Cyberethiek in de praktijk: proportionaliteit, mandaat en grijze zones

Posted on 30-04-2026 by Sijmen Ruwhof

Tweakers.net benaderde mij voor een interview over ethische dilemma’s in cybersecurity. Vanwege de beperkte ruimte in het uiteindelijke artikel is daar een ingekorte weergave van mijn antwoorden opgenomen. Om de volledige context en nuance te behouden, publiceer ik hieronder de oorspronkelijke, uitgebreide antwoorden op de stellingen:

  1. Het is gerechtvaardigd om criminelen uit eigen beweging te hacken om phishingacties te verijdelen.
  2. Het is een slecht idee om ransomwarecriminelen losgeld te betalen.
  3. Echt ‘ethisch’ hacken kan alleen als je instanties hackt waarbij je in dienst bent/die je hebben ingehuurd, anders ben je gewoon aan het inbreken.
  4. Responsible disclosure is de beste vorm van disclosure.
  5. Ethische hackers moeten geen geheimhoudingsverklaringen tekenen over kwetsbaarheden.
  6. Veel ethische hackers doen hun werk voor een groot deel voor de (media-) aandacht.
  7. Bugbounties verstoren samenwerkingen door ethische hackers, omdat ze direct met elkaar concurreren om een beloning.
  8. Organisaties als de DIVD moeten ethische hackers strenger screenen om te voorkomen dat ze misbruik maken van hun positie.
  9. Het is gerechtvaardigd om een vermist persoon te hacken in een poging om meer informatie over de vermissing te vinden.
  10. De wet in Nederland/België moet aangepast worden om ethische hackers meer ruimte te bieden.
Continue reading
Posted in uncategorized | Leave a comment

Pointer: 1.600 Nederlandse datingsites zitten vol met nepprofielen

Posted on 16-04-2026 by Sijmen Ruwhof

Mannen betalen soms duizenden euro’s op nep-datingsites om te chatten met vrouwen die niet bestaan, vaak op zoek naar liefde of aandacht. Samen met Pointer deed ik hier onderzoek naar.

We ontdekten een groot internationaal netwerk met ruim 1.600 van dit soort sites. Op sommige sites kost één bericht al snel €1, waardoor bedragen zo kunnen oplopen tot duizenden euro’s. Hoewel er op de sites in kleinere letters staat dat ze werken met fictieve profielen, geven de profielen tijdens het chatten nooit toe dat ze nep zijn. Dat is tegen de regels. Daarbij blijven de chatoperators hinten op een afspraak, terwijl deze er nooit gaat komen.

De hele uitzending van Pointer over misleidende datingsites kan via YouTube terug gekeken worden. Verdiepende artikelen naar aanleiding van dit onderzoek:

  • 12 februari ’26: 4 maanden chatten, 0 dates en duizenden euro’s armer: René wordt door nepdatingsites aan het lijntje gehouden
  • 14 april ’26: 12 dagen undercover als chatoperator bij nepdatingsites: zo ziet misleiding eruit
  • 15 april ’26: Nederlands bedrijf misleidt klanten via ruim 1.600 nepdatingsites in 32 landen
  • 15 april 26: Zo hebben we een groot netwerk van nepdatingwebsites onderzocht
  • 23 april ’26: Waarom chatten mannen op nepdatingsites, zonder uitzicht op een date? Twee relatiewetenschappers leggen het uit

Achtergrond
In februari 2018 heb ik samen met De Monitor (heet nu Pointer) voor het eerst dit fenomeen op de kaart gezet. In april 2018 hadden we een tweede aflevering hierover gemaakt. Daarna deed de Autoriteit Consument & Markt invallen bij meerdere datingbedrijven, stelde ze richtlijnen op voor de branche en deelde 9 miljoen euro aan boetes uit. Het is nog steeds toegestaan om een datingsite met nepprofielen te beheren, zolang je dat maar duidelijk communiceert.

