Toen er een golf van ongebruikelijke activiteit doorheen raasde Syrisch overheidsaccounts op X in maart leek het eerst pure chaos: trollen, parodienamen en zelfs expliciete inhoud. Maar onder het lawaai lag iets veel veelzeggender: een staat die nog steeds worstelt met de meest fundamentele laag ervan cyberbeveiliging.
Begin maart kwamen verschillende officiële Syrische regeringsverklaringen op X– waaronder die verbonden aan het secretariaat-generaal van het presidentschap, de Centrale Bank en meerdere ministeries – werden gehackt. De gecompromitteerde profielen plaatsten ‘Glorie voor Israël’, retweeten expliciet materiaal en noemden zichzelf kortstondig naar de Israëlische leiders.
De autoriteiten zijn binnen enkele dagen in actie gekomen om de controle te herstellen, waarbij het ministerie van Communicatie en Informatietechnologie aankondigde: “urgente stappen” om de accounts te herstellen en verdere inbreuken te voorkomen. Wat echter onzeker bleef, was de diepere vraag: hoe veilig is de digitale voordeur van de staat?
In een regering die nu afhankelijk is van commerciële platforms voor communicatie, verstoort het verlies van een geverifieerd account niet alleen de berichtgeving, maar legt het ook de stem van de staat het zwijgen op.
Wanneer de staat niet meer voor zichzelf spreekt
Op het eerste gezicht leek de inbreuk politiek geladen. Pro-Israël berichten het circuleren op geverifieerde overheidsrekeningen tijdens een gespannen regionaal moment voedde speculatie over motief en attributie. Geen enkele groep eiste de verantwoordelijkheid op en functionarissen maakten niet duidelijk of interne systemen in gevaar waren gebracht.
Voor analisten wees de episode minder op een geopolitiek gedreven hack en meer op een bekende, systemische zwakte.
“We weten nog steeds niet precies wat er is gebeurd. Of de accounts nu rechtstreeks zijn gehackt of toegankelijk zijn gemaakt via zwakke of hergebruikte inloggegevens, de conclusie is grotendeels hetzelfde: zeer slechte digitale beveiligingspraktijken”, zegt Noura Aljizawi, senior onderzoeker bij het Citizen Lab, een onderzoeksorganisatie die bedreigingen voor het maatschappelijk middenveld in het digitale tijdperk in de gaten houdt.
Het ministerie zei dat het met accountbeheerders en X had samengewerkt om “de controle te herstellen en de veiligheid te versterken”, en beloofde binnenkort nieuwe regelgevende maatregelen. De daders zijn niet publiekelijk geïdentificeerd.
Eén zwakke schakel, meerdere accounts
Voordat de accounts werden teruggevonden, vertoonden verschillende accounts identieke pro-Israëlische berichten – een detail dat op gedeelde inloggegevens of gecentraliseerde toegang suggereerde, volgens platformmonitoringgegevens.
Deze beoordeling vond weerklank in de cyberbeveiligingsgemeenschap.
“Het feit dat verschillende officiële X-accounts snel achter elkaar leken te vallen, suggereerde een vorm van gecentraliseerde controle, mogelijk met dezelfde inloggegevens die voor meerdere accounts werden gebruikt”, zegt Muhannad Abo Hajia, cybersecurity-expert bij de in Damascus gevestigde groep Sanad. “Dat soort opzet is niet per definitie verkeerd, maar alleen als er goede waarborgen zijn.”
Experts zeggen dat dit patroon consistent is met veel voorkomende fouten: hergebruik van wachtwoorden, phishing-pogingen, gecompromitteerde herstelkanalen of de afwezigheid van multifactor-authenticatie (MFA). In de praktijk kan één onzorgvuldig wachtwoord of één gecompromitteerd herstel-e-mailadres buitenstaanders controle geven over meerdere instellingen.
“Dit soort accountovernames komen wereldwijd vaak genoeg voor en zijn meestal het gevolg van bekende kwetsbaarheden: phishing, hergebruik van wachtwoorden, gecompromitteerde herstel-e-mails, zwakke inloggegevens of de afwezigheid van MFA”, zegt Rinad Bouhadir, een cybersecurity-ingenieur die de regio volgt.
Een systeem gebouwd op kwetsbare fundamenten
Specialisten zeggen dat de inbreuk niet het gevolg is van een gericht cyberoffensief, maar van diepere structurele tekortkomingen.
“De huidige autoriteiten hebben een vrijwel niet-bestaand cyberbeveiligingssysteem geërfd en moeten het repareren ervan nog steeds als een echte prioriteit beschouwen”, zegt Dlshad Othman, een Syrische cyberbeveiligingsspecialist.
Hij denkt dat het incident waarschijnlijk het gevolg is van een gecentraliseerde eenheid die verschillende officiële accounts beheert, of van een gedeelde tool van derden die door alle ministeries wordt gebruikt – die beide één enkel punt van mislukking creëren.
Dat ontwerp maakt meerdere instanties tegelijk kwetsbaar. In momenten van verhoogde spanning kan zelfs één vervalst bericht van een geverifieerd overheidsaccount paniek, verkeerde berichtgeving of escalatie veroorzaken voordat er correctie plaatsvindt.
Een geverifieerd overheidsaccount kan worden gebruikt om valse informatie in realtime te verspreiden, vooral tijdens perioden van regionale escalatie, wanneer verwarring een onmiddellijk risico in de praktijk met zich meebrengt.
