Bij het lezen van onderstaand artikel in De Morgen kwam er 1 vraag bij mij op: kan een IT admin zomaar de computers overnemen van alle werknemers? Ik werk zelf op Mac en heb altijd mijn eigen Mac geconfigureerd en beheerd - maar het intrigeert mij toch - dus IT admins onder jullie: leg mij eens uit hoe dat juist werkt?

Hoe één tekstdocument verraadde dat een IT’er 371 collega’s hackte op zoek naar naaktfoto’s

Een IT-er van het AZ Sint-Jan in Brugge hackte meer dan 350 vrouwelijke personeelsleden van het ziekenhuis, op zoek naar naaktbeelden. Sterker nog: toen zijn vrouw in datzelfde ziekenhuis bevallen was, hackte hij 4 minuten na thuiskomst de aanwezige vroedvrouwen. De man ontkent alle feiten.

‘ttdc.txt’, zo heet het document dat computerexpert C.P. (42) jarenlang minutieus bijhield. In totaal 21 pagina’s. Met daarin de gegevens van meer dan 350, vooral vrouwelijke, medewerkers van het AZ Sint-Jan in Brugge. Zij stonden allemaal netjes gerangschikt volgens de specifieke dienst waar ze voor werken. Altijd vooraan: hun gebruikersnaam en het paswoord voor hun account van het ziekenhuis zelf.

Bij één van de dokters schrijft C.P.: ‘Blijkt een WhatsApp-chat geëxporteerd te hebben met betrekking tot een affaire met dr. X. Echt lief is Y.’

De informatie daarna was afhankelijk van wat C.P. tijdens zijn digitale zoektocht kan achterhalen. Het ging van wachtwoorden voor e-mailadressen tot paswoorden voor Zalando of Bol. En bij elk slachtoffer stond opgelijst of er al dan niet naaktbeelden te vinden zijn. Bij het merendeel was dat niet het geval en zij krijgen het veelzeggende “niets” achter hun naam. Maar bij wie hij wel aan persoonlijke naaktbeelden geraakte, noteerde hij wat anders.

“Via Chrome toegang tot Hotmail en gezien dat ze veel sekstoys gekocht heeft.” Of: “Chrome: Google van hem en zijn vrouw toegankelijk, pornovideo onder die van samen.” Bij iemand anders: “Veel naakt op Google Foto’s.” Nog een andere: “WhatsApp toegankelijk en naakt gezien.” Of nog: “In de gaten houden, want nog maar net aan het sexten.” Bij een van de dokters: “Blijkt een WhatsApp-chat geëxporteerd te hebben met betrekking tot een affaire met dr. X. Echt lief is Y.”

Zelf gehackt

De hele zaak kwam in december 2021 aan het licht. Een van de meer dan drieduizend medewerkers van het AZ Sint-Jan ontgrendelde haar laptop op het werk en merkte dat haar persoonlijke Google-foto’s open staan. Zonder dat zij iets deed, werd de computer onmiddellijk herstart. De vrouw vermoedde dat iemand haar laptop vanop afstand heeft overgenomen en stapte naar de informaticadienst van het ziekenhuis.

Opvallend: één van de personen die de zaak onderzocht, was C.P. zelf. Hij werkte als IT-systeembeheerder en stuurde drie teams aan, in totaal dus een twintigtal mensen. Maar al snel wees een eerste spoor in zijn richting. Zijn collega’s vonden de piste zo ongeloofwaardig dat ze er aanvankelijk van uitgingen dat C.P. zelf gehackt was. Hij kreeg zijn laptop dat weekend zelfs nog mee om alles extra te kunnen beveiligen.

‘Mijn technische kennis van de systemen van het ziekenhuis is te groot om zoiets op deze manier te doen. Als ik ter kwader trouw zou handelen, zou ik andere achterpoortjes gebruiken om mijn identiteit te maskeren’

Uit de verklaring van C.P.

