Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft de conclusies openbaar gemaakt van het onderzoek dat werd uitgevoerd naar een vrijwilliger die ervan wordt verdacht betrokken te zijn geweest bij het stelen van miljoenen gevoelige persoonsgegevens bij meer dan duizend bedrijven, om met de gestolen data deze bedrijven vervolgens af te persen (pdf).

Het DIVD scant met behulp van vrijwilligers op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek. Zo ontdekte een DIVD-onderzoeker een zeer kritiek beveiligingslek in de software van Kaseya dat bij een wereldwijde ransomware-aanval werd gebruikt. De vrijwilligersorganisatie ontdekte ook dat een miljoen omvormers voor zonnepanelen via een gelekt wachtwoord kwetsbaar voor sabotage waren. Eind 2021 besloot het ministerie van Economische Zaken om het DIVD de komende drie jaar te subsidiëren.

Daarnaast is het DIVD ook een CVE Numbering Authority (CNA) geworden, waardoor het CVE-nummers voor kwetsbaarheden kan registreren. Eind vorig jaar waren er verschillende partijen in de Tweede Kamer die overheidssubsidie voor ethische hackers zoals het DIVD willen. De VVD pleitte vorig jaar september nog voor een formelere rol voor DIVD in het digitaal beschermen van Nederland.

Begin dit jaar bleek dat een van de drie mannen die door politie was opgepakt in een zaak rond grootschalige datadiefstal een DIVD-onderzoeker is. "De missie van DIVD is het veiliger maken van het internet. De zaken waarvan hij wordt verdacht staan lijnrecht op deze missie. Het mag duidelijk zijn dat wij geen enkele weet hadden van criminele activiteiten van de vrijwilliger, of een vermoeden hadden dat hij zich met dit soort zaken bezighield", zo liet de organisatie destijds weten.

Onderzoek

Naar aanleiding van de arrestatie van de vrijwilliger vroeg DIVD securitybedrijf Fox-IT om een forensisch onderzoek te doen op systemen van DIVD. "We hebben Fox-IT gevraagd of de verdachte gehandeld heeft in strijd met de DIVD Code of Conduct en of er indicaties zijn dat er door hem misbruik is gemaakt van informatie van DIVD in relatie tot de zaken waarvan hij wordt beschuldigd."

De conclusies van het onderzoek zijn door het DIVD openbaar gemaakt. Daarin staat dat Fox-IT geen sporen heeft aangetroffen waaruit aannemelijk wordt dat de DIVD Code of Conduct door de vrijwilliger is geschonden. Ook zijn er geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van de vrijwilliger naar kwetsbaarheden is gezocht op externe systemen die ongewoon zijn voor DIVD.

Verder zijn er ook geen activiteiten gevonden waarbij onder het gebruikersaccount van de vrijwilliger data is gekopieerd naar een locatie buiten de DIVD-omgeving. Tevens zijn er geen aanwijzingen gevonden dat onder het gebruikersaccount van de vrijwilliger die wijzen op oneigenlijke toegang tot gegevens van DIVD.

Wel zijn er verschillende verdachte activiteiten met het gebruikersaccount van de vrijwilliger waargenomen. Zo zijn er timestomping-acties uitgevoerd, is de commandogeschiedenis op bepaalde momenten uitgezet en is er een wachtwoordhash te zien in Metasploit-commandogeschiedenis. DIVD zegt onderzoek te hebben gedaan naar deze activiteiten en heeft in de gevangenis een gesprek met de vrijwilliger over deze bevindingen gehad.

Wat betreft de wachtwoordhash had dit te maken met de zaak waar de vrijwilliger op dat moment bij het DIVD mee bezig was. De verklaringen voor de overige twee activiteiten zijn volgens het DIVD op zichzelf geen schending van de Code of Conduct en doen geen afbreuk aan de conclusie van Fox-IT. "Op basis van het Fox-IT onderzoek en onze eigen vervolg op dit onderzoek, concluderen we dat er geen bewijs is dat de verdachte misbruik heeft gemaakt van DIVD systemen of informatie", zo laat DIVD weten.