Toen Victor Gevers na een paar keer proberen het juiste wachtwoord raadde van het Twitteraccount van de Amerikaanse president Donald Trump en ín zijn account zat, was hij strafbaar. De Secret Service nam het serieus, het Openbaar Ministerie besloot Gevers echter niet te vervolgen. Waarom niet? Martijn Egberts, landelijk officier cybercrime, en Victor Gevers over de grens tussen verantwoord en onverantwoord hacken.

Haast achteloos voert Victor Gevers (44) op vrijdagochtend 16 oktober een paar wachtwoorden in bij het account van Donald Trump. De ethisch hacker speurt dag en nacht naar lekken. Naast een fulltime baan bij de rijksoverheid zoekt-ie onbezoldigd naar online-kwetsbaarheden. Hij vond er al duizenden. Met 87 miljoen volgers en een actief Twitterbeleid behoort het account van de Amerikaanse president tot het belangrijkste ter wereld. Dus als Gevers na een vijfde poging – hij probeert ‘maga2021!’ (een variatie op Trump’s leus MakeAmericaGreatAgain) – ineens succesvol is, verwacht hij een block of een veiligheidswaarschuwing van Twitter. Maar er gebeurt niets. Gevers kan ongestoord rondneuzen, namens Trump een tweet sturen of diens persoonlijke berichten lezen, zijn profielfoto veranderen of zijn miljoenen volgers een link sturen.

Je was binnen in het belangrijkste account ter wereld. En toen?

Gevers: ‘Voor mij is het heel simpel: het doel is voorkomen dat de persoon slachtoffer wordt van dit lek. Dus ik wil met zo weinig mogelijk materiaal aantonen wat hem kwetsbaar maakt.’

Maar je wilt ook aantonen dat deze kwetsbaarheid bestaat.

Gevers: ‘Ja, maar als ik bijvoorbeeld een persoonlijk bericht namens Trump zou sturen, wat heel overtuigend maakt dat ik binnen zit, zou ik eerst zijn berichten moeten openen. En dan kan ik al zijn privéberichten zien. Dat vormt een ernstige privacyschending, vergelijkbaar met het schenden van het briefgeheim. Dat betekent dat ik niet namens hem kan twitteren of namens hem een privébericht sturen. Daarom heb ik schermafbeeldingen gemaakt van zijn tijdlijn, beveiligingspagina en statistiekenpagina.’

Hoe zorg je er vervolgens voor dat hij weet dat zijn account onveilig is?

Gevers: ‘Dat was lastig. Trump reageerde niet op mails. Het Witte Huis, de CIA, FBI en Twitter reageerden niet op tweets. Ik heb veel moeite gedaan om in contact te komen met de Secret Service, die verantwoordelijk is voor de beveiliging van de president. Een Nederlandse politiemedewerker zag mijn meldingen via Twitter en sprak me aan. Hij vroeg of hij de Secret Service mijn contactgegevens mocht geven.’

Is dat het moment dat het Openbaar Ministerie betrokken raakt?

Martijn Egberts, landelijk officier cybercrime: ‘Ik werd geïnformeerd door een collega dat Victor in het account van Trump zat. Mijn eerste belang is dat het probleem bij de Amerikaanse autoriteiten bekend wordt en dat het wordt opgelost. We hebben contact opgenomen met de Secret Service.’

Namen die het serieus? Het Witte Huis zei later dat berichten over een hack ‘absoluut niet waar zijn’.

Egberts: ‘Laat ik het zo zeggen: er is een verschil tussen de operationele kant en de politieke reactie. De operationele personen waren betrokken en namen het serieus. Hoe het Witte Huis reageert, is voor ons niet relevant.’

Wat deed de Secret Service?

Gevers: ‘Ik was op vrijdag binnen en dinsdag sprak ik de Secret Service. Binnen een uur werd actie ondernomen. Toen ik opnieuw wilde inloggen, kreeg ik een melding van een ‘verdachte loginpoging’, zoals het hoort. Ook was de tweestapsverificatie toen weer ingeschakeld. De Secret Service nam het serieus, ze vroegen me om mijn ip-adres, VPN-gegevens, tijdlijn, zodat ze bij Twitter een verzoek konden doen om de informatie te verifiëren. Een technisch analist van de Secret Service was bij het telefoongesprek aanwezig. Ze hebben alles gedocumenteerd.’

Victor Gevers te gast bij Omroep Max. Beeld Omroep Max

Hebben ze je bedankt?

