Door zijn toedoen zijn volgens het Openbaar Ministerie Oost-Nederland persoonsgegevens van een paar honderdduizend mensen op straat beland. Een 28-jarige hacker wist, door eind juli 2022 in te breken in een systeem, de hand te leggen op de broncode en binnen te dringen in een database. Daarop stonden niet alleen gegevens over de evenementen van de bedrijven The Support Group en ID&T (organisatoren van onder meer grote dancefestivals), maar ook persoonsgegevens van alle personen met een account, gegevens van artiesten en crewleden van festivals. De strafeis van het OM tegen een 28-jarige verdachte uit Amsterdam: een gevangenisstraf van 20 maanden, waarvan 5 voorwaardelijk.
“Hier was absoluut geen sprake van een kwajongensstreek”, zo stelt de officier van justitie vandaag voor de rechtbank in Almelo tijdens de motivering van de strafeis. “Aan deze hack ging een maandenlange voorbereiding vooraf. Het was goed opgebouwd, met een enorme digitale buit als opbrengst. Het gedrag van verdachte is te vergelijken met een uitgebreide woninginbraak over meerdere dagen: eerst voelen aan alle ramen en deuren, dan eentje open krijgen, dan doorgaan naar raam twee en telkens de geopende ramen en deuren open houden met een klemmetje, zodat je volgende keer makkelijk binnenkomt.”
Volgens het OM wist de hacker, hij is werkzaam als zelfstandig ICT’er, binnen te dringen in het systeem waarop alles draaide. Dat deed hij onder meer door het gebruikersaccount van een leidinggevende van ID&T –een administrator met de meest verregaande gebruikersrechten- te kraken. Zo kon hij de broncode naar zich toe trekken, de database beheren en kon hij beschikken over een enorme hoeveelheid gegevens. Het OM: “De handelingen van verdachte hebben geleid tot zeer forse inbreuken, tot datadiefstal en vernieling en/of wijziging van data. Zo heeft hij ook de broncode en database veroverd, of beter gezegd: gestolen.”
Eenmaal binnen kon hij uitgebreid zijn gang gaan, door in alle vrijheid bestanden te uploaden of te downloaden, of ter plaatste aan te passen of te wijzigen. Zo wist hij zichzelf backstage toegang te geven tot het Awakenings-festival en kon hij parkeerplekken aanvragen, maar dus ook gegevens van gebruikers van het systeem (lees: festivalgangers) bekijken, downloaden of aanpassen.
De evenementenbedrijven hadden voor dat systeem –Evi genaamd- een samenwerking met softwarebedrijf NextSelect uit Enschede. Dat bedrijf beheerde de servers waarop alle data stond. Er is jarenlang aan de opbouw en inrichting ervan gewerkt en naar schatting heeft dat tonnen gekost. Alle drie de ondernemingen waren nauw betrokken bij de ontwikkeling van het systeem. NextSelect deed uiteindelijk aangifte van de computervredebreuk. Na de hack zijn alle gebruikers gewaarschuwd door de bedrijven. Evi zelf liep een grote imagoschade op.
Het OM rekent verdachte zwaar aan dat hij niet aan de bel heeft getrokken bij de bedrijven om te wijzen op de kwetsbaarheden in hun systeem, zodat de schade bepekt was gebleven. “In plaats daarvan wilde hij in alle rust zijn buit bestuderen, zonder dat hij gedetecteerd zou kunnen worden. Dit gaat veel verder dan wat sjoemelen uit nieuwsgierigheid; het was een nare, zeer ingrijpende langdurige hackaanval met verlies van data, van persoonsgegevens en intellectuele eigendom.”