Hacker legt alle automatiseringsystemen van Baltimore al een maand lang plat

Het computernetwerk van de Amerikaanse metropool Baltimore is al een maand lang volledig verlamd. Van de waterrekening tot de aankoop van een huis… Niets werkt meer.

Sinds begin mei zijn bijna alle computersystemen in de stad stilgelegd, zelfs e-mails en telefoons zijn dood. De administratie moet het doen met noodoplossingen en papier.

De inwoners van de stad werden op 7 mei voor het eerst ingelicht via Twitter. Vanwege de hack lukte dat niet via mail. Uit de tweet blijkt dat de gemeente op dat moment nog niet de enorme impact van de cybercrime aanval in de gaten had:

“We negeren je niet. Onze e-mail service werkt niet. We werken eraan.”

Werknemers van de stad in de Amerikaanse staat Maryland hadden wel gemerkt dat sommige systemen zich vreemd gedroegen. De IT-beveiligers ontdekten al snel dat tientallen stadsservers door een Trojaan waren versleuteld – en haalden het systeem van het net. Sindsdien kan het hele bestuurlijke en ambtelijke apparaat niets meer doen.

Of het nu gaat om de betaling van de waterrekening, een parkeerkaart of de overdracht van een huis aan een nieuwe eigenaar: alles ligt al wekenlang braak in Baltimore.

Er komen geen e-mails meer binnen, zelfs de telefoonsystemen waren deels buiten werking.

Om op de een of andere manier te kunnen werken, creëerden de medewerkers privé-e-mailadressen voor hun werk, waarna de administratie na jaren weer overging op papier om op de een of andere manier verder te kunnen werken.

Gelukkig zijn de politie, de brandweer en de gezondheidszorg niet getroffen.

De gevolgen zullen waarschijnlijk nog enige tijd aanhouden.

Hoewel het voor de autoriteiten inmiddels mogelijk is om een deel van de dagelijkse werkzaamheden te hervatten, zijn de problemen in Baltimore nog steeds niet opgelost. De stad moet met spoed fors investeren om de computersystemen weer veilig te kunnen gebruiken. De redding van de rest van het systeem zou ongeveer vijf miljoen euro moeten kosten, en tegen het einde van het jaar wordt nog eens vijf miljoen euro verwacht.

Het dagblad Baltimore Sun meldt dat er nog eens tien miljoen euro verloren is gegaan door het gebrek aan inkomsten.

Burgemeester wil niet betalen

Burgemeester Bernard C. Young, bekend als “Jack”, was pas enkele dagen in functie toen het losgeldbriefje arriveerde: de aanvaller eiste 13 Bitcoin, wat overeenkomt met ongeveer 90.000 euro.

Individuele systemen zouden worden vrijgegeven voor drie Bitcoin. Maar burgemeester Young weigerde om te betalen. “Wij betalen geen misdadigers voor hun slechte daden”, verklaarde de burgemeester aan de Baltimore Sun.

Het was immers niet bekend of de systemen na betaling überhaupt weer vrijgegeven zouden worden.

In plaats daarvan heeft Young de NSA en de FBI gewaarschuwd en externe consultants ingeschakeld om de problemen op te lossen.

Al snel werd duidelijk dat de hackers het aanvalsgereedschap “Robbinhood” gebruikten, dat al in andere hoogwaardige zaken werd gebruikt.

De verdenking dat ook een gestolen NSA cyberwapen was gebruikt kon niet worden bevestigd door de deskundigen Eric Sifford en Joe Stewart. Zij legden in een blogbericht uit dat hier geen aanwijzingen voor zijn gevonden in de onderzochte programmaonderdelen.

UPS

En iemand anders ontkent het gebruik van NSA-tools: de hacker zelf. Blijkbaar gefrustreerd door de niet-betaling, vroeg hij enkele dagen geleden via Twitter aan burgemeester Young en verschillende gemeenteraadsleden om eindelijk het bedrag te betalen.

Hij zou zelfs een aantal van de servers gratis ontgrendelen, zo bood de hacker aan. Hij wilde laten zien dat het echt mogelijk was om de gegevens te redden. Hij kon bewijzen dat het de dader was met interne documenten van het stadsbestuur, die door de deskundigen als echt werden beschouwd.

Ondertussen is het account door Twitter geblokkeerd. Niet vanwege de hack, maar omdat de vermeende hacker burgemeester Young racistisch beledigde.

De aanpak van de hacker is ongewoon, benadrukken experts volgens “Ars Technica”.

Normaal gesproken zouden dergelijke aanvallers voorkomen dat zij het bewijs van indringing in het systeem leveren en zelfs in het openbaar commentaar geven op het systeem. Zij vermoeden dat de dader een ander motief voor zijn daad heeft. Ze vermoeden dat hij de hack van de stad ziet als een reclamecampagne om de kracht van zijn chantage-instrument te laten zien. Om zich te kunnen verhuren aan derden.

Google overweegt Amerikaanse sites die Europese bezoekers vanwege GDPR weren te blokkeren. In Europa…

Sinds de invoering van de Europese privacywet GDPR kunnen Europeanen de Los Angeles Times niet meer lezen. De LA Times is een van de vele honderden Amerikaanse sites die voor Europeanen niet meer toegankelijk is.

 

Google wil de rollen nu omdraaien. Amerikaanse sites die niet voldoen aan de Europese privacyregels worden mogelijk binnenkort zelf geblokkeerd in Google.

John Mueller van Google liet op Twitter weten dat Google onderzoekt hoe met content die vanwege de GDPR geblokkeerd wordt voor Europeanen moet worden omgegaan.

 

Google vindt dat ze gebruikers nu een slechte gebruikerservaring biedt als ze na een zoekopdracht op een pagina terechtkomen die voor hen geblokkeerd is. “Daar moeten we een oplossing voor vinden.”

Voor veel Amerikaanse websites is het commercieel niet de moeite waard om te investeren in Europees privacybeleid. Daar zijn ze echter volgens de Europese privacywet wel toe verplicht als ze hun content ook in Europa aanbieden.

Als Google deze sites daadwerkelijk gaat blokkeren dan zal dat waarschijnlijk alleen in de Europese pagina’s van Google zijn.

Californië akkoord met nieuwe privacywet met grote impact voor de VS

De Amerikaanse staat California krijgt een eigen privacywet. Deze Consumer Privacy Act is unaniem aangenomen.

De wet is in een recordtijd opgesteld. De Californische overheid wil zo voorkomen dat er in november bij verkiezingen in de staat een initiatief kan komen waarin nog strengere regels kunnen worden geeist.

De Consumer Privacy Act is een afspiegeling van de onlangs goedgekeurde GDPR van de EU.

Californiërs kunnen straks net als Europeanen zien over welke personsgegevens bedrijven beschikken, ze kunnen eisen dat hun informatie wordt gewist, kunnen eisen dat deze niet wordt doorgegeven aan derden, en onder bepaalde omstandigheden zelfs kunnen vervolgen als deze niet op de juiste manier wordt behandeld.

De verordeningen beperken ook het weigeren van betekening of kennisgeving op grond van de onwil om persoonsgegevens te laten traceren.

De wet gaat volgens de de Democratische staatssenator Bob Hertzberg impact hebben op de hele VS. Hij verwacht dat andere staten de wet zullen overnemen.

De Consumer Privacy Act wordt pas in 2020 van kracht. Dat geeft technologiebedrijven een nog even tijd om tegen de regels in te lobbyen en mogelijk de zwaarste maatregelen uit te bannen.