Rex Mundi is al twee jaar een gesel voor Belgische bedrijven. De hacker heeft een mooi cv, maar waar ligt de oorzaak van zijn succes?

Rex Mundi is als een persistente mug die je van tijd tot tijd wakker houdt, af en toe steekt maar helaas telkens overleeft. Een mooie naam is het wel: Rex Mundi, koning van de wereld. Bijhorend logo met kruisvaarderslogan lijkt te suggereren dat de koning een zogenaamde hacktivist is, maar niets is minder waar.

Rex Mundi is een cybercrimineel, en hij teistert ons land al sinds begin 2012. Afgelopen vrijdag lekte de man (of vrouw, of misschien mannen en/of vrouwen) de persoonlijke gegevens van zo’n 6.000 mensen die ingeschreven zijn bij de interimbureaus Tobasco en Z-Staffing: een zoveelste aanval in een reeks van misdaden. Onschuldige burgers zijn telkens weer het voornaamste slachtoffer en de motivatie van Rex Mundi is altijd dezelfde: hij wil geld krijgen door middel van chantage en afpersing.

 

Mega-NTG

De hacker, die vanuit Frankrijk zou opereren, houdt van lijsten met persoonsgegevens als hefboom om wat centjes los te werken, en met de hacking van interimbureaus keert hij terug naar z’n roots.

Rex Mundi raapte in de zomer van 2012 een eerste flinke dosis persaandacht na het hacken van de database van AGO-Interim. Hij claimde toen de gegevens van 10.000 sollicitanten buit gemaakt te hebben. Niet alleen hun adressen, telefoonnummers en identiteitskaartnummers kwamen in handen van Rex Mundi, maar ook de interne beoordelingen van die sollicitanten, en dat zette AGO in een slecht daglicht. De hacker lekte enkele gegevens waaruit bleek dat AGO nogal grof uit de hoek kon komen wat potentiële werknemers betreft, onder andere dankzij het label Mega-NTG (wat zou staan voor Niet te Gebruiken) voor zwakke kandidaten.

Rex Mundi had echter geen intentie die praktijken aan de kaak te stellen, het ging puur om het geld. Als AGO-Interim niet betaalde, dan zou Rex Mundi de gegevens en evaluaties van alle klanten online zetten. Zover kwam het nooit. Na dagen van speculatie en een uitgestelde deadline werd het stil rond AGO, al beweerde het interimbureau nooit betaald te hebben.

Geen gevolg of wel betaald?

AGO was het eerste doelwit van Rex Mundi dat veel persaandacht kreeg, maar in mei van 2012 sloeg de hacker al toe bij Elantis, een dochterbedrijf van Belfius. “We betaalden niks en er gebeurde niks”, klonk het toen droogjes.

Niet alle bedrijven konden zich even gelukkig prijzen. Minder dan een maand na het AGO-lek zagen 4.000 leden van het Nederlandse interimbureau Accord hun gegevens online verschijnen. Rex Mundi kraakte de servers van Accord enkele dagen daarvoor, waarna hij het bureau probeerde te chanteren voor 10.000 euro. Accord betaalde niet en Rex Mundi hield zijn belofte. In september liet Rex Mundi voor een laatste keer dat jaar van zich horen, deze keer met de claim gegevens van honderdduizenden mensen buit gemaakt te hebben via de servers van een Belgisch bedrijf. 

Ethisch failliet

2013 begon niet al te veelbelovend voor kredietverstrekker Buy Way, wederom een Belgisch bedrijf. Mundi ging aan de haal met de gegevens van zo’n 550 potentiële klanten. Aan de gebruikelijke persoonlijke info (namen, geboortedata en telefoonnummers) waren aanvragen voor leningen gekoppeld, net als het vooropgestelde doel van die leningen.

Voor de 20.000 gevraagde euro’s moest de koning niet naar Buy Way kijken, dat liet het bedrijf duidelijk verstaan. Toch verschenen de gestolen gegevens niet online na het verstrijken van de deadline “omdat een ander Belgisch bedrijf interesse had getoond in de data”, klonk het.

