Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft aan Fox-IT gevraagd om de interne systemen van het instituut te onderwerpen aan een forensisch onderzoek. Aanleiding voor het onderzoek is de arrestatie van een man die als vrijwilliger bij het instituut werkt en mogelijk betrokken is bij een grootschalige datadiefstal. “De slachtoffers, onze vrijwilligers en onze partners verdienen duidelijkheid.”
Dat zegt Chris van ’t Hof, directeur van het DIVD, in een persverklaring (1).
In februari van dit jaar maakte de politie bekend dat ze drie verdachten had gearresteerd (2) op verdenking van computervredebreuk, illegale datadiefstal en -handel, afpersing en witwassen. In de afgelopen jaren wisten zij de hand te leggen op privégegevens van tientallen miljoenen mensen wereldwijd. Daarmee gaat het om de grootste datadiefstal in de Nederlandse geschiedenis.
De daders dreigden de gestolen gegevens openbaar te maken, of de digitale infrastructuur van een bedrijf of organisatie te vernietigen, als de slachtoffers weigerden losgeld te betalen. Zelfs als de gedupeerden het gevraagde losgeld betaalden, werden hun gegevens vaak alsnog op het internet gezet.
Gemiddeld vroegen de aanvallers 100.000 euro per slachtoffer. In sommige gevallen liepen de losgeldbedragen op tot boven de 700.000 euro. De hoofdverdachte is een 21-jarige man uit Zandvoort. Hij zou met zijn oplichtingspraktijken ongeveer 2,5 miljoen euro hebben verdiend. Het totale schadebedrag ligt een stuk hoger.
Al snel werd bekend dat een van de verdachten als vrijwilliger bij het DIVD werkte (3). Dat is een instantie die wordt gevormd door ethische hackers (4) die het internet afstruinen naar kwetsbaarheden. Dan moet je denken aan servers die verkeerd zijn afgesteld, of bedrijfsnetwerken die op verouderde en onveilige software draaien.
Een woordvoerder zei “geschokt” te zijn door deze bevinding. De instantie nam direct maatregelen. De persoon werd geblokkeerd en had dus niet langer toegang tot de systemen van het DIVD. Daarnaast startte het instituut een intern onderzoek om te kijken of andere vrijwilligers misbruik maakten van de kennis en middelen van het DIVD.
Daar laat het DIVD het niet bij. De instantie heeft het Nederlandse cybersecuritybedrijf Fox-IT gevraagd om forensisch onderzoek te doen in de systemen van het instituut.
Hoewel er geen aanwijzingen zijn dat de verdachte tools of data van het DIVD heeft misbruikt, wil het DIVD er honderd procent zeker van zijn dat dit niet het geval is. “We willen zeker weten dat geen van onze data is gebruikt voor cybercriminele doeleinden. De slachtoffers, onze vrijwilligers en onze partners verdienen duidelijkheid”, aldus DIVD-directeur Chris van ’t Hof.
De topman benadrukt dat het politieonderzoek naar de wereldwijde datadiefstal zich niet richt op het DIVD. Hij zegt dat er geen gegevens van het instituut zijn gevorderd door de politie. Van ’t Hof belooft om de bevindingen van Fox-IT openbaar te maken zodra het onderzoek is afgerond. Het cybersecuritybedrijf neemt de kosten voor het onderzoek voor eigen rekening.
https://www.divd.nl/2023/04/20/extern-onderzoek-naar-mogelijk-misbruik-middelen-divd/
https://www.vpngids.nl/nieuws/politie-arresteert-drie-verdachten-wegens-datadiefstal/
https://www.vpngids.nl/nieuws/verdachte-datadiefstal-werkte-bij-het-divd/
https://www.vpngids.nl/veilig-internet/cybercrime/wat-is-een-hacker/
