Karin Spaink maakt zich boos over het nalatige gedrag van DigiNotar. Voor de Nederlander is het vervelend, maar voor Iraniërs ronduit gevaarlijk. Deze column verscheen ook in Het Parool.
Door toedoen van een Nederlands bedrijf lopen 300.000 Iraniërs nu gevaar: hun e-mails, hun surfgedrag, hun skypegesprekken, hun contacten zijn een maandlang afgeluisterd, waarschijnlijk door Iran zelf. Deze mensen dachten versleuteld met Skype, Google, Twitter of andere websites te communiceren, maar gaven ongemerkt al hun informatie door aan valse sites die zich tussen hen en hun werkelijke bestemming hadden gemanoeuvreerd. Een klassieke man-in-the-middleaanval.
De afluisteraars vermomden zich via certificaten als the real thing. Zulke certificaten worden door erkende autoriteiten opgesteld en dienen als bewijs van echtheid. Maar het Nederlandse DigiNotar deelde sinds begin juli honderden valse certificaten uit, aangemaakt door –vermoedelijk Iraanse – hackers. DigiNotar bemerkte de hack pas weken later, trok een serie valse certificaten in, maar waarschuwde niemand. Meer valse certificaten werden gevonden en weer ingetrokken.
Terwijl DigiNotar de zaak stilhield, gingen de hacks gewoon door. Op 4 augustus lukte het om een vals certificaat op grote schaal in Iran te verspreiden. In de weken erna vroegen 300.000 Iraanse computers bij DigiNotar na of dat wel een écht Google-certificaat was. ‘Ja hoor,’ antwoorden de computers van DigiNotar 300.000 keer. Waardoor die computers stuk voor stuk werden gecompromitteerd en wekenlang konden worden afgeluisterd.