01:50:02

Bir Bilgisayara Erişim İzni Veriliyor Ama Artık Onu Pek Kullanmak İstemiyor

Pepijn Van der Stap 22 Ocak 2023 gecesi boyunca uyumadı ve fanının uğultusu dışında sessizlik içinde bilgisayarlarından birini tamir etti. Gün doğumundan yaklaşık bir saat önce bir siber suç sitesindeki hesabına giriş yaptı. Bunu yaptığında, yüzleri siyah kar maskelerinin arkasına gizlenmiş bir düzine polis memuru, Hollanda’nın sahil kasabası Zandvoort’ta denize sıfır bir noktada bulunan dairesine daldı. Birkaç dakika içinde Van der Stap‘in etrafını sarmış, gözlerini bağlamış ve klavyesine el koymuşlardı.

Koyu sarı saçlı ve bebek yüzlü, zayıf, 1.80 boyundaki bu adamı yakalamak şaşırtıcı bir güç gösterisiydi. Tutuklandığında sadece 20 yaşında olan Van der Stap, Hollanda’daki siber güvenlik uzmanları arasında iyi tanınıyordu. Ama bir suçlu olarak değil, kendilerinden biri olarak. Van der Stap‘ın yaygın olarak kullanılan yazılımlardaki güvenlik açıklarını tespit eden çalışmaları, devlet kurumlarının ve uluslararası alanda binlerce şirketin potansiyel veri ihlallerinden korunmasına yardımcı olmuştu. Çalışmalarını siber güvenlik konferanslarında sunmuş ve meslektaşları zekâsından dolayı onu övmüşlerdi.

Bu meslektaşlarının öğrenmek üzere olduğu gibi, Van der Stap aynı zamanda iki yıllık bir polis soruşturmasının da konusuydu. Memurlar aylardır onu evinde dinliyor ve bilgisayarına gizlice yerleştirdikleri cihazlar aracılığıyla çevrimiçi faaliyetlerini izliyorlardı. Van der Stap‘in durumu kötüleşmemişti, aksine eski haline dönmüş ve bilgisayar korsanlığı dünyasını geride bırakma girişiminde başarısız olmuştu. Siber güvenlik kariyeri, kısmen ergenlik çağında başlayan ve onu Avrupa’nın en üretken çalıntı veri istifçilerinden birine dönüştüren takıntılarını yönetme arzusundan ilham almıştı.

Savcılara göre Van der Stap binlerce şirketten çalıntı bilgiler içeren veri tabanları elde etmiş, bunları şifrelenmiş sabit disklerde ve kendi kontrolündeki sunucularda titizlikle düzenlemiş ve kategorize etmişti. Ya kendi bilgisayar korsanlığı yoluyla ya da diğer bilgisayar korsanlarıyla veri alışverişi yaparak, muhtemelen neredeyse her Hollanda vatandaşının kayıtları da dahil olmak üzere yüz milyonlarca insan hakkında kişisel bilgi biriktirmişti. Savcıları, bu ölçekteki suçların “daha önce hiçbir Hollanda ceza davasında meydana gelmediğini” söylüyor.

Polis, Van der Stap‘in verileri korumaktan sorumlu kuruluşları, bazen veri tabanlarını silmekle ya da ağ altyapılarına zarar vermekle tehdit ederek haraca bağladığını söylüyor. Görevliler 600.000 €’dan fazla nakit ve kripto para ele geçirdi; Van der Stap sonunda her şeyi itiraf etti ve dört yıl hapis cezasına çarptırıldı.

Yasal süreç sırasında, Van der Stap‘ın birincil motivasyonunun mali kazanç olmadığını gösteren kanıtlar ortaya çıktı. Zandvoort’taki dairenin parasını yasal siber güvenlik işinden aldığı maaşla ödemişti ve genç hacker’lara özgü ganimetlerin hiçbirine sahip değildi -hızlı arabalar, tasarım kıyafetler ya da pahalı mücevherler gibi. Gasp ettiklerinin çoğu hâlâ kripto para cüzdanlarında duruyordu. Bloomberg Businessweek muhabiri ona neye para harcamayı sevdiğini sorduğunda iki şey sıraladı: sabit diskler ve sunucular.

Onun için asıl ödül verinin kendisiydi. Van der Stap bu verileri toplamayı ve binlerce klasör halinde titizlikle düzenlemeyi takıntı haline getirmişti. Ayrıca, çalınan verilerin diğer hackerlardan daha kapsamlı bir havuzuna sahip olmak için rekabetçi bir dürtüyle hareket ediyor ve üstünlüğünü korumak için olağanüstü çaba sarf ediyordu. Bazen bir hack sırasında güvenlik açıklarından yararlanır, sonra da istediğini toplamayı bitirdiğinