RTL Boulevard: Het verhaal achter het datalek van contactgegevens van honderden BN-ers bij showbizzfotografen Peter en Edwin Smulders

Posted on 08-02-2018 by Sijmen Ruwhof

Vorige week vrijdag ontving ik een anonieme tip van een hacker dat de server van showbizzfotografen Peter en zijn zoon Edwin Smulders totaal onbeveiligd was. Dit heb ik onderzocht en vastgesteld dat dit inderdaad het geval was.

Privégegevens van honderden bekende Nederlanders zijn gelekt. Telefoonnummers en woonadressen van onder anderen Gordon, Ruud Gullit en prinses Christina waren jarenlang voor iedereen in te zien.

Navraag leert dat Peter en Edwin Smulders paparazzi schijnen te zijn en deze twee mannen hebben nogal een reputatie. Ik besloot dat het niet verstandig was om zelf dit lek te gaan melden. Als individu ben je toch vrij kwetsbaar.

Ik zocht daarom contact met de onderzoeksredactie van RTL Nieuws. Samen met tech-journalist Daniël Verlaan heb ik nader onderzoek verricht. Hij heeft het lek via responsible disclosure gemeld aan de twee showbizzfotografen.

TL;DR: RTL Boulevard over het datalek
RTL Boulevard besteedde vandaag aandacht aan het datalek:

RTL Nieuws schreef er het onderstaande over vandaag. Het artikel is door RTL Nieuws gepusht naar gebruikers van hun app:

Privégegevens honderden BN’ers op straat door lek showbizzfotografen

Door een fout van showbizzfotografen Peter en zijn zoon Edwin Smulders zijn de privégegevens van honderden bekende Nederlanders gelekt. De telefoonnummers en woonadressen van onder anderen Gordon, Ruud Gullit en prinses Christina waren jarenlang voor iedereen in te zien.

Dat blijkt uit onderzoek van RTL Nieuws na een tip van een anonieme tipgever. De server van de familie Smulders, waar hun website en foto’s op staan, was niet beveiligd met een wachtwoord. Daardoor kon iedereen door de inhoud van de server spitten.

Het lek stond al bijna tien jaar open en was zeer gemakkelijk te misbruiken. Na melding van RTL Nieuws is het lek gedicht.

419 personen
Het gaat om mobiele telefoonnummers, adresgegevens, e-mailadressen en andere privé-informatie van BN’ers, bijvoorbeeld de namen van partners en kinderen of de kentekenplaten van auto’s. Al deze informatie werd gesynchroniseerd met de onbeveiligde server.

Naast de eerder genoemde namen behoren ook Hans Kraay jr., Daphne Deckers, Xander de Buisonjé, Tatum Dagelet, Froukje de Both, Glennis Grace, Tygo Gernandt, Wilfred Genee, Fiona Hering en Caroline de Bruijn tot de lange lijst van BN’ers waarvan privégegevens zijn gelekt. In totaal telt het adresboek 419 personen, van wie het overgrote merendeel BN’er is.

Op de server van Smulders was ook een bestand met gebruikersnamen en wachtwoorden te vinden die toegang gaven tot onder andere hun e-mail en website.

‘Geen verstand van’
Zowel Edwin als Peter Smulders reageren laconiek op het datalek. “Ik heb er geen verstand van (de configuratie van de server, red.) en dat wil ik graag zo houden”, aldus vader Smulders, die de server beheert en de hostingpartij het gat heeft laten dichten.

Op de vraag of hij het niet vervelend vindt voor de BN’ers dat hun privégegevens zijn gelekt, antwoordt hij: “Ik heb het liever over dat RTL mijn foto’s zonder toestemming gebruikt.”

Een goudmijn
De gelekte privégegevens van BN’ers zijn voor hackers een ‘goudmijn’, zegt cybersecurity-expert Sijmen Ruwhof. Dit soort gegevens worden bijvoorbeeld verkocht op het dark web, maar criminelen kunnen de informatie ook gebruiken voor gerichte phishing-aanvallen.

Met een gerichte phishing-aanval op het e-mailadres of telefoonnummer kan een hacker de computer of smartphone van de BN’er overnemen. Ook kunnen BN’ers via phishing worden verleid om hun wachtwoord te geven.

Naaktfoto’s
Naaktfoto’s van beroemdheden werden een paar jaar geleden ook via onder andere phishing-aanvallen gestolen. De hacker stuurde phishing-e-mails naar beroemdheden om zo wachtwoorden buit te maken.

Met de wachtwoorden kon de hacker inloggen op de iCloud-backup van beroemdheden, waardoor hij toegang had tot al hun foto’s. De beveiligingsoptie tweestapsverificatie, die je bij allerlei online diensten kunt instellen, beschermt tegen deze aanval.

Lastigvallen
Volgens Ruwhof schermen BN’ers hun contactgegevens vaak goed af: “Ze worden al genoeg gestoord door fans, paparazzi en stalkers. Door hun privacy te beschermen kunnen ze na hun werk tot rust komen.”

“Wat ik zo wrang aan dit lek vind, is dat deze paparazzi al heel lang BN’ers lastigvallen”, zegt Ruwhof. “En nu gaan ze ook nog eens zeer onzorgvuldig om met alle persoonsgegevens die ze hebben verzameld.”

Peter Smulders is woest
In de Telegraaf reageert Peter Smulders woest op het nieuws:

In bovenstaand telefonisch interview met de Telegraaf reageert hij:

“Er is totaal niet gehackt ofzo. Ik heb mijn webbeheerder gebeld en we hebben nul komma nul, nul, nul problemen. DAT HELE KUT RTL. Ze moeten in ieder geval mij daar niet mee lastig vallen, want het is namelijk, alles wat ik doe is namelijk hartstikke legaal en ik probeer alles te beveiligen. Ik heb ze alleen op een gegeven moment gezegd jullie moeten eens een keer met je eigen gezicht in de spiegel kijken. Van de tien foto’s die jullie gebruiken zijn er zeven gejat. Bij ons. “

De agressie waarmee Peter Smulders reageert tegenover de Telegraaf is nou exact de reden waarom ik deze responsible disclosure graag uitbesteedde aan RTL Nieuws.

RTL-journalist Daniël Verlaan reageerde op Peter Smulders uitlating via Twitter met een screenshot van een deel van Peter’s adressenbestand:

Peter Smulders is opeens 180 graden gedraaid en reageert tegenover NOS Nieuws opeens heel anders:

[..] Peter Smulders zegt in een verklaring dat de bescherming van een back-upsysteem niet op orde is geweest. “Daar is op ingebroken en bij die inbraak is een oud adressenbestand uit 2008 buitgemaakt. De fout is bij onze hostingpartij direct hersteld. Zo’n zestig adreskaarten bevatten informatie van bekende Nederlanders, en die is waarschijnlijk niet meer actueel.”

Zijn zoon Edwin Smulders noemt de zaak een storm in een glas water. “Bij bijvoorbeeld Linda de Mol ging het om kentekens van haar auto, maar dat was van voor 2008. Bij Gordon ging het om een telefoonnummer, maar die verandert ongeveer drie keer per jaar van nummer. Dus dat klopt ook niet meer.” Hij zegt ook dat er voor 23 januari nooit ingelogd is op de website. “Met drie ip-adressen is er gezocht. En vooral gisteren is er heel druk gezocht, door RTL.”

Eerder zei Peter Smulders bij RTL er “geen verstand” van te hebben. Presentator Wilfred Genee noemde het een “verbazend laconieke reactie”. “Als je als fotograaf contact opbouwt met mensen, verwacht je dat ze er zorgvuldiger mee omgaan. Ik ben niet in shock, in deze tijd is er heel veel op internet te vinden. Maar de laconieke reactie valt me tegen.”