Gevers: ‘Er werd niet bedankt. Ze hebben me vriendelijke gedag gezegd.’

De hack werd wereldnieuws. Britse en Amerikaanse media schreven erover maar er was ook veel scepsis. Volgens het Amerikaanse techmagazine Motherboard deugde het bewijsmateriaal van Gevers niet. Het Witte Huis ontkende het en ook Twitter beweerde tegen journalisten dat het verhaal niet klopte. ‘Het is nooit leuk als je vrijwilligerswerk in twijfel getrokken wordt’, zegt Gevers erover. Relativerend: ‘Dit is ook het risico dat je loopt wanneer dit soort zaken in het nieuws komen.’ Hij maakte het vaker meer. Toen hij een database vond van SenseNets, een Chinees bedrijf dat aan gezichtsherkenning doet, kwam er veel kritiek. Zijn schermafbeeldingen zouden gefabriceerd zijn. ‘Hoe meer de buitenwereld er bij betrokken is, hoe meer je ineens verantwoording moet afleggen.’

Als Twitter doet alsof het niet is gebeurd en journalisten je in twijfel trekken, voel je dan niet de neiging om meer bewijs te laten zien?

Gevers: ‘Het is frustrerend ja. Maar ik heb m’n plicht gedaan door het te melden. Ik doe het minimale. Als je eenmaal meer gegevens van iemand hebt gezien, kun je dat nooit meer ongedaan maken. En ik wil volgend jaar graag naar hackersconferentie Defcon in Las Vegas en dat gaat alleen als de relatie met de Amerikanen goed is. Dus ik moet voorzichtig te werk gaan.’

Maar je wilt toch ook geloofwaardig zijn?

Gevers: ‘Dat er publiekelijk aan werd getwijfeld, is jammer, maar het is afgehandeld. Wat ik wel zie: als het wordt ontkend, willen andere hackers ook nog weleens proberen om binnen te komen. Het is haast een uitnodiging om meer data te verzamelen.’

Hier zit de crux van verantwoord hacken. Doe je het minimale om een kwetsbaarheid aan te tonen of wil je jezelf bewijzen en ga je rücksichtslos te werk? Kamerlid Henk Krol kreeg een boete nadat hij bij een Brabants laboratorium had ingelogd. Hij bekeek diverse medische dossiers en zocht de publiciteit. De rechter oordeelde dat hij rechtmatig handelde bij de hack zelf, maar ook dat hij te snel de pers zocht.

Egberts, officier cybercrime: ‘Het is niet aan de ethisch hacker om te bewijzen dat de hack mogelijk is. Het doel moet zijn om het lek te dichten. In het geval van Gevers: het account beter beveiligen. De boodschap is: ethisch hacker, trek je niet te veel aan van wat er gezegd wordt, stel je terughoudend op.’

Het account van Trump kreeg tweestapsverificatie en werd beter beveiligd. Missie geslaagd, zou je zeggen. Maar toen kreeg Gevers een uitnodiging van het Team High Tech Crime, een specialistisch team van de Nederlandse politie in Driebergen, om te praten. Ze waren een feitenonderzoek begonnen om de strafbaarheid van Gevers actie vast te stellen.

Waarom?

Egberts: ‘Het maatschappelijk belang was hier zeer groot, mede voor buitenlandse autoriteiten. Dus stellen we een onderzoek in. Is er materiaal achtergehouden? Heeft de hacker zich bekendgemaakt als ethisch hacker? Welk bewijs heeft hij verzameld om te laten zien hoe serieus het beveiligingsprobleem was. Was dat proportioneel? Wij toetsen kort gezegd het opgeslagen materiaal en of het goed beveiligd is.’

Als je een uitnodiging van de politie krijgt, hoe ga je daar dan heen?

Gevers: ‘Ik nam het serieus, maar ging er niet met vrees heen. Zakelijk en privé is Nederland de beste plek om aan responsible disclosure te doen. Er werken mensen bij de Nederlandse politie die mijn werk snappen. Dat merkte ik ook bij het getuigenverhoor. Ze weten precies hoe zo’n actie technisch in elkaar steekt. Stellen de juiste vragen.’

In 2013 werd onder minister Ivo Opstelten (Veiligheid en Justitie) het eerste kader voor het verantwoord rapporteren van online-kwetsbaarheden geformuleerd. Nederland loopt daarin internationaal ver voorop. Dit zogeheten CVD-beleid is sindsdien verder ontwikkeld.

