© ANP/ROBIN VAN LONKHUIJSEN

Volkskrant corrigeert Telegraaf in ‘Twitter-schandaal’ Hilversum

    Het mailadres van de burgemeester Pieter Broertjes van ‘mediastad’ Hilversum was misbruikt voor een Twitter-account, zo berichtte De Telegraaf groot. Niet waar, zo liet de Volkskrant zien. Zo wint de goede journalistiek het van het goedkope effectbejag.

    Dagblad De Telegraaf pakte op vrijdag 3 maart flink uit, zowel op de voorpagina als met een groot artikel in het binnenwerk van de krant. De kop die op de voorpagina prijkte: Pieter Broertjes: ‘Ik ben gehackt!’ In het bijbehorende artikel lezen we:

    'De Hilversumse burgemeester Pieter Broertjes vreest dat zijn gemeentelijke e-mail is gekraakt door een internet-troll. Met behulp van het mailaccount van de burgemeester worden burgers en politieke tegenstanders op internet belachelijk gemaakt. Al maandenlang roert een zekere @PBlijdenstein zich met dit doel op Twitter. […] Boze Hilversumse tongen beweren dat het de burgemeester zelf is, die de publieke opinie in zijn gemeente op deze manier probeert te beïnvloeden. En wat blijkt uit onderzoek van deze krant? Het Twitter-account @PBlijdenstein is aangemaakt met behulp van het officiële mailaccount van de burgemeester. Maar Broertjes zegt van niets te weten. ‘Dat ben ik niet. Ik ben toch niet gek?’

    Wachtwoord herstellen

    Tot zo ver de voorpagina. Binnenin besteedde de krant nog eens paginagroot aandacht aan de kraak, onder de kop 'Wie is Blijdenstein?' Het account @PBlijdenstein, op Twitter geregistreerd in juli 2015, had welgeteld 65 volgers. De tweets van @PBlijdenstein gaan voornamelijk over zijn steun aan gemeentelijke plannen, maar er zijn ook wat kritische bijdragen. Niks bijzonders, zou je zeggen. Maar toen was daar ineens die verdenking, zonder duidelijke bron. De Telegraaf publiceerde de ‘hack’ als een eigen ontdekking:

    'Zo deelt Twitter het aan het account gekoppelde mailadres op de achtergrond met Gmail. Hierdoor worden bijvoorbeeld bestaande Gmail-contacten door Twitter voorgesteld als te volgen twitteraars. Uit onderzoek blijkt dat het zakelijke e-mailadres van de burgemeester (p.broertjes@hilversum.nl) aan het Twitteraccount @PBlijdenstein is gekoppeld. Dat bevestigen ook drie gerenommeerde internetexperts. Onder hen it-security specialist Ronald Prins, die met zijn bedrijf Fox-It veel werk verricht voor de Nederlandse overheid.'

    De Telegraaf trok, zoals we zullen zien, een onjuiste conclusie over het e-mailadres van Pieter Broertjes, maar de burgemeester voelde zich kennelijk overvallen door de ‘ontdekking’ en riep: ‘Alleen ik en mijn secretaresse hebben toegang tot mijn mail. Ik ben gehackt!’ Deze beide beweringen zijn in tegenspraak met elkaar, maar daar viel kennelijk niemand over. Het mocht op de voorpagina.

    "Er was geen hack, geen lek in Twitter, alleen maar te snelle ophef"

    Na onderzoek, schreef de krant, waren ook de ‘de ict-specialisten van de gemeente’ van mening dat het e-mailadres van de burgemeester van Hilversum was misbruikt, en op advies van Twitter paste de gemeentelijke afdeling ICT het wachtwoord van het account aan om verder misbruik te voorkomen. Een curieuze mededeling, want @PBlijdenstein (‘Benjamin’) twitterde intussen vrolijk verder.

    Tot zo ver de onthulling van De Telegraaf. Het meest opvallend zijn de bevestigingen van ‘internetexperts,’ van wie De Telegraaf er slechts één heeft genoemd. Hoe zit het met deze bevestiging van Ronald Prins van Fox-IT, zoals geciteerd door De Telegraaf? Hij zegt daar achteraf over: ‘Ik had aangegeven dat het wel in die richting wees, maar niet 100% zeker. We hadden het onderzoek zelf moeten doen en niet alleen de methodiek aanhoren.’

    Immers, uit het vervolg is gebleken dat de Telegraaf-berichtgeving zelfs niet bij benadering klopt. Er was geen hack, geen lek in Twitter, alleen maar te snelle ophef.

    Slag om de arm

    Dezelfde vrijdagmorgen waarop De Telegraaf met het verhaal over de ‘hack’ kwam, verscheen er op de website van de krant het triomfantelijke bericht over een (voorgenomen) politieaangifte door Pieter Broertjes van de digitale kraak. Het bericht werd vlot overgenomen door NRC, door The Post Online en door De Gooi- en Eemlander. Volgens laatstgenoemde krant was er sprake van een beveiligingsfout: ‘Volgens de woordvoerder is de affaire mogelijk te wijten aan de mogelijkheid die Twitter biedt om zonder verificatie een mailadres te gebruiken.’ Onzin. Alsof Hilversum nu Twitters beveiliging lekschiet.

