Europarlementariër die spywaremisbruik onderzocht werd bespioneerd met spyware

Stelios Kouloglou, een voormalig lid van het Europees Parlement uit Griekenland, is bespioneerd met de beruchte Pegasus-spyware. Dat gebeurde tijdens een 'belangrijke periode'. Hij deed toen onderzoek naar misbruik van diezelfde spyware en andere spionagesoftware.

Dat blijkt uit onderzoek van The Citizen Lab, een onderzoeksinstituut en mensenrechtenorganisatie die vaker spionage onder de loep legt. Volgens dat instituut werd Kouloglou 'herhaaldelijk gehackt' met de Pegasus-spyware van het controversiële bedrijf NSO Group.

Volgens The Citizen Lab werd de telefoon van Kouloglou geïnfecteerd met de spyware in 'belangrijke periodes'. Hij was toen lid van het PEGA-comité, dat onderzoek doet naar misbruik van Pegasus en andere spionagesoftware.

PEGA werd in 2022 opgericht, nadat in 2021 bleek dat verschillende journalisten, activisten en burgers werden bespioneerd met de Pegasus-spyware.

Het is 'mogelijk' dat de daders toegang hebben gekregen tot vertrouwelijke documenten en overwegingen van de commissie, schrijft het instituut. Welke eventuele gegevens precies zijn gestolen, wordt niet bekendgemaakt.

Drie keer getroffen via HomeKit-exploit

Kouloglou nam in mei 2026 zelf contact op met The Citizen Lab, dat zijn iPhone vervolgens forensisch analyseerde. Daaruit bleek dat zijn telefoon op 21 oktober 2022 succesvol werd geïnfecteerd met de Pegasus-spyware. Datzelfde gebeurde later nog twee keer: op 6 en 7 maart 2023.

De daders gebruikten steeds dezelfde PwnYourHome-exploit, waarover The Citizen Lab in 2023 al details deelde. Apple dichtte het lek in iOS-versie 16.3.1 uit februari 2023. Volgens de organisatie draaide het apparaat van Kouloglou ten tijde van de exploits steeds iOS 15.5.

Apple Lockdown Mode toont PwnYourHome-poging via The Citizen Lab
Een iPhone in 'Lockdown Mode' laat een PwnYourHome-hackpoging zien. Bron: The Citizen Lab

Dader onbekend

The Citizen Lab wijst nog geen dader aan. Het gaat uiteraard om een klant van het Israëlische spywarebedrijf NSO Group, maar welke klant dat precies is, is niet duidelijk. De organisatie benadrukt wel dat er geen enkele aanwijzing is dat de Griekse overheid erachter zit. Kouloglou komt uit Griekenland.

Er zijn wel aanwijzingen dat dezelfde daders eerder een aantal andere slachtoffers maakten. Het ging toen om zeven onafhankelijke journalisten die Russisch of Wit-Russisch spraken. Een van de e-mailadressen die werd gebruikt om die journalisten te hacken, werd ook gebruikt bij het uitvoeren van de HomeKit-exploit om Kouloglous telefoon te infecteren.

The Citizen Lab noemt de ontdekking 'zorgwekkend'. Hoewel al vaker is gebleken dat Europarlementariërs doelwit van hackpogingen zijn, is het (voor zover bekend) de eerste keer dat een PEGA-lid werd gehackt. Het instituut benadrukt dat de EU de kwestie moet onderzoeken. Daarnaast raadt de organisatie EU-functionarissen aan hun telefoons vaker te laten screenen.

Hack. Bron: Sarayut Thaneerat via Getty Images
Bron: Sarayut Thaneerat via Getty Images

Door Daan van Monsjou

Nieuwsredacteur

04-07-2026 • 11:17

121

Submitter: JelleDJs

Reacties (117)

Sorteer op:

Weergave:

Moet voor het toepassen van de spyware NSO groep actief betrokken zijn?
Zover ik weet niet direct, maar mogelijk indirect wel. Een overheid(instantie/orgaan) die een Pegasus-licentie af wil nemen (om Pegasus te mogen gebruiken) moet namelijk wel expliciet toestemming daarvoor krijgen van het Israëlische Ministerie van Defensie:
The sale of Pegasus licenses to foreign governments must be approved by the Israeli Ministry of Defense.
(bron)

Dus op die manier zou er mogelijk indirect wel invloed uitgeoefend kunenn worden (door bijvoorbeeld het leveren van licenties niet toe te staan), maar is men niet direct betrokken bij hacks waarbij Pegasus of Phantom (de Amerikaanse versie van Pegasus, van de Amerikaanse tak van NSO) wordt ingezet.

[Reactie gewijzigd door wildhagen op 4 juli 2026 11:42]

Alles wat je zegt klopt, met als kanttekening dat wanneer je spyware aan een overheid geeft die overheid de middelen heeft om die te jailbreaken, na te bouwen etc. Zeker grotere landen als China, de VS en Rusland kunnen zeer snel aan het product herbouwen en in het geval van China en Rusland gebruiken om chaos te veroorzaken (bvb door aan kleinere spelers als Saudi Arabië en Iran te geven).
Nouja de kans is groot dat je niet het complete pakket zo in je handen krijgt.

Vaak werkt het zo met dit soort software dat als je ervoor kiest om een bepaalde aanval uit te voeren, hij dan pas de module downloadt. En je betaalt meestal per type aanval (dus een zero day zal veel meer kosten).

Anders blijft een zero-day nooit lang zero natuurlijk. En als een partij ervoor kiest om die in te zetten voor zeg een miljoen dollar, dan is het een dermate high profile doelwit dat ze er ook belang bij hebben om dit niet te lekken.
Bij Palantir schijnt het zo te zijn dat de afnemer van hun diensten er niet eens zelf mee aan de slag kan, maar personeel van Palantir moet inhuren om van de diensten gebruik te kunnen maken. Meen gelezen te hebben dat de UI bijvoorbeeld in Hebreeuws werkt en dat ook andere dingen afgegrendeld zijn voor 'onbevoegden' (lees: niet-Palantir personeel), wat mij een gigantische rode vlag zou lijken, maar klaarblijkelijk hebben de overheden die van hun diensten gebruik maken al bar weinig scrupules.
Palantir is Amerikaans. Niet Israelisch. Waarom zou het in Hebreeuws zijn? Misschien bedoel je een ander bedrijf?
Ah...dank! Begin vorige maand kwamen er berichten naar buiten dat de Israelische geheime dienst tot op de hoogste niveaus in VS spioneert, m.n. door overheidspersoneel te bespioneren, met zulke tools als Pegasus is dat natuurlijk makkelijker.
Dat was een heel vreemd NBC-nieuwsbericht. Ze spreken over een intern bericht, zonder ook maar enige bronvermelding of aan te geven of dat bericht inderdaad gelekt is. Ze hebben het zelf duidelijk niet gezien. Zeer bedenkelijke journalistiek. Ik zou me er dus niet te veel van aantrekken.
vergis je er niet in.. De Israelische geheime diensten zijn al heel erg breed en diep geinfiltreerd in de VS. en dit al lang voor het bericht van vorige maand. Er zijn al zo vaak incidenten geweest dat het zelfs al de moeite niet meer waard is om voor bronnen te zorgen. Er is zelfs met rede aangehaald dat Epstein in dienst van de israelische geheime diensten werkte.
Mooi alu-hoedje verhaal. We hebben er al zo vaak fud over gegeven dat het niet meer de moeite waard is om voor bronnen te zorgen. Zo ken ik er nog een paar.
ok jij je zin, als je zelfs als niet een google actie wilt starten hier een kleine selectie links uit enkel de eerste pagina

https://www.theguardian.com/world/2004/aug/28/usa.israel

https://politicstoday.org/fbi-informant-claimed-epstein-was-israeli-spy-document-shows/
O-) Dus we kunnen het niet inzetten om Israël/Mossad/Bibi/P.Thiel/M.Adelson te monitoren? Sjips 8)7


edit; emoji

[Reactie gewijzigd door GameNympho op 4 juli 2026 17:16]

Die kans is natuurlijk heel groot ja.

Je ziet ook dat bijvoorbeeld Russische spyware zelfs van commerciele hackers (ransomware enzo, niet echt spionage) automatisch PC's met russisch toetsenbord uitsluit: https://krebsonsecurity.c...ick-russian-hackers-hate/

Dat doen ze waarschijnlijk niet eens omdat de overheid het expliciet verlangt maar omdat Putin nogal van de botte bijl is, en als ze per ongeluk een Russische instantie hacken zullen er ongetwijfeld wat mensen uit dichte ramen vallen enzo.

Israel zal ongetwijfeld iets dergelijks doen, waarschijnlijk nog veel uitgebreider.

[Reactie gewijzigd door Llopigat op 6 juli 2026 11:53]

Je kan hun malware niet bij de mediamarkt gaan kopen...

Ga er maar van uit dat ze goed genoeg weten wie hun cliënteel is en dat zijn organisaties die voldoende geld willen neerleggen voor hun waren.
Sorry hoor, maar ik begrijp niet waar het verstand zit bij sommige mensen.
Wanneer je, om wat voor reden dan ook, iets te verbergen hebt, gebruik dan geen smartphone om gevoelige zaken te communiceren.
Wanneer je ergens iets wilt doen wat je geheim wilt houden, laat je smartphone dan thuis.
Hoe moeilijk kan het zijn. Het lijkt wel of de mensen bespioneerd willen worden...
Het gaat er helemaal niet om "of je iets te verbergen hebt". Het gaat hier om iemand die zijn (toenmalige) werk uitvoert. Niet meer, niet minder.

Dat hij daar zijn telefoon niet voor mag gebruiken omdat hij anders bespioneerd wordt, is te absurd voor woorden. Iedereen, dus ook dit slachtoffer, heeft het volste recht zijn apparatuur te gebruiken waar hij/zij dat nodig acht, zonder daarbij door welke partij met toegang tot Pegasus dan ook te worden bespioneerd.

Ik hoop iig dat de daders opgespoord en vervolgd worden. Dit is een buitengewoon ongewenste ontwikkeling dat volksvertegenwoordigers op deze manier worden gehinderd in het uitvoeren van hun werk.
Tja, dat is wel de ideale wereld die je schetst, we weten allemaal dat dat helaas niet de realiteit is. Het is ook belachelijk dat mijn auto wordt gestolen of er wordt ingebroken in mijn huis. Daar probeer je ook maatregelen te nemen om dat moeilijker te maken. Als ik onderzoeker ben en kan inschatten dat ik zelf slachtoffer kan worden, zou ik inderdaad mijn mobiele telefoon daar niet voor gebruiken. Just to be sure.

Niet wenselijk, maar wel noodzakelijk zo blijkt ook hier. Globalisering doet hier uiteraard ook iets, de volksvertegenwoordiger van het ene land kan een vijand zijn voor een ander land. Belangen spelen overal. Kortom, inderdaad te belachelijk voor woorden dat dit zo is, maar de tijd van naïef geloven in de goedheid van mensen is helaas voorbij. Dat gezegd hebbende, de meeste mensen deugen :)
Met de zelfde logica kunt u beter geen auto gebruiken want die kan gestolen worden en uw huis verkopen omdat er anders ingebroken kan worden.

Gewoon even nooit meer een telefoon gebruiken klinkt net zo realistisch.
Verkeerd vergelijk. Het gaat erom of je informatie bezit waarvan je niet wilt dat die uitlekt. Mijn auto is een simpel vervoermiddel, als die gestolen wordt is dat jammer, maar er wordt niets buitgemaakt van derden, ook heeft niemand er verder last van.

Het is simpelweg het bewustzijn dat data uit kan lekken en hoe je je daartegen kunt wapenen. Je kan prima een telefoon gebruiken om boodschappen te doen en je berichten uit te wisselen met de familie. En dat tot een zekere hoogte. Geheime informatie is dan net iets waar je over na moet denken. Het gaat dan ook om het inschatten van risico's dus. Geen auto of telefoon gebruiken slaat dan wat door in mijn optiek.
Nee het is geen vergelijk, de telefoon is natuurlijk een stuk essentieel gereedschap voor een onderzoek naar mogelijke spionage op de overheid.

Verder denk ik ook niet dat het voor het geval van dit onderzoek zo belangrijk is dat het bewezen wordt dat Israël op grote schaal spioneerd, want dat is duidelijk, maar meer om in kaart te brengen welke doelen de Israëlische spionage op gericht is.

Het grote probleem is de hoeveelheid Israëlische "security" software die overal wordt toegepast, welke ook weer voor spionage doeleinden wordt gebruikt.
Nee het is geen vergelijk, de telefoon is natuurlijk een stuk essentieel gereedschap voor een onderzoek naar mogelijke spionage op de overheid.
Zou je kunnen toelichten waarom je denkt dat dat essentieel is? Telefoons onderzoeken is zeker handig bij een dergelijk ondezoek. Maar ik zou niet goed kunnen bedenken wat ik met een telefoon kan onderzoeken wat met een laptop of standalone tablet niet zou kunnen. Daarnaast vermoed ik dat voornamelijk mail en rapporten interessant zijn voor meekijkende spionnen, wat op zich weinig van doen heeft met het onderzoek zelf.
Omdat het ook gaat waarop gespioneerd wordt is het belangrijk om te weten waar de bewindvoerders zoal mee bezig waren, daar komt je dus niet achter door alleen computer systemen en telefoons na te pluizen op sporen van spyware (in hoeverre dat al mogelijk is).

Ook wat mensen kunnen vertellen over hoe apparaten zich gedragen heb je soms meer, communicatie blijft dus essentieel. Ja dat kan ook via email (extreem onveilig) maar dat zal toch een stuk moeizamer verlopen, weken i.p.v. minuten.

En u stelt zelf voor om andere apparaten te gebruiken voor het inderzoek zoals laptops en tablets, welke net zo gevoelig zijn voor spionage.

Dit geval maakt ook nog eens duidelijk dat de onderzoeker zelf dus bespioneerd werdt, geen verassing want dit is ook een belangrijke strategie om spionage verborgen te houden, toch iets belangrijker dan willekeurige rapporten.
Die snap ik. Maar wat kan een onderzoeker met zijn eigen telefoon onderzoeken wat op geen enkele andere manier kan. Dat was mijn vraag. En inderdaad is alles gevoelig voor spionage, daarom moet je ook zo goed nadenken over je security. Wellicht overwegen om dit soort dingen "airgapped" te willen doen, wat overigens ook geen garantie is.

En bij Tweakers zijn we allemaal "jij" he, ik zit al in een halve fossielencrisis en dat word je ook nog met "u" aangesproken :)
Informatie achterhalen van mensen persoonlijk dus.

Het is verder ook niet mogelijk om airgapped onderzoek te doen.

Inderdaad alle apparaten zijn dus gevoelig en het heeft geen zin om een telefoon neer te leggen en dan een laptop op te pakken om vervolgens te denken dat het veiliger is.

Er zijn natuurlijk wel mogelijkheden door een veiligere telefoon te gebruiken, maar ook dat is beperkt.

Ik gebruik altijd Uuuuuu....
voor mensen die ik niet persoonlijk ken.
Het gaat er niet over dat Israël spioneert, alleen dat er software uit Israël wordt gebruikt. Wie er uiteindelijk spioneerde is nog niet duidelijk.
Je begint zelf over een gestolen auto en ingebroken huis om vervolgens, als daar iemand anders op aanhaakt, te zeggen dat dat verkeerd vergelijk is. Als je het zelf een verkeerd vergelijk vindt, begin en gebruik het zelf dan ook niet.

Dat los van of het wel of niet een goed of verkeerd gebruik was.
Als je goed leest, is dat om aan te geven dat het óók belachelijk is dat eigendommen worden gestolen. De nuance zit erin of het ERG is voor derden dat dat gebeurt. Als ik data van derden in mijn auto heb liggen wel ja, maar dat sec mijn auto wordt gejat, heeft niemand last van. Begrijpend lezen is lastig, maar begrijpend schrijven ook, ik zal het volgende keer beter pogen neer te zetten. Mea culpa.
Als ik onderzoeker ben en kan inschatten dat ik zelf slachtoffer kan worden, zou ik inderdaad mijn mobiele telefoon daar niet voor gebruiken. Just to be sure.

Daarom krijg je volgens mij een beveiligde telefoon als euro medewerker op bepaalde posities, zou hij die ook gehad hebben of zijn eigen mobiel?

Maar eerlijk, die software is levensgevaarlijk, ik snap aan de ene kant niet al het on-vertrouwen.

Als je iets fouts doet, komt 9 van de 10x toch boven tafel.
As ik onderzoeker ben en kan inschatten dat ik zelf slachtoffer kan worden, zou ik inderdaad mijn mobiele telefoon daar niet voor gebruiken. Just to be sure.
Je hoeft jouw gsm daarniet voor te gebruiken, Iedereeen is chanteerbaar. al gaat het over jouw zoekgeschiedenis of over een geheim wat een familielid heeft. zie biden met zijn zoon hunter
Dat hij daar zijn telefoon niet voor mag gebruiken omdat hij anders bespioneerd wordt, is te absurd voor woorden. Iedereen, dus ook dit slachtoffer, heeft het volste recht zijn apparatuur te gebruiken waar hij/zij dat nodig acht, zonder daarbij door welke partij met toegang tot Pegasus dan ook te worden bespioneerd.
Klopt. Maar er is een verschil tussen recht hebben op en het verkrijgen daarvan. Verstandige mensen weten dat de ideale wereld nog niet aangebroken is en dat er mensen met kwade bedoelingen zijn die zich nergens aan storen en verstandige mensen houden daar rekening mee. En nee, je kunt niet alle ellende voorkomen maar je smartphone niet gebruiken voor gevoelige zaken is een van de eerste dingen die je kan doen.
Iets te verbergen heb ik wel: mijn stemgedrag bijvoorbeeld. Moet ik dan maar niet op mijn mobiele telefoon de sites van politieke partijen bezoeken?

In heel veel gemeenschappen ligt seksuele oriëntatie gevoelig... Dan maar geen dating-apps?

Mijn financiële zaken, houd ik graag privé... Geen bankapps?
Inderdaad. Voor al deze zaken gebruik ik geen smartphone. Bankzaken doe ik op een normale pc met Linux en voor authenticatie gebruik ik een fysiek token van de bank.
Met linux sugeseer je nu dat je denkt dat linux veilig is.

Sinds de start van de registratie in 1999 zijn er meer dan 20.000 CVE's (Common Vulnerabilities and Exposures) aan de Linux-kernel toegekend
Dat staat nog los van designflaws, zoals dat elk programma met behulp van xinput alle keypress-events kon meekrijgen van eender welk programma of zelfs user.

Dat is nu normaal gezien wel verholpen met behulp van Wayland. Maar betreffende dit onderdeel zou ik zowel Android als iPhone als veiliger beschouwd hebben omdat daar al een isolatie tussen apps zit, hetgeen er vroeger bij een standaard Linux installatie met X11 niet was.
Dat staat nog los van designflaws, zoals dat elk programma met behulp van xinput alle keypress-events kon meekrijgen van eender welk programma of zelfs user.
Dat werkt alleen als je eerst malware installeert die daar misbruik van maakt.
In dat geval houdt alles op natuurlijk.
Maar als je geen malware installeert op je IPhone is er toch ook niks aan de hand? Ik heb het gevoel dat dit een cirkel redenering is 😅
De grap is net dat je daar in veel gevallen dus niets over te zeggen hebt, tenzij je elke regel code gaat nakijken bij iedere update en van ieder pakket dat je installeert.

3 weken geleden waren ze bij Arch Linux in de weer om 1500 packages getroffen door malware te herstellen: https://www.phoronix.com/news/Arch-Linux-AUR-More-Than-1500

In Februari 2024 is er ook een backdoor in XZ Utils (compressietools) geintroduceerd die remote execution via OpenSSL mogelijk maakte.

Een bug in sudo liet vorig jaar Privilige Escalation toe waardoor een gewone gebruiker code als root kon uitvoeren. Als je ergens een bug in je browser hebt, waardoor een pagina alsnog code buiten de sandbox, die de browser voorziet, kan uitvoeren (en ja, die bugs zijn er regelmatig), dan kan die pagina dus ook gewoon code installeren die vervolgens xinput aanroept als keylogger. En dat zonder dat de gebruiker zelf malware installeerde.

Beveiliging gaat over een pak meer dan "de gebruiker installeerde het", en dat geldt zowel in Windows, Mac OS, Linux, Android als iOS...
Pegasus wordt op telefoons geïnstalleerd via vulnerabilities, veelal 0-click (bijv. een bericht binnenkrijgen is genoeg) of 1-click (bijv. op een link of een plaatje klikken).

Je zou op de Linux desktop op dezelfde manier malware kunnen installeren en het zal voor bijv. voor de NSO Group vele malen eenvoudiger zijn dan dat te doen op een smartphone. De Linux desktop heeft vrijwel geen sandboxing (bijv. Flatpak doet sandboxing, maar de sandbox staat voor de meeste applicaties wagenwijd open, met uitzondering van moderne browsers). Dat staat in sterk contrast met iOS en Android, waar elke applicatie in een sterke sandbox draait (dus je moet zowel een applicatie als de sandbox exploiten). Een ander belangrijk verschil is dat de meeste Android applicaties in veilige talen zijn geschreven (Kotlin/Java) en veel iOS applicaties tegenwoordig in Swift. Iets als GNOME leunt nog op heel erg veel C code en daarbij toolkits die eigenlijk voor een andere tijd zijn gemaakt (GObject, Gtk+). Het is geen probleem voor een goed gefinancieerde groep daar een groot aantal nuttige kwetsbaarheden in te vinden.

En dan hebben we het nog niet eens over hardware. iPhone en sommige Android telefoons (Pixel met Titan M2, Samsung flagships met Knox Vault) slaan geheimen op in een aparte tamper-proof secure element. Daarnaast hebben moderne smartphones allerlei mitigaties die desktop CPUs niet hebben, zoals memory tagging (MTE/MIE), etc.
Dat klinkt behoorlijk naïef. Ja, Linux wordt in het algemeen als veiliger beschouwd en je hebt er meer controle over. Maar Linux, en je token van de bank, bieden eveneens geen sluitende garantie. Het is software en daar kunnen alsnog fouten inzitten die misbruikt kunnen worden.