Hoe controleer je of de ethisch hacker verantwoordelijk handelde?

Egberts: ‘Dat ligt aan de casus. In dit geval was het niet ingewikkeld. Dat heeft ook te maken met de reputatie van Victor (Gevers heeft al duizenden responsible disclosures op zijn naam staan, red.). Hackers die net beginnen, verzamelen meer bewijsmateriaal. Het is belangrijk om te realiseren dat wij dat niet op prijs stellen, je dwingt het OM daarmee tot actie. En, je doet het niet voor de erkenning – het leidt nu eenmaal niet altijd tot schouderklopjes. Het is niet voor niets dat Henk Krol werd beboet: hij ging verder dan nodig was. Je moet geen bewijsdrang hebben.’

Hoe sterk was het bewijs?

Egberts: ‘We hadden nooit geseponeerd als we er niet van overtuigd waren dat er binnengedrongen was in het account. Zonder binnendringen betreft het immers geen strafbaar feit en zouden we dus niet kunnen oordelen dat het niet strafbaar was in deze casus. Dan zouden we oordelen dat er geen bewijs was van een strafbaar feit.’

Betekent dat ook dat de Verenigde Staten Gevers niet meer zullen vervolgen?

Egberts: ‘Wij beoordelen of de handelingen in Nederland strafbaar zijn. De VS hebben een zekere vrijheid om alsnog te vervolgen. Maar als ze daarvoor kiezen, dan zullen ze rekening houden met onze afweging.’

Geldt diezelfde afweging als het de Chinese overheid betreft?

Egberts: ‘Als Gevers in Chinese systemen zou zitten voor een responsible disclosure en er een feitenonderzoek zou plaatsvinden, dan zouden we onze beslissing duidelijk maken ten opzichte van de Chinese autoriteiten. Die situatie heeft zich niet voorgedaan. Wij willen duidelijk maken dat we hier een beleid hebben voor responsible disclosure en dat het OM niet direct een strafvervolging begint. We zien het grote belang van ethische hackers bij het veilig houden van de digitale snelweg. En omdat we dat zien, zijn we terughoudend in optreden, zodat ze de overheid niet hoeven te vrezen.’

Waarom vindt het OM dat signaal belangrijk?

Egberts: ‘De reikwijdte van ethisch hackers op de onlineveiligheid is breder dan die van de overheid én cybersecuritybedrijven bij elkaar. De overheid kijkt vanuit het Nationaal Cyber Security Center (NCSC) alleen naar vitale organisaties, de cybersecuritybedrijven alleen naar hun klanten. Maar onderzoekers zoals Gevers melden lekken bij producenten en organisaties waardoor ze voor veel meer mensen internet veiliger maken. Daarom hebben we ons beleid aangepast en stellen we dat ethisch hackers een waardevolle bijdrage leveren. We expliciteren hun rechten. Dat is uniek in de wereld.’

Een situatie waarbij hackers in het wilde weg overal naar kwetsbaarheden speuren, is niet wenselijk. Of dat ze een gevonden lek aan geheime diensten gaan geven.

Gevers: ‘De stelregel is: je moet geen discussie aangaan met het slachtoffer. Alles wat we bij DIVD (een non-profitorganisatie voor het zoeken naar kwetsbaarheden, red.) opsporen, komt uit openbare bronnen. We zijn vaak niet de eersten die ergens op stuiten. Vaak treffen we sporen van derden aan. Dus we werken niet verstorend. We zijn hulpverlenend. We zijn er voor een veilig internet en we moeten dat niet vermengen met andere rollen.’

Hoeveel ethisch hackers zijn er in Nederland?

Gevers: ‘Ik gok net onder de duizend. Ik ken er zelf vele honderden, maar nu alle evenementen een jaar stilliggen, is het kennismaken met nieuwe personen een stuk ingewikkelder.’

Wat is ethisch hacken? In het kort: het zoeken naar kwetsbaarheden in systemen met als doel die te verhelpen. In Nederland zal dat in principe niet leiden tot een strafrechtelijk onderzoek. Om te bepalen of er daadwerkelijk sprake is van ethisch hacken, toetst het OM drie factoren: 1. Is er gehandeld in het kader van een wezenlijk maatschappelijk belang? 2 Ging de hacker niet verder dan noodzakelijk was om zijn doel te bereiken? 3. Waren er geen minder vergaande manieren om het doel te bereiken?