De drie Amsterdamse kantoren van WeWork hebben het wifinetwerk dat ze aan huurders aanbieden slecht beveiligd, blijkt uit onderzoek van NU.nl. Hierdoor kan een hacker zonder al te veel moeite in de computers van huurders om gevoelige documenten te stelen.

WeWork, onderdeel van het Amerikaanse The We Company, is een bedrijf dat kantoorruimtes verhuurt aan bedrijven of zelfstandigen. Het bedrijf heeft kantoren in 33 landen, waaronder kantoren in Nederland, alle drie in Amsterdam. Volgens de website had het bedrijf in november 2019 ruim 600.000 klanten wereldwijd.

NU.nl deed met behulp van twee cybersecurityconsultants onderzoek bij WeWork Amsterdam. Op het wifinetwerk van WeWork komen was gemakkelijk; zo gebruikt WeWork een wel erg makkelijk te raden wachtwoord om het netwerk te beveiligen. Het wachtwoord is te vinden via Google.

Voor hackers is het vrij eenvoudig om versleutelde wachtwoorden te onderscheppen en om toegang te krijgen tot computers van bedrijven die huren bij WeWork. Een aanvaller kan op deze manier gevoelige bestanden op de apparaten openen en bekijken.

Volgens de experts is de aanval "met enige expertise op het gebied van systemen en netwerken" niet lastig om uit te voeren. Daarnaast is er volgens de experts veel informatie op het internet te vinden over dit soort aanvallen.

Kwetsbaarheid kan toegang geven tot geheime bestanden

Ook is het mogelijk om computers van andere bedrijven op het netwerk te zien. Zo bleek dat een grote IJslandse luchtvaartmaatschappij een map heeft om onderling bestanden te delen. Een hacker kan proberen toegang te krijgen tot deze gedeelde map en op die manier toegang krijgen tot mogelijk geheime bestanden. NU.nl heeft tijdens het onderzoek geen dergelijke mappen geopend of gevoelige bestanden van bedrijven ingezien.

Daarnaast was een aantal printers zichtbaar, onder meer van een grote internationale softwareprovider. Deze printers zouden relatief eenvoudig geïnfecteerd kunnen worden door een potentiële aanvaller. Die kan vervolgens bijvoorbeeld zelf printen en scannen, maar ook kopieën opvragen van alles wat wordt geprint en gescand. De experts noemen het erg kwalijk dat dit mogelijk is.

In totaal was het mogelijk om ongeveer dertig verbonden computers te scannen. De experts vonden een handvol printers van verschillende bedrijven en er waren ook een aantal gedeelde mappen zichtbaar.

Een van de printers die zichtbaar waren bij WeWork.

Oplossing voor slechte beveiliging

NU.nl heeft WeWork ruim voor publicatie op de hoogte gebracht van het onderzoek. Een woordvoerder laat hierop aan NU.nl weten "constant beveiligingsmaatregelen te treffen" om de beveiliging te verbeteren. Daarnaast zegt het bedrijf in februari te starten met de uitrol van nieuwe wifisystemen. Hierbij krijgt elke gebruiker een eigen wachtwoord en wordt draadloos verkeer van verschillende gebruikers gescheiden.

In september 2019 bracht CNET het nieuws dat WeWork haar wifinetwerk op locaties in Amerika dusdanig slecht beveiligd had, dat een huurder in 2015 gevoelige bestanden van andere bedrijven kon inzien. Destijds is geprobeerd contact op te nemen met WeWork om de beveiliging te verbeteren, maar in september vorig jaar was de situatie daar nog onveranderd.