De 21-jarige man uit Zandvoort werd in januari tegelijk met twee medeverdachten opgepakt. Ze worden verdacht van het hacken van bedrijven, chanteren van eigenaren en de handel in gestolen gegevens.

Meerdere kleine en grote Nederlandse bedrijven zijn de afgelopen jaren slachtoffer geworden van deze grootschalige datadiefstal en -handel, blijkt uit onderzoek van RTL Nieuws. Vandaag moet hoofdverdachte Van der S. zich in de rechtbank verantwoorden.

Op 24 maart 2021 biedt een gebruiker van hackersforum RaidForums een database met gestolen informatie uit de autobranche aan. Namen, adressen, kentekens en andere persoonlijke gegevens van miljoenen Nederlanders zijn in bezit van iemand die zich Rekt noemt, en RaidForums is de plek om die te verkopen.

Vijf dagen later doet RDC, het bedrijf waar de gegevens zijn gestolen, aangifte bij de politie. Het is de start van een maandenlang onderzoek dat in januari 2023 tot drie aanhoudingen leidt. Rekt is de hoofdverdachte in deze zaak: de 21-jarige Pepijn van der S. uit Zandvoort.

Twee gezichten

Tot zijn aanhouding is Van der S. iemand met twee gezichten. In 2022 krijgt hij een baan bij cybersecuritybedrijf Hadrian en wordt hij vrijwilliger bij het Dutch Institute for Vulnerability Disclosure (DIVD). Op deze plekken kan hij zijn talent inzetten om bedrijven en organisaties digitaal te beschermen tegen kwaadwillenden.

Hackers met goede bedoelingen worden white hat genoemd, ook wel ethische hackers. Wat de collega's van Van der S. niet weten, is dat hij ook al jaren opereert als black hat: een hacker met kwade intenties. "White hat by day, black hat by night", zo omschrijft het Openbaar Ministerie (OM) dit gedrag.

Twaalf Nederlandse aangiftes

RDC is niet het enige Nederlandse bedrijf dat slachtoffer is in deze zaak. Het OM verdenkt Van der S. van het hacken, chanteren en handelen in gegevens van veel meer Nederlandse bedrijven.

Twaalf daarvan hebben aangifte gedaan, maar tijdens het onderzoek wordt duidelijk dat het aantal slachtoffers groter is. Het OM wil de namen van deze bedrijven niet noemen, maar RTL Nieuws wist een deel van de slachtoffers te achterhalen.

Een daarvan is Senior Publications, de uitgever van seniorenblad Plus Magazine en de website PlusOnline. In februari 2021 komt het bedrijf erachter dat er digitaal is ingebroken, laat de uitgever aan RTL Nieuws weten. De buit: ruim 130.000 e-mailadressen. Een hacker neemt via WhatsApp contact op en dreigt de gestolen gegevens te verspreiden, tenzij de uitgever 15.000 dollar (ongeveer 14.200 euro) betaalt.

Ook Ticketcounter-directeur Sjoerd Bakker krijgt rond die tijd een appje. Van der S. probeert hem te overtuigen om 7 bitcoins over te maken, ter waarde van een paar ton. Als hij dat niet doet, zouden alle gegevens openbaar worden gemaakt. Lees hier het hele verhaal over de chantage en intimidatie.

Na een paar dagen komt op maandag 1 maart in het nieuws dat er gegevens van Ticketcounter zijn gestolen. Er valt dan niets meer te halen: de chantage is mislukt.

Rekt is op dat moment al actief op RaidForums, maar onder een andere naam: Lizardon.

Op die maandag publiceert Lizardon, vermoedelijk uit wraak, de Ticketcounter-gegevens op het forum, blijkt destijds uit onderzoek van KPN Security, dat het bedrijf kort daarvoor waarschuwde en in die periode hielp. Het is een goudmijn voor criminelen die ermee aan de haal willen.

Tijdlijn RaidForums

Volgens het Openbaar Ministerie maakte Pepijn van der S. vooral in 2021 slachtoffers. Dit gebeurde er dat jaar onder meer op RaidForums:

• 24 januari 2021: Het account dat later zal handelen in veel Nederlandse databases wordt op RaidForums actief.
• 27 februari 2021: Lizardon biedt een database van cryptobeurs Litebit te koop aan. Het gaat om honderdduizenden gegevens.
• 28 februari 2021: Lizardon biedt 56.000 gegevens van studenten en medewerkers van Hogeschool Inholland aan.
• 1 maart 2021: De chantage van Ticketcounter is mislukt, Lizardon plaatst de gestolen gegevens online.
• Eind maart 2021: Lizardon verandert zijn naam en opereert nu als Rekt. Het account biedt de gestolen gegevens uit de autobranche van RDC te koop aan.
• 21 september 2021: Het RaidForums-account biedt voor een paar duizend euro gegevens van de Nederlandse app Scoupy aan. Rond die tijd noemt hij zich Espeon en later Umbreon.

RaidForums bestaat niet meer: in april 2022 wordt bekend dat het hackersforum bij een grote internationale politieoperatie offline is gehaald.

In mei 2022 maakte Van der S. volgens het opsporingsteam zijn laatste slachtoffer. Hij werkt dan net een paar maanden voor Hadrian en het DIVD. In januari 2023 wordt hij samen met twee medeverdachten aangehouden. 

Veel slachtoffers willen op dit moment niet veel over de rechtszaak zeggen. "Het is goed dat deze vorm van criminaliteit door de politie en OM zeer serieus wordt genomen", is het enige dat RDC hierover wil laten weten.

Een woordvoerder van Inholland sluit zich daarbij aan. De hogeschool kreeg niet te maken met chantage, maar gegevens werden wel online te koop aangeboden. "Het is en blijft diefstal."

Pokémon als schuilnaam

Lizardon maakt onder andere gebruikersnamen meerdere verwijzingen naar Pokémon, de Japanse game- en tv-serie over fictieve wezens die door mensen gevangen en getraind kunnen worden.

Lizardon is de Japanse naam van de Pokémon die in het Nederlands Charizard heet. In september verkoopt dezelfde RaidForums-gebruiker onder de naam Espeon - ook een Pokémon - voor een paar duizend euro gegevens van de Nederlandse app Scoupy, waarmee mensen geld kunnen terugkrijgen als ze hun kassabon delen.

Diezelfde maand wordt bekend dat de Hogeschool Arnhem Nijmegen (HAN) slachtoffer is geworden van chantage. Die persoon noemt zich masterballz, ook een verwijzing naar Pokémon.

Twee maanden later, in november, komt het volgende slachtoffer in dit onderzoek in het nieuws: sollicitatieplatform Homerun. Op dat moment opereert Espeon op RaidForums alweer onder de naam van een nieuwe Pokémon: Umbreon.

De chantage verloopt hetzelfde: betaal, en de gegevens zullen niet verder worden verspreid. Homerun voelt zich gedwongen om een aanzienlijk bedrag te betalen, in de hoop dat de crimineel zich aan die belofte houdt.

De Nederlandse politie krijgt ook interesse in RaidForums. Op een gegeven moment komt de politie erachter dat de server van het forum in Duitsland staat, zegt een woordvoerder tegen RTL Nieuws. Met hulp van Duitse opsporingsdiensten krijgt de politie een kopie in handen.

In die gegevens ziet het opsporingsteam een e-mailadres van een RaidForums-account. Dat account heeft ooit data aangeboden van een van de Nederlandse bedrijven die aangifte heeft gedaan. Het zet de politie op het spoor van Van der S.

Aangifte leidt tot aanhoudingen

In vervolgonderzoek bekijkt de politie of Van der S. ook betrokken is bij andere aangiftes waarin dezelfde werkwijze naar voren komt. "Zonder die aangiftes kunnen we niets", zegt Barend Frans van de politie Amsterdam, waar het onderzoek plaatsvond.

"Bij cybercrime willen we net als bij een inbraak weten hoe een crimineel is binnengekomen en welke sporen die heeft achtergelaten", zegt Frans. "Alleen als bedrijven aangifte doen, kunnen wij die sporen bekijken en onderzoeken. Nu is het aan de rechter om ons werk te beoordelen."

De advocaat van Pepijn van der S. zegt in een reactie dat de verdachte spijt heeft en voor het grootste deel bekent. Hij benadrukt dat zijn cliënt na zijn aanhouding heeft meegewerkt aan het politieonderzoek, maar wil voorafgaand aan de zitting niet verder reageren.

De andere verdachten in deze zaak moeten later voor de rechter verschijnen.