Ik stel voor dat we naar papieren overschrijvingen overschakelen. Totdat de OCR de mist ingaat en een bankbediende ernaar moet kijken.

Of toch maar cash en in-person dan? ;-)
Cash graag en papieren overschrijvingen graag, mij boeit al het "gemak" niet, mijn gegevens wil ik kunnen beschermen tegen dit soort bedrijven of graaiers, die graag je gegevens doorverkopen.

Maar utopie natuurlijk, zoals die idioten de wereld vertrouwen, moeten wij maar voldoen aan hun "vertrouwen" ;) en moeten we het gemak maar als VERPLICHTING zien, zo jammer.
De vraag is of je met papieren overschrijving je gegevens wel beter beschermt?

Bij een elektronische overschrijving zijn het enkel jij, je banking app, en de server van de bank die betrokken zijn bij de transactie. Eventueel nog je OS. Slechts in een uitzonderlijk geval komt er een bankmedewerker bij aan te pas die uw gegevens inkijkt.

Bij een papieren overschrijving moest ik, een paar jaar geleden voor mijn opa, met het papier naar de bank. Dat papier vervolgens in een bus steken, of soms zelf aan een medewerker geven. In beide gevallen komt het document dus al in handen van een medewerker, want ook die bus wordt manueel leeggemaakt. Vervolgens gaat dat document door een OCR systeem dat de transactie in het systeem plaatst en laat uitvoeren. Althans in theorie, want de "OCR" liet plots serieus te wensen over waardoor van de een week op de ander alle documenten fout ingelezen werden (cijfers die wegvielen 8'en die 9's werden, etc...) waardoor ik eerder het vermoeden kreeg dat een persoon de biljetten overtypt, en het nu iemand was die het niet zo nauw nam.

Bijkomend moesten de uittreksels wekelijks (kon ook per maand, maar opa verkoos wekelijks) per brief opgestuurd worden, want afdrukken was in veel banken niet meer mogelijk. Naast dat je hier nog een fiks bedrag voor betaalt (+100€/jaar destijds) passeert al je bankinformatie dus nog eens door de systemen van de post en door de handen van de postbode. Deze laatste steekt het hopelijk in de juiste brievenbus, maar als die zich vergist komt het bij buren die het normaal gezien niet openen, maar ook dat is geen garantie gebleken (al was het maar omdat ze niet keken of het voor hun bestemd was)...

Uit mijn ervaring voegt papier dus gewoon een hoop extra partijen toe die uw data potentieel kunnen inzien.

Dus ik vraag me af wie juist de idioten zijn? Het is, eender welk systeem je gebruikt, altijd een kwestie van vertrouwen. Daar geraak je niet onder uit.
Als een groepering met dit soort geavanceerde spyware jou op de korrel wil nemen, dan kom je nergens met je 'normale PC met Linux' en die fysieke token. We hebben het niet over de gemiddelde scriptkiddie, maar over professionals.
Weet je wat het principe van "the weakest link" is? Actoren kiezen waar ze aanvallen, waardoor de rest van de security measures vaak niet meer van toepassing zijn.

Ik weet niet wat je veilig wil houden of waarom je zou denken dat je een target bent, maar wat voor maatregelen je als individu kan nemen wegen geenszins op tegen de offensieve middelen die state-actors hebben. Die zijn niet commercial of industrial grade, maar military grade en laten je letterlijk kansloos.
Iedereen heeft wel iets te verbergen, net zoals iedereen weleens een 'wit' leugentje vertelt. Daarom vind ik dat ook een wat naïeve uitspraak. Uiteindelijk maken we allemaal fouten, doen we weleens iets waar we later anders over denken, en zitten we allemaal wel vol met dingen die we liever niet met de buitenwereld delen. Dat hoeft helemaal niets illegaals te zijn toch? Soms is iets gewoon persoonlijk of intiem.

'Privacy is niet het recht om iets verkeerds te doen. Privacy is het recht om zelf te bepalen wie wat van je weet.' - Beetje richting de Snowden-hoek.

[Reactie gewijzigd door SkyStreaker op 4 juli 2026 14:26]

Je reactie is te makkelijk. Er is namelijk altijd een risico op lekken. Dus ook bij andere communicatie en verwerkingsmiddelen. Als je alleen maar klaagt dat een slachtoffer maar onverstandig is omdat deze een smartphone gebruikt leg je geen duidelijke grens wat dan wel acceptabel zou zijn. Als de europarlementariër een pc of laptop had gebruikt viel daar ook over te klagen. En als deze een vaste telefoon had gebruikt ook. Of bij brieven of met elkaar praten.

Het hele punt is daarbij dat als je toch slachtoffer kan worden het niet zomaar aan het slachtoffer ligt. Wat verwacht je dan, dat die maar geen werk doet omdat jij het niet eens bent met de beschikbare middelen?
Maar voor mensen is apparatuur nou eenmaal een stuk gereedschap van het werk.

Of het nu een telefoon is of een laptop, beiden kunnen gehackt worden. Je zou zelfs kunnen zeggen dat dat bij smartphones moeilijker is vanwege de hardere security beginselen (bijvoorbeeld geen root toegang, volledige secure boot enz).

Voor zo iemand zal het verrekte lastig zijn om hun werk zonder digitale apparatuur te doen.

Zo iemand als hij zal ongetwijfeld al werk en prive niet op hetzelfde apparaat gemixt hebben. Maar tegen zero-days als waar NSO groep in handelt, doe je niet zoveel.

[Reactie gewijzigd door Llopigat op 4 juli 2026 12:43]

Of het nu een telefoon is of een laptop, beiden kunnen gehackt worden. Je zou zelfs kunnen zeggen dat dat bij smartphones moeilijker is vanwege de hardere security beginselen (bijvoorbeeld geen root toegang, volledige secure boot enz).
Maar smartphones met malware voorgeïnstalleerd komt vaker voor dan bij pc's.
En dan zijn er nog de talloze smartphones die geen security updates meer krijgen maar wel gebruikt blijven worden.
PC's komen vrijwel altijd malware voorgeïnstalleerd. En er zijn vele nog Windows 10 machines zonder updates en op die machines staat nog veel software die ook nooit updates krijgen. En slechte browser extensies. En wat al niet.

Ik hoor eigenlijk heel weinig over hacks op oude telefoons.
Dan weet je niet hoe Pegasus werkt, komt er gewoon op, ondanks al je beveiligingen, dat is het sneaky gedrag van deze software. Pas als de IT afdeling, deze mobiel checkt, kan men (denk ik) er achter komen.


edit; https://www.agconnect.nl/business/security/zo-check-je-of-je-gehackt-bent-met-pegasus

https://www.appletips.nl/pegasus-spyware-iphone/

[Reactie gewijzigd door GameNympho op 4 juli 2026 15:35]

Ja dat zei ik dus, tegen die zero days doe je niet veel.

Maar hij had inderdaad wel zijn telefoon moeten updaten. Was het anders niet gebeurd, dat is maar de vraag want NSO group heeft zoveel exploits. Ze gebruiken natuurlijk altijd de oudste exploit die ze kunnen omdat elke keer als je een nieuwe zero-day gebruikt, er een kans is dat die bekend wordt en gepatched gaat worden.
Maar tegen zero-days als waar NSO groep in handelt, doe je niet zoveel.
Als er nog geen fix beschikbaar is, dan doe je daar weinig tegen inderdaad.

Alleen word er in het artikel juist aangegeven dat die fix er al wel was. In februari fix beschikbaar en in maart wordt ie gehacked.

Maar daar schijnt iedereen overheen te lezen?
Goed punt, dat was wel een hele dikke opsec faal van iemand die beter had moeten weten.
Wanneer je, om wat voor reden dan ook, iets te verbergen hebt, gebruik dan geen smartphone om gevoelige zaken te communiceren.
Hoe zit het met verplichte iPhone door de werkgever?
Wanneer je ergens iets wilt doen wat je geheim wilt houden, laat je smartphone dan thuis.
Een werktelefoon thuis laten liggen is geen goede idee.
Ja precies en het was bovendien iemand met Europees-wijde verantwoordelijkheid. Het is niet echt te verwachten dat die voor elk wissewasje het vliegtuig in springt om dat onder vier ogen te bespreken. Digitale communicatie hoort daar gewoon bij.
Sorry hoor, maar ik begrijp niet waar het verstand zit bij sommige mensen.
Wanneer je, om wat voor reden dan ook, iets te verbergen hebt, gebruik dan geen smartphone om gevoelige zaken te communiceren.
Je twijfelt aan het verstand van anderen, maar bedenkt zelf dat Kouloglou gevoelige zaken op zijn gecompromitteerde smartphone had. Ik heb dat nergens kunnen vinden. Kouloglou is een bijzonder slimme meneer die werkelijk wat meer van dit soort zaken weet dan jij. Hij staat bekend om zijn extreme voorzichtigheid in zijn communicatie, omdat hij weet dat hij een doelwit is.

Ik zou dus even naar jezelf kijken voordat je anderen beschuldigt van het zoekmaken van hun verstand.
Een bijzonder slimme en voorzichtige meneer, die (in ieder geval) een half jaar lang steeds dezelfde verouderde IOS 15.5 versie op zijn smartphone had terwijl 16 al lang uit was?
Iedereen heeft wat te verbergen
Mensen hebben gewoon een telefoon nodig om zaken te kunnen doen en afspraken te kunnen maken. Tegenwoordig kan je ook niet meer zonder telefoon om in je accounts te kunnen wegens de twee factor authenticatie. Een journalist of politicus moet zijn werk gewoon kunnen doen en daarvoor is een telefoon dus noodzakelijk. Het gaat dan niet eens over zaken die geheim moeten blijven, maar ook niet voor het grote publiek zijn bedoeld. In de politiek gaat het vaak om afspraken en berichten die verplicht (door de overheid) bewaard moeten blijven. Een telefoon doet dat automatisch.

Als je echt iets geheim wilt houden, dan laat je je telefoon inderdaad thuis.

Zelf kom ik nog wel eens in China. Daar weet je zeker dat je 24/7 gevolgd wordt. Mijn eigen telefoon gaat daar uit en in een kluisje. Verder gebruik ik daar een goedkope telefoon. Ik doe dat niet omdat ik dingen doe die verborgen moeten blijven, maar omdat de Chinezen niets met mijn privé of zakelijk leven buiten China te maken hebben.
Tegenwoordig kan je ook niet meer zonder telefoon om in je accounts te kunnen wegens de twee factor authenticatie.
Dat gaat prima met een dumbphone.
Totdat je een code per e-mail krijgt of die met een authentificatie-app moet genereren.
Wat had hij dan te verbergen? In alle eerlijkheid is het niet moeilijk te raden wat er zoals stond in zijn rapporten. De meeste vertrouwelijke Europese stukken zijn een aaneenrijging van voor de hand liggende overwegingen en conclusies.
Dat is hetzelfde.dat je geen fiets ergen in het openbaar op.slot.mag.zetten mag zetten omdat deze anders gestolen kan worden,.of dat je geen voor en achterdeur in je huis mag hebben omdat iemand met een klopsleutel binnen.kan komen.

Her hacken van een telefoon is gewoon een ernstig.misdrijf en valt nooit.goed te keuren. Het feit is wel dat zo'n persoon veel.risico.loopt, maar wat zijn de alternatieven? Papier is net zo min veilig en snailmail nog minder.
Privacy is iets anders dan iets of niet te verbergen hebben.
Gemak dient de mens en omdat er actief naartoe wordt gewerkt om (verplicht) altijd een zogenaamde smart phone bij je te hebben zul je dan van 2 mobiele telefoons gebruik moeten maken...waaronder dus een 'domme' zolang dit dan nog mag
Alsof een smartphone of een computer het enige is om af te luisteren. Zie hier een mooi kunstwerk, een cadeau en het werkt niet eens op een spanning. Wikipedia: The Thing (listening device)
Vanwege dit soort artikelen denk ik dat twee-factor authenticatie met een hardware token toch nog wel zijn voordelen heeft.

(Ik ga er thans van uit dat dit soort spyware de telefoon twee-factor kan onderscheppen)
Bij infectie maakt het allemaal niks uit als die je 5 factor auth.

Je krijt uiteindelijk een token van de token ujtgaver en dat token onderschept men gewoon.
Ja maar Israël is dicht betrokken bij soc ontwikkeling en productie en bij de ontwikkeling van verificatie software. Die krijgt uiteraard soft en hardware backdoors.
Gebruik een Nokia 301....
Ja, want 2G en 3G zijn perfect veilig? Not really...
Dat klopt, natuurlijk, niets is veilig, maar wat er niet op kan, kan er ook niet vanaf worden gehaald/bekeken worden.
jee, maar je kunt dan wel zeggen dat je maar 20 smsjes op kunt slaan en dan de rest verwijderen.
Succes met dagelijkse mobiele activiteiten zoals internetbankieren, contactloos betalen, whatsappen, mailen, video kijken, draadloos muziek streamen op je 3100 :Y)
We hadden laatst iets met de verkoop van een woning, en alles moest via (move.nl) en alle id checks digitaal en via de 'smart'foon.

Ik ben absoluut niet tegen digitale mogelijkheden of de zogenaamde digitale vooruitgang, ik ben wel tegen het geen keuze meer hebben - en gedwongen worden tot. Het zou ook goed zijn dat er vooral voor ouderen en minder digitaal vaardigen (en dat zijn ook veel jongeren omdat ze alles begrijpend digitaal moeten kunnen lezen ipv dat iemand het - naar gelang vraagstelling - precies verbaal uitlegt) er een verplichte waarschuwing of melding komt dat je digitaal vaardig moet zijn om een diensten al dan niet te kunnen of willen gebruiken.
Ik ben absoluut niet tegen digitale mogelijkheden of de zogenaamde digitale vooruitgang, ik ben wel tegen het geen keuze meer hebben - en gedwongen worden tot.

Dit dus en ben het er helemaal mee eens, keuze hoort er ten alle tijde te zijn.

Ook ik gebruik nog een Nokia (950) met W10 mobile (niet meer ondersteund), maar heerlijke rust, geen app gezeik en mijn mobieltje is wat het is, een mobieltje voor bellen en sms`en, soms iets opzoeken (gemak), maar voor de rest gebruik alle functies van de mobieltjes niet, waarom zou ik dan upgraden zolang deze het nog doet?

Ik doe er al die zaken, wat een ander op zijn mobieltje wel doet, niet en ook gaat ook nooit gebeuren. Maar mij verplichten omdat ik geen geschikte mobiel heb? Try me ;)
Ik denk dat ik hier twee jaar geleden werd uitgelachen; er werd tegen me gezegd dat ik dan maar onder een steen zou moeten leven.

Maar ik herhaal wat ik toen zei: er moet een Europese grondwet komen die het recht op een offline leven waarborgt. Juist omdat de digitale wereld zo handig is en ik zelf ook veel digitaal doe, moet er altijd een keuze blijven, of dat nu voor specifieke doeleinden is of uit een persoonlijke voorkeur. De voordelen van digitaal zijn groot, maar het moet een bewuste keuze blijven. Een recht; wellicht nog niet direct voor vandaag, maar wel voor over 5, 10, 20 of 50 jaar.
Als Israel echt wilt weten ze je vast wel op een andere manier te bespioneren. In zekere zin veiliger als ze dat via je telefoon kunnen doen.

[Reactie gewijzigd door Raphaelo op 4 juli 2026 15:18]

Het is ergens wel amateuristisch dat zelfs iemand die onderzoek doet naar deze spyware zelf zijn telefoon niet eens geüpdate heeft en daardoor 2 x gehackt wordt. Dat doet me wel een beetje afvragen hoe kundig de beste man is.
Ja, het valt mij ook op dat hij zijn telefoon niet bijwerkte. Hij zat nog op iOS 15 terwijl 16 al beschikbaar was. Het is wel zo dat uit de het artikel de reden hiervoor niet genoemd wordt waardoor het wat lastiger wordt om er een oordeel over te geven.

Zou ook wel willen weten of de exploits voorkomen hadden kunnen worden met lockdown mode in iOS 16. De recente exploits voor iOS werkten namelijk niet wanneer lockdown mode was ingeschakeld.
Daarnaast raadt de organisatie EU-functionarissen aan hun telefoons vaker te laten screenen.

Weer zoiets zwaks: u zou uw telefoon moeten laten screenen, maar als u daar geen zin in hebt en uw geheime info gewoon de straat op wilt laten stromen, mag u dat gewoon doen.

Waarom niet gewoon verplichten?
Mijn APK is toch ook geen aanbeveling, maar een verplichting met stevige boete?
Ik lees: "Het gaat uiteraard om een klant van het Israëlische spywarebedrijf NSO Group".

Hoezo 'uiteraard'? Het zou net zo waarschijnlijk de NSO group zelf kunnen zijn geweest, want die hebben immers ook voldoende redenen gehad om die meneer zijn telefoon te hacken.
Dat was ook mijn eerste gedachte. Maar dan is het wel gek dat hetzelfde email adres gebruikt is om ook (bela)russische journalisten te hacken.
Of het hacken van die belarussische journalisten is een smokescreen/diversie... Vaak is niets wat het lijkt. De hamvraag is meestal: wie had het meeste belang erbij en dan kom je toch al snel uit op de NSO group...
Dus een Europarlementariër die spywaremisbruik onderzocht gebruikte zelf een iPhone met een IOS versie die gekend vatbaar was voor exploits.

Makes perfect sense uiteraard 🙄🙄
Ik lees net dat Pegasus werkt met zero click exploits. dus dan maakt het niet veel uit of je vatbaar bent voor exploits.
jawel. Zero click zegt alleen iets over de manier, er moeten nog steeds wel bepaalde exploits aanwezig zijn om die te kunnen laten werken. Met 16.3.1 waren de exploits van 6 en 7 maart niet gelukt.
Ten tijde van zijn eerste hack (die van 21 oktober 2022) was versie 16.3.1 (die het lek dicht) nog niet eens uitgebracht, die kwam immers pas 5 maanden later uit, op 13 februari 2023. Hoe had hij dan al die patch moeten hebben?

De tweede en derde hack (die van 6 en 7 maart 2023) kwam net 3 weken na de release van 16.3.1 (die op 13 februari 2023 uitkwam), dat is ook maar heel kort dus. Zat mensen die hun systeem veel later (of helemaal niet...) patchen na de release van een nieuwe versie.
hij zat op 15.5 als ik het goed begrepen heb.

ik heb net even geteld, maar dan loop je op 15.x alleen al 21 versies achter.

Dat je niet op 16.3.1 zit, sure. maar je loopt op dat moment ook niet iets van 2 of 3 versies achter (16.2 of 16.1.2, zelfs 16.1 had ik nog begrepen), nee 30! 15.5 is van May 16, 2022
edit:
ja staat zelfs ook hier in het artikel
Volgens de organisatie draaide het apparaat van Kouloglou ten tijde van de exploits steeds iOS 15.5.

[Reactie gewijzigd door supersnathan94 op 4 juli 2026 14:11]

De NSO groep. Waar zoveel "foei" over wordt geroepen en velen toch ook graag klant van willen zijn. Dus dit gaat waarschijnlijk weer "geschokte" reacties geven.

Zo langzamerhand zou het toch duidelijk moeten zijn dat je als potentieel doelwit gewoon geen smartphone meer moet gebruiken, maar bijvoorbeeld een Rutte-phone. Die glibberaar wist precies wat de zwakke plek was van smartphones bij politiek gevoelige zaken. Als je internet gerelateerde werk op een PC of macbook die goed gecontroleerd wordt om de zoveel tijd.

(Staats)hackers van bepaalde landen hebben grote budgetten en tijd. Ze voelen zich onaantastbaar. Die vinden het gaatje. Gebruikers zijn een keer moe, willen nog gauw even iets doen en dan zijn ze (weer) besmet.
Inmiddels zou duidelijk moeten zijn dat de NSO groep en de Israëlische overheid die hen helpt terrorisme plegen.

Voordat mensen naar hun parels grijpen: de software van de NSO groep wordt op grote schaal gebruikt door drugskartels en door autocratische regimes die rechtstreeks Europese staten aanvallen.

Als we het hebben over conventionele wapens zou eender welk bedrijf dat wapens levert aan een organisatie of natie die ons aanvalt meteen op de sanctie lijst geplaatst worden, en de overheid die hen helpt erbij. Beeld je in dat Lockheed Martin met goedkeuring van de VS raketten levert aan Rusland en Rusland daarmee Zweden aanvalt: ondenkbaar dat dat bedrijf geen sancties krijgt en dat de diplomatieke betrekkingen met de VS dat zouden overleven. Of als blijkt dat IS hele partijen JSFs verkregen heeft: er zou ook zijn minst een jaar of drie aan hoorzittingen volgens om uit te zoeken hoe dit kon gebeuren, en als blijkt dat lockhead daadwerkelijk handel dreef met IS gingen er hele lagen management de bak in.

Maar voor digitale wapens liggen we gewoon te slapen: de NSO groep voorziet de wlagelijkste regimes en drugsbaronnen van digitale massavernietigingswapens, en er komt geen enkele reactie. Bizar.
Het zijn de "vrekken en racisten", die deze software gebruiken, ze zijn zo bang dat ze een ieder in de gaten willen houden.

Welkom in de Internetoorlog :F
Ik verwacht niet dat Israël hierachter zit; Europa is super coöperatief en laat hen zonder enige sanctie volledig hun gang gaan met hetgeen waarvoor het Internationale Strafhof arrestatiebevelen uitgegeven heeft.

Dus dan blijven alleen de Russen en Chinezen over verwacht ik
Of de NSO groep zelf. Strenger toezicht op hun sector is in hun nadeel.

Om te kunnen reageren moet je ingelogd zijn