Posted in uncategorized | Leave a comment

BNR: Grote hack bij Basic-Fit, 1 miljoen leden getroffen

Posted on 13-04-2026 by Sijmen Ruwhof

Fitnessketen Basic-Fit is getroffen door een grote hack, die in totaal 1 miljoen van de 5,8 miljoen leden treft. In Nederland zijn gegevens van 200.000 mensen gegevens buitgemaakt, maar de keten zit ook nog in vijf andere landen. Thomas van Zijl belde me op voor duiding:

Posted in bnr nieuwsradio, data leakage, radio | Leave a comment

Radio 1: Dit zijn de fraude-trucs van tegenwoordig, en hoe je ze voorkomt

Posted on 10-04-2026 by Sijmen Ruwhof

In deze uitzending van Stand van Nederland (NPO Radio 1) duiken we in de wereld van fraude en oplichting, en vooral: hoe je het kunt herkennen én voorkomen. Onder begeleiding van presentator Sam Hagens, zit ik aan tafel met techexpert Ben van der Burg en Eunice Bom van de Fraudehelpdesk. Samen bespreken we hoe oplichters tegenwoordig te werk gaan, waarom fraude zo snel toeneemt en welke trucs je écht moet kennen:

Posted in cyber crime, data leakage, fake profiles, identity theft, law enforcement, online dating, phishing, radio, radio 1, scam | Leave a comment

Hoe makkelijk is het om aan een nep ID-bewijs van iemand anders te komen?

Posted on 19-03-2026 by Sijmen Ruwhof

Na het grote datalek bij telecomprovider Odido kwamen de gegevens van miljoenen Nederlanders op straat te liggen. Maar wat kun je daar eigenlijk mee? Hoe makkelijk is het om aan een nep ID-bewijs van iemand anders te komen? Dat blijkt nog verrassend eenvoudig te zijn! Samen met onderzoeksjournalist Darshan Boerema zocht ik dat uit:

Posted in identity theft, tv | Comments Off on Hoe makkelijk is het om aan een nep ID-bewijs van iemand anders te komen?

RTL Boulevard: Facebook-berichten over vermiste personen of gevonden lichamen steeds vaker nepnieuws: ‘Volledig verzonnen’

Posted on 19-03-2026 by Sijmen Ruwhof

Steeds vaker zie je ze: berichten op Facebook over vermiste personen of gevonden lichamen. Maar een groot deel van deze artikelen is hartstikke nep. Door erop te klikken, verdienen criminelen bakken met geld. Tot groot verdriet van sommige families. Terwijl zij veel leed te verwerken hebben, worden zij op deze manier opnieuw slachtoffer. RTL Boulevard vroeg me waar deze berichten vandaan komen en waarom die op Facebook te lezen zijn:

Posted in tv | Comments Off on RTL Boulevard: Facebook-berichten over vermiste personen of gevonden lichamen steeds vaker nepnieuws: ‘Volledig verzonnen’

De Odido-hack ontleed: belangen, risico’s en de afweging rond betaling

Posted on 08-03-2026 by Sijmen Ruwhof

Samenvatting

De vraag of Odido afpersgeld had moeten betalen is geen principiële zwart-witkwestie, maar een complexe risico- en schadeafweging. Daarbij botsen twee perspectieven: het beperken van directe schade voor miljoenen betrokkenen op korte termijn, en het voorkomen dat cyberafpersing als verdienmodel wordt versterkt op lange termijn.

In dit artikel worden de belangrijkste belangen, risico’s en argumenten geanalyseerd vanuit vier perspectieven: de organisatie zelf, getroffen klanten, de overheid en de bredere samenleving. De centrale conclusie is dat cyberafpersing zelden een moreel zuivere keuze laat: organisaties moeten uiteindelijk bepalen welke optie in een concreet incident de minste totale maatschappelijke schade veroorzaakt.

Inleiding

De hack bij Odido (voormalig T-Mobile en Tele2) en Ben, heeft in korte tijd geleid tot forse maatschappelijke onrust. Dat is begrijpelijk. Niet alleen vanwege de omvang van het incident, maar vooral vanwege de aard van de buitgemaakte gegevens en de mogelijke gevolgen voor miljoenen betrokkenen. In termen van schaal, gevoeligheid en potentiële maatschappelijke impact behoort dit incident tot de ernstigste datalekken die Nederland tot dusver heeft gekend.

Tegelijk valt op dat het publieke debat zich snel vernauwt tot een ogenschijnlijk simpele vraag: had Odido moeten betalen of niet? Die vraag lijkt overzichtelijk, maar is dat in werkelijkheid niet. Bij cyberafpersing is zelden sprake van een moreel zuivere keuze. Het gaat vrijwel altijd om een afweging tussen verschillende vormen van schade, op verschillende tijdshorizonten, voor verschillende groepen.