Het ziekenhuis nam het voorval ernstig en schakelde een externe firma in om alles verder te onderzoeken. Alleen: hun conclusie is ook dat alle sporen richting de systeembeheerder wezen. Een technische kwestie: zijn IP-adres werd gelinkt aan het eerste voorval en op zijn computer werd ook een opmerkelijk bestand gevonden: pw.txt. Daarin stonden wachtwoorden van heel wat personeelsleden van het ziekenhuis. De speurders vermoedden dan ook dat “pw” voor “paswoorden” staat.

C.P. werd om dringende redenen ontslagen en het ziekenhuis diende klacht bij de politie in. Het duurde uiteindelijk tot 15 juni, dus meer dan een half jaar, voor de speurders bij C.P. binnenvielen voor een huiszoeking. Hij werd ook meteen een eerste keer verhoord. De IT-er ontkent in alle toonaarden dat hij iets met de hacking te maken heeft.

371 computers

“Er zijn inderdaad zaken die naar mij wijzen. Maar alles is zo open en bloot gebeurd. Mijn technische kennis van de systemen van het ziekenhuis is te groot om zoiets op deze manier te doen. Als ik ter kwader trouw zou handelen zou ik andere achterpoortjes gebruiken om mijn identiteit te maskeren. Ik denk dat iemand anders de feiten heeft gepleegd, maar dat die persoon mijn login heeft gebruikt om mij zo de schuld te geven.”

C.P. mocht terug naar huis, maar ondertussen gaat het onderzoek wel verder. De speurders kunnen zo ook achterhalen hoe de hacker zoveel persoonlijke gegevens kon terugvinden. Vanuit zijn functie had C.P. namelijk toegang tot alle professionele inloggegevens van het ziekenhuispersoneel. Dat gebruikte hij om − via software waarmee je vanop afstand iemands computer kan overnemen − in hun plaats in te loggen.

Zodra dat gelukt was, installeerde hij een programma dat bedoeld is om vergeten paswoorden op je computer terug te vinden. Zo slaagde hij erin om de persoonlijke paswoorden voor bijvoorbeeld Facebook, Google Foto’s, WhatsApp of Instagram te achterhalen.

In totaal installeerde hij dat bewuste programma op minstens 371 computers. Telkens was hij op zoek naar naaktbeelden van de vrouwen die hij op die manier hackte. In 35 gevallen vond hij die ook. Alles wat hij ontdekte, lijstte hij dan netjes op in zijn tekstdocument.

Hij is na de bevalling van zijn vrouw amper 4 minuten thuis als de gegevens van een vijftal vroedvrouwen bij C.P. thuis opgezocht worden

De IT-er bleef het hele onderzoek lang ontkennen dat hij iets met de hacking te maken heeft. Geconfronteerd met het bewuste document zei hij: “Ik zie het, ja. Daar staan allemaal vuile dingen in. Al staat dit op mijn pc, ik ken dit echt niet. Ik ben na die eerste melding met mijn laptop naar huis gegaan. Als ik dit wist, zou ik dat er toch afgegooid hebben?”

Hij leek daarbij aanvankelijk ook het voordeel van de twijfel te krijgen, want hij moest niet naar de gevangenis. Tot het net zich na ongeveer twee jaar onderzoek toch nog iets steviger sloot. Op zijn computer werden bijvoorbeeld naaktfoto’s van vrouwelijke ziekenhuismedewerkers gevonden én de hacking kon gelinkt worden aan het thuisnetwerk van C.P.

Daarnaast speelt een wel heel toevallige opzoeking na de geboorte van zijn dochter in zijn nadeel. De speurders konden namelijk achterhalen dat hij diezelfde avond achter zijn laptop kroop. Hij was amper 4 minuten thuis als de gegevens van een vijftal vroedvrouwen − die dus wellicht bij de bevalling eerder die dag aanwezig waren − bij C.P. thuis opgezocht worden. Voor de politie toch hét signaal dat hij de hacker is en dus niet zelf gehackt werd.

De onderzoeksrechter besliste in september 2023 om C.P. aan te houden. Hij zou in totaal ongeveer een maand in de gevangenis zitten, voor hij onder voorwaarden vrijgelaten werd.

Geen oogcontact

Het parket schreef honderden slachtoffers aan met de vraag of zij zich burgerlijke partij wilden stellen. Dat konden zij telkens aan de hand van een simpel document doen. Een dertigtal vrouwen, bij wie soms naaktbeelden ontfutseld werden, deden dat ook effectief. Zij kregen dinsdag in de correctionele rechtbank van Veurne een nette C.P. te zien, met een lichtblauw hemdje en een jeansbroek. Maar op geen enkel moment keek hij ook maar één van hen aan.

Een gerechtspsychiater onderzocht C.P. intussen ook en stelde geen enkele psychische stoornis vast. De man, die nog steeds in de IT werkt, wordt verdacht van externe en interne hacking, valsheid in informatica en misbruik van vertrouwen.

Het ging om een inleidende zitting, maar de slachtoffers eisen alleszins tussen 1 en 2.500 euro schadevergoeding. Bart Bleyaert, de advocaat van C.P., gaf enkel mee dat zijn cliënt elke verantwoordelijkheid ontkent. Wordt vervolgd op 29 april.

ik ben geen sysadmin, maar neem soms pc’s over voor helpdesk issues.
wij gebruiken hiervoor cmrcviewer, meestal vraag deze toestemming aan diegene die overgenomen is. maar er zijn andere tools, zeker in windows omgeving
als je bv domein admin bent kan je heel veel op pc’s.

voor mac hangt het er een beetje van af dacht ik (niet mijn expertise) maar apple heeft iets zoals managed devices waarmee de sysadmin redelijk veel kan doen met die apparaten. ze moeten dan wel via een speciale procedure aangekocht worden, indien niet krijg je zo een i-ding er niet meer in.

Aangezien het over een ziekenhuis gaat hierboven zijn het windows-pc’s, ik ken geen enkel ziekenhuis waar de medewerkers mac’s hebben. buiten de occasionele arts die dan met veel moeite de windows-only software gebruikt

wat ik mij eerder afvraag is waarom men zoveel gevoelige informatie zet op een werk pc, dat is toch niet de bedoeling? het is niet omdat je een laptop van het werk “krijgt” dat je deze mag gebruiken om *** video’s/foto’s te maken/bewaren?
langs de andere kant weet ik niet hoe bv bitwarden reageert als iemand mijn laptop hier overneemt met mijn ww, ik laat deze bv niet steeds het hoofdwachtwoord vragen… maw ik zou zelf ook een potentieel probleem hebben ook al het ik bijna niets privé op het werktoestel staan.

maar om op uw vraag te antwoorden: Ja dat kan zonder probleem, zeker op een werk computer

Bedankt voor de info, zeer verhelderend!
Mbt het ook privé gebruiken van een werk-laptop: ik denk dat niet-IT’ers dan helemaal anders zien, die zien dat echt als een ‘hybride’ laptop en die zijn zich niet bewust van de screeningsmogelijkheden die IT’ers hebben. De fiscus is trouwens ook van dat standpunt: als je een laptop krijgt van je werk, wordt dat als ‘voordeel alle aard’ op je loonfiche gezet.
Organisaties zouden volgens mij hun werknemers meer moeten informeren dat omwille van veiligheid werk-PC’s gemonitord kunnen en zullen worden.

hier geen vaa voor de laptops, die mogen enkel voor professionele activiteiten gebruikt worden. dat staat zo in het informatieveiligheidsbeleid…
maar ik besef dat niet it’ers dat totaal anders zien, we hebben hier zelfs iemand zijn volledige belasting aangiftes (meerdere jaren) gevonden op een publieke schijf…
en hoeveel mensen hun werk e-mail gebruiken voor de hobby/club etc.
het screenen van een werk-laptop mag je ook niet zomaar doen, idem met het lezen van de e-mails van iemand. dat mag dacht ik enkel met medeweten van de werknemer en bij vermoeden van misbruik/onregelmatigheden.
zoals steeds is het niet omdat het kan dat het mag

Hoe ik het artikel versta, is dat ze niet doelbewust hun werklaptop hebben gebruikt om naaktvideo’s/foto’s door te sturen of te maken, maar eerder dat ze via de werklaptop ingelogd waren op bv hun whatsapp via webapplicatie, en dat tussen en in die gesprekken dan de naaktvideo’s/foto’s stonden? Dat de dader dus wel bewust heeft gezocht naar dergelijk materiaal?

ja, de dader heeft bewust gezocht naar die dingen dat is duidelijk.
waar hij de gegevens gevonden heeft is niet 100% duidelijk, maar dat kan ofwel via login op bv google foto ofwel de offline sync map (ik veronderstel nu ff dat dit kan met google foto’s zoals met onedrive/icloud kan)
al kan het ook zo eenvoudig zijn als de temp internet files doorzoeken :-), of kan dit niet meer?

Iets dat ik in deze thread nog niet gelezen heb: er is een enorm verschil tussen wat kan en mag volgens de wet.

Of het technisch mogelijk is om je privé PC en zelfs je werk PC te monitoren is één ding. Je kan je beveiligen voor een groot stuk, maar afhankelijk van de bekwaamheid, de tools en wat de netwerkbeheerders doen zal dat meer of minder zinvol zijn. Uiteindelijk kan alles wel op één of andere manier “gehackt” worden. Da’s de technische kant.

In bovenstaande was het nu kwaad opzet, dus da’s altijd strafbaar.

Los daarvan heeft de werkgever niet zomaar het recht om alles te bekijken en te lezen wat je doet. Er bestaat ook op de werkvloer een recht op privacy. Klein voorbeeld: stel dat je op je laptop van het werk in de mail applicatie ook je privé mailbox toevoegt en leest. Dit geeft de werkgever niet het recht die mailbox te lezen. Meer nog, volgens mij (maar ik ben geen rechtsgeleerde, dus dit is onder voorbehoud) is het zelfs niet eens toegelaten dat ze meelezen in jouw professionele mailbox zonder jouw toestemming, want ook hier is privacy van toepassing! Je kan hieromtrent nogal wat lectuur online vinden.

De werknemer moet expliciet toestemming vragen om dat soort dingen te doen… dus hij moet het niet zomaar zeggen.
Maar, veel hangt ook af van je arbeidsovereenkomst en wat daar allemaal in gespecifieerd staat, want, in principe heb je die getekend en eventueel heb je daar wel je toestemming gegeven. En er kan daar ook nog meer gespecifieerd staan, bvb dat je geen privé bestanden daar mag op zetten, of, extra applicaties installeren, etc…

meelezen met de mail van een werknemer mag idd niet.
hier ook geen rechtsgeleerde, maar zoals ik het onthouden heb, mag dit enkel bij vermoeden van onregelmatigheden en moet dit vooraf gemeld worden aan de betrokkene.
hoe dat dit melden moet (persoonlijk/vakbond/aanplakken/…) weet ik niet, zal ook afhangen van de situatie. maar ik denk dat dan wel alle remmen los gaan.
wat wel zomaar mag, is bijvoorbeeld lijstjes maken van de sites met de meeste trafiek en een ander lijstje met de accounts met de meeste trafiek. en op basis hiervan een gesprekje hebben met de werknemers (ooit al eens mogen meemaken bij een klant )

Yup, zolang je niemand specifiek viseert kan je dat idd doen, en de lijstjes overlopen. Vanaf dat je iemand persoonlijk aanspreekt kom je in de gevarenzone van de privacy… ook ivm surfgedrag.

Basisvraag is en blijft natuurlijk: als je je personeel maar zo slecht vertrouwt dat je alles moet controleren, is er mss iets mis, of, blokkeer gewoon al die dingen als de mensen dat niet nodig hebben. Maar als het kan, laat dan ook toe dat ze dat tussen de middag gebruiken voor wat ze willen… de wereld vergaat niet omdat er iemand tussen de middag ne “rare” foto bekijkt.

Eens het “fraude” is of “crimineel” zijn er altijd andere regels in 't spel, maar betrek er dan ook de nodige diensten bij en dan los je dat ook zo weer op op de goeie manier.

