Even vooraf: als je Whatsapp gehackt is, verwijder dan de app van je mobiel, zet het apparaat uit, zet het apparaat weer aan, download de app opnieuw en vraag een toegangscode aan op je eigen telefoonnummer. Je hele account is nu geblokkeerd, voor jou, maar ook voor de hacker. Waarschijnlijk moet je twee uur wachten, voordat je de code krijgt, in de vorm van een telefoontje. Daarna ben je weer de enige eigenaar van het Whatsapp account dat aan jouw telefoonnummer is verbonden.
Nu mijn verhaal. Gisteren om 18.17 kreeg ik een app’je en even daarna een sms’je. Ik was, na weer eens een nacht zonder slaap, vermoeid en stond te koken. Normaalgesproken zou ik het genegeerd hebben, maar twee tingels achter elkaar suggereerde enige urgentie. Dus ik keek toch, terwijl mijn hoofd eigenlijk elders was. Het appje was van een prominente partijgenoot. Er zou een voor hem bestemd sms’je bij mij binnenkomen, of ik even wilde forwarden. Dat klopte natuurlijk voor geen meter, maar ik had er geen tijd voor en deed het zonder te kijken naar de inhoud van het sms’je.
Enfin, zo kon ik als wetenschapsjournalist met 25 jaar ervaring in ICT-beveiliging toch gewoon de klos zijn. De robohacker (dit gaat allemaal automatisch) kon nu mijn contacten zien, maar niet mijn appjes. Of misschien niet, want de volgende veertig minuten gebeurde er helemaal niets. Het kan zijn dat de partijgenoot tussen het appje en het sms’je in zijn account bevroren had, zodat het geforwarde sms’je de hacker niet meer bereikte.
Ingeblikte vrouwenstem
Om 18.54 tingelde mijn telefoon weer. Maar goed, ik zat te eten, dus ik keek niet. Om 18.56 ging mijn telefoon. Een onbekend nummer in Londen, dat ik wegdrukte. Toen had ik mijn telefoon toch in mijn hand, dus keek ook even naar het berichtje van 18.54. Een Whatsapp-resetcode. Nu pas zag ik dat de eerdere code ook van Whatsapp was – en begreep ik dat het appje niet van mijn partijgenoot was. Iemand was aan het klooien met mijn account.
Om 18.57 zag ik dat ik niet meer in mijn Whatsapp kon. Maar nog wel een resetcode aanvragen. Om 18.58 kwam er een nieuwe code per sms binnen, maar die deed het niet. Om 19.00 werd ik gebeld door hetzelfde nummer in Londen. Deze keer nam ik wel op. Een ingeblikte vrouwenstem begon herhaaldelijk dezelfde niet werkende resetcode voor te lezen. Een fractie later werd ik ook gebeld door de eerste vriend die een raar appje van me gekregen had.
Achteraf gezien is 18.56 waarschijnlijk het fatale moment geweest. Toen ik het telefoontje wegdrukte, heeft de blikken stem mijn voicemail ingesproken. Ik zou niet eens weten of daar beveiliging op zit, want ik luister zelden naar mijn voicemail en al helemaal niet vanaf een andere telefoon dan de mijne. Hoe dan ook, de hacker luisterde mijn voicemail af, kreeg zo de resetcode te pakken en heeft mijn Whatsapp-account naar zijn apparaat over gezet.
Vier minuten
Ondertussen volgde ik het recept dat ik hierboven gaf: app verwijderen, mobiel aan/uit, app weer installeren, resetcode aanvragen. Ik kreeg dezelfde code als een paar minuten daarvoor. Het werkte nog steeds niet. Whatsapp had de boel op slot gegooid vanwege de barrage aan resetpogingen. Twee uur afkoeltijd. Dat gaf me de gelegenheid om familie en vrienden te waarschuwen al mijn berichten te negeren. Om 21.01 stond Whatsapp weer een resetpoging toe. Het telefoontje kwam deze keer uit Manchester. Een minuut later zat ik weer in mijn eigen account en kon mensen gaan geruststellen.
Vermoedelijk zijn er dus maar iets van vier minuten geweest waarin mensen zijn lastig gevallen vanuit mijn account, tussen het moment dat ik de controle verloor en Whatsapp de boel op slot gooide. Ik kon de dagelijkse backup terughalen, dus was alleen de appjes van gisteren kwijt. Ik zal nooit weten wat er precies gedaan is vanuit mijn account.
Even achteraf: dit was zo’n beetje de simpelste hack die er bestaat. Dat geldt ook voor de remedie, die dus niet in alle gevallen zal werken. Mooraal: iedereen heeft wel eens zijn onbewaakte ogenblikken. En stel tweestapsverificatie ook in voor Whatsapp.
