bahrein via de software van Hacking Team door hun eigen overheid waren afgeluisterd, getraceerd en gevangen werden gezet. Hacking Team ontkende stellig: met zulke overheden deden ze geen zaken. De facturen vertellen een ander verhaal. Marokko en Bahrein staan op de klantenlijst van Hacking Team. Aan Sudan, een land waarvoor de UN strikte exportregels heeft uitgevaardigd, leverde Hacking Team voor een half miljoen dollar aan diensten en software. Dissidenten in Sudan zijn hun leven niet meer zeker, mede dankzij Hacking Team.
Niks drugsdealers en pedofielen, zoals het verkooppraatje van Hacking Team wil. Maar hé, het faciliteren van repressie betaalt goed!
Waar het op neerkomt, is dat de surveillance die het Westen wederrechtelijk als normaal is gaan zien om haar eigen burgers te bespieden, nu ook massaal wordt aangeschaft en ingezet door overheden die geen enkele democratische schijn ophouden, en waar geen sprake is van een ‘normale’ rechtsgang. Westerse bedrijven als Hacking Team leveren zulke repressieve landen van harte – vergezeld van een gepeperde rekening – een gereedschapskist om hun eigen bevolking verder onder druk te zetten en tegenspraak ongenadig af te straffen. Voor winst moet elk principe kennelijk wijken.
Dat de Nederlandse KLPD een afspraak had met Hacking Team, verbaasde me niet. Dat Nederland wil dat de politie gericht kan inbreken op computers en mobieltjes van verdachten, is immers al langer bekend. Wat mij verraste, is dat Hacking Team de ING en ABN/Amro onder haar klanten blijkt te hebben. Straks wordt u gehackt door uw eigen bank.
Prima stuk, Karin. Die hacker die Hacking Team heeft gehackt moet een lintje krijgen.
Maar ook hier: ouwe stront in nieuwe zakken; de wapenindustrie heeft deze mentaliteit al jaren, zo niet eeuwen.
Typo: “verbaste”. Eigenlijk twee typo’s in één woord. :)
Jammer dat die Sargasso ping/trackback op de verkeerde plek staat, dat bemoeilijkt het verder lezen bij hem.
Janus.
Qua bedrijfsvoering is een groot deel van de schade natuurlijk ook dat de peperdure zero-day gaten die ze gebruikten om hun rommel bij hun slachtoffers te bezorgen nu uitgelekt zijn. Het gat in Flash is al gedicht. En natuurlujk dat virusscanners nu alert zullen worden op hun software.
Fenomenale hack. Finfisher heeft het overleefd, maar ik hoop dat dit bedrijf dat niet doet. Met hun levering aan Sudan bereikten ze een moreel dieptepunt. Gelukkig blijkt uit hun mail dat de Sudanese trainees nauwelijks met computers konden omgaan. Ik hoop dat de hacker(s) ermee weg komen want m.i. hebben ze de samenleving, journalisten, activisten enz een grote dienst bewezen.
Oh ja, en kudos voor hun humor. Het waren m’n meest vermakelijke twitter uurtjes ooit :-)