Een Amerikaans bedrijf verkoopt jouw gestolen data aan iedereen met 50 dollar

Stel je voor: je persoonlijke gegevens — je adres, telefoonnummer, surfgeschiedenis, of zelfs wachtwoorden — worden niet alleen verhandeld door hackers in de schaduw van het internet, maar zijn nu gewoon te koop bij een Amerikaans bedrijf, voor een paar tientjes. Geen darknet, geen obscure fora, maar openlijk via een website, voor iedereen met een creditcard.

Het bedrijf in kwestie heet Farnsworth Intelligence, een startup opgericht door de 23-jarige Aidan Raney. Farnsworth profileert zich als een aanbieder van “open-source inlichtingen”, maar onder die vlag verkoopt het informatie die in veel gevallen rechtstreeks afkomstig lijkt te zijn uit datalekken — oftewel: gestolen gegevens. De basisdienst van het bedrijf, genaamd “Infostealers”, is via een website met dezelfde naam te benaderen: Infostealers.info. Voor slechts 50 dollar krijg je toegang tot een doorzoekbare databank met persoonlijke informatie van mensen uit de hele wereld, inclusief de VS.

En dit gaat verder dan de gegevens die je kunt vinden via zogeheten "people search"-sites, die sowieso al dubieus zijn. Wat Farnsworth verkoopt, is dieper, gevoeliger, en aantoonbaar afkomstig uit inbreuken op databases van bedrijven en online diensten — praktijken die vrijwel overal ter wereld als crimineel worden beschouwd. De informatie strekt zich uit tot aan ingevulde adresgegevens die je browser opslaat, maar via een uitgebreider pakket, het “Infostealer Data Platform”, kunnen ook gebruikersnamen en wachtwoorden worden geleverd. Inderdaad: wachtwoorden.

Hoewel dit geavanceerdere pakket zogenaamd niet voor iedereen toegankelijk is, volstaat het aanleveren van een “legitieme reden” om toegang te krijgen. Op de lijst van zogenaamd geldige toepassingen staan onder meer “privé-onderzoek”, “journalistiek”, “cybersecurity”, “wetshandhaving”, en zelfs “merkbescherming”. Maar nergens is sprake van een verplichte gerechtelijke bevel of enige controle op wie er toegang krijgt tot deze gevoelige data.

De website van Farnsworth doet er niet moeilijk over. Integendeel, het lijkt eerder trots op zijn dubieuze methoden. In een promotietekst schrijft het bedrijf dat het “beroemd is om zijn human intelligence capaciteiten” en beweert het zelfs een Noord-Koreaanse laptopfarm te hebben geïnfiltreerd via social engineering. Volgens dezelfde tekst heeft die actie bedrijven “miljoenen dollars” bespaard.

Het is op zichzelf niet ongebruikelijk dat gelekte gegevens circuleren op het internet of de donkere hoekjes van het dark web. Soms worden die gegevens gebruikt door beveiligingsbedrijven om klanten te waarschuwen dat hun gegevens zijn gelekt. Maar een bedrijf dat openlijk gestolen data verkoopt aan willekeurige derden, onder het mom van “open source intelligence”, is een heel ander verhaal. Zeker omdat er nauwelijks restricties lijken te zijn op wie de informatie koopt — of waarvoor.

En hoewel in veel landen bewijs dat op illegale wijze is verkregen niet toelaatbaar is in een strafzaak, biedt dat geen bescherming tegen misbruik in de praktijk. Een gewelddadige ex-partner, bijvoorbeeld, hoeft geen gerechtelijk bevel te overleggen om het meest recente adres van een slachtoffer te achterhalen via deze dienst. Dit soort misbruik is niet hypothetisch, het is een reëel risico. En de gevolgen voor kwetsbare groepen, activisten, journalisten, of simpelweg mensen die privacy belangrijk vinden, zijn groot.

Als techjournalist kan je geen uitspraken doen over de juridische status van deze praktijken — daar zijn advocaten voor. Maar als mens is het niet moeilijk om in te zien dat het massaal verzamelen en verhandelen van gestolen privégegevens, zonder enige waarborg of ethische overweging, ronduit gevaarlijk en moreel verwerpelijk is. Zoals Cooper Quintin van de Electronic Frontier Foundation het treffend verwoordde: “Het zou illegaal en immoreel zijn om gestolen telefoons te verkopen, zelfs als je ze zelf niet hebt gestolen — en ik zie niet in hoe dit anders is.” Farnsworth Intelligence en oprichter Aidan Raney zijn om commentaar gevraagd, maar gaven geen reactie.

Door: Drifter