Bij het lezen van onderstaand artikel in De Morgen kwam er 1 vraag bij mij op: kan een IT admin zomaar de computers overnemen van alle werknemers? Ik werk zelf op Mac en heb altijd mijn eigen Mac geconfigureerd en beheerd - maar het intrigeert mij toch - dus IT admins onder jullie: leg mij eens uit hoe dat juist werkt?
Hoe één tekstdocument verraadde dat een IT’er 371 collega’s hackte op zoek naar naaktfoto’s
Een IT-er van het AZ Sint-Jan in Brugge hackte meer dan 350 vrouwelijke personeelsleden van het ziekenhuis, op zoek naar naaktbeelden. Sterker nog: toen zijn vrouw in datzelfde ziekenhuis bevallen was, hackte hij 4 minuten na thuiskomst de aanwezige vroedvrouwen. De man ontkent alle feiten.
‘ttdc.txt’, zo heet het document dat computerexpert C.P. (42) jarenlang minutieus bijhield. In totaal 21 pagina’s. Met daarin de gegevens van meer dan 350, vooral vrouwelijke, medewerkers van het AZ Sint-Jan in Brugge. Zij stonden allemaal netjes gerangschikt volgens de specifieke dienst waar ze voor werken. Altijd vooraan: hun gebruikersnaam en het paswoord voor hun account van het ziekenhuis zelf.
Bij één van de dokters schrijft C.P.: ‘Blijkt een WhatsApp-chat geëxporteerd te hebben met betrekking tot een affaire met dr. X. Echt lief is Y.’
De informatie daarna was afhankelijk van wat C.P. tijdens zijn digitale zoektocht kan achterhalen. Het ging van wachtwoorden voor e-mailadressen tot paswoorden voor Zalando of Bol. En bij elk slachtoffer stond opgelijst of er al dan niet naaktbeelden te vinden zijn. Bij het merendeel was dat niet het geval en zij krijgen het veelzeggende “niets” achter hun naam. Maar bij wie hij wel aan persoonlijke naaktbeelden geraakte, noteerde hij wat anders.
“Via Chrome toegang tot Hotmail en gezien dat ze veel sekstoys gekocht heeft.” Of: “Chrome: Google van hem en zijn vrouw toegankelijk, pornovideo onder die van samen.” Bij iemand anders: “Veel naakt op Google Foto’s.” Nog een andere: “WhatsApp toegankelijk en naakt gezien.” Of nog: “In de gaten houden, want nog maar net aan het sexten.” Bij een van de dokters: “Blijkt een WhatsApp-chat geëxporteerd te hebben met betrekking tot een affaire met dr. X. Echt lief is Y.”
Zelf gehackt
De hele zaak kwam in december 2021 aan het licht. Een van de meer dan drieduizend medewerkers van het AZ Sint-Jan ontgrendelde haar laptop op het werk en merkte dat haar persoonlijke Google-foto’s open staan. Zonder dat zij iets deed, werd de computer onmiddellijk herstart. De vrouw vermoedde dat iemand haar laptop vanop afstand heeft overgenomen en stapte naar de informaticadienst van het ziekenhuis.
Opvallend: één van de personen die de zaak onderzocht, was C.P. zelf. Hij werkte als IT-systeembeheerder en stuurde drie teams aan, in totaal dus een twintigtal mensen. Maar al snel wees een eerste spoor in zijn richting. Zijn collega’s vonden de piste zo ongeloofwaardig dat ze er aanvankelijk van uitgingen dat C.P. zelf gehackt was. Hij kreeg zijn laptop dat weekend zelfs nog mee om alles extra te kunnen beveiligen.
‘Mijn technische kennis van de systemen van het ziekenhuis is te groot om zoiets op deze manier te doen. Als ik ter kwader trouw zou handelen, zou ik andere achterpoortjes gebruiken om mijn identiteit te maskeren’
Uit de verklaring van C.P.
Het ziekenhuis nam het voorval ernstig en schakelde een externe firma in om alles verder te onderzoeken. Alleen: hun conclusie is ook dat alle sporen richting de systeembeheerder wezen. Een technische kwestie: zijn IP-adres werd gelinkt aan het eerste voorval en op zijn computer werd ook een opmerkelijk bestand gevonden: pw.txt. Daarin stonden wachtwoorden van heel wat personeelsleden van het ziekenhuis. De speurders vermoedden dan ook dat “pw” voor “paswoorden” staat.
