'White hat hacker' eist tienduizenden euro's voor dichten beveiligingslek

‘White hat hacker’ eist tienduizenden euro’s voor dichten beveiligingslek

Laatst bijgewerkt: 2 juni 2020
Leestijd: 3 minuten, 26 seconden

Een 29-jarige man uit Tiel houdt er een opmerkelijk verdienmodel op na. Hij hackt het computernetwerk van een bedrijf, benadert het bedrijf in kwestie om het lek te melden en eist vervolgens tienduizenden euro’s om het lek te dichten. Als het bedrijf weigert te betalen, dan dreigt hij met ‘reputatieschade’.  Niet voor niets eist de officier van justitie twee maanden cel voor de zogeheten ‘white hat hacker’.

Dat schrijft het Openbaar Ministerie op haar website.

White hat hacker

Als we het over hackers hebben, dan zijn er drie verschillende smaken. Allereerst is er de black hat hacker. Dit zijn beveiligingsspecialisten die bewust de beveiliging van een computer, een netwerk of server omzeilen om er zelf financieel beter van te worden. Ze proberen data te bemachtigen of vernietigen, computers over te nemen, malafide software zoals ransomware te installeren, inlognamen en wachtwoorden van gebruikers te achterhalen, en ga zo maar door. Ze hebben in ieder geval kwaadaardige bedoelingen als ze computers, bedrijfsnetwerken of servers hacken. Dit zijn de soort hackers waar de media regelmatig over praten en schrijven.

Hackers die met de beste bedoelingen een beveiligingslek blootleggen, worden ook wel white hat hackers of ethische hackers genoemd. Ze breken bewust in op een computer of netwerk om te kijken of de beveiliging op orde is. Als blijkt dat het niet helemaal goed in elkaar steekt, dan meldt de white hat hacker dit aan de persoon die hiervoor verantwoordelijk is. Hij eist geen geld voor zijn inspanning en dreigt ook niet om het gevonden lek te misbruiken. Zijn enige doel is om zwakheden in de IT-infrastructuur op te sporen om de beveiliging te verbeteren.

Tot slot is er een categorie die hier tussenin valt. Deze hackers worden ook wel grey hat hackers genoemd. Ze kraken de beveiliging van een computernetwerk uit nieuwsgierigheid. In tegenstelling tot black hat hackers misbruiken ze het beveiligingslek niet. Tegelijkertijd willen ze vaak geld zien omdat ze vinden dat ze het bewuste bedrijf een dienst hebben bewezen. Dat bedrijven dit niet altijd waarderen, hebben we meer dan eens gezien in het verleden. Het is regelmatig voorgekomen dat bedrijven een schadeclaim indienen tegen deze ‘goedbedoelde’ hacker.

Reputatieschade

De 29-jarige man uit Tiel in dit verhaal omschrijft zichzelf als een ethische hacker, maar daar heeft het Openbaar Ministerie (OM) zijn twijfels over. In augustus 2017 belt hij de directeur van een Haagse huisartsenpost met de mededeling dat zijn website ‘lek’ was. Hierdoor was de hacker in staat om de persoonlijke gegevens van zijn medewerkers op te vragen, waaronder e-mailadressen, gebruikersnamen, wachtwoorden en bankrekeningnummers.

Even daarop ontvangt de directeur van de huisartsenpost een offerte van de Tielenaar. Hij is bereid om het lek te verhelpen, maar rekent hiervoor een bedrag tussen de 16.500 euro en 23.000 euro. Tegelijkertijd chanteert de hacker de directeur: “Er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal een flinke reputatieschade plaatsvinden.”

De directeur is vanzelfsprekend niet te spreken over deze vorm van ‘acquisitie’ en doet aangifte bij de politie. Tijdens het onderzoek komen de rechercheurs uit bij de Tielenaar. Ze zijn ervan overtuigd dat ze de juiste verdachte te pakken hebben. Op zijn laptop is gelekte informatie terug te vinden en ook het IP-adres dat hij tijdens de hack gebruikte is te herleiden naar zijn laptop. Hij gebruikte zijn eigen smartphone om screenshots van de hackmethode vast te leggen. Met de mobiele telefoon van zijn vriendin belde hij de praktijk.

Twee maanden cel

De Tielenaar noemt zichzelf een white hat hacker. De officier van justitie deelt zijn lezing van het verhaal niet. White hat hacking kan alleen onder strikte voorwaarden plaatsvinden. Zo had hij van tevoren moeten melden dat hij onderzoek deed naar eventuele beveiligingslekken bij de huisartsenpost. Dat heeft de verdachte nagelaten. Daarnaast heeft de man zonder toestemming gevoelige informatie van medewerkers gedownload en eiste hij geld om het lek te verhelpen. Dat is geen gedrag dat past bij een zogenaamde ethische hacker. De officier van justitie meent dat de hacker te ver is gegaan. Hij eist dat de man twee maanden de cel in moet, waarvan één maand voorwaardelijk.

Het arrondissementsparket van Den Haag doet volgende week uitspraak.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen