De hoofdverdachte die werd aangehouden in het politieonderzoek naar grootschalige diefstal van privégegevens hield zich overdag juist bezig met cybersecurity. Hij hielp zowel vrijwillig als in zijn werk met het beschermen van bedrijven tegen hackers.

Zo werkte hij als vrijwilliger bij de organisatie DIVD, dat onderzoek doet naar onveilige computersystemen en daarvoor ook subsidie krijgt van de overheid. Dat bevestigt DIVD na berichtgeving hierover van de NOS. Daarnaast werkte hij bij een cybersecuritybedrijf in Amsterdam, dat niet bereikbaar was voor een reactie. Het gaat om de hoofdverdachte (21) in het politieonderzoek.

Lees ook Data miljoenen Nederlanders gehackt: zo controleer je of criminelen ook jouw privégegevens hebben

Quote We zijn enorm geschrok­ken dat we al die tijd misschien een cybercrimi­neel in ons midden hadden

Het nieuws over de aanhouding, dat donderdag bekend werd gemaakt door de politie, kwam hard aan bij DIVD. „We wisten dat hij was aangehouden, maar hoorde nu pas van de mogelijke omvang van privégegevens van mensen die was buitgemaakt. Daar zijn we enorm van geschrokken”, reageert een woordvoerder van DIVD. “We werken met meer dan honderd vrijwilligers en dan blijkt ineens dat je al die tijd misschien een cybercrimineel in je midden had.”

Account geblokkeerd

Het bedrijf heeft na het nieuws over de aanhouding op 23 januari al meteen het account van de verdachte geblokkeerd en onderzocht of hij gebruik maakte van de informatie die bij DIVD bekend was. „We hebben geen aanwijzingen dat hij onze systemen heeft misbruikt voor het hacken. De politie heeft bij ons in deze zaak ook geen onderzoek gedaan.”

Bij DIVD wordt onderzoek gedaan naar kwetsbaarheden in software zoals Windows. Zit daar een lek in, waar hackers mogelijk gebruik van kunnen maken, dan wordt onderzocht welke instanties en bedrijven hiervan gebruikmaken. „Die partijen waarschuwen we dan dat er een lek in de software zit en hoe ze dat kunnen oplossen”, aldus de woordvoerder. „Al dat goede werk komt nu door deze verdachte in een kwaad daglicht te staan.”

Losgeld eisen

De hoofdverdachte wordt samen met nog drie jongemannen ervan verdacht dat zij privégegevens van honderden miljoenen mensen wisten te bemachtigen. Onder andere van mogelijk alle Nederlanders. Dat gebeurde deels, zo vermoedt de politie, met het hacken van bedrijven. Nadat de data werden gestolen, eisten de hackers losgeld van het bedrijf. Op die manier zou de hoofdverdachte in 2,5 jaar tijd ongeveer 2,5 miljoen euro aan bitcoins hebben verdiend.

Naast deze hoofdverdachte zou ook een van zijn medeverdachten werkzaam zijn geweest bij een ICT-bedrijf. ‘White hat by day, black hat by night’, beschreef justitie de twee gezichten van de verdachten al. Het is een verwijzing naar het wilde westen waar de goede cowboys een witte hoed droegen en de bad boys een zwarte. „Deze mannen hadden overdag een normale baan, bijvoorbeeld bij een ICT-bedrijf waar ze juist aan de veiligheid werkten. Maar ondertussen jatten ze ook gegevens en persten ze bedrijven af.”

Quote Op mijn veertiende ontdekte ik al hoe gemakke­lijk het was op bepaalde websites binnen te dringen. Hoofdverdachte in een oud interview

Het cybersecuritybedrijf in Amsterdam waar de hoofdverdachte werkte, heeft webpagina's offline gehaald met informatie over hem. Het gaat onder andere over een interview waarin hij vertelt dat hij als puber al begon met hacken: „Op mijn veertiende ontdekte ik al hoe gemakkelijk het was op bepaalde websites binnen te dringen en hoe ik toegang kon krijgen tot afgeschermde data.”

Hackers Hall of Fame

Verschillende bedrijven op internet dagen hackers uit om een lek in hun online beveiliging te vinden. Wie zo'n zwakke plek vindt, krijgt een prijs. Daar hield ook de hoofdverdachte zich mee bezig. Bij een van de bedrijven prijkt zijn naam in Hackers Hall of Fame omdat hij in 2019 hielp met verschillende beveiligingsproblemen. Geld kreeg hij er overigens niet voor, wel een appeltaart.