Dat blijkt uit onderzoek van beveiligingsbedrijf ITsec in opdracht van Diginotar, dat werd uitgevoerd voor het publiek worden van het lek. NU.nl heeft een juridische procedure gevoerd om dat rapport in handen te krijgen.

Diginotar was een Nederlands bedrijf dat digitale beveiligingscertificaten uitgaf, die de afkomst van websites moesten garanderen. Ook de overheid gebruikte deze certificaten, die werden gekaapt door een hacker.

Daardoor werd onder andere het overheidssysteem DigiD onveilig. Ook kon de regering van Iran internetgebruikers 'afluisteren' over een verbinding die veilig leek.

Voor de website van Diginotar werd gebruik gemaakt van DotNetNuke, een content management systeem. Daarvan werd versie 4.8.2.0 gebruikt, die stamde van maart 2008. Al in mei 2008 waarschuwde het bedrijf achter het systeem voor een ernstig lek in die versie, ruim drie jaar voordat Diginotar werd gehackt.

Precies dat lek is volgens ITsec misbruikt. In totaal waren er dertig updates sinds het uitkomen van de gebruikte versie niet geïnstalleerd.

Na het inbreken op de webserver installeerde de hacker software om wachtwoorden te achterhalen. Het plaatsen van programmatuur werd vervolgens niet ontdekt door Diginotar, waardoor de inbreker ongestoord zijn gang kon gaan.

Volgens ITsec is de beveiliging van Windows-wachtwoorden niet heel erg sterk, dus kon de hacker op zoek gaan naar de inloggegevens van de beheerders.

Het kraken van het wachtwoord was niet moeilijk omdat dit simpel te raden viel. In 2011 meldde de hacker publiekelijk dat het beheerderswachtwoord 'Pr0d@dm1n' was. Dat wachtwoord bleek op diverse computers te werken.

Ook is er bewijs gevonden dat de hacker vervolgens informatie over het interne netwerk kon krijgen. Zo kon hij ook andere systemen benaderen.

ITsec stelt dat de hacker uiteindelijk toegang heeft gekregen tot twee computers die werden gebruikt om certificaten aan te maken.

Opmerkelijk is daarbij dat de firewall geen verkeer van de website naar de systemen in het interne netwerk toestaat. De onderzoekers vermoeden dat de hacker eerst heeft ingebroken op een andere computer om daarna vanaf die plek naar de certificaatserver door te gaan.

De hacker brak voor het eerst in op 17 juni 2011 om 4.20 uur 's ochtends. Uit logboeken van de firewall blijkt dat er voor het laatst verkeer is gezien op 22 juli 2011 om 13.11 uur. Diginotar hield het incident in de tussentijd geheim. De hack werd pas op 29 augustus 2011 publiek, nadat een Iraanse internetgebruiker fouten in certificaten ontdekte.

De hack op Diginotar had verstrekkende gevolgen voor internetgebruikers in Iran. Door het aanmaken van een vals certificaat voor Google was het voor de overheid mogelijk om gebruikers van diensten als Gmail af te luisteren.

Uit andere onderzoeken is inmiddels gebleken dat in de praktijk slechts een deel van het Iraanse internetverkeer misbruik maakte van de vervalste certificaten.

NU.nl kreeg het rapport van ITsec in handen na een beroep op de Wet openbaarheid van bestuur bij de OPTA. Dat weigerde in eerste instantie het rapport vrij te geven, maar na een juridische procedure werd het rapport alsnog openbaar gemaakt.

Een fel tegenstander van de openbaarmaking van het rapport was de curator R. Mulder van het inmiddels failliete Diginotar. Hij vreesde dat de feiten uit dit rapport zou leiden tot aanvullende schadeclaims.