    Alsof Hilversum nu Twitters beveiliging lekschiet

    Ook het Algemeen Dagblad berichtte erover, maar met een kleine slag om de arm. Olaf van Miltenburg van techwebsite Tweakers, die voor het verhaal werd geraadpleegd, gokte dat het te maken had met de manier waarop Twitter zijn gebruikers in staat stelt hun vergeten wachtwoord te herstellen: bij het inloggen op ‘wachtwoord vergeten’ klikken, waarna Twitter een gedeelte van het gekoppelde mailadres toont. (Via deze methode konden onder andere Gmail-adressen van de Trumps worden achterhaald, een mondiale primeur van The Next Web in Amsterdam.) 'Maar', zo voegde Van Miltenburg daaraan toe, ‘een twitteraccount moet echter wel altijd geverifieerd worden via het mailadres’. Het AD bleek niet goed te snappen wat er aan de hand was, gezien de zin: 'Vooralsnog vermoeden we dat het account misschien wel is geverifieerd via een omweg'. Hoe dan ook: Broertjes’ mailbox is niet gekraakt, althans niet in dit geval.

    In feite had de gemeente heel eenvoudig dit ‘wachtwoord vergeten’ bij het inloggen kunnen gebruiken om te zien of het account werkelijk aan dat van Broertjes was gekoppeld. Echter, nog dezelfde vrijdag waarop het Telegraaf-artikel verscheen, schreef de burgemeester de gemeenteraad een brief met het vermoeden van een beveiligingslek bij Twitter.

    De brief was de deur nog niet uit, of een gemeenteambtenaar meldde zich bij zijn burgervader. Het was ‘Benjamin,’ met twitteraccount @PBlijdenstein. De gemeente verklaarde daarop: Het e-mailadres van de burgemeester van Hilversum is niet gebruikt voor een nep-Twitteraccount. De Telegraaf berichtte vanochtend dat het email-adres van burgemeester Pieter Broertjes zou zijn misbruikt voor een dergelijk Twitteraccount.'

    De eigenaar van het inmiddels opgeheven account bleek dit in 2015 te zijn gestart om onder pseudoniem commentaar te kunnen geven op allerlei kwesties in de Hilversumse politiek. Broertjes: 'Hij […] betreurt de gevolgen nu in de media de onjuiste suggestie is gewekt dat zijn account gekoppeld zou zijn aan het mailadres van de burgemeester. Daarmee is het onderzoek dat de politie Midden-Nederland zou starten, afgelast. Ook bleek daarmee het ‘onderzoek’ waarop De Telegraaf haar berichtgeving baseerde, ondeugdelijk. Tot zover het slotbericht van Hilversum.

    Jammerlijk einde

    De Volkskrant, waarvan Broertjes eerder hoofdredacteur was, zocht de zaak ondertussen wel goed uit, wat vrij eenvoudig bleek. Als deze krant de sporen van @pblijdenstein naloopt, valt Broertjes al snel af als de potentiële kwade genius. Zo heeft hij geen 06-nummer dat eindigt op 26, terwijl dat is gekoppeld aan het Twitteraccount. Immers, je kunt je Twitterverificatie ook via een 06 laten verlopen — zeer aan te bevelen.

    De Volkskrant vond een gemeenteambtenaar met een telefoonnummer eindigend op 26. Zijn voornaam begon ook met een P en zijn achternaam had eveneens negen letters, net als de naam van Pieter Broertjes. De getoonde letters en het aantal sterretjes dat Twitter toonde met het @hilversum.nl-adres voor het wachtwoordherstel kwamen dus overeen. Zaterdag moest De Telegraaf de grootse onthulling rechtzetten. Uiteraard niet met de kop: ‘Excuses aan de lezers, we zaten er volkomen naast,’ maar met ‘Verkeerskundige biedt burgemeester Broertjes excuses aan’.

    De Telegraaf moest de grootse onthulling rechtzetten

    De krant schoof de schuld dus in de schoenen van de gemeente Hilversum: Naar aanleiding van vragen van De Telegraaf deed de ict-afdeling van de gemeente Hilversum een onderzoek naar het account van de geheimzinnige twitteraar. Er is door onze ict-afdeling geconstateerd dat er een twitter-account aangemaakt is met als doel de personificatie van de burgemeester van Hilversum. Zijn e-mailadres is hiervoor misbruikt, in combinatie met zijn naam. Het bleek echter te gaan om een e-mailaccount van een gemeenteambtenaar dat sterk lijkt op dat van burgemeester Broertjes.

    Met uiteindelijk de oorzaak: De Telegraaf ging er, naar nu blijkt ten onrechte, van uit dat het het e-mailadres van burgemeester Broertjes betrof. Mede hierdoor is ten onrechte de suggestie gewekt dat burgemeester Broertjes een zogenaamd troll-account zou kunnen hebben gehad.

    Een jammerlijk einde van een foutieve onthulling. Want een blunder van jewelste kan de beste journalist met een slechte dag overkomen, zo blijkt maar weer. Vervolgens komt het echter wel aan op ruiterlijk toegeven dat je een fout hebt gemaakt, maar daar is kennelijk niet iedereen toe in staat. De Telegraaf wil er nu geen woord meer aan vuilmaken.

    Maar eind goed, al goed: echte journalistiek overvleugelt het snelle scoren.

    Dit artikel krijg je cadeau van Follow the Money.

    Diepgravende onderzoeksjournalistiek kost tijd en geld. Steun ons en

    word lid