Het Algemeen Dagblad schreef er vervolgens het volgende over:

‘Niemand zag gelekte privégegevens van BN’ers’

Het was tot voor kort mogelijk om privégegevens van BN’ers te achterhalen via een onvoldoende beveiligde webserver van sterrenfotografen Edwin en Peter Smulders. De bewuste informatie is echter zo’n tien jaar oud en dus grotendeels achterhaald. Bovendien is niemand daadwerkelijk met de gegevens aan de haal gegaan, zegt Edwin Smulders tegen deze site.

RTL Nieuws meldde vanmiddag dat telefoonnummers en woonadressen van 419 mensen, onder wie veel BN’ers, tien jaar lang voor iedereen toegankelijk waren via de onbeveiligde server van de Smulders-fotografen. Onzin, zegt Edwin. Hij bracht de server achter zijn website naar eigen zeggen ongeveer een jaar geleden onder bij een ander hostbedrijf. Toen die organisatie andere software ging gebruiken, was er ineens geen wachtwoord meer nodig om van buitenaf bij een back-upbestand vol adres- en kentekengegevens te komen.

Wie genoeg technische kennis had, kon zich dus in theorie een jaar lang toegang verschaffen tot die informatie. Daarvoor, bij de vorige host, was dat volgens Smulders echt onmogelijk. In werkelijkheid logde er pas twee weken geleden voor het eerst iemand in, bevestigt het hostbedrijf. En vermoedelijk was dat RTL Nieuws zelf.

Stemmingmakerij
De gegevens in het bewuste mapje zijn volgens Smulders en zijn hostbedrijf zo’n tien jaar oud. Onder de honderden contacten zijn ongeveer 30 bekende Nederlanders. ,,En de meeste BN’ers nemen om de haverklap een ander telefoonnummer”, zegt de fotograaf. Desalniettemin noemt hij het lek ‘vervelend’. ,,Maar de berichtgeving van RTL vind ik stemmingmakerij.” Het lek is inmiddels in ieder geval gedicht.”

Reactie van Edwin Smulders klopt wederom niet
De reactie van Edwin Smulders in bovenstaand bericht klopt wederom niet:

  • “[..] Bovendien is niemand daadwerkelijk met de gegevens aan de haal gegaan [..]”

Het adresboek is ongeautoriseerd geraadpleegd. Hoezo niet in verkeerde handen gevallen?

En even verder klopt zijn reactie ook al niet:

  • “[..] In werkelijkheid logde er pas twee weken geleden voor het eerst iemand in, bevestigt het hostbedrijf. En vermoedelijk was dat RTL Nieuws zelf. [..]”

Dat was niet RTL Nieuws. De webhoster van Smulders heeft het forensisch onderzoek zelf uitvoerd en tonen hiermee aan geen kennis van zaken te hebben. Ze vonden het niet nodig een goed forensisch onderzoek uit te voeren en hiervoor een gespecialiseerd bureau in de hand te nemen.

In een verklaring tegenover de Telegraaf legt Smulders uit dat:

  • “[..] zijn site gehost wordt door een extern bedrijf. De beveiliging was niet up-to-date, maar het euvel is inmiddels verholpen. [..]”

Dat de beveiliging niet up-to-date was klopt ook al niet. Er was gewoon geen wachtwoord gezet op hun backupserver. Verderop in het artikel:

  • “[..] Volgens Smulders is er een oud adressenbestand buitgemaakt. De gegevens zouden voor 95 procent niet meer actueel zijn. [..]”

Dat de gegevens voor 95% niet actueel zijn, klopt ook al niet. Onderzoek door RTL Nieuws wees uit dat naar schatting 80% nog actueel zou zijn.

Tot zover de rectificatie. Gelukkig is het lek gedicht en zijn onze BN-ers weer veiliger nu!

RTL Boulevard over het datalek
RTL Boulevard besteedde vandaag aandacht aan het datalek:

De volgende media hebben over dit datalek geschreven

  1. RTLnieuws.nl: ‘Privégegevens honderden BN’ers op straat door lek showbizzfotografen’
  2. NOS.nl: ‘Fotografen achteloos met privégegevens BN’ers’
  3. NU.nl: ‘Privégegevens honderden BN’ers openbaar door datalek fotografen ‘
  4. Tweakers.net: ‘Privégegevens bekende Nederlanders stonden jarenlang openbaar op site fotografen’
  5. Powned.tv: ‘Privéfoto’s BN’ers op straat door lek paparazzi-server’
  6. MetroNieuws.nl: ‘Privégegevens BN’ers blijken al 10 jaar openbaar’
  7. Libelle.nl: ‘Privégegevens van honderden BN’ers en leden van het koningshuis op straat’
  8. RTLBoulevard: ‘Privegegevens BN’ers gelekt’
  9. LindaNieuws.nl: ‘Privégegevens van honderden BN’ers liggen al tien jaar voor het oprapen door lek’
  10. Fok.nl: ‘Serverlek onthult privé-info BN’ers’
  11. Opgelicht.AVROTROS.nl: ‘Privégegevens bekende Nederlanders gelekt door fout fotografen’
  12. OmroepBrabant.nl: ‘Misstap Eindhovense showbizzfotografen, privégegevens honderden BN’ers op straat’
  13. Bright.nl: ‘Privégegevens BN’ers gelekt via server van paparazzi’
  14. MediaCourant.nl: ‘Gegevens honderden BN’ers gelekt via Edwin Smulders’
  15. VillaMedia.nl: ‘Privégegevens honderden BN’ers op straat door lek bij society-fotografen’
  16. BlikOpHetNieuws.nl: ‘Privégegevens BN’ers te zien op website vader en zoon Smulders’
  17. GoalsAndGlamour.nl: ‘Telefoonnummers van honderden BN’ers liggen op straat’
  18. NumRush.nl: ‘Privégegevens honderden BN’ers openbaar via onbeveiligde server’
  19. BD.nl: ‘Privégegevens honderden BN’ers op straat door lek Eindhovens fotobureau’
  20. PrivacyNieuws.nl: ‘Privégegevens BN’s stonden jarenlang openbaar op site fotografen’
  21. NHnieuws.nl: ‘Honderden gegevens van BN’ers op straat door lek website showbizzfotografen’
  22. Tubantia.nl: ‘Privégegevens bekende Nederlanders gelekt door fout fotografen’
  23. Weekend-Online.nl: ‘Privénummers BN’ers op straat door lek’

Opmerkelijk is dat bepaalde media het verhaal weer totaal anders brengen, waaronder de Telegraaf, wat Smulders’ vaste klant is.

  1. Telegraaf.nl: ‘Smulders: adressenbestand was oud’
  2. DitjesEnDatjes.nl: ‘Smulders: adressenbestand was oud’
  3. AD.nl: ‘Niemand zag gelekte privégegevens van BN’ers’
  4. Gelderlander.nl: ‘Niemand zag gelekte privégegevens van BN’ers’
  5. ED.nl: ‘Niemand zag gelekte privégegevens van BN’ers’
  6. BNdeStem.nl: ‘Niemand zag gelekte privégegevens van BN’ers’
  7. DeStentor.nl: ‘Niemand zag gelekte privégegevens van BN’ers’

Belgische site over de kwestie:

  1. HLN.be: ‘Foutje van fotograaf: privégegevens van honderden Bekende Nederlanders gelekt’

Engelse site over de kwestie:

  1. FirstOrderHistorians.com: ‘Private information celebrities on the street by lek photographers’

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in analysis, backup, data leakage, interview, responsible disclosure, tv. Bookmark the permalink.