Politie arresteert 3 mannen op verdenking diefstal miljoenen persoonsgegevens

De Nederlandse politie heeft in januari drie mannen gearresteerd die ervan verdacht worden middels hacking de persoonsgegevens van honderden miljoenen mensen te hebben gestolen. “Van iedere Nederlander zit er wel iets bij,” is het vermoeden van de politie.

Het gaat om een 21-jarige man uit Zandvoort, een 21-jarige man uit Rotterdam en een 18-jarige man zonder vaste woon- of verblijfplaats, zo stelt de politie. Ze zouden bedrijven gehackt hebben en hun doelwitten daarna gechanteerd hebben, ook buiten Nederland. Zeker een slachtoffer heeft 700.000 euro losgeld betaald, maar volgens de politie werd in veel gevallen ook na betaling de buitgemaakte data alsnog online te koop aangeboden.

Tot nu toe zijn in Nederland ‘tientallen’ bedrijven en organisaties in beeld als potentiële slachtoffers van de verdachten. In totaal gaat het om ‘duizenden databases met daarin informatie van honderden miljoenen mensen’, zegt een bij het onderzoek betrokken persoon tegen RTL. Volgens de politie zitten in de databases gegevens als namen, adressen, telefoonnummers, geboortedata, bankrekeningnummers, creditcardnummers, wachtwoorden, kentekens, BSN’s, paspoortgegevens en meer.

De Zandvoorter is de hoofdverdachte, schrijft RTL. De politie vond bij een inval in zijn huis 550.000 euro aan bitcoins en een schoenendoos met 45.000 euro aan contant geld erin. Hij zou voor 2,5 miljoen euro aan bitcoins al witgewassen hebben. Voor dit onderzoek werkte het cybercrimeteam van de Nederlandse politie samen met ‘andere politie-eenheden en diverse internationale opsporingsdiensten’. Het onderzoek liep sinds maart 2021.

Door Mark Hendrikman

Redacteur

23-02-2023 • 20:23

92

Lees meer

Reacties (92)

Sorteer op:

Weergave:

Opgepakte hacker was actief voor Nederlandse beveiligingsorganisatie DIVD

https://nos.nl/artikel/24...eiligingsorganisatie-divd
Ja mooie club die DIVD. Van hun Website:

Our mission: We aim to make the digital world safer by reporting vulnerabilities we find in digital systems to the people who can fix them. We have a global reach, but do it Dutch style: open, honest, collaborative and for free.

Ik denk dat deze club ook naar interne lekken moet gaan zoeken. Dus door te controleren of de door de DIVD ontdekte lekken al voor publicatie misbruikt worden. Als dit te vaak gebeurt moeten ze naar interne lekken gaan zoeken.

Edit: Link naar website toegevoegd

[Reactie gewijzigd door Mars4i op 25 juli 2024 08:14]

waar lees jij dat deze persoon data gestolen heeft bij de DIVD?
Hij was actief voor de DIVD en zou de door de DIVD ontdekte beveiligingsissues kunnen gebruiken om bij andere sites om in te breken en data te stelen.

De smoking gun hebben ze nog niet. Maar dit is wel heel erg toevallig. Hij zal in ieder geval zijn kennis daar opgedaan gebruikt hebben.
Bullshit. De onderzoeken die DIVD doet kan iedereen met voldoende kennis doen. De kennis die je daarvoor nodig hebt is vrijelijk op Youtube en andere platformen te verkrijgen. Het zou kunnen zijn dat hij de kwetsbaarheden die bij het DIVD bekend zijn daarvoor heeft gebruikt, maar gaan we nu iedere organisatie of groep die hier iets mee te maken heeft zwart maken? Hij is vast ook lid van de hackers-Facebook, heeft misschien ook wel eens een hackersspace bezocht en doet zijn boodschappen bij de supermarkt waar ook andere hackers wel eens boodschappen hebben gedaan. Toeval? Ja, denk het wel.
Jammer dat de politie niet bekend wil maken welke bedrijven en organisaties hierbij betrokken zijn. Hopelijk krijgt de AP wel de lijst en kan de organisatie handhaven wanneer de getroffen bedrijven en organisaties hun klanten nog niet hebben ingelicht. Aangezien de zaak al sinds 2021 loopt en het zo groot schijnt te zijn, had ik wel wat meer meldingen verwacht van datalekken in mijn mailbox.
Dan ga je er wel vanuit dat de bedrijven wisten dat ze gehackt waren of door de politie op de hoogte zijn gebracht maar verder zou het inderdaad fijn zijn als de AP hier mee aan de slag kan.
Ik ga er inderdaad vanuit dat nu de politie het naar buiten brengt dat ze ook de getroffen bedrijven heeft geïnformeerd. Of dat ze het in het uiterste geval nu alsnog gaan doen en dat dan ergens volgende week de mails nog binnenkomen.

Als ze dat niet doen, zou ik dat wel betreurenswaardig vinden. Bedrijven die gehackt zijn en niets door hebben gehad, weten dan in ieder geval dat ze iets kunnen verbeteren. Anders is het natuurlijk wachten op een volgende soortgelijke hack.
Als je het artikel hebt gelezen had je geweten dat ieder bedrijf werd afgeperst. Dus ieder bedrijf wist dat het was gebeurd.

Daarna komt de vraag wat ze gaan doen met die informatie. In principe krijgen alle slachtoffers bericht dat hun gegevens zijn gestolen/buitgemaakt. En dat is het dan. Zoek het maar uit. Sorry, doei!

Dat laatste klinkt een beetje idioot maar zo is het wel helaas. Als onderdeel van de hack ben je slechtoffer maar je hebt eigenlijk nergens recht op.
Slachtoffers kunnen de daders (na veroordeling) wel aansprakelijk stellen voor de geleden schade.
Er is inmiddels een miljoen in beslag genomen en wellicht weet justitie nog meer te geld te achterhalen. Wanneer de rechter het geld verbeurd verklaard, dan kan een curator worden aangesteld om de schuldeisers te betalen.
De daders ja. Maar het bedrijf dat jouw gegevens niet goed beveiligde komt er mee weg. Ze krijgen een foei en misschien een boete. Maar ze hoeven de slachtoffers van de hack niets te betalen.

Het zou misschien een incentive zijn als slecht beveiligde gegevens ze gewoon geld kosten aan schadevergoeding. Ik kan zo een ander mail adres nemen. Dan ben ik verlost van de spam. Een ander nummer kan ook nog maar een andere bank of verhuizen zijn toch dingen die je niet wilt.

[Reactie gewijzigd door asing op 25 juli 2024 08:14]

De AP is inderdaad terughoudend met het uitdelen van boetes, zeker na een hack.
Het zit echter wel in de pijplijn om ook na een hack onderzoek te gaan doen of een bedrijf de beveiliging wel op orde had en geen onnodige gegevens opsloeg.
De AP wordt vaak als een tandeloze puppy aangeduid, maar dat puppy is wel aan het groeien. Inmiddels is het echt al een puber die zich ook ongevraagd met allerhande privacy zaken van de overheid bemoeit en daarbij ook laat merken dat ze bevoegdheden heeft om de tanden te gebruiken.

Voor mensen waarvan gegevens zijn buitgemaakt door een hack hebben in de praktijk nog weinig rechten. Je kan een bedrijf wel verantwoordelijk stellen voor de geleden schade (bonnetjes overleggen), maar dan moet je wel bewijzen dat de beveiliging onvoldoende was. Voor een particulier is dat in de praktijk onmogelijk.
Het staat je vrij om het bedrijf zelf voor de rechter te slepen.
Waar zou je graag recht op willen hebben dan?
Als het email bestand verkocht of verspreid is en aktief misbruikt wordt voor spam, dan 10 euro per spambericht per persoon tot een maximum van 5000 euro. Verder is 30 jaar cel nog te weinig voor dit soort gasten, maar ze zullen wel weer wegkomen met een taakstraf.
Hoe bepaal je dat een spam bericht het gevolg is van de hack?
Niet iedereen gebruikt bij elk bedrijf een variant op een mailadres.

[Reactie gewijzigd door Rouwette op 25 juli 2024 08:14]

Dat laatste klinkt een beetje idioot maar zo is het wel helaas. Als onderdeel van de hack ben je slechtoffer maar je hebt eigenlijk nergens recht op.
Het op straat laten belanden van mijn gegevens kan ik nu niet direct vertalen naar een geldbedrag, tenzij ik kan aantonen dat er fraude mee gepleegd is.

Wat ik wel graag zou willen is dat bij de bedrijven waar die hacks hebben plaatsgevonden dat er onderzocht wordt of ze de juiste maatregelen hadden getroffen om dit te voorkomen. Indien dit niet het geval was dan zou een flinke boete wel op zijn plaats zijn.
Quote uit de Telegraaf: "Welke bedrijven zijn gehackt? De officier wil geen concrete namen noemen, maar het gaat om een grote onderwijsinstelling, een groot bedrijf dat gespecialiseerd is in online-verkopen, een bedrijf dat zich bezighoudt met maaltijdbezorging en een firma die parkeergeld int."
Dus je hoeft alleen terug te kijken welke van dat type bedrijven de afgelopen tijd een groot datalek heeft gemeld aan haar klanten.
Er is op dit moment verdenking, geen veroordeling. Dat wil zeggen dat als er voldoende bewijs en inzicht in de omvang lijkt te zijn het tot een rechtzaak kan komen, om een rechter te laten beslissen of het bewezen is wat de politie vermoed.

Het lijkt me dat dan veel meer mogelijkheden zijn om bedrijven waar de persoonsgegevens gelekt zijn dat met bewijs duidelijk te maken zodat die hun klanten gaan informeren, of anders dat politie en Openbaar Ministerie die personen zelf gaat informeren dat hun persoonsgegevens zeer waarschijnlijk in handen van criminelen zijn.
Ook lijkt me dat voor de toezichthouder een goed moment om te onderzoeken welke bedrijven er datalekken hadden en die wel genoeg gedaan hebben aan melden en hun klanten informeren. Zeker als er bedrijven lijken te zijn die de criminelen betaald hebben en vervolgens de klanten niet geïnformeerd hebben.

[Reactie gewijzigd door kodak op 25 juli 2024 08:14]

Het is niet aan de politie om dat openbaar te doen. Ga er maar vanuit dat uiteindelijk de politie de betrokken instanties en bedrijven wel inlicht en dat zij vervolgens actie ondernemen. Dat is immers verplicht om daar melding van te doen door die bedrijven (als dat niet al gedaan is) en om ze hun klanten te laten inlichten.
Ik vind het inderdaad maar een wazig bericht wellicht enorm opgeklopt door de politie/om weer. Trouwens men heeft toch juist een verantwoordelijkheid om dit soort dingen bekend te maken en welke bedrijven er bij betrokken zijn.? Hoe langer je wacht, hoe meer de informatie misbruikt kan worden. Bovendien zo kun je van alles roepen en mensen wel heel erg makkelijk iets in de schoenen schuiven.

Dus of laat ze bekend maken welke bedrijven het om gaat of laat ze stoppen met zichzelf op de schouder kloppen.
Wel slimme jonges dus...als je dat soort bedragen kan mee pikken/verdienen zonder belasting te betalen.
Deze mannen zijn goud waard voor een fox-it. Eerst zorgen dat ze op t rechte pad komen en dan kennis delen met de normale wereld en dan schandalig geld verdienen.... (en dan gewoon 52% belasting betalen).

kan je nog steeds je louis vittonnetje of je hermes riempje en schoentjes kopen... en vergeet niet een rolexje om t polsje.
Je bent pas slim als je digitaal niet meer op te sporen bent.
Vraag is of het echt hacken is geweest of meer misbruik van positiei/rol. Gezien de genoemde beroepen van de verdachten.

[Reactie gewijzigd door mvrhrln op 25 juli 2024 08:14]

Dit soort creativiteit is juist wat bedrijven kunnen missen, zeker omdat hier niet blijkt dat ze werkelijk iets bijzonders gedaan hebben wat nog niet algemeen bekend is. Gegevens stelen, afpersen en belastigontduiken zijn helaas veelvoorkomende criminaliteit, omdat het niet perse moeilijk is. Eerder juist te makkelijk, door gemakzucht en onwetendheid bij bedrijven en personeel en door criminele hulpmiddelen en diensten die zelfs onkundige criminelen al kunnen gebruiken. Daarbij zijn ze duidelijk niet slim, ze maakten kennelijk zoveel fouten dat ze niet alleen op te sporen waren maar ook geen benul hadden hun belangrijke informatie goed te beschermen. Dus ga ze graag niet zomaar ophemelen alsof ze veel waard zijn.
Mmm, denk niet dat ze echt veel waard zijn voor fox-it. Grote kans dat ze gewoon een ransomware as a service hebben afgenomen en hun eigen school of andere grote bedrijven getarget hebben.
Scriptkiddies hebben we niet zo veel aan. Iedereen kan kopieren en plakken of een RaaS afnemen.
Je kijkt teveel films denk ik. Dit zijn gewoon criminelen. Ik hoop dat ze heel lang naar het staats hotel verbannen worden. Maar dat zal wel niet.
Extra taakstraf zou geen overbodige luxe zijn voor dit soort lui om hun kennis met de rest te delen!
Security experts bij bedrijven als fox it verdienen goed maar niet zo veel als goede criminelen. Misschien een ton per jaar voor een senior.
Bij dit soort jeugdige die opeens veel geld ter beschikking hebben, vraag ik mij altijd af of die ouders echt niks door hadden van opeens het grotere budget of dat ze een oogje dicht knepen. Want afhankelijk van hoe lang dit al speelde had die 18 jarige zeker nog thuis gewoond en mogelijk ook die andere, al was dat niet het geval moest het toch voor de ouders ook opvallen dat ze luxer leefde dan de meeste leeftijdsgenoten.
"Ik heb een app gebouwd en die is heel populair!". Opgelost.... weten die ouders veel waar daadwerkelijk aan gewerkt wordt.
Wie weet hebben ze wel een app gebouwd die iedereen heeft, maar stiekum van alles doorsluist, een vpn app, handige Cloud app wie weet
“Gratis” wachtwoordmanager lijkt me ook een handige in deze context.
Bij de meeste ontspoorde jeugd zie ik toch redelijk onverschillige ouders of ouders die radeloos zijn en ook niet meer weten hoe ze met hun kinderen moeten communiceren. Als jeugdige kun je op zich ook wel makkelijk zaken verstoppen voor ouders. Van dat soort jeugd denk ik dat maar een heel klein deel van de ouders daadwerkelijk weten wat die kinderen overdag/'s avonds doen.
Wat zie je nog als je dochter of zoon 18 wordt, ook al woont zij/hij nog thuis? Zij/hij moet toestemming geven voor schoolresultaten; je hebt geen grip meer als ouder over de bankrekening. Je mag echter als ouder wel betalen tot ze 21 zijn in het kader van de zorgplicht.

Als ouder voel ik mij machteloos.

[Reactie gewijzigd door bilkin2005 op 25 juli 2024 08:14]

Ik wil niet lullig doen.

Een hele goede vriend van mij.

Die reed escort meisjes langs bij klanten in Amsterdam. In het begin via een pimp en daarna nam die het zelf over. Hij was toen 22 jaar denk ik toen is nu +/- 10 jaar geleden.

Hij deed dit elke dag en ging nog naar school voor zijn bachelor of master. En niemand van zijn familie had dit door. Alleen enkele vrienden. Hij verdiende 10-15k per maand met alleen in de auto zitten, terwijl de meisjes bezig waren bij de klant. Ze ouders hadden het niet door. Hij woonde nog thuis. Wel betaalde hij gewoon de gebruikelijke kosten huur etc voor hun.

Nu is die directeur van zijn eigen reclassering bureau. Hij heeft gewoon in de tussentijd zijn studies gedaan.

Wil er mee zeggen dat het vrij gemakkelijk is voor jongeren om het te verbergen voor hun ouders. Kinderen of jongeren die communiceren dat soort dingen al vroeg niet meer met de ouders. Dat moet je vaak zelf achterkomen.

Want hij kon ook niet zomaar alles kopen dat zou direct verdacht zijn als die opeens met de nieuwste auto aankomt.

[Reactie gewijzigd door theduke1989 op 25 juli 2024 08:14]

Buiten het geld is die vriend dan toch elke avond/nacht op pad. Dat valt ook op als hij thuis woont en nog studeert.

[Reactie gewijzigd door Marzman op 25 juli 2024 08:14]

nee niet echt, hij is 22. Ik denk niet dat een ouder op die leeftijd nog haar zoon gaat controleren?
excuus: ploegendienst, nacht verdient beter, bij een random warenhuis.
Wel betaalde hij gewoon de gebruikelijke kosten huur etc voor hun.
Hij betaalde hun huur? Op zijn 22ste? Hoeveel mensen van die leeftijd betalen de huur voor hun ouders, ik ken er weinig, a.k.a. geen.
Duizenden bedrijven gehackt, door 3 jongens?
https://www.nu.nl/buitenl...ljoenen-nederlanders.html
Standaard kwetsbaarheid ergens, of een hosting/cloud provider binnengekomen?
Ik vermoed geautomatiseerde hacks.
Het betrof onder meer een aantal hogescholen, een bezorgingsplatform club, een online retailer, het bedrijf Ticketcounter, een parkeergeld incasso bedrijf en zorginstellingen.
Waarschijnlijk zijn ze uiteindelijk door de hack bij Ticketcounter op de radar gekomen bij de politie, getriggerd door de significante hoeveelheid persoonsgegevens die toen zijn gestolen..
Hoeveel van dat soort organisaties heeft afgelopen jaren hun klanten geïnformeerd over een groot datalek? Dat zou toch wel moeten opvallen als het kennelijk om heel veel personen gaat.
Bizar he....
Maar tja, als het je eigen bedrijf is en de inschatting is dat je heel veel klanten gaat verliezen als je het publiek maakt....
Ticketcounter hack, Dan zijn ze wel al een tijdje bezig voor ze gepakt zijn. Daardoor kreeg ik ineens spam op mijn werkmail
Het zou je sieren om wat minder zwart-wit te denken.

Je hebt namelijk geen idee wat sprikkel25 onder werkmail verstaat.
Voor hetzelfde geld is hij ZZP'er en heeft hij meerdere emailadressen.

Ontopic:
Twee jaar geleden werd een bestand met gegevens van anderhalf miljoen Nederlandse klanten van het bedrijf gestolen. Dat gebeurde nadat Ticketcounter dit bestand per ongeluk online had gezet, meldt RTL Nieuws.

"Ik ben ontzettend blij dat deze mensen gepakt zijn", zegt directeur Sjoerd Bakker tegen het nieuwsprogramma. "Het laat zien dat het belangrijk is om als slachtoffer aangifte te doen. Ik ben blij dat ik daaraan heb meegewerkt."
WTF, je laat spullen gewoon op het internet/straat slingeren, het wordt gejat en daarna sla je je op de borst dat je zo goed aangifte hebt gedaan.

Je bent dan gewoon totaal incompetent.
Hoe kan je in een huis 550.000€ aan bitcoins vinden?
Op een usb stick.
Tijdens een inval?

Klinkt meer alsof ze een diepgaand onderzoek gedaan hebben.
Huiszoeking. Velen hier denken wel vak dat de politiemensen niet zo slim zijn maar daar zit echt ontzettend veel kennis op digitaal gebied. Meer dan hier op het forum.
Iedere Bitcoin uitprinten :+
Hardware wallet, software wallet, seed phrase, exchange inlog of privatekeys. Het kan dus bijvoorbeeld een USB stick zijn geweest of stukje papier in de schoenendoos met contant geld. En wie weet hebben ze een PC gevonden en stond die aan of zat er geen encryptie op.
Waarschijnlijk waren ze zelf ook gehackt, en kon de politie vanaf afstand rustig meekijken
Als je een onderneming start, en de bedrijven waar je zaken mee doet blijven betalen dan ga je door.
Maar als die bedrijven niet (nooit) betalen voor je diensten............
Het zegt vooral veel hoe slecht de boel beveiligd is. 3 jochies kunnen de boel hacken...
Zou me vooral daar maar eens zorgen over maken.
Dat de politie dit vindt zal wel op louter toeval berusten.... :)
"een 18-jarige man zonder vaste woon- of verblijfplaats" oftewel "een 18-jarige man met een dynamisch ip-adres"?
Dit noemen we een roaming gebruiker :) Alleen ICTers snappen deze.
nee iemand die niet bij een gemeente staat ingeschreven

Op dit item kan niet meer gereageerd worden.