Ze vragen celstraf voor de hacker die in de zomer van 2022 de NextSelect-server in Enschede binnendrong

Broncode

Door eind juli 2022 in te breken in een systeem wist een 28-jarige hacker de broncode te bemachtigen en een database binnen te dringen. Hierin zaten niet alleen gegevens over de evenementen van de bedrijven The Support Group en ID&T (aanbieder van grote dancefestivals), maar ook persoonsgegevens van alle mensen met een account, gegevens van artiesten en leden van het festivalteam. De door het Openbaar Ministerie gevorderde straf tegen een 28-jarige verdachte uit Amsterdam: een gevangenisstraf van 20 maanden, waarvan 5 voorwaardelijk.

OM: ‘Geen bad boy-grappen’

“Van jeugdig wangedrag is hier geen sprake”, stelde de officier van justitie vandaag in de rechtbank Almelo bij de strafmotivatie. “Aan deze stunt gingen maanden van voorbereiding vooraf. Het was goed gebouwd, met een enorme digitale swag als product. Het gedrag van de verdachte is te vergelijken met een grote inbraak in een woning die meerdere dagen duurt: eerst aan alle ramen en deuren voelen, dan eentje opendoen, dan door naar raam twee en met een paperclip de ramen en deuren openhouden, zodat De volgende keer komt het er gemakkelijk in.”

Kraken

Volgens het Openbaar Ministerie is het de hacker, die als freelance computerwetenschapper werkt, gelukt om binnen te dringen in het systeem waarin alles werkte. Dat deed hij onder meer door het gebruikersaccount van een ID&T-bestuurder, een beheerder met de breedste gebruikersrechten, te hacken. Op deze manier kunt u de controle over de broncode overnemen, de database beheren en toegang krijgen tot een enorme hoeveelheid gegevens. Het Openbaar Ministerie: “Het handelen van de verdachte heeft aanleiding gegeven tot zeer ernstige overtredingen, diefstal van gegevens en vernietiging en/of wijziging van gegevens. Zo heeft hij ook de broncode en de database buitgemaakt, of beter gezegd: gestolen.”

Bestanden uploaden en downloaden

Eenmaal binnen kunt u uw eigen ding doen: bestanden vrijelijk uploaden of downloaden, of ze ter plekke aanpassen of wijzigen. Zo wist hij toegang te krijgen tot de backstage van het Awakenings festival en kon hij parkeerplaatsen aanvragen, maar ook de gegevens van de gebruikers van het systeem (lees: gasten, artiesten en crew) inzien, downloaden of aanpassen.

Meld computerinvasie

Voor dit systeem, genaamd Evi, werkten de bedrijven op het evenement samen met het softwarebedrijf NextSelect uit Enschede. Dat bedrijf beheerde de servers waarop alle gegevens stonden opgeslagen. Het kostte jaren van werk om te bouwen en uit te rusten en heeft naar schatting honderdduizenden euro’s gekost. Alle drie de bedrijven waren nauw betrokken bij de ontwikkeling van het systeem. NextSelect heeft eindelijk de computerinvasie gemeld. Na de hack waarschuwden de bedrijven alle gebruikers. Evi heeft zelf aanzienlijke imagoschade opgelopen.

‘Hij sloeg geen alarm’

Het Openbaar Ministerie verwijt de verdachte ten stelligste dat hij niet aan de bel heeft getrokken bij de bedrijven om hen te wijzen op de kwetsbaarheden van hun systemen, zodat de schade beperkt zou zijn gebleven. “In plaats daarvan wilde hij zijn buit in alle rust en onopgemerkt bestuderen. Dit gaat veel verder dan simpelweg spelen uit nieuwsgierigheid; “Het was een vervelende, zeer drastische en langdurige hackaanval met verlies van data, persoonsgegevens en intellectueel eigendom.”