Kan een IT admin kan zomaar computers overnemen van werknemers? (art De Morgen)

Bij het lezen van onderstaand artikel in De Morgen kwam er 1 vraag bij mij op: kan een IT admin zomaar de computers overnemen van alle werknemers? Ik werk zelf op Mac en heb altijd mijn eigen Mac geconfigureerd en beheerd - maar het intrigeert mij toch - dus IT admins onder jullie: leg mij eens uit hoe dat juist werkt?

Hoe één tekstdocument verraadde dat een IT’er 371 collega’s hackte op zoek naar naaktfoto’s

Een IT-er van het AZ Sint-Jan in Brugge hackte meer dan 350 vrouwelijke personeelsleden van het ziekenhuis, op zoek naar naaktbeelden. Sterker nog: toen zijn vrouw in datzelfde ziekenhuis bevallen was, hackte hij 4 minuten na thuiskomst de aanwezige vroedvrouwen. De man ontkent alle feiten.

‘ttdc.txt’, zo heet het document dat computerexpert C.P. (42) jarenlang minutieus bijhield. In totaal 21 pagina’s. Met daarin de gegevens van meer dan 350, vooral vrouwelijke, medewerkers van het AZ Sint-Jan in Brugge. Zij stonden allemaal netjes gerangschikt volgens de specifieke dienst waar ze voor werken. Altijd vooraan: hun gebruikersnaam en het paswoord voor hun account van het ziekenhuis zelf.

Bij één van de dokters schrijft C.P.: ‘Blijkt een WhatsApp-chat geëxporteerd te hebben met betrekking tot een affaire met dr. X. Echt lief is Y.’

De informatie daarna was afhankelijk van wat C.P. tijdens zijn digitale zoektocht kan achterhalen. Het ging van wachtwoorden voor e-mailadressen tot paswoorden voor Zalando of Bol. En bij elk slachtoffer stond opgelijst of er al dan niet naaktbeelden te vinden zijn. Bij het merendeel was dat niet het geval en zij krijgen het veelzeggende “niets” achter hun naam. Maar bij wie hij wel aan persoonlijke naaktbeelden geraakte, noteerde hij wat anders.

“Via Chrome toegang tot Hotmail en gezien dat ze veel sekstoys gekocht heeft.” Of: “Chrome: Google van hem en zijn vrouw toegankelijk, pornovideo onder die van samen.” Bij iemand anders: “Veel naakt op Google Foto’s.” Nog een andere: “WhatsApp toegankelijk en naakt gezien.” Of nog: “In de gaten houden, want nog maar net aan het sexten.” Bij een van de dokters: “Blijkt een WhatsApp-chat geëxporteerd te hebben met betrekking tot een affaire met dr. X. Echt lief is Y.”

Zelf gehackt

De hele zaak kwam in december 2021 aan het licht. Een van de meer dan drieduizend medewerkers van het AZ Sint-Jan ontgrendelde haar laptop op het werk en merkte dat haar persoonlijke Google-foto’s open staan. Zonder dat zij iets deed, werd de computer onmiddellijk herstart. De vrouw vermoedde dat iemand haar laptop vanop afstand heeft overgenomen en stapte naar de informaticadienst van het ziekenhuis.

Opvallend: één van de personen die de zaak onderzocht, was C.P. zelf. Hij werkte als IT-systeembeheerder en stuurde drie teams aan, in totaal dus een twintigtal mensen. Maar al snel wees een eerste spoor in zijn richting. Zijn collega’s vonden de piste zo ongeloofwaardig dat ze er aanvankelijk van uitgingen dat C.P. zelf gehackt was. Hij kreeg zijn laptop dat weekend zelfs nog mee om alles extra te kunnen beveiligen.

‘Mijn technische kennis van de systemen van het ziekenhuis is te groot om zoiets op deze manier te doen. Als ik ter kwader trouw zou handelen, zou ik andere achterpoortjes gebruiken om mijn identiteit te maskeren’

Uit de verklaring van C.P.

Het ziekenhuis nam het voorval ernstig en schakelde een externe firma in om alles verder te onderzoeken. Alleen: hun conclusie is ook dat alle sporen richting de systeembeheerder wezen. Een technische kwestie: zijn IP-adres werd gelinkt aan het eerste voorval en op zijn computer werd ook een opmerkelijk bestand gevonden: pw.txt. Daarin stonden wachtwoorden van heel wat personeelsleden van het ziekenhuis. De speurders vermoedden dan ook dat “pw” voor “paswoorden” staat.

C.P. werd om dringende redenen ontslagen en het ziekenhuis diende klacht bij de politie in. Het duurde uiteindelijk tot 15 juni, dus meer dan een half jaar, voor de speurders bij C.P. binnenvielen voor een huiszoeking. Hij werd ook meteen een eerste keer verhoord. De IT-er ontkent in alle toonaarden dat hij iets met de hacking te maken heeft.

371 computers

“Er zijn inderdaad zaken die naar mij wijzen. Maar alles is zo open en bloot gebeurd. Mijn technische kennis van de systemen van het ziekenhuis is te groot om zoiets op deze manier te doen. Als ik ter kwader trouw zou handelen zou ik andere achterpoortjes gebruiken om mijn identiteit te maskeren. Ik denk dat iemand anders de feiten heeft gepleegd, maar dat die persoon mijn login heeft gebruikt om mij zo de schuld te geven.”

C.P. mocht terug naar huis, maar ondertussen gaat het onderzoek wel verder. De speurders kunnen zo ook achterhalen hoe de hacker zoveel persoonlijke gegevens kon terugvinden. Vanuit zijn functie had C.P. namelijk toegang tot alle professionele inloggegevens van het ziekenhuispersoneel. Dat gebruikte hij om − via software waarmee je vanop afstand iemands computer kan overnemen − in hun plaats in te loggen.

Zodra dat gelukt was, installeerde hij een programma dat bedoeld is om vergeten paswoorden op je computer terug te vinden. Zo slaagde hij erin om de persoonlijke paswoorden voor bijvoorbeeld Facebook, Google Foto’s, WhatsApp of Instagram te achterhalen.

In totaal installeerde hij dat bewuste programma op minstens 371 computers. Telkens was hij op zoek naar naaktbeelden van de vrouwen die hij op die manier hackte. In 35 gevallen vond hij die ook. Alles wat hij ontdekte, lijstte hij dan netjes op in zijn tekstdocument.

Hij is na de bevalling van zijn vrouw amper 4 minuten thuis als de gegevens van een vijftal vroedvrouwen bij C.P. thuis opgezocht worden

De IT-er bleef het hele onderzoek lang ontkennen dat hij iets met de hacking te maken heeft. Geconfronteerd met het bewuste document zei hij: “Ik zie het, ja. Daar staan allemaal vuile dingen in. Al staat dit op mijn pc, ik ken dit echt niet. Ik ben na die eerste melding met mijn laptop naar huis gegaan. Als ik dit wist, zou ik dat er toch afgegooid hebben?”

Hij leek daarbij aanvankelijk ook het voordeel van de twijfel te krijgen, want hij moest niet naar de gevangenis. Tot het net zich na ongeveer twee jaar onderzoek toch nog iets steviger sloot. Op zijn computer werden bijvoorbeeld naaktfoto’s van vrouwelijke ziekenhuismedewerkers gevonden én de hacking kon gelinkt worden aan het thuisnetwerk van C.P.

Daarnaast speelt een wel heel toevallige opzoeking na de geboorte van zijn dochter in zijn nadeel. De speurders konden namelijk achterhalen dat hij diezelfde avond achter zijn laptop kroop. Hij was amper 4 minuten thuis als de gegevens van een vijftal vroedvrouwen − die dus wellicht bij de bevalling eerder die dag aanwezig waren − bij C.P. thuis opgezocht worden. Voor de politie toch hét signaal dat hij de hacker is en dus niet zelf gehackt werd.

De onderzoeksrechter besliste in september 2023 om C.P. aan te houden. Hij zou in totaal ongeveer een maand in de gevangenis zitten, voor hij onder voorwaarden vrijgelaten werd.

Geen oogcontact

Het parket schreef honderden slachtoffers aan met de vraag of zij zich burgerlijke partij wilden stellen. Dat konden zij telkens aan de hand van een simpel document doen. Een dertigtal vrouwen, bij wie soms naaktbeelden ontfutseld werden, deden dat ook effectief. Zij kregen dinsdag in de correctionele rechtbank van Veurne een nette C.P. te zien, met een lichtblauw hemdje en een jeansbroek. Maar op geen enkel moment keek hij ook maar één van hen aan.

Een gerechtspsychiater onderzocht C.P. intussen ook en stelde geen enkele psychische stoornis vast. De man, die nog steeds in de IT werkt, wordt verdacht van externe en interne hacking, valsheid in informatica en misbruik van vertrouwen.

Het ging om een inleidende zitting, maar de slachtoffers eisen alleszins tussen 1 en 2.500 euro schadevergoeding. Bart Bleyaert, de advocaat van C.P., gaf enkel mee dat zijn cliënt elke verantwoordelijkheid ontkent. Wordt vervolgd op 29 april.

5 likes

ik ben geen sysadmin, maar neem soms pc’s over voor helpdesk issues.
wij gebruiken hiervoor cmrcviewer, meestal vraag deze toestemming aan diegene die overgenomen is. maar er zijn andere tools, zeker in windows omgeving :wink:
als je bv domein admin bent kan je heel veel op pc’s.

voor mac hangt het er een beetje van af dacht ik (niet mijn expertise) maar apple heeft iets zoals managed devices waarmee de sysadmin redelijk veel kan doen met die apparaten. ze moeten dan wel via een speciale procedure aangekocht worden, indien niet krijg je zo een i-ding er niet meer in.

