AMSTERDAM - In ieder geval honderden verbindingen van internetprovider Solcon zijn afluisterbaar als gevolg van een configuratiefout in consumentenmodems. Volgens het bedrijf zijn klanten zelf verantwoordelijk voor de instellingen.

Het probleem speelt in de routers van klanten met een Zyxel-modem. Daarop kan vanaf internet worden ingelogd met een standaard gebruikersnaam en hetzelfde wachtwoord. Het lek werd ontdekt door een bron die tegenover NU.nl spreekt op voorwaarde van anonimiteit.

Uit onderzoek blijkt dat in ieder geval 400 modems van de internetprovider open staan. Door in te loggen op de apparaten is het mogelijk alle instellingen te veranderen. Daardoor kan bijvoorbeeld het verkeer via een versleutelde verbinding worden omgeleid naar een server in het buitenland.

Een test toonde vervolgens aan dat niet alleen de inhoud van het verkeer in veel gevallen af te luisteren is, maar dat zelfs als een beveiligde site wordt bezocht duidelijk is welke sites te bezoeken zijn. De verandering zal voor een gebruiker nauwelijks merkbaar zijn.

Niet verantwoordelijk

Na melding bij NU.nl heeft internetprovider Solcon een team op het probleem gezet. “We hebben geconstateerd dat we inderdaad met de usernaam en wachtwoord in kunnen loggen op een aantal Zyxel-modems die bij onze klanten staan”, stelt een zegsvrouw in een reactie. “We zien dat klanten veelal zelf settings hebben zitten wijzigen.”

Het bedrijf wijst erop dat zij modems uitleveren volgens een bepaald pakket, maar dat de klant vrij is om zelf wijzigingen door te voeren. “Maar dan komen er wel risico’s, zodat ingelogd kan worden op de modems”, vindt de voorlichter.

Ze stelt dat het probleem serieus wordt genomen en betrokken klanten hebben een e-mail ontvangen met het advies om de firewall aan te passen. “Het is een bewuste keuze van Solcon om de klant dit zelf te laten doen. We gaan dit niet voor de klant doen, maar we wijzen erop wat hij kan doen met ons advies.”

Zorgplicht

Of dit vanuit beveiligingsoogpunt voldoende is betwijfelt Bart Jacobs, hoogleraar informatiebeveiliging aan de Radboud Universiteit in Nijmegen. “Ik vind dat we met zijn allen er naartoe moeten dat we een zorgplicht hebben”, stelt hij in een reactie tegenover NU.nl.

In de auto-industrie ziet hij dat bijvoorbeeld. “Er worden ook geen auto's verkocht waarbij de gebruiker zelf de remmen aan moet zetten, en de fabrikant bij een ongeluk kan zeggen: ‘eigen verantwoordelijkheid van de gebruiker’ als dat niet gebeurd is.”

“We zien al jaren iedere keer hetzelfde in de ICT. Misschien moeten we dit toch sterker juridisch verankeren”, bepleit Jacobs. “Ik wil niet pleiten voor een Amerikaanse sue-cultuur. Dat moeten we wel Europees oplossen. Maar je ziet dat het opleggen van een zorgpplicht in de Verenigde Staten enorm goed werkt.”