De spelregels rond dergelijke dingen worden bij ons vastgelegd in een deontologische code die elke werknemer dient te ondertekenen (en na te leven ).
Schermovername wordt geïnitieerd met de klant aan de telefoon. De klant ziet een popup met de naam van de IT admin die de pc overneemt. De overname account is local admin op de klantpc, de klant zelf niet

Los daarvan stel ik me de vraag hoe en waarom die gast de plaintext wachtwoorden heeft van alle accounts. Lijkt me vragen om problemen om het op die manier in te richten.
Wij kunnen niet in de users hun account tenzij we een pw reset doen en maken de users er attent op om nooit hun wachtwoord kenbaar te maken, niet aan hun collega’s, niet aan hun baas, niet aan IT.
Ik ken de operationele IT werking niet van een ziekenhuis en vermoedelijk onderschat ik het maar je zou verwachten, wegens de medische context en bijhorende risico’s/privacy, dat het cybersecuritygewijs ferm dichtgetimmerd is.

Ik ben wel een sysadmin en neem dagelijks verschillende laptops over en verbind me op verschillende servers. Als de laptops in het domein(Active Directory in dit geval) zitten kun je als admin inderdaad veel doen en zelfs onopgemerkt aan hun bestanden geraken. Maar zo wachtwoorden van Instagram en andere dingen opzoeken is wel een niveautje hoger. Dan ga je bewust inbreken in mensen hun privéleven.

Veel gebruikers geven ook vaak hun wachtwoord door als we iets moeten troubleshooten, omdat ze het teveel moeite vinden om het achteraf te veranderen of er bij te blijven, zodat ze het zelf kunnen ingeven.

Zoals hierboven al vermeld ben ik ook al veel vreemde persoonlijke zaken tegengekomen op werk laptops (porno, torrents, liefdesbrieven, belastingsaangiften, naakt foto’s…). Mensen zijn zich inderdaad niet bewust wat er allemaal gemonitord kan worden en gebruiken hun toestel vaak als hun privétoestel.

alsook een wachtwoord raden van iemand is vaak niet zo moeilijk. Kijk maar gewoon naar de foto’s en kaartjes op de bureaus. Daar vind je trouwdatums, verjaardagen, namen van kinderen en partners. Zo heb je al 90% van hun mogelijke wachtwoorden.

Ik heb hier al heel veel bijgeleerd in deze thread - boeiende lectuur! Ik onthou dat er een groot verschil is in beleid - bijvoorbeeld mbt het al dan niet geven van het wachtwoord van je eigen account.
Ik weet dat er weinig bedrijven zijn die Mac’s aan hun personeel geven, maar er zijn toch minstens een aantal organisaties die je laten kiezen (bijv. onderwijsinstellingen & agencies). Zijn er admins die ook Macs beheren? Het zou me wel interesseren om te weten of Apple - die toch altijd de lead wil nemen qua privacy - minder toelaat aan admins, bijv. door de users toe te laten om hun harddisk te encrypteren? Of kunnen de users dat niet als je organisatie gebruik maakt van MDM zoals jamf?

Ik werk voor verschillende wijkgezondheidscentra en andere kleine praktijken. Voornamelijk Windows omgeving maar ook een paar Mac praktijken. Voor (remote) support gebruik ik al jaren Teamviewer.
Op de Windows omgeving via InTune op de laptops zodat toestel onmiddelijk in de pool komt. Dan moet ik enkel vragen welk toestel mensen gebruiken om over te nemen.
Op de Macs moet Teamviewer manueel geïnstalleerd worden en dat gebeurd door de medewerkers zelf. Bij het opstarten van Teamviewer moet je de eerste keer 4 privacy settings goedkeuren alvorens je kan overnemen.
Wachtwoorden of toestel pincodes vraag ik nooit en heb ik in principe niet nodig omdat ik mijn eigen admin account kan gebruiken indien nodig. De voorbije 3 jaar slechts 1 keer een wachtwoord nodig gehad van een medewerker en dan werd dat via Dashlane doorgegeven en nadien moest die persoon wachtwoord opnieuw instellen.

bij mac hangt het er echt van af of de toestellen managed zijn of niet.
dat staat allemaal hier: Device Management | Apple Developer Documentation

Qua dichttimmeren begint het in de ziekenhuizen wat te beteren
probleem is natuurlijk dat er bijna geen budget is om dit te doen, het is elk jaar bidden en smeken om “iets” te krijgen waarmee we kunnen werken…
nu NIS2 er stilletjes aan komt, is het wel wat gemakkelijker.