Het akkefietje met Buy Way werd opgevolgd door een lek van de Brusselse kabelmaatschappij Numéricable. Rex Mundi gooide toen 6.000 gegevens online die volgens Numéricable slechts oppervlakkig waren.

In mei van dit jaar besloot Rex Mundi om het laatste greintje ethische integriteit met het groot vuil op straat te zetten door de zorgsector aan te vallen. De inloggegevens van een aantal Europese zorgverleners kwamen in handen van de hacker nadat hij de servers van Xperthis kraakte, een Belgisch bedrijf dat software voor de administratie van ziekenhuizen verzorgt. Achteraf gezien bleek de ernst van de kraak gelukkig mee te vallen.

Mensura

Vorige maand borduurde Rex Mundi op dat elan verder door rond te neuzen in de database van Mensura Absenteïsme, alwaar de hacker data vond over controleaanvragen van werkgevers voor zieke werknemers. In de vergaarde data stond te lezen welke werkgevers bepaalde werknemers niet vertrouwden en daarom naar een controlearts vroegen. Medische gegevens bleven gevrijwaard. Ook nu wilde Rex Mundi geld, en ook deze keer weigerde zijn slachtoffer te betalen. 

En daarmee komen we terecht bij de twee gehackte interimbureaus van vorige week. Rex Mundi amuseert zich al twee jaar lang met het teisteren van lokale bedrijven en lijkt daar niet meteen mee te willen stoppen. De meeste lekken tonen aan dat de hacker niet liegt wanneer hij claimt over data te beschikken, en dat doet vragen rijzen over de keren waarin hij z’n dreigementen niet uitvoerde. Hoewel de bedreigden in kwestie steevast claimen niet te betalen, kan het natuurlijk zijn dat ze dat stiekem wel deden. Rex Mundi moet toch iets uit zijn afpersingspogingen halen, denken velen, anders had de man (of het collectief) toch al lang een andere hobby gezocht.

Pestkop

Echt kritieke data verschenen de afgelopen twee jaar gelukkig nooit online, al werden wel wat mensen en bedrijven te kijk gezet. In dat opzicht is Rex Mundi meer een vervelende pestkop dan een gevaarlijke crimineel.

Hoewel het hem enkel om het geld te doen is, legt de hacker toch een belangrijk pijnpunt bloot: België is niet in staat adequaat te reageren op cyberdreigingen. Rex Mundi is niets meer dan een dief op een inbraakronde, maar omdat zijn domein het internet is en niet jouw wijk staat de ordehandhaving schijnbaar machteloos. Meer dan twee jaar na Rex Mundi’s eerste verschijning weten we nog altijd niet met zekerheid of het om een persoon dan wel een collectief gaat.

Open huis

Nochtans gaat het hier niet noodzakelijk om een computergenie. Rex Mundi’s methodes zijn efficiënt maar allesbehalve hoogtechnologisch. De hacker maakt altijd gebruik van zogenaamde SQL-injecties in kwetsbare databanken. Via SQL-injecties kan een hacker een online formulier gebruiken om zich toegang te verschaffen tot een databank. Het gevaar van SQL-injecties is al meer dan een decennium lang bekend, net als de oplossing. Deel van het succes van Rex Mundi is bijgevolg te danken aan nalatigheid van de kant van de bedrijven. De gelegenheid maakt de dief, zoals men zegt.

Die onnodige kwetsbaarheid is geen uitsluitend Belgisch probleem: tussen het chanteren van lokale bedrijven door vond Rex Mundi de tijd om het vuur aan de schenen te leggen van enkele grote internationale bedrijven zoals AmeriCash en Drake International.

Rex Mundi is al sinds 2012 een doorn in het oog van Belgische ondernemingen, en zolang de hacker straffeloos kan verder spelen zal hij vermoedelijk niet ophouden. Als bedrijf valt hier een belangrijke les te leren: al je data moeten sterk beveiligd zijn. Er lopen altijd criminelen rond die op zoek zijn naar een open deur om daar munt uit te slaan. Sommige lekken komen voor iedereen als een verrassing, maar als Rex Mundi je data steelt via een SQL-injectie, dan ligt een deel van de schuld ook bij jou.