De vraag of Odido had moeten betalen is daarom geen morele zwart-witkwestie, maar een strategische afweging tussen verschillende soorten schade: voor klanten, voor de organisatie, voor de opsporing en voor de samenleving als geheel. De werkelijke vraag is: welke keuze leidt, gegeven de feiten, de dreiging en de context, tot de minste totale schade? Daarbij moet onderscheid worden gemaakt tussen korte termijn en lange termijn, tussen organisatiebelang en maatschappelijk belang, en tussen principiële reflexen en operationele realiteit.

Continue reading
Posted in data leakage, ransomware | Comments Off on De Odido-hack ontleed: belangen, risico’s en de afweging rond betaling

RTL Nieuws: Gevangenissen willen tablets uitdelen. Goed idee?

Posted on 04-03-2026 by Sijmen Ruwhof

De Dienst Justitiële Inrichtingen (DJI) onderzoekt de mogelijkheid om gedetineerden tablets te verstrekken voor entertainment en educatieve doeleinden. In opdracht van RTL Nieuws heb ik de aanbestedingsdocumenten geanalyseerd om te beoordelen of de voorgestelde opzet vanuit beveiligingsperspectief verantwoord is.

Die analyse is extra relevant omdat onderzoeksprogramma Argos vorige maand onthulde dat DJI zelf slachtoffer was van een langdurige cyberinbraak. Aanvallers bleken gedurende vijf maanden toegang te hebben gehad tot een systeem waarmee DJI de tablets en mobiele telefoons van medewerkers beheerde.

RTL Nieuws vroeg me of ik het een goed idee vind om gedetineerden tablets te geven:

Posted in tv | Comments Off on RTL Nieuws: Gevangenissen willen tablets uitdelen. Goed idee?

Crowdfundingsactie gestart omdat Odido het datalekken niet wilt stoppen

Posted on 27-02-2026 by Sijmen Ruwhof

Volgens beschikbare informatie heeft Odido ervoor gekozen geen afpersgeld te betalen. Daarom worden nu 1 miljoen gevoelige klantgegevens per dag gepubliceerd, waarbij dagelijks nieuwe hoeveelheden klantgegevens online verschijnen. Hierdoor groeit de omvang van het datalek voortdurend en neemt de potentiële impact voor betrokkenen verder toe.

Vanuit die urgentie is, samen met een groep bezorgde securityspecialisten, een crowdfundingactie gestart met als doel middelen te verzamelen om de gevraagde betaling te kunnen doen en daarmee verdere publicatie van de gegevens te stoppen.

Het uitgangspunt daarbij is nadrukkelijk niet om cybercriminelen te belonen voor de schade die zij veroorzaken. Tegelijkertijd gaat het in dit geval om een uitzonderlijk groot en gevoelig datalek, mogelijk één van de grootste in de Nederlandse geschiedenis. Vanuit het perspectief van schadebeperking voor de getroffen personen is daarom besloten deze eenmalige actie te organiseren.

Doneer eenvoudig via iDEAL
Speciaal voor deze crowdfundingsactie zijn bankrekeningen geopend waarop donaties kunnen worden ontvangen.

  • Doneer via iDEAL

Update 1 maart 09:00 uur: De crowdfunding is gestopt, aangezien de hackersgroep ShinyHunters alle buitgemaakte data op internet hebben gezet.

Totaal opgehaald:€2.069,79
Aantal donaties: 153
Gemiddelde donatie:€13,53
Hoogste donatie:150
Donatiemogelijk gesloten:1 maart 2026 09:00
Donaties teruggestort:1 maart 2026 18:51 (152 van de 153)
5 maart 2026 16:52 (153 van de 153)
Continue reading
Posted in data leakage, ransomware | Comments Off on Crowdfundingsactie gestart omdat Odido het datalekken niet wilt stoppen

Nieuwsuur: Wie zijn de hackers die toesloegen bij Odido?

Posted on 27-02-2026 by Sijmen Ruwhof

Telecombedrijf Odido weigert losgeld te betalen aan de hackers die miljoenen gegevens stalen. Hackersgroep ShinyHunters heeft daarom een deel van de data gepubliceerd op het darkweb. Wat is dit voor club? Nieuwsuur vroeg het me. Naast onderstaand interview heb ik ook een gehele blogpost gewijd aan ShinyHunters.

Posted in data leakage, tv | Comments Off on Nieuwsuur: Wie zijn de hackers die toesloegen bij Odido?

Hart van Nederland: ‘Odido heeft incident knullig afgehandeld’

Posted on 27-02-2026 by Sijmen Ruwhof

Odido heeft besloten om geen losgeld aan de hackers te betalen die miljoenen klantgegevens buitmaakten bij de cyberaanval op het telecombedrijf. Dat besluit leidt tot één van de grootste datalekken die we in Nederland kennen. Hart van Nederland kwam bij me langs om hierover te praten:

Posted in data leakage, hart van nederland, tv | Comments Off on Hart van Nederland: ‘Odido heeft incident knullig afgehandeld’

Radio 1: Moet Odido wel of niet betalen aan de hackers?

Posted on 25-02-2026 by Sijmen Ruwhof

Odido staat voor een groot dilemma: gaan ze een half miljoen euro betalen aan hackersgroep ShinyHunters, of komen de uitgebreide en gevoelige gegevens van miljoenen klanten de komende dagen op straat te liggen? Wat is wijsheid in deze situatie? Op Radio 1 had ik een goed gesprek hierover met cybersecurityexpert Bernold Nieuwesteeg, gemodereerd door Jan Willem Wesselink:

Update 27 februari 2026: Naar aanleiding van ons radio-interview zijn Kamervragen aan minister Van Weel van Justitie en Veiligheid gesteld over een wettelijk verbod op het betalen van losgeld bij ransomware-aanvallen.

Update 1 maart 2026: Ik heb een uitgebreid artikel geschreven over de ethische overwegingen en individuele belangen rondom afpersgeld betalen aan hackers.

Posted in data leakage, radio, radio 1 | Comments Off on Radio 1: Moet Odido wel of niet betalen aan de hackers?

Wie zijn de ShinyHunters en heeft het zin om afpersgeld te betalen?

Posted on 25-02-2026 by Sijmen Ruwhof

De recente hack bij telecomprovider Odido heeft de naam van hackersgroep ShinyHunters opnieuw prominent op de agenda gezet. De groep wordt internationaal in verband gebracht met grootschalige datadiefstallen en staat bekend om een relatief eenvoudige strategie: gestolen data gebruiken om organisaties onder druk te zetten om losgeld te betalen. In Nederland leidde het incident direct tot een bekende discussie binnen cybersecurity en crisismanagement: moet een getroffen organisatie betalen om publicatie van data te voorkomen, of juist principieel weigeren?

Die vraag is minder zwart-wit dan vaak wordt aangenomen. Ik ga daar in een andere blogpost uitvoerig op in. De beslissing hangt onder meer af van wat bekend is over de hackersgroep, hoe betrouwbaar hun ‘afspraken’ in de praktijk blijken te zijn en welke informatie de aanvallers daadwerkelijk in handen hebben. Tegelijk roept de zaak-Odido ook vragen op over hoe goed autoriteiten en incident-response teams deze specifieke groep eigenlijk kennen.

In dit artikel wordt gekeken naar wat er publiekelijk bekend is over ShinyHunters, hoe cybersecurity-experts hun werkwijze beoordelen en in hoeverre het in sommige situaties rationeel kan zijn om wél of juist níet op een afpersingsvraag in te gaan.

Continue reading
Posted in ransomware | Comments Off on Wie zijn de ShinyHunters en heeft het zin om afpersgeld te betalen?

BNR: Odido wil geen miljoen+ afpersgeld betalen, dus donderdag staat alles online?

Posted on 24-02-2026 by Sijmen Ruwhof

De hackers achter het grote datalek bij Odido eisen losgeld van minstens een miljoen euro. Odido lijkt niet te willen betalen, en dus lijkt het erop dat donderdag alle 8 miljoen klantgegevens op internet gaan belanden. BNR nodigde me uit in de studio om het hierover te hebben. Wat kunnen we verwachten en wat moet Odido doen?

Posted in bnr nieuwsradio, data leakage, radio | Comments Off on BNR: Odido wil geen miljoen+ afpersgeld betalen, dus donderdag staat alles online?

Radio 1: Impact van pedofiele AI-seks-chatbots

Posted on 21-02-2026 by Sijmen Ruwhof

Steeds meer mensen praten met AI-chatbots die zich voordoen als jouw ‘romantische partner’. Deze zogeheten AI-companions bieden echter nauwelijks of geen weerstand wanneer gebruikers seksueel gewelddadige handelingen verlangen. Ook zijn er seksbots te vinden die zich voordoen als klein kind, die gebruikt worden door pedofielen.

Samen met Thijs van Dorssen van Pointer (KRO-NCRV) deelden we ons onderzoek op radio 1:

Posted in radio, radio 1 | Comments Off on Radio 1: Impact van pedofiele AI-seks-chatbots