De arrestatie van de 21-jarige hacker P. van der S., hoofdverdachte van grootschalige diefstal van data, afpersing en doorverkoop van data aan criminelen, is in de Nederlandse cyberwereld als een bom ingeslagen.
Het DIVD, de organisatie van ethische hackers, zag een van zijn steunpilaren achter de tralies verdwijnen. De Zandvoorter was betrokken bij de helft van de rapportages van kwetsbaarheden die DIVD aantrof in digitale systemen. Vorig jaar deed deze non-profitorganisatie veertig onderzoeken waarbij 185.942 ip-adressen werden ontdekt die gevaar liepen. Negen maanden geleden kon DIVD dankzij P’s inspanningen 15.000 Confluence-gebruikers waarschuwen voor ernstige risico’s. P. maakt daar op zijn LinkedIn-account trots melding van.
Rogier Fischer, medeoprichter en ceo van Hadrian, kan als ex-werkgever van hacker P. nauwelijks bevatten wat er is gebeurd. Bij deze Amsterdamse security-startup was P. een toonbeeld van inzet en betrokkenheid. Bovendien etaleerde P., inmiddels ontslagen, een ‘gigantische passie’ om organisaties te helpen die risico’s lopen op hacks, malware en andere cyber-problemen. P. sprong bij waar hij kon, aldus Fischer. De jonge medewerker nam altijd extra de tijd potentiële slachtoffers uit te leggen waarom ze gevaar liepen.
Fischer begreep al niet waar P. de energie vandaan haalde om naast zijn drukke werk voor Hadrian ook nog eens vele uren per week te maken voor DIVD. Hij noemt het dan ook ronduit bizar dat de Zandvoorter ook nog eens de tijd vond voor de duistere zaken die tot zijn arrestatie hebben geleid.
Externe check
Zijn voormalige werkgever heeft geen moment ook maar het geringste vermoeden gehad dat P. er bedenkelijke activiteiten op nahield. Ook is het gissen naar P.’s motivatie. Bij zijn sollicitatie ruim een jaar geleden zijn ethische waarden uitgebreid besproken. P. leek die volledig te onderschrijven. Ook een externe check naar zijn achtergronden viel positief uit. Voor P. was Hadrian de eerste werkgever.
Vanuit een eerdere functie leerde Oliver Beg, medeoprichter van Hadrian en ‘head of hacking’, P. van Hack_Right kennen. Dit overheidsprogramma richt zich op jongeren die worden aangehouden voor (lichte) cybervergrijpen. In plaats van een taakstraf moest de jonge hacker verplicht stage lopen bij het cybersecurity-bedrijf Zerocopter. Beg kende P. als een van zijn eerste begeleiders zodoende al ruim vier jaar. Later was P. een graag geziene deelnemer aan de hackersconferentie Def Con. In die tijd was Beg niets vreemds opgevallen.
Sinds P. is opgepakt, heeft Fischer zijn jonge ex-medewerker niet meer gesproken. Binnen het security-bedrijf was de eerste reactie na de arrestatie er een van ongeloof en verbijstering.
Samen met drie andere Nederlandse hackers wordt P. ervan verdacht van vele tientallen bedrijven data te hebben gestolen. Op de computer van een van de verdachte trof de politie 130.000 databases met daarin persoonsgegevens van miljoenen mensen aan. De politie zoekt nog uit of de bende zelf al die gegevens heeft ontvreemd dan wel een deel online op illegale marktplaatsen heeft gekocht.
Met criminele activiteiten, waaronder afpersing, zou de hoofdverdachte veel geld hebben verdiend. Alleen al op zijn rekening stond 2,5 miljoen euro aan bitcoins. Barend Frans, digitaal specialist van de Amsterdamse politie, vreest nu vooral de gevolgen van de doorverkoop van gestolen data. Deze datasets zijn nog steeds te misbruiken, meldt hij aan Het Parool.
Verontrustende feiten
Blijft de vraag welke schade de verdachte hacker via zijn werk voor Hadrian kan hebben aangericht. Intern onderzoek heeft geen verontrustende feiten opgeleverd, zegt Rogier Fischer. Hadrian biedt ‘real time exposure management’ vanuit het perspectief van de hacker. Deze clouddienst kijkt automatisch welke risico’s bedrijven lopen op hacks. P. was lid van een team dat software ontwikkelt die non-destructieve cyberaanvallen uitvoert op bedrijven om kwetsbaarheden op te sporen en risico’s in kaart te brengen. P. droeg bij aan modules rond ‘discovery reconnaissance’. Hij vervulde zijn rol goed totdat de politie Hadrian op 24 januari jl. inlichtte over de verdenkingen, waarna P. in eerste instantie een schorsing wachtte.
Volgens Fischer had P. alleen toegang tot systemen die hij voor zijn werk nodig had. P. heeft ook geen software in handen gehad waarvan hij misbruik kon maken. Ook is hij niet in staat geweest om software te runnen, verduidelijkt Fischer. Zijn toegangsrechten waren ook onvoldoende om het systeem werkend te krijgen. Overigens was deze softwareontwikkeling al een jaar aan de gang voordat de verdachte hacker aan boord kwam. Wel heeft P. de nodige kennis opgestoken van wat mensen online doen.
Verder is onderzocht of de verdachte hacker als medewerker toegang had tot problemen bij klanten. In de periode dat P. voor Hadrian werkte, is geen klant slachtoffer geworden van een dreiging behoudens één uitzondering. In dit geval bleek P. wel toegang te hebben gehad tot informatie maar heeft deze niet ingezien, benadrukt Fischer. Het betrof hier een ransomware-aanval in Amerika die buiten het onderzoek van de Nederlandse politie valt.
Ook qua modus operandi bij het plegen van de misdrijven waarvan P. wordt verdacht, zijn er geen raakvlakken met de werkwijze van Hadrian. Fischer sluit derhalve uit dat zijn junior medewerker in zijn functie bij Hadrian foute dingen heeft gedaan. Inmiddels zijn alle klanten ingelicht. Hadrian heeft volledige openheid van zaken gegeven wat kennelijk is gewaardeerd. Want geen enkele klant is opgestapt.
Rotte appel
Hadrian groeide het afgelopen jaar van vijftien medewerkers naar zestig softwarespecialisten. Fischer heeft de laatste tijd regelmatig nagedacht hoe valt te voorkomen dat hier een rotte appel tussen zit. Het antwoord hierop is niet gevonden. ‘Ik ben onzeker over het feit dat zoiets gebeurt,’ zo besluit hij.
Het Amsterdamse Cybercrimeteam heeft twee jaar aan deze affaire gewerkt. Volgens Barend Frans is tijdenlang gezocht naar de speld in de data-hooiberg, die mogelijk meer informatie zou kunnen verschaffen wie nou de daders waren. ‘Door de gedrevenheid van de teamleden, die elk bitje hebben omgedraaid om te kijken of daar niet een spoortje achter zou kunnen liggen die het onderzoek verder zou brengen, lukte het uiteindelijk de verdachten in beeld te krijgen.’