Twee miljoen Palestijnen in de Gazastrook registreerden zich voor voedselhulp met naam, ID-nummer en locatie. De app werd gehackt.
Meer dan 600.000 huishoudens in de Gazastrook zijn slachtoffer geworden van een cyberaanval op een app van het Wereldvoedselprogramma van de Verenigde Naties (WFP in de Engelse afkorting). Een tot nu toe onbekende partij forceerde toegang tot de app waar honderdduizenden Palestijnen in de Gazastrook zich hebben geregistreerd om zo gemakkelijk mogelijk toegang te hebben tot voedselhulp en financiële assistentie. Het WFP onderzoekt het incident.
Het nieuws kwam naar buiten via The New Humanitarian. Het gaat om namen, ID-nummers en informatie over de locatie van families. Het WFP stelt in reactie op het nieuws aan The New Humanitarian: ‘Het WFP heeft onmiddellijk actie ondernomen om het platform te sluiten, de inbraak in te dammen en de beveiligingsmaatregelen te versterken om verdere blootstelling te voorkomen.’ Naar de getroffen Palestijnen in de Gazastrook heeft het WFP met een bericht op het Telegramkanaal wfp_gaza gereageerd: alle hulpprogramma’s gaan door ‘zoals gebruikelijk’, en registratie in de SRA (zelfregistratie-app, het type app) ‘blijft geldig’.
In totaal hebben zo’n twee miljoen Palestijnen in de Gazastrook zich via de zelfregistratie-app geregistreerd. Het gaat om het zogeheten People Portal, dat in februari werd gepresenteerd tijdens een veiligheidsconferentie in München. De app wordt alleen in Palestina gebruikt.
The New Humanitarian kwam de cyberaanval op het spoor na een tip van een klokkenluider. Die nam op 31 mei contact op en meldde dat een ‘onafhankelijke expert’ had gewaarschuwd voor kwetsbaarheden in de beveiliging van de app. Het WFP in Palestina kreeg die waarschuwing ook en stuurde die door naar het WFP-hoofdkantoor in Rome. Het cyberbeveiligingsteam daar stelde vervolgens dat het beveiligingslek was verholpen. De aanval gebeurde nog diezelfde dag, maar werd volgens de klokkenluider pas één of twee dagen later ontdekt.
Hoewel vooralsnog onduidelijk is wie de aanval heeft uitgevoerd, zijn de ogen op Israël gericht. Het land probeert steeds nadrukkelijker greep te krijgen op humanitaire hulp die wordt geboden en op humanitaire organisaties die actief zijn in de Gazastrook. Israël eist persoonlijke gegevens van hulpverleners, die humanitaire organisaties om redenen van privacy en veiligheid weigeren te geven.
Het Israëlische Hooggerechtshof heeft vorige maand beslist dat de autoriteiten deze gegevens mogen eisen voordat toegang tot de Gazastrook wordt verleend. Organisaties hebben tot 19 juni om hieraan te voldoen, anders kunnen ze worden gedwongen hun activiteiten op de Westelijke Jordaanoever en in de Gazastrook te staken. Het WFP valt niet onder deze organisaties, omdat het een VN-organisatie is die via andere structuren en toestemmingen werkt dan ngo’s.
The New Humanitarian sprak met een WFP-hulpverlener in Gaza, die anoniem wilde blijven. Die vertelde: ‘Deze aanval komt op een zeer angstig en onvoorspelbaar moment, waarin deze wet en deze gegevens letterlijk als wapen tegen mensen kunnen worden ingezet en kunnen worden gebruikt om mensen op te sporen en te beschadigen.’
De site sprak ook met Aaron Martin, een universitair docent mediawetenschappen en data science aan de Universiteit van Virginia. Hij zei niet verbaasd te zijn over de cyberaanval, die niet de eerste is die een humanitaire organisatie treft. De sector loopt wat dat betreft achter bij commerciële bedrijven, zegt hij, hoewel ze met kwetsbare mensen werken. Martin: ‘Een sector die beweert het juiste te willen doen, die beweert bepaalde waarden en principes na te leven (…) is behoorlijk slecht in het beschermen van gegevens’.
Het WFP had de plicht de gebruikers van de app op de hoogte te brengen en heeft dat ook gedaan, ‘Het is onduidelijk wat de mensen met die informatie moeten doen, behalve in paniek raken’, zegt Martin daarover. ‘Het datalek zorgt ervoor dat kwetsbare mensen zich nóg kwetsbaarder voelen.’
Het incident is mogelijk de grootste bekende inbreuk op gegevens van humanitaire begunstigden tot nu toe. De aanval werd op 14 mei opgemerkt werd, maar gebruikers werden pas zeventien dagen later in kennis gesteld. Het WFP wil niet op die tijdlijn ingaan, omdat het onderzoek nog loopt.