Aangezien het over een ziekenhuis gaat hierboven zijn het windows-pc’s, ik ken geen enkel ziekenhuis waar de medewerkers mac’s hebben. buiten de occasionele arts die dan met veel moeite de windows-only software gebruikt :slight_smile:

wat ik mij eerder afvraag is waarom men zoveel gevoelige informatie zet op een werk pc, dat is toch niet de bedoeling? het is niet omdat je een laptop van het werk “krijgt” dat je deze mag gebruiken om *** video’s/foto’s te maken/bewaren?
langs de andere kant weet ik niet hoe bv bitwarden reageert als iemand mijn laptop hier overneemt met mijn ww, ik laat deze bv niet steeds het hoofdwachtwoord vragen… maw ik zou zelf ook een potentieel probleem hebben ook al het ik bijna niets privé op het werktoestel staan.

maar om op uw vraag te antwoorden: Ja dat kan zonder probleem, zeker op een werk computer

Bedankt voor de info, zeer verhelderend!
Mbt het ook privé gebruiken van een werk-laptop: ik denk dat niet-IT’ers dan helemaal anders zien, die zien dat echt als een ‘hybride’ laptop en die zijn zich niet bewust van de screeningsmogelijkheden die IT’ers hebben. De fiscus is trouwens ook van dat standpunt: als je een laptop krijgt van je werk, wordt dat als ‘voordeel alle aard’ op je loonfiche gezet.
Organisaties zouden volgens mij hun werknemers meer moeten informeren dat omwille van veiligheid werk-PC’s gemonitord kunnen en zullen worden.

hier geen vaa voor de laptops, die mogen enkel voor professionele activiteiten gebruikt worden. dat staat zo in het informatieveiligheidsbeleid…
maar ik besef dat niet it’ers dat totaal anders zien, we hebben hier zelfs iemand zijn volledige belasting aangiftes (meerdere jaren) gevonden op een publieke schijf…
en hoeveel mensen hun werk e-mail gebruiken voor de hobby/club etc.
het screenen van een werk-laptop mag je ook niet zomaar doen, idem met het lezen van de e-mails van iemand. dat mag dacht ik enkel met medeweten van de werknemer en bij vermoeden van misbruik/onregelmatigheden.
zoals steeds is het niet omdat het kan dat het mag :smiley:

Hoe ik het artikel versta, is dat ze niet doelbewust hun werklaptop hebben gebruikt om naaktvideo’s/foto’s door te sturen of te maken, maar eerder dat ze via de werklaptop ingelogd waren op bv hun whatsapp via webapplicatie, en dat tussen en in die gesprekken dan de naaktvideo’s/foto’s stonden? Dat de dader dus wel bewust heeft gezocht naar dergelijk materiaal?

1 like

ja, de dader heeft bewust gezocht naar die dingen dat is duidelijk.
waar hij de gegevens gevonden heeft is niet 100% duidelijk, maar dat kan ofwel via login op bv google foto ofwel de offline sync map (ik veronderstel nu ff dat dit kan met google foto’s zoals met onedrive/icloud kan)
al kan het ook zo eenvoudig zijn als de temp internet files doorzoeken :-), of kan dit niet meer?

Iets dat ik in deze thread nog niet gelezen heb: er is een enorm verschil tussen wat kan en mag volgens de wet.

Of het technisch mogelijk is om je privé PC en zelfs je werk PC te monitoren is één ding. Je kan je beveiligen voor een groot stuk, maar afhankelijk van de bekwaamheid, de tools en wat de netwerkbeheerders doen zal dat meer of minder zinvol zijn. Uiteindelijk kan alles wel op één of andere manier “gehackt” worden. Da’s de technische kant.

In bovenstaande was het nu kwaad opzet, dus da’s altijd strafbaar.

Los daarvan heeft de werkgever niet zomaar het recht om alles te bekijken en te lezen wat je doet. Er bestaat ook op de werkvloer een recht op privacy. Klein voorbeeld: stel dat je op je laptop van het werk in de mail applicatie ook je privé mailbox toevoegt en leest. Dit geeft de werkgever niet het recht die mailbox te lezen. Meer nog, volgens mij (maar ik ben geen rechtsgeleerde, dus dit is onder voorbehoud) is het zelfs niet eens toegelaten dat ze meelezen in jouw professionele mailbox zonder jouw toestemming, want ook hier is privacy van toepassing! Je kan hieromtrent nogal wat lectuur online vinden.

De werknemer moet expliciet toestemming vragen om dat soort dingen te doen… dus hij moet het niet zomaar zeggen.
Maar, veel hangt ook af van je arbeidsovereenkomst en wat daar allemaal in gespecifieerd staat, want, in principe heb je die getekend en eventueel heb je daar wel je toestemming gegeven. En er kan daar ook nog meer gespecifieerd staan, bvb dat je geen privé bestanden daar mag op zetten, of, extra applicaties installeren, etc…

1 like