Een Amerikaanse systeembeheerder en beveiligingsonderzoeker die in Oostenrijk woont heeft met een politie-inval te maken gekregen nadat hij naar eigen zeggen een link van een scriptkiddie opende. Christian Haschek besloot een IRC-kanaal van het hackerscollectief Lulzsec te bezoeken.

Daar maakte hij contact met een jongen die Nikto had ontdekt, een tool om automatisch naar kwetsbaarheden in webservers mee te zoeken. "Het was een aardige jongen, maar duidelijk een scriptkiddie, dus heb ik niet al te lang met hem gesproken", aldus Haschek. Een paar uur later werd hij via een privéchat door de jongen benaderd en kreeg een link toegestuurd. Het was het adres van een politieke partij met daarachter een directory genaamd 'tools'. Directory listing stond ingeschakeld, zodat alle bestanden in de directory zichtbaar waren. De onderzoeker zegt een aantal bestanden te hebben geopend, maar het leek volgens hem op een map waar de webmaster een aantal bestanden had geplaatst die mogelijk elders op de website werden gelinkt.

Omdat Haschek alleen op IRC wilde chatten had hij naar eigen zeggen geen VPN of proxy gebruikt. "En meestal open ik geen links, maar in dit geval leek de link legitiem en niet verdacht." Hij dacht er dan ook niet meer over na, totdat hij de volgende dag in de media las dat de website van een politieke partij was gehackt. Dezelfde website die hij de avond ervoor had bezocht. De aanvaller had gebruikersnamen, e-mailadressen en gehashte wachtwoorden gevonden en die op Pastebin geplaatst. "De kiddie had duidelijk een exploit in de tools-directory gevonden en die gebruikt om toegang tot de server te krijgen", aldus de onderzoeker.

Politie-inval

Vier maanden passeerden en Haschek was het incident alweer vergeten tot hij thuis kwam en de politie, anti-terreuragenten en een officier van justitie aantrof. De politie stelde dat ze bewijs hadden dat hij de website van de politieke partij had gehackt en ze over een huiszoekingsbevel beschikten. "Ze dachten dat ik de scriptkiddie was en dat mijn VPN enig moment niet had gewerkt en ze daardoor mijn publieke IP-adres zagen." De politie vroeg ook om zijn wachtwoord en of hij versleutelde gegevens op zijn pc had staan, wat niet het geval was.

Haschek verklaarde dat hij alleen de link van de scriptkiddie had geopend en dat hij geen VPN had gebruikt omdat hij niets strafbaars had gedaan. De politie bleek de onderzoeker al weken te hebben gevolgd en afgetapt, om zo mogelijk de kopstukken te achterhalen. Uiteindelijk werden al zijn computers, harde schijven, usb-sticks en laptops meegenomen. Daarbij kreeg hij te horen dat hij zijn eigendommen waarschijnlijk een jaar later zou terugkrijgen. Wanneer het incident zich precies heeft voorgedaan laat Haschek niet weten, maar wel meldt hij dat hij een jaar later inderdaad alles terugkreeg.

Dropbox

"Door een gelukkig toeval had ik al mijn persoonlijke en zakelijke bestanden een paar dagen voor de inval in Dropbox geplaatst", zo merkt hij op. De politie liet de onderzoeker weten dat ze cloudgegevens niet fijn vinden, omdat ze dan een internationaal bevel moeten krijgen om de data bij Google of Dropbox op te vragen. Anderhalf jaar na het incident besloot het Oostenrijkse Openbaar Ministerie de zaak te laten vallen om Haschek niets had misdaan. Wel moest hij een nieuwe computer kopen omdat de politie die van hem zolang vasthield. Daarnaast vond hij op een van zijn usb-sticks een Word-document met daarin een foto van iemand. Het Word-document was niet van de onderzoeker en hij vermoedt dat de Oostenrijkse politie het bestand per ongeluk op zijn usb-stick heeft geplaatst. Wel heeft Haschek zijn lesje geleerd. "Open geen links van willekeurige mensen op internet."