C.P. werd om dringende redenen ontslagen en het ziekenhuis diende klacht bij de politie in. Het duurde uiteindelijk tot 15 juni, dus meer dan een half jaar, voor de speurders bij C.P. binnenvielen voor een huiszoeking. Hij werd ook meteen een eerste keer verhoord. De IT-er ontkent in alle toonaarden dat hij iets met de hacking te maken heeft.
371 computers
“Er zijn inderdaad zaken die naar mij wijzen. Maar alles is zo open en bloot gebeurd. Mijn technische kennis van de systemen van het ziekenhuis is te groot om zoiets op deze manier te doen. Als ik ter kwader trouw zou handelen zou ik andere achterpoortjes gebruiken om mijn identiteit te maskeren. Ik denk dat iemand anders de feiten heeft gepleegd, maar dat die persoon mijn login heeft gebruikt om mij zo de schuld te geven.”
C.P. mocht terug naar huis, maar ondertussen gaat het onderzoek wel verder. De speurders kunnen zo ook achterhalen hoe de hacker zoveel persoonlijke gegevens kon terugvinden. Vanuit zijn functie had C.P. namelijk toegang tot alle professionele inloggegevens van het ziekenhuispersoneel. Dat gebruikte hij om − via software waarmee je vanop afstand iemands computer kan overnemen − in hun plaats in te loggen.
Zodra dat gelukt was, installeerde hij een programma dat bedoeld is om vergeten paswoorden op je computer terug te vinden. Zo slaagde hij erin om de persoonlijke paswoorden voor bijvoorbeeld Facebook, Google Foto’s, WhatsApp of Instagram te achterhalen.
In totaal installeerde hij dat bewuste programma op minstens 371 computers. Telkens was hij op zoek naar naaktbeelden van de vrouwen die hij op die manier hackte. In 35 gevallen vond hij die ook. Alles wat hij ontdekte, lijstte hij dan netjes op in zijn tekstdocument.
Hij is na de bevalling van zijn vrouw amper 4 minuten thuis als de gegevens van een vijftal vroedvrouwen bij C.P. thuis opgezocht worden
De IT-er bleef het hele onderzoek lang ontkennen dat hij iets met de hacking te maken heeft. Geconfronteerd met het bewuste document zei hij: “Ik zie het, ja. Daar staan allemaal vuile dingen in. Al staat dit op mijn pc, ik ken dit echt niet. Ik ben na die eerste melding met mijn laptop naar huis gegaan. Als ik dit wist, zou ik dat er toch afgegooid hebben?”
Hij leek daarbij aanvankelijk ook het voordeel van de twijfel te krijgen, want hij moest niet naar de gevangenis. Tot het net zich na ongeveer twee jaar onderzoek toch nog iets steviger sloot. Op zijn computer werden bijvoorbeeld naaktfoto’s van vrouwelijke ziekenhuismedewerkers gevonden én de hacking kon gelinkt worden aan het thuisnetwerk van C.P.
Daarnaast speelt een wel heel toevallige opzoeking na de geboorte van zijn dochter in zijn nadeel. De speurders konden namelijk achterhalen dat hij diezelfde avond achter zijn laptop kroop. Hij was amper 4 minuten thuis als de gegevens van een vijftal vroedvrouwen − die dus wellicht bij de bevalling eerder die dag aanwezig waren − bij C.P. thuis opgezocht worden. Voor de politie toch hét signaal dat hij de hacker is en dus niet zelf gehackt werd.
De onderzoeksrechter besliste in september 2023 om C.P. aan te houden. Hij zou in totaal ongeveer een maand in de gevangenis zitten, voor hij onder voorwaarden vrijgelaten werd.
Geen oogcontact
Het parket schreef honderden slachtoffers aan met de vraag of zij zich burgerlijke partij wilden stellen. Dat konden zij telkens aan de hand van een simpel document doen. Een dertigtal vrouwen, bij wie soms naaktbeelden ontfutseld werden, deden dat ook effectief. Zij kregen dinsdag in de correctionele rechtbank van Veurne een nette C.P. te zien, met een lichtblauw hemdje en een jeansbroek. Maar op geen enkel moment keek hij ook maar één van hen aan.
Een gerechtspsychiater onderzocht C.P. intussen ook en stelde geen enkele psychische stoornis vast. De man, die nog steeds in de IT werkt, wordt verdacht van externe en interne hacking, valsheid in informatica en misbruik van vertrouwen.
Het ging om een inleidende zitting, maar de slachtoffers eisen alleszins tussen 1 en 2.500 euro schadevergoeding. Bart Bleyaert, de advocaat van C.P., gaf enkel mee dat zijn cliënt elke verantwoordelijkheid ontkent. Wordt vervolgd op 29 april.