Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer
De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.
Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?
We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.
En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?
12
MIN
Op de Amerikaanse terroristenlijst, zonder te weten waarom
5
MIN
OM: Nederlandse hacker Pepijn was centrale figuur in internationale cybercrime-zaak
14
MIN
Je meest intieme data gaan naar de hoogste bieder, en dat kan een spion zijn
13
MIN
Opgestapte toezichthouder: ‘Nieuwe inlichtingenwet kan tot Noord-Koreaanse taferelen leiden’
9
MIN
Zo leerde een Rotterdams fraudealgoritme kwetsbare groepen te verdenken
12
MIN
Een schoenendoos vol cash: wie is de Nederlandse hoofdverdachte in een internationale cybercrime-zaak?
11
MIN
Honderden miljoenen wachtwoorden gestolen, softwarebedrijf wil er weinig over kwijt
Hoogleraar Bart Schermer: ‘Met de huidige aanpak van cybercrime lossen we de problemen uit 2017 op’
14
MIN
Amper toezicht op inzet van massa-surveillance tools door inlichtingendiensten
14
MIN
Zorgen over surveillancestaat weerhouden regering niet van invoering digitale bewijspas
© DPA Picture-Alliance, Silas Stein
12
MIN
Een schoenendoos vol cash: wie is de Nederlandse hoofdverdachte in een internationale cybercrime-zaak?
Afpersen, bedreigen en het witwassen van miljoenen in bitcoins. Vier Nederlandse jongemannen staan centraal in een strafrechtelijk onderzoek naar grootschalige, internationale datadiefstal en -handel. De 21-jarige hoofdverdachte werkte overdag bij een cybersecurity-bedrijf, ’s avonds bij een stichting die het internet veiliger maakt en volgens de politie ’s nachts aan duistere zaken. Wie is deze omgekeerde cyber-batman?
- Recent zijn er vier jonge Nederlandse hackers opgepakt in een grootschalig, internationaal onderzoek naar datadiefstal en -handel.
- Volgens de politie gebruikten de hackers de data om duizenden bedrijven in binnen- en buitenland af te persen, tot bedragen van meer dan 7 ton.
- De hoofdverdachte was werkzaam bij een cybersecurity-bedrijf en een actief lid van het DIVD, een club hackers die op vrijwillige basis probeert het internet veiliger te maken.
- Het is niet uit te sluiten dat de hacker kennis die hij heeft opgedaan tijdens zijn werk of het DIVD heeft ingezet voor criminele doeleinden. ‘Technisch gezien ligt zijn werk dicht bij dat waar hij nu van verdacht wordt.’
- Bij het DIVD en zijn werkgever heerst verbazing en verslagenheid: ‘het is heel moeilijk voor te stellen dat hij een black hat zou zijn. Wij kennen hem echt als het tegenovergestelde.’
Waar is Pepijn? Maandagavond 23 januari zitten Victor Gevers en alle andere teamleaders achter hun computers klaar voor hun wekelijkse overleg. Pepijn is er niet. En dat is – als je hem kent – heel erg vreemd. De jonge hacker (21) heeft zich in een paar maanden tijd opgewerkt tot een bijna onmisbare, altijd aanwezige schakel bij de stichting DIVD.
Gevers is mede-oprichter en ‘hoofd onderzoeker’ van het Dutch Institute for Vulnerability Disclosure (DIVD), een club hackers die op vrijwillige basis probeert het internet veiliger te maken.
Gevers, die internationaal bekend werd omdat het hem tot twee keer toe lukte toegang te krijgen tot het Twitter-account van Donald Trump, checkt zijn telefoon. Geen gemiste oproepen en berichten. Of toch, eentje. Pepijn meldt dat hij zich de komende tijd terugtrekt. Het bericht past niet bij de Pepijn die hij kent, een jongen die eerder afgeremd moest worden dan gemotiveerd. Wat is hier aan de hand?
Als Gevers hem probeert te bellen krijgt hij meteen Pepijns voicemail. ‘Hij zal druk zijn met werk,’ denkt Gevers. In de dagen die volgen blijft hij het proberen, maar tevergeefs. Ongerust belt hij op donderdagochtend met het Amsterdamse cybersecurity-bedrijf Hadrian, waar Pepijn werkt: weten zij misschien waar hij is? Hij schrikt zich wezenloos van het antwoord. Het bedrijf heeft een paar dagen eerder bezoek gehad van de politie, die de computer van Pepijn heeft doorzocht en terabytes aan data heeft meegenomen voor onderzoek.
Pepijn heeft volgens de politie bij elkaar 2,5 miljoen euro verdiend aan de illegale praktijken
Vol ongeloof belt Gevers de moeder van Pepijn. Zij vertelt hem dat er ook bij haar een inval is geweest en dat Pepijn op maandagavond 23 januari in zijn huurwoning in Zandvoort is opgepakt. Tot 22 februari zit de jongeman van 21 volledig afgesloten van de buitenwereld in hechtenis. Alleen zijn advocaat mag bij hem op bezoek komen. Het enige bericht dat zijn omgeving bereikt is dat Pepijn paniekaanvallen heeft in zijn cel.
Pas de dag daarna, op 23 februari, komt er duidelijkheid. De politie publiceert een persbericht waaruit blijkt dat Pepijn de hoofdverdachte is in een onderzoek naar grootschalige, internationale datadiefstal, -handel en digitale afdreiging. Samen met een 21-jarige man uit Rotterdam en een 18-jarige man zonder vaste woon- of verblijfplaats wordt hij ervan verdacht duizenden bedrijven en instellingen in binnen- en buitenland voor tonnen te hebben afgeperst.
Volgens de politie zijn tientallen miljoenen persoonsgegevens via de hackers in handen van criminelen gekomen. Pepijn heeft volgens de politie bij elkaar 2,5 miljoen euro verdiend aan de illegale praktijken. De impact op de slachtoffers is groot, meldt het politiebericht. Sommigen kampen nog steeds met angsten.
Afpersing
Een woordvoerder van de politie bevestigt dat er bij Pepijn 550.000 euro aan bitcoins, een schoenendoos met 45.000 euro aan contanten en 35 terabyte aan data in beslag zijn genomen. Ook maakte de politie bekend dat het losgeld dat door verdachten werd geëist van hun slachtoffer soms opliep tot meer dan een ton; in een geval was het zelfs meer dan zeven ton. Zelfs als slachtoffers het losgeld betaalden, werden in verschillende gevallen de gestolen data alsnog verkocht, aldus de politie.
De berichtgeving slaat in als een bom bij Gevers. ‘Mijn eerste gedachte was: Pepijn is net iets te ver is gegaan in een onderzoek naar een kwetsbaarheid’, zegt hij tegen Follow the Money, ‘maar wat er nu in het nieuws komt over afpersing en daar iemands partner ook in betrekken, dat is echt vreselijk.’
Gevers doelt op het verhaal van slachtoffer Sjoerd Bakker. In gesprek met RTL Nieuws vertelt Bakker, directeur van ticketingbedrijf Ticketcounter, dat een van de aanvallers hem nadat hij weigerde te betalen liet doorschemeren dat hij wist met wie Bakker getrouwd is. Bakker beschrijft het als een ‘verschrikkelijk bedreigende’ ervaring.
En er zijn volgens de politie nog veel meer slachtoffers zoals Ticketcounter. De politie geeft geen namen, maar het gaat onder meer om grote, internationaal opererende bedrijven, restaurants, zorginstellingen, webshops en onderwijsinstellingen.
Wijsheid komt met de jaren
Had het DIVD onraad moeten ruiken toen begin 2022 een jonge, kortgeknipte jongen zich bij hen meldde? Pepijn wil dan graag onderzoek doen bij de club van hackers die het internet afspeurt op openstaande deurtjes en luikjes. Niet om er misbruik van te maken, maar om de eigenaren van de kwetsbare systemen te beschermen.
Het plan was hem af te wijzen. De stichting hanteert als richtlijn een ondergrens van 21 jaar. ‘Dat heeft met volwassenheid te maken, omdat het ethisch kompas voor die tijd soms nog niet helemaal de goede richting aangeeft,’ zegt Gevers, die daarbij ook uit eigen ervaring zegt te spreken. Als jonge hacker deed Gevers ook dingen die nu verboden zijn (en toen vaak nog niet). In zijn Twitter-biografie stond lange tijd de geboortedatum 13 september 1998: de dag dat hij besloot om ethisch hacker te worden. Hij was toen een jaar ouder dan Pepijn nu.
Voor jonge hackers is er een alternatief: DIVD.club. Vergelijk het met de Mickey Mouse Club van Disney, waar aanstormend talent, zoals eerder Britney Spears en Justin Timberlake, wordt klaargestoomd voor het echte werk. Maar dan in cybersecurity. In een paar maanden brengen ervaren hackers kinderen en jongeren van alles bij over techniek, ethiek en de code of conduct van het DIVD.
Pepijn blijkt een megatalent. In twee weken tijd vliegt hij door het opleidingstraject. Hij is inhoudelijk klaar voor het grote werk en heeft op dat moment ook al een baan bij het Amsterdamse cybersecurity-bedrijf Hadrian. Gevers, die het bedrijf goed kent, neemt contact op. Wat is dit voor een jongen?
Hack_Right
Hadrian is een snelgroeiend cybersecurity-bedrijf dat zich specialiseert in het digitaal aanvallen van zijn eigen klanten (zie kader).
Oprichters Rogier Fischer en Olivier Beg drongen in hun tienerjaren als white hat hackers binnen bij technologiereuzen als Paypal en Microsoft. Samen besluiten zij hun kennis en hackers-instinct te gebruiken om bedrijven te beschermen.
Cybersecurity-bedrijf Hadrian kent een vliegende start. Een paar maanden na de oprichting in 2021 haalt het bedrijf 2,5 miljoen euro op bij een investeringsfonds waar onder meer de Amerikaanse miljardairs Jeff Bezos, Mark Zuckerberg en Reid Hoffman achter zitten.
In een investeringsronde in juni 2022 sleept de startup volgens Emerce 10,5 miljoen euro binnen en afgelopen 24 januari – een dag na de arrestatie van Pepijn – maakt ABN Amro in het Financieele Dagblad bekend ‘ettelijke miljoenen’ in het bedrijf te investeren.
Inmiddels heeft Hadrian meer dan zeventig mensen in dienst en werd het bedrijf eerder deze maand door MT/Sprout uitgeroepen tot startup van het jaar 2022.
Hadrian bouwt software die hetzelfde doet als kwaadwillende hackers: aan alle digitale poortjes rammelen en kijken of er een weg naar binnen is, vertelt Fischer aan Follow the Money. ‘Wij bouwen offensieve software om aanvallen te simuleren die in het echt ook plaatsvinden,’ zegt Fischer. ‘Wij benaderen de klant vanuit het perspectief van een kwaadwillende, black hat hacker. We scannen op zwakke plekken, om de klant uiteindelijk beter te beschermen.’
Pepijn maakt indruk: ‘Hij was sociaal, slim, leergierig en heel gepassioneerd voor veiligheid,’ zegt Fischer. Maar hij heeft ook een rafelrandje. Pepijn blijkt het Hack_Right programma te hebben doorlopen. Hack_Right is een initiatief van de politie, het Openbaar Ministerie, het bedrijfsleven en de wetenschap, dat een alternatief of aanvullend straftraject biedt aan cyberdelinquenten tussen de 12 en 23 jaar. Doel van het programma is om jeugdige daders via professionele begeleiding en onder de vleugels van ervaren hackers te leren hun skills in te zetten om mensen te helpen.
‘Je ziet wel vaker dat jonge hackers met niemand kunnen sparren over wat ethisch is’
Pepijn blijkt een moeilijke jeugd te hebben gehad. Fischer weet ervan, maar wil niet in detail treden. ‘Op een slecht moment heeft hij de digitale systemen van zijn middelbare school gehackt.’ Pepijn wordt opgepakt en komt in het Hack_Right programma terecht, wat hem op het rechte pad moet krijgen en houden.
Een van de onderdelen is een stage bij een cybersecurity-bedrijf. Pepijn doorloopt die bij Zerocopter, waar Hadrian-oprichter Olivier Beg dan nog werkt. Na zijn stage besluit hij bij Begs nieuwe bedrijf Hadrian te solliciteren, zegt Fischer. ‘Olivier zag dat het een hele slimme technicus was. Dat verleden was voor ons geen sta-in-de-weg op dat moment. Je ziet dat wel vaker bij jonge hackers, omdat ze met niemand kunnen sparren over wat ethisch is. Het was voor mij vroeger ook zoeken.’
‘Pepijn was toen ook al publiekelijk bezig met het melden en rapporteren van bugs en problemen bij grote bedrijven,’ voegt Fischer toe. ‘Wij zagen daarin de bevestiging dat hij het had begrepen. Hij heeft bij ons meegebouwd aan software die aanvallen simuleert. Hij was ongelooflijk goed in het vinden van kwetsbaarheden die een hacker kan gebruiken om ergens binnen te komen.’
Tienduizenden mensen geholpen
Gevers gaat met de jongen in gesprek. ‘Pepijn wilde uitgedaagd worden,’ zegt hij. ‘Vanwege zijn leeftijd kreeg hij niet overal de kansen die hij wilde.’ Het raakt een snaar bij Gevers, die het gevoel herkent uit de tijd dat hij zelf nog een jonge, ietwat onbezonnen beginner was.
Maar hij gaat niet over één nacht ijs. Er volgt een screeningsperiode die langer dan normaal is en vier uitgebreide interviews beslaat. ‘Drie van die gesprekken waren met met mij en één met een level three-onderzoeker,’ zegt Gevers. Hij noemt het stevige gesprekken, waarin Pepijn uit zichzelf meldt dat hij met Hack_Right in aanraking is geweest en waarom.
DIVD besluit Pepijn een kans te geven. En hij grijpt die kans. ‘Als wij op vrijdagmiddag al met ons hoofd bij een borrel zaten, zat hij bovenop meldingen die binnenkwamen.’ Pepijn heeft in het jaar dat hij bij DIVD actief was tien-, zo niet honderdduizenden mensen gewaarschuwd voor zwakke plekken in hun computersystemen.
‘Een druk op de knop’
De misdrijven waarvan Pepijn en zijn medeverdachten van beschuldigd worden hebben volgens de politie tegelijkertijd voor miljoenen euro’s aan schade veroorzaakt bij de getroffen bedrijven en mogelijk tientallen miljoenen mensen in binnen- en buitenland geraakt. Volgens de politie zijn er niet alleen NAW-gegevens buitgemaakt, maar ook geboortedata, paspoortgegevens, BSN-nummers, kentekengegevens en creditcardnummers.
De speurders verdenken de verdachten ervan die data te hebben doorverkocht aan andere criminelen, die deze op hun beurt weer kunnen gebruiken voor andere vormen van criminaliteit, zoals phishing, identiteits- en bankhelpdeskfraude. Volgens de politie boden zij geïnteresseerden tevens de mogelijkheid om heel gericht te zoeken in al die terabytes aan data.
Een officier van justitie vertelde het Algemeen Dagblad dat een van de verdachten op Telegram een service aanbood waarbij mensen op basis van hun kenteken konden worden opgespoord. Hij waarschuwde dat ook drugskartels daardoor met één druk op de knop informatie van een potentieel doelwit in handen kunnen krijgen. Gevers erkent het probleem: ‘Als zoiets echt in verkeerde handen valt, kan je zomaar meewerken aan liquidaties.’
Online marktplaatsen
Pepijn en zijn medeverdachten kwamen in het zicht van de politie na de arrestatie van een 25-jarige hacker uit Almere in november vorig jaar. Die bleek in het bezit van een groot aantal gestolen databases. Een aantal daarvan herkende de politie uit aangiftes van Nederlandse bedrijven, vertelde een van de onderzoekers aan RTL Nieuws.
Een woordvoerder van het Openbaar Ministerie laat aan Follow the Money weten dat de politie op inbeslaggenomen gegevensdragers ontdekte dat de 25-jarige Almeerder via online forums en Telegram contact onderhield met Pepijn en zijn medeverdachten.
