De arrestatie van de 21-jarige hacker P. van der S., hoofdverdachte van grootschalige diefstal van data, afpersing en doorverkoop van data aan criminelen, is in de Nederlandse cyberwereld als een bom ingeslagen.
Het DIVD, de organisatie van ethische hackers, zag een van zijn steunpilaren achter de tralies verdwijnen. De Zandvoorter was betrokken bij de helft van de rapportages van kwetsbaarheden die DIVD aantrof in digitale systemen. Vorig jaar deed deze non-profitorganisatie veertig onderzoeken waarbij 185.942 ip-adressen werden ontdekt die gevaar liepen. Negen maanden geleden kon DIVD dankzij P’s inspanningen 15.000 Confluence-gebruikers waarschuwen voor ernstige risico’s. P. maakt daar op zijn LinkedIn-account trots melding van.
Rogier Fischer, medeoprichter en ceo van Hadrian, kan als ex-werkgever van hacker P. nauwelijks bevatten wat er is gebeurd. Bij deze Amsterdamse security-startup was P. een toonbeeld van inzet en betrokkenheid. Bovendien etaleerde P., inmiddels ontslagen, een ‘gigantische passie’ om organisaties te helpen die risico’s lopen op hacks, malware en andere cyber-problemen. P. sprong bij waar hij kon, aldus Fischer. De jonge medewerker nam altijd extra de tijd potentiële slachtoffers uit te leggen waarom ze gevaar liepen.
Fischer begreep al niet waar P. de energie vandaan haalde om naast zijn drukke werk voor Hadrian ook nog eens vele uren per week te maken voor DIVD. Hij noemt het dan ook ronduit bizar dat de Zandvoorter ook nog eens de tijd vond voor de duistere zaken die tot zijn arrestatie hebben geleid.
Externe check
Zijn voormalige werkgever heeft geen moment ook maar het geringste vermoeden gehad dat P. er bedenkelijke activiteiten op nahield. Ook is het gissen naar P.’s motivatie. Bij zijn sollicitatie ruim een jaar geleden zijn ethische waarden uitgebreid besproken. P. leek die volledig te onderschrijven. Ook een externe check naar zijn achtergronden viel positief uit. Voor P. was Hadrian de eerste werkgever.
Vanuit een eerdere functie leerde Oliver Beg, medeoprichter van Hadrian en ‘head of hacking’, P. van Hack_Right kennen. Dit overheidsprogramma richt zich op jongeren die worden aangehouden voor (lichte) cybervergrijpen. In plaats van een taakstraf moest de jonge hacker verplicht stage lopen bij het cybersecurity-bedrijf Zerocopter. Beg kende P. als een van zijn eerste begeleiders zodoende al ruim vier jaar. Later was P. een graag geziene deelnemer aan de hackersconferentie Def Con. In die tijd was Beg niets vreemds opgevallen.
Sinds P. is opgepakt, heeft Fischer zijn jonge ex-medewerker niet meer gesproken. Binnen het security-bedrijf was de eerste reactie na de arrestatie er een van ongeloof en verbijstering.
Samen met drie andere Nederlandse hackers wordt P. ervan verdacht van vele tientallen bedrijven data te hebben gestolen. Op de computer van een van de verdachte trof de politie 130.000 databases met daarin persoonsgegevens van miljoenen mensen aan. De politie zoekt nog uit of de bende zelf al die gegevens heeft ontvreemd dan wel een deel online op illegale marktplaatsen heeft gekocht.
Met criminele activiteiten, waaronder afpersing, zou de hoofdverdachte veel geld hebben verdiend. Alleen al op zijn rekening stond 2,5 miljoen euro aan bitcoins. Barend Frans, digitaal specialist van de Amsterdamse politie, vreest nu vooral de gevolgen van de doorverkoop van gestolen data. Deze datasets zijn nog steeds te misbruiken, meldt hij aan Het Parool.
Verontrustende feiten
Blijft de vraag welke schade de verdachte hacker via zijn werk voor Hadrian kan hebben aangericht. Intern onderzoek heeft geen verontrustende feiten opgeleverd, zegt Rogier Fischer. Hadrian biedt ‘real time exposure management’ vanuit het perspectief van de hacker. Deze clouddienst kijkt automatisch welke risico’s bedrijven lopen op hacks. P. was lid van een team dat software ontwikkelt die non-destructieve cyberaanvallen uitvoert op bedrijven om kwetsbaarheden op te sporen en risico’s in kaart te brengen. P. droeg bij aan modules rond ‘discovery reconnaissance’. Hij vervulde zijn rol goed totdat de politie Hadrian op 24 januari jl. inlichtte over de verdenkingen, waarna P. in eerste instantie een schorsing wachtte.
Volgens Fischer had P. alleen toegang tot systemen die hij voor zijn werk nodig had. P. heeft ook geen software in handen gehad waarvan hij misbruik kon maken. Ook is hij niet in staat geweest om software te runnen, verduidelijkt Fischer. Zijn toegangsrechten waren ook onvoldoende om het systeem werkend te krijgen. Overigens was deze softwareontwikkeling al een jaar aan de gang voordat de verdachte hacker aan boord kwam. Wel heeft P. de nodige kennis opgestoken van wat mensen online doen.
Verder is onderzocht of de verdachte hacker als medewerker toegang had tot problemen bij klanten. In de periode dat P. voor Hadrian werkte, is geen klant slachtoffer geworden van een dreiging behoudens één uitzondering. In dit geval bleek P. wel toegang te hebben gehad tot informatie maar heeft deze niet ingezien, benadrukt Fischer. Het betrof hier een ransomware-aanval in Amerika die buiten het onderzoek van de Nederlandse politie valt.
Ook qua modus operandi bij het plegen van de misdrijven waarvan P. wordt verdacht, zijn er geen raakvlakken met de werkwijze van Hadrian. Fischer sluit derhalve uit dat zijn junior medewerker in zijn functie bij Hadrian foute dingen heeft gedaan. Inmiddels zijn alle klanten ingelicht. Hadrian heeft volledige openheid van zaken gegeven wat kennelijk is gewaardeerd. Want geen enkele klant is opgestapt.
Rotte appel
Hadrian groeide het afgelopen jaar van vijftien medewerkers naar zestig softwarespecialisten. Fischer heeft de laatste tijd regelmatig nagedacht hoe valt te voorkomen dat hier een rotte appel tussen zit. Het antwoord hierop is niet gevonden. ‘Ik ben onzeker over het feit dat zoiets gebeurt,’ zo besluit hij.
Het Amsterdamse Cybercrimeteam heeft twee jaar aan deze affaire gewerkt. Volgens Barend Frans is tijdenlang gezocht naar de speld in de data-hooiberg, die mogelijk meer informatie zou kunnen verschaffen wie nou de daders waren. ‘Door de gedrevenheid van de teamleden, die elk bitje hebben omgedraaid om te kijken of daar niet een spoortje achter zou kunnen liggen die het onderzoek verder zou brengen, lukte het uiteindelijk de verdachten in beeld te krijgen.’
Het feit dat 3 jonge ICT-ers in staat zijn geweest zo’n enorme hoeveelheid data te verzamelen betekent dat, ofwel deze jonge ict-ers zijn geniaal, ofwel de tientallen bedrijven waarbij de informatie gestolen is, zijn buitengewoon onvoorzichtig geweest met hun informatie. De vraag is moeten bedrijven die zo nonchalant omgaan met persoonlijke informatie niet ook aangepakt worden ?
Zie ook het artikel over ‘Brainport Nederland’..
@Peter Neering, ik betwijfel of zo veel bedrijven en instellingen buitengewoon onvoorzichtig zijn geweest met hun informatie en ook niet dat de crackers zo geniaal zijn. Er is wel een gemeenschappelijk element van naïviteit bij de slachtoffers. Meestal is ICT niet de core business van de slachtoffers, zelfs als ze tot de fintech behoren. De meeste slachtoffers zullen de ontwikkeling, installatie en het beheer gedeeltelijk of geheel hebben uitbesteed. Voordat er ernstige schade kan ontstaan, moeten er door de crackers meerdere barrières zijn genomen. Opdrachtgevers denken ten onrechte dat de beveiliging wel adequaat geregeld is door de ICT-leveranciers en externe beheerders met al hun ICT-professionals. Maar wie doet de pentesten en securitycheck en wie levert de andere security diensten? En dan komen we bij onze sector uit, de account managers vertellen niet alles om de kosten lager voor te stellen en met de standaard algemene voorwaarden dekt onze sector zich juridisch in. Onvoorzichtige bedrijven en instellingen zijn er, maar ze kennen vooral de ICT-markt niet.
“Volgens Fischer had P. alleen toegang tot systemen die hij voor zijn werk nodig had. P. heeft ook geen software in handen gehad waarvan hij misbruik kon maken. Ook is hij niet in staat geweest om software te runnen, verduidelijkt Fischer.
Zijn toegangsrechten waren ook onvoldoende om het systeem werkend te krijgen.”
Hahahahaha … oh ja, meneer heeft 2,5 miljoen in BTC verdiend met verkoop van gehackte databases. Heeft een gigantisch trackrecord bij z’n werkgever (betrokken bij de helft van de rapportages aldus werkgever).
Maar werkgever suggereert nu nog even dat meneer niets kon bij werkgever want z’n toegangsrechten waren onvoldoende.
Sinds wanneer hebben hackers toegangsrechten nodig ………
@Johan, we weten niet zeker of P. vanuit z’n werk bij DIVD crimineel heeft gehandeld, daarbij gebruik makend van de faciliteiten van DIVD. Een dergelijke cokcy werkwijze past niet bij iemand die nogal ambitieus en systematisch moet hebben gewerkt. P. kon bij DIVD en Hadrian wel bepaalde vaardigheden oefenen en meer inzicht ontwikkelen om als hacker aan het werk te gaan. Hij “had toegang tot gevoelige informatie en werkte mee aan vertrouwelijke onderzoeken” bij de DIVD.
Dit is inderdaad een ernstige zaak. Iemand die als “ethisch hacker” over gaat op chantage, persoonsgegevens steelt en die doorverkoopt aan andere criminele organisaties. Met die gegevens kan bijvoorbeeld bankfraude worden gepleegd of fraude onder valse identiteit. De schade loopt in de vele miljoenen en de schade zal nog verder oplopen dankzij de doorverkoop van die gestolen gegevens.