Politiediensten halen infostealers offline die miljoenen gegevens stalen

Bij een internationale actie genaamd Operatie Endgame zijn opnieuw twee infostealers offline gehaald. Verschillende politiediensten, waaronder die uit Nederland, namen samen meer dan honderd servers in beslag. Daarop troffen ze miljoenen gestolen inloggegevens aan.

Tijdens de actie werden de netwerken achter StealC en Amadey offline gehaald, schrijft de politie in een persbericht. Dat zijn twee infostealers: malware die bedoeld is om gegevens van slachtoffers te stelen. Ze besmetten een pc bijvoorbeeld via phishingmails, waarna ze inloggegevens en andere informatie doorsturen naar de dader.

Volgens de politie zijn infostealers als StealC en Amadey daarmee vaak de eerste stap in een aanval. Ze kunnen gebruikt worden om later aanvullende malware op een besmette pc te zetten, zoals ransomware.

Tijdens de actie zijn 'meer dan honderd' servers en domeinnamen in beslag genomen. Daarop werden meer dan 24 miljoen inloggegevens aangetroffen. Die zijn volgens de politie afkomstig van minstens 384.000 verschillende computersystemen en gebruikt voor meer dan 1,5 miljoen verschillende diensten en bedrijven. Gebruikers kunnen nakijken of hun gegevens ertussen zitten via Check je hack.

De Nederlandse politie deed de actie samen met de opsporingsdiensten van Duitsland, Denemarken, het VK en de VS. Die kregen daarbij ondersteuning van Europol en Eurojust, naast bedrijven als Microsoft. Operation Endgame loopt al sinds 2024. Vorige week nog werd onder dezelfde operatie de SocGholish-malware offline gehaald.

Operation Endgame bron: politie
Bron: politie

Door Daan van Monsjou

Nieuwsredacteur

24-06-2026 • 20:54

38

Submitter: scannerrob

Reacties (38)

Sorteer op:

Weergave:

Wat gebeurt er als je jouw email lekt aan de politie?


Email, IP, geo, cookies gelogt?

Wat voor consequenties Kan dit hebben en bijvoorbeeld ook bij I have been powned?
Goede vraag, gelukkig heeft Tweakers hier eerder al eens een artikel voor geschreven: review: Waarom 'Check je hack' slechts 1 keer je e-mailadres opzoekt in de Odido-dataset
De politie is (op een goede manier) totaal niet geïnteresseerd in het leven van de Nederlandse burger. Hun capaciteit is schaars en ze moeten nu al lastige keuzes maken. Van de andere kant: play stupid games, win stupid prizes.
vandaar dat er overal AI datacenters gebouwd worden waar de politie seffes zo uit kan plukken.
Die worden met een reden geplaatst.
We doen de gedurfde aanname dat we in de rechtsstaat leven waarin de politie onze vriend is - die geen boze dingen met onze gegevens doet. En als zij zien dat onze data rondslingert, dan kijken ze waar dat door kan komen. Zoals door kwaadaardige software van criminelen die er op uit waren ons te beroven later met hulp van de gelekte gegevens. De politie laat dan enkel zien op CheckJeHack dát je voor kwam in de hack. HaveIbeenPwnd is net zoiets, een lijst waarin staat of jouw gegevens ten prooi zijn gevallen. Je kunt een emailmelding krijgen als er iets met je gegevens gebeurt ook van Google bijvoorbeeld. Maar uiteindelijk is de bedoeling dat als je in zo'n dataset voorkomt, dat je je wachtwoorden verandert en beter nakijkt hoe je het internet gebruikt.
Als je je eigen link zou lezen, dan zou je zien dat de politie perongeluk een verkeerd bestand had gedeeld met deze man, en dat die vervolgens de politie probeerde te chanteren met deze data. Wat verwacht je dat er gebeurt? Hoe dom ben je?
Ook in de situatie met Lisa bleek de situatie iets genuanceerder te zijn dan aanvankelijk werd bericht.
Klopt, dacht dat het ging om agenten die het signalement van de verdachte hadden opgezocht in GMS (het meldkamer systeem) en dus niet het dossier hadden ingezien zoals de media portretteerde. Technisch gezien hadden ze geen reden om dit te doen omdat het bijvoorbeeld buiten hun werkgebied viel, maar imo is dit gewoon goed politiewerk.
Praat het maar goed; ik ken mensen die andere "toevallige" ervaringen hebben met het image van veel jonge macho agenten hierdoor: jaloezie; tot op verjaardagen aan toe.
gooi er maar een niet verifieerbare N=1 in als blijkt dat de aangehaalde links niet het statement maken dat de originele poster dacht dat ze maakten :p
Ik spreek ook uit ervaring; informatie is macht.
Technisch gezien hadden ze geen reden om dit te doen omdat het bijvoorbeeld buiten hun werkgebied viel, maar imo is dit gewoon goed politiewerk.
Het probleem is in alle drie die gevallen de IT systemen gewoon dusdanig dom ingeregeld zijn dat dit soort incidenten zich voor kunnen doen, dat men door redelijk simpele app handelingen belangrijke auditbevindingen kan creeëren die op een dusdanige manier in de media opgeblazen kunnen worden, maar ook gewoon doordat er nu pas serieus gekeken wordt naar Audits en analyses van die audits om andere problemen aan het licht te brengen. Best laat.

Ik had gisteravond al een reactie voor je geschreven, maar mijn telefoon besloot in zal zijn wijsheid dat de cache leeg moest, dus toen ben maar naar bed gegaan. Ik zal een deel even opnieuw moeten schrijven.

Wat je ziet is dat er in de implementatie van de systemen gewoon ontwerpbeslissingen worden genomen die ervoor zorgen dat er veel fouten gemaakt kunnen worden. Uiteindelijk zien we in dat eerste geval een fout die echt heel raar is (upload en download zonder bevestiging net naast elkaar, zelfde proces enzo, geen scheiding/quarantaine periode), die vervolgens neergelegd wordt bij degene die het overkomt met een zeeer slechte juridische basis https://blog.iusmentis.com/2026/02/24/politie-lekt-data-en-houdt-ontvanger-aan-omdat-die-het-niet-wilde-verwijderen/. Hoe kun je nou een intern dossier op zo'n manier ontsluiten naar de buitenwereld? Het is toch by design raar om mensen van "extern" rechtstreeks in de werkmap te laten uploaden?

In alle drie de gevallen zijn er systemen betrokken die het toestaan of zelfs actief ondersteunen dat er Rare dingen gebeuren met data. Dingen bij design niet zouden moeten kunnen. Een dossier zoals dat van Lisa of een ander bekend dossier zou gewoon met whitelisting moeten werken. Op alle vlakken gaan er gewoon dingen in het ontwerp fout. We zagen vergelijkbare zaken tijdens Corona met de GGD helaas zien we ze ook al jaren bij de Politie. En het meeste gaat oprecht per ongeluk en vanwege onduidelijke processen hoor. Die ontwerpbeslissingen die dus verkeerd uitpakken, Maar soms zitten er dus echt rotte appels tussen. Hier even wat notoire zaken:

Politiemol Eindhoven (2011–2015)
27.971 bevragingen in vier jaar, politie-info verkocht aan criminelen. Verdachten konden hierdoor onderzoeken ontlopen. Vijf jaar cel.
https://nos.nl/artikel/2332717-politiemol-mark-m-krijgt-ook-in-hoger-beroep-vijf-jaar-cel.html

Hondenbegeleider Amsterdam (2022–2024)
Lekte kentekens en onderzoeksinfo aan criminelen op verzoek van een familielid, ontving 5.000 euro. Gebruikte ook accounts van collega's. Anderhalf jaar cel.
https://nos.nl/artikel/2574214-celstraf-voor-ex-politieagent-voor-lekken-informatie-op-verzoek-van-broer

Agent Oost-Nederland, drugs voor info (ontdekt via Encrochat, 2020)
Speelde adressen en kentekens door aan criminelen in ruil voor drugs. Eén adres leidde tot een dreigende verhaalactie. Drie jaar cel geëist.
https://www.om.nl/actueel/nieuws/2022/03/10/drie-jaar-cel-geeist-voor-lekken-door-politie-agent

Agent Midden-Nederland (2017–2022)
Bevraagde vijf jaar lang politiesystemen buiten diensturen, speelde resultaten door aan familieleden en criminele contacten. Taakstraf geëist.
https://www.om.nl/actueel/nieuws/2025/01/15/taakstraf-geeist-tegen-agent-die-informatie-doorspeelde-aan-criminelen

Het probleem is dat er dus wel rotte appels tussenzitten. Dus zelfs als je 99% wel terecht vertrouwd, je hebt er maar 1 nodig om de boel te verzieken.

En zoals eigenlijk bij ieder groot bedrijf (hoe goed bedoeld ook) zit er wel 1.

Misschien is de quote niet zo goed gekozen, het gaat me niet eens zozeer om het kwader trouw argument, maar het "De politie is je vriend" argument. Nee dat zijn ze niet.

https://www.bnr.nl/nieuws/nieuws-politiek/10549611/politie-staat-ver-van-burger-af-niet-meer-je-beste-vriend

https://universonline.nl/nieuws/2016/11/28/de-politie-niet-je-beste-vriend/

https://socialisme.nu/waarom-de-politie-niet-je-beste-vriend-is/

https://www.linkedin.com/pulse/de-politie-niet-je-beste-vriend-als-aangifte-komt-doen-erik-sengers/

Het is nalatigheid op nalatigheid op nalatigheid van de bovenliggende organisatie. Als je in je belangrijke, onmisbare software systemen zulke ontwerp keuzes maakt ... wat voor keuzes maak je dan voor je niet zo belangrijke systemen zoals een burgerportaaltje (checkjehack).

Hebben we politie nodig voor de zware criminaliteit? absoluut, werkt het daaronder voor de kleinere dingetjes? Niet echt. Lees die linkedin post maar even. Dan zie je ook dat ze gewoon geen bezetting hebben voor bepaalde zaken, maar ze soms ook echt vinden dat het niet hun pakkie an is. helemaal best, maar dit vind ik dus ook weer 1 van die dingen waar de politie zich niet mee bezig zou moeten houden (dat checkjehack dan).
Mensen waar maken jullie zich zo druk om. Je gebruikt een iphone of een samsung je gegevens worden toch al gestolen door die grote markt. E betaalt met je pinpas in een webshop je gegevens worden daar bewaard zogenaamd maar die worden nog eens doorverkocht. Je kunt voorzichtig zijn maar alsnog zullen ze al je data verzamelen en als het interresant is delen met andere partijen.
E betaalt met je pinpas in een webshop je gegevens worden daar bewaard zogenaamd maar die worden nog eens doorverkocht.
pinpas gegevens worden doorverkocht? Door wie dan?
Je kunt voorzichtig zijn maar alsnog zullen ze al je data verzamelen en als het interresant is delen met andere partijen.
Dus moet ik dan maar mijn gegevens delen met een partij die er ook bewezen niet goed om mee kan gaan? Ze hebben recent hun eigen personeelsbestand nog gelekt.
Ik vermoed dat je bedoelt dat je "bang" bent om op de site checkjehack je email adres in te vullen omdat je dan meer gegevens "lekt" naar de politie?

Ik vermoed gezien het feit dat ze de gehele Odido dataset blijkbaar in hun bezit hebben en dus ook de nieuwe gelekte gegevens uit de bovengenoemde hacks dat meest van jou en mijn gegevens allang bij hen bekend zijn. Dus een realistische angst lijkt het mij niet.
waarom vraag je dit
Wat gebeurt er als je jouw email lekt aan de politie?


Email, IP, geo, cookies gelogt?

Wat voor consequenties Kan dit hebben en bijvoorbeeld ook bij I have been powned?
Sssstttt ze wachten op domme criminelen lol
Je kunt het allemaal ook zelf doen als je dat belangrijk vind (of al je wachtwoorden wil controleren). Je kan de hele haveIbeenpowned database downloaden. De 18juni data is daarin al verwerkt. Deze nieuwe vast ook snel. Dan een export maken van hashes van wachtwoorden in je keepass database, en die twee vergelijken.

/edit
Ook deze laatste lijkt al toegevoegd. Zie https://haveibeenpwned.com/Breach/OperationEndgame4

[Reactie gewijzigd door cnieuweboer op 25 juni 2026 08:11]

waarom stuurd die check je hack site niet altijd een email ook wanneer er niets gevonden wordt ? Op de site stond dat het tot 5 minute kon duren. Nu zit je constant email en spam te checken of er iets komt of misschien is de mail vertraagd of iets dergelijks. Als dat ding altijd een mail stuurd ook al zit je niet in de datasets dan weet je dat tenminste. En waarom geen realtime check waarom moet dit uberhaupt via email verlopen
Is dit misschien omdat ze niet willen fungeren als een dienst die naar elke mail dan ook een mail kan sturen zonder beveiliging(dus een soort spam dienst). Ik denk dat dit makkelijk te beveiligen is maar dat is denk ik de enige reden die ik hiervoor kan bedenken.
Je wilt dat niet realtime op de website hebben want dan kan ik elk emailadres dat ik ken er ook kunnen testen en, desgewenst, op zoek gaan naar de matchende gegevens op het dark web.

Een validatiestap of een beschermde keten erachter is dus wel essentieel.
Omdat iedereen dan zomaar kan spammen.
Dus als je gehackt bent dan mogen ze wel spammen
Het scheelt wel als je op checkjehack je mail adres checked heb je grote kans dat het raak is want ze nemen de odido hack ook mee in deze gegevens. Net zelf getest met een mail adres en kreeg de mail al snel van de politie dat mijn gegevens zijn gelekt bij het odido hack. Iets dat ik al langer wist logischerwijs.

Maar vermoed dat ze de odido dataset dus ook in hun dataset hebben verwerkt?
Maar vermoed dat ze de odido dataset dus ook in hun dataset hebben verwerkt?
Helemaal correct tweakers heeft ook een achtergrond artikeltje geschreven over hoe het werkt.

review: Waarom 'Check je hack' slechts 1 keer je e-mailadres opzoekt in de Odido-dataset
Op de checkjehack website staat het Odido-lek ertussen als "1 maart 2026 - Telecom Breach."

Dus ja, die zit ertussen.

Lang leve salten (emailadres+odido@gmail.com, emailadres+anderebeunhaas@gmail.com) want je weet gelijk welke knurften je emailadres hebben gelekt/verkocht.
Zeker, ik gebruik nu simplelogin en heb 1.5 jaar geleden 2 dagen zitten ploeteren om alle sites in mijn password manager aan te passen met een dergelijk adres. Net op tijd geloof ik. :)
Hulde!

Wat wel een keer gebeurde was dat Eneco mijn elektriciteitsboer overnam en dat hun backend geconstipeerd raakte van wat salt.

Een paar verwarde telefoontjes over gemiste emails later was het rechtgetrokken, maar wel frappant.
Dat is apart ja, waarschijnlijk een filter bij hen die te straks stond? Kans is ook groot dat hun backend niet met een + om kon gaan oid, dat zou dom zijn maar me niet verbazen in deze tijd.
Dit is slim maar werkt niet overal.

Social media accounts blokkeren dat helaas.

Dan krijg je ongeldig email
Geen social media gebruiken dan?
Ik zou het zelf wel fijn vinden als ik mijn domeinnaam daar in kon vullen. Voor iedere website gebruik ik een ander mailadres, bij haveibeenpwned kun je na een dns check wel zo'n sweep doen voor alle mailadressen. Iemand een idee of daar nog een trucje voor is op checkjehack?
Ben ik de enige die bij infostealers als eerste aan Meta en Alphabet denk? 😊
Wat ik me altijd afvraag is. ALs servers of vergelijkbare hardware met opslag in beslag worden genomen en via veilingen worden verkocht, wordt de data dan echt goed gewist?

Ik heb namelijk een paar jaar geleden via een online veiling een server gekocht, en daar zaten gewoon nog meerdere harde schijven in, inclusief OS en data die nog uit te lezen was. Terwijl er werd aangegeven dat er geen data meer op zou staan. Sterker er zouden geen hardisks inzitten.

Hoe zit dit normaal? Worden schijven echt gewist of vernietigd, of is dit vaker zo’n grijs gebied?
In een ideale wereld worden geen fouten gemaakt, aan de andere kant mag je zorgvuldigheid verwachten. Grote probleem hierbij is, het mag niets kosten en niemand wil het werk doen. Gevolg is dat er gerommeld wordt en niet zorgvuldig gewerkt.

Om te kunnen reageren moet je ingelogd zijn