De hackers vielen op omdat ze databases aanboden die alleen voor Nederlanders interessant waren
Langs die weg werkten ze samen, wisselden ze tips uit en boden ze diensten aan. Ook maakten zij volgens de politie gebruik van elkaars servers. De band tussen de vier is zo nauw, dat de 25-jarige man uit Almere ook verdachte is in het onderzoek naar de drie, zo laat het OM na vragen van Follow the Money weten.
‘Alle aangehouden hackers zijn onderdeel van een clubje rond Pepijn en de hacker uit Almere,’ zegt cybersecurity specialist Rickey Gevers (geen familie van Victor) tegen Follow the Money. ‘Dat is me verteld door hackers die ook ooit bij dit clubje hoorden en nu uit de criminaliteit zijn gestapt. Dit is een clubje hackers met een kern van drie of vier en daaromheen nog een paar anderen.’ Gevers hield het groepje al langer in de gaten.
De hackers vielen op omdat ze databases aanboden die alleen voor Nederlanders interessant waren. Dit deden ze op de website Raidforums, een soort online marktplaats voor gehackte data waar duizenden databanken worden aangeboden met daarin persoonsgegevens van miljoenen mensen van over de hele wereld.
In april 2022 haalden de Amerikaanse autoriteiten de site offline. Gevers zegt dat de groep hem midden in de nacht soms spontaan belde: ‘Dat was best bizar. Zat ik ineens in een groepje van een stuk of acht hackers. Ik denk dat ze me wilden trollen.’
Desgevraagd zeggen Victor Gevers en Fischer Pepijns medeverdachten en de 25-jarige hacker uit Almere niet te kennen en niet te weten of zij contact onderhielden met Pepijn.
Misbruik niet uit te sluiten
Toen uitkwam dat Pepijn vrijwilliger was bij het DIVD, ontstond de zorg dat hij daar meewerkte aan vertrouwelijke onderzoeken en zodoende aan kennis kon komen die hij mogelijk kon misbruiken. Volgens Gevers is dat niet uit te sluiten. Hetzelfde geldt volgens Fischer overigens ook voor Hadrian.
Beide organisaties blokkeerden naar eigen zeggen direct na de melding van de arrestatie de accounts van Pepijn en zetten interne onderzoeken uit om na te gaan of hij misbruik heeft gemaakt van hun systemen of software.
Fischer: ‘Technisch gezien ligt zijn werk dicht bij dat waar hij nu van verdacht wordt. Het gaat tenslotte om software om ergens in te breken. Maar we weten 100 procent zeker dat hij onze software niet heeft gebruikt. Die kan hij niet stand alone gebruiken. Zelfs als hij de broncode zou hebben, zou hij afhankelijk zijn van andere systemen waar hij niet bij kan.’
Gevers is voorzichtiger: ‘Ik kan dat niet 100 procent uitsluiten. Tot op heden hebben wij van geen van onze systemen kunnen vaststellen dat daar misbruik van is gemaakt. We hebben ook bij verschillende cybersecurity-bedrijven gevraagd of zij onze IP-adressen zijn tegengekomen bij digitale aanvallen. Vooralsnog is dat niet het geval, maar we willen nog een forensisch onderzoek laten doen.’
‘De beschuldiging van afpersing vind ik nog het meest schokkend’
Hij benadrukt dat niet ieder lid van zijn digitale vrijwillige brandweer zomaar bij alle informatie kan. ‘Niemand heeft toegang tot alle informatie, ik ook niet. We bepalen van geval tot geval wie waar bij moet kunnen. Verder werken wij ook altijd in teamverband, zodat er altijd sociale controle is op wat de leden doen.’
Vooralsnog zijn het DIVD en Hadrian voor zover zij weten geen onderwerp van politieonderzoek. Wel zeggen beide organisaties bij de politie te hebben aangegeven medewerking te verlenen waar nodig.
Vraagtekens
Intussen blijven er bij de mensen die met Pepijn samenwerkten veel vraagtekens over.
De belangrijkste, is dat zij de verdenkingen niet kunnen rijmen met zijn karakter. ‘Wij herkenden Pepijn totaal niet in de dingen waar hij van wordt beschuldigd,’ zegt Fischer. ‘Dat daar afpersing tussen staat vind ik nog het meest schokkend, maar überhaupt is het heel moeilijk voor te stellen dat hij een black hat zou zijn. Wij kennen hem echt als het tegenovergestelde.
Hij vervolgt: ‘Hij is wel iemand die gefrustreerd kan raken als dingen te traag gaan of mensen hem niet bijbenen. Maar ook een jongen die overkwam als iemand met een passie voor het beveiligen van bedrijven. Als ik heel eerlijk ben, was het eerste wat wij ons afvroegen: hoe hij dit überhaupt heeft kunnen doen. Hij besteedt zoveel tijd aan zijn werk, dat we echt geen idee hebben waar hij de tijd vandaan zou moeten halen.’
‘Het voelt voor ons ook als een enorme knal’
Ook Gevers kan er geen chocola van maken: ‘Hij werkte meer dan veertig uur in de week bij Hadrian en draaide er bij ons nog zo’n dertig per week bij. Hij was ook altijd een van de eersten die reageerde op meldingen. Dan zag ik dat hij om 3 uur ’s nachts nog iets op Github plaatste. Als je dan leest hoe professioneel alles volgens de politie was opgezet begrijp je echt niet hoe het kan.’
Wat ook opvalt, is dat niemand iets aan hem zag. Volgens verschillende betrokkenen liep hij niet in dure kleding, eerder het tegenovergestelde. Hij droeg soms een week dezelfde kleren en woonde in een klein huurhuisje in Zandvoort, waar hij van zijn moeder naartoe moest verhuizen toen hij een baan vond. Waar de rest van de bitcoins die hij zou hebben witgewassen zijn gebleven is vooralsnog ook een raadsel, net als zijn plannen met de schoenendoos met een klein fortuin.
Intussen blijft bij Gevers met name de verslagenheid over: ‘Ik vind het echt verschrikkelijk voor alle slachtoffers. Ik zou ze graag helpen, want het voelt voor ons ook als een enorme knal. Wij zijn een groep vrijwilligers die intrinsiek gemotiveerd is om het internet veiliger te maken. En nu blijkt dat iemand met wie veel van ons intensief hebben samengewerkt mogelijk een zware crimineel te zijn. Dat doet pijn.’
FTM-redacteur Gerard Janssen is vrijwilliger bij DIVD. Hij werkt daar mee aan onderzoeken, schrijft onderzoeksrapporten en wil er leren wat hackers als Pepijn precies doen. Janssen werd daarbij ook wel eens gecoacht door Pepijn. ‘Hij reageerde meteen op mijn vragen, en ik zag ook dat hij veel andere onderzoeken deed en veel mensen hielp bij het beveiligen van hun systemen.’
Voor de totstandkoming van dit artikel heeft FTM-redacteur Sebastiaan Brommersma alle gesprekken met het DIVD gevoerd.
20 Bijdragen
Peter Waalkens 7
Flip Schrameijer 2
Peter WaalkensDe inhoud van deze bijdrage is verwijderd.
Gerard Janssen 1
Peter WaalkensPeter Waalkens 7
Gerard JanssenFlip Schrameijer 2
in deze zin zitten m.i. twee fouten: "Zelfs als slachtoffers het losgeld betaalde, werd in verschillende gevallen de gestolen data alsnog verkocht, aldus de politie."
IK hoop dat jullie er ook twee tellen en dat 'data' vooralsnog enkelvoud blijft.
Robbert Hak
Flip SchrameijerRogier Fischer
Wij hebben er allebei meermaals op aangedrongen om de privacy van de verdachte in acht te nemen, en om die reden zijn naam achterwege te laten. Tegen de DIVD is dit ook door jullie toegezegd.
Ik vind het jammer en verwerpelijk dat jullie er voor gekozen hebben de verdachte bij naam te noemen. Dit sluit niet aan bij de journalistieke waarde die jullie als platform zeggen te vertegenwoordigen.
Rogier Fischer
John Janssen 4
Rogier FischerSebastiaan Brommersma 2
Rogier FischerWe hebben inderdaad uitgebreide en open gesprekken gevoerd, waarvoor dank.
Het is - uiteindelijk - een hoofdredactionele beslissing geweest om de naam van de verdachte te gebruiken. Daarbij is niet over één nacht ijs gegaan. Ik zal je niet met alle details vermoeden, maar het zijn juist de journalistieke waarden die de doorslag gave. Pepijn is (en was bij de start van het politieonderzoek in maart 2021) meerderjarig, de verdenkingen zijn zwaar en hebben mogelijk grote gevolgen voor een grote groep mensen. Daarbij is er de afgelopen dagen al veel gedeeld over bv rapporten waar hij aan heeft gewerkt, zijn er sociale posts over/van hem gedeeld, en achtten wij het - gezien de inhoud daarvan - voor het stuk relevant om ook over de inhoud van zijn dagelijkse werk en zijn verhouding met zijn weergever (jij) te schrijven. Hierdoor zijn wij in onze optiek het doel van het gebruik van een pseudoniem ook voorbij.
Ik heb er, zoals je weet, alle begrip voor dat je het vervelend/onwenselijk vindt, omdat je hem kent, maar we hebben Pepijn niet anders behandeld dan andere verdachten die wij hier bespreken. Er is ons uit de gesprekken ook geen reden bekend geworden omtrent zijn persoon die rechtvaardigen dat wel te doen.
De opmerking dat wij aan het DIVD zouden hebben toegezegd zijn naam niet te gebruiken is overigens onjuist.
Petrus Harts 3
Sebastiaan BrommersmaOm maar even 'hoofdredactioneel' verder te gaan: het verhaal wordt geen millimeter minder interessant door G. te gebruiken en wordt ook niet béter door de volledige achternaam te gebruiken.
Sebastiaan Brommersma 2
Petrus HartsVoorop, er is (bewust) geen achternaam genoemd en ook geen verdere initialen.
Er is ook niet afgesproken dat de naam
niet genoemd zou worden. Ik noemde dat hierboven al.
De afwegingen die zijn gemaakt tref je hierboven. Daar mag je het mee oneens zijn of anders over denken.
Dat het verhaal er niet beter van wordt kun je over van mening verschillen. FTM doet onderzoek en schrijft over haar bevindingen zonder aanziens des persoons, maar die persoon is wel belangrijk. Die kan er bv voor zorgen dat onterechte beschuldigingen of verdenkingen aan het adres van een ander worden voorkomen. Er zijn, als gezegd, ook geen omstandigheden gebleken die maken dat een andere behandeling dan van andere verdachten gerechtvaardigd is (ik noem een Sywert van der L.), maar als dat wel zo is dan vernemen we dat graag.
Het beeld dat van de jongeman wordt geschetst is tot slot denk ik ook niet unfair, er wordt een zo compleet mogelijk beeld gegeven van hoe mensen hem hebben ervaren, ook diens goede en sterke kanten.
Petrus Harts 3
Sebastiaan BrommersmaIk heb op geen enkel moment het idee gekregen dat er een unfair beeld is geschetst.
Wij verschillen van mening over de toegevoegde waarde van het gebruik van de achternaam bij dit verder excellente artikel en er zijn ergere dingen.
Willem Timmer 4
speculatief: is hij door de andere verdachten onder druk gezet en gedwongen? wat moet een thuisloze in zo'n samenwerking van 3 man. apart stel..... niemand uit zijn omgeving hield t voor mogelijk dus laten we maar eens afwachten waar justitie mee komt.
Les 1: vertrouwen is goed..... xxx is beter.
ik laat steeds minder gegevens achter en heb wachtwoorden die niemand kan raden. ook Pepijn niet.
John Janssen 4
Willem TimmerErik Kemp
Als deze verdachte schuldig bevonden wordt zou de hele sector wellicht wat minder naïef moet gaan worden en beseffen dat op plekken waar zoveel geld verdiend kan worden, er meer mensen zullen zijn die in hun klerenkast een witte hoed hebben, een zwarte en wellicht nog drie in verschillende tinten grijs.
Ik ben erg benieuwd hoe anderen hierover denken.
Sebastiaan Brommersma 2
Erik KempWelke gevolgen het gaat hebben voor de respectieve organisaties kan ik je niet vertellen. Obv de gesprekken die ik met hen voerde is mijn beeld wel dat zij hard hun best doen mensen zo goed mogelijk te screenen. Zij hebben echter ook te maken met de grenzen van de wet. Het is dus ook de vraag hoe ver je mág gaan in zo'n controle.
Vwb de DIVD lees je in het stuk overigens dat men er bewust voor kiest om in teams te werken om sociale controle toe te passen, dat men kennis gefragmenteerd aanbiedt (volgens Victor Gevers kan zelfs hij als oprichter en level 3 onderzoeker niet overal bij ) en dat bepaalde informatie (bv over zero days) alleen op need to know basis wordt besproken.
Wat ook speelt - zoals Rogier Fischer opmerkt - is dat het vaker gebeurt dat jonge hackers (per ongeluk) over de schreef gaan en bv bij Hack_Right terechtkomen. Downside is dat sommigen dan desondanks toch een aantekening krijgen, waardoor het aanvragen van een VOG als achtergrondcheck voor een latere werkgever minder bruikbaar lijkt. Er wordt dan (wederom binnen de kaders van de wet en soms daarbuiten als daar toestemming voor wordt gegeven door de persoon in kwestie) vaak informeel geïnformeerd naar de aard/omgeving van een persoon. Volgens Victor is dat hier ook gebeurd.
Tot slot denk ik dat we er in de digitaliserende samenleving niet aan ontkomen beveiliging in de handen te leggen van gekwalificeerde mensen. Dat maakt ons afhankelijk - en je weet nooit wat iemand op zijn zolderkamer thuis bekokstoofd, maar dat is voor werkgevers ook moeilijk te controleren. Het is dus ook niet uitgesloten dat er meer vermomde black hats zijn, maar mijn beeld is dat de hackers die goed willen (white hats) in de meerderheid zijn. Programma's als Hack_Right spelen daar in mijn optiek ook een belangrijke rol in.
Matthijs Koot
Erik KempMede om redenen zoals deze casus - naast het feit dat sommige klanten het eisen - hebben veel bedrijven één of meerdere vormen van screening. Het bedrijf waar ik werk hanteert sinds jaar en dag (o.a.) een verplicht jaarlijks VOG als onderdeel v/d arbeidsovereenkomst, naast een aanvullende screening door een internationale organisatie bij indiensttreding. Het niet (meer) kunnen overleggen v/e VOG komt neer op einde dienstverband.
Het Hack_Right-traject is vanuit (ook) sociaal-maatschappelijk perspectief en geloof/vertrouwen in herstel van mensen lovenswaardig (en steun ik dus ook), maar gezond verstand dicteert dat in (en ook na) zulke trajecten enige mate van terughoudendheid gepast blijft ongeacht iemands technische vaardigheden en hoe betrouwbaar iemand ook overkomt op de (ongetrainde) kijker.
Vertrouwen kan opnieuw worden opgebouwd maar komt altijd te voet.
(En ja, de mogelijkheid v/e rotte appel blijft altijd bestaan: er zijn ook VGB-gescreenden a la Raymond P. bij BuZa die ofwel mol zijn of ergens in de loop van hun leven om welke reden ook rotte appel zijn geworden: zie MICE, RASCLS en andere resources m.b.t. insider threats.)
EDIT: laat deze casus niet volledig overschaduwen dat DIVD een sympathiek concept is en dat daar activiteiten plaatsvinden die een gat vullen dat (nog) niet of onvoldoende is gedicht op andere manier(en).
Co Stuifbergen 5
Matthijs KootNet zoals topsporters zich uit de naad trainen om een paar seconden sneller te zwemmen of te roeien, terwijl de meeste sporters met een gewone baan meer geld krijgen.
Maar uiteindelijk is de oplossing natuurlijk: zorgen dat systemen veilig gebouwd worden.
R. Eman 8
Die sympathie is ook zeker gevoed door mijn irritatie enerzijds met instanties, die mij ertoe dwingen meer en meer digitaal te gaan doen (door het fysieke gewoonweg te elimineren) en tegelijkertijd de verbazing anderzijds om te vaak te horen dat de door consumenten in vertrouwen verstrekte gegevens gewoon open op straat komen te liggen en het antwoord daarop een nietszeggend excuusberichtje is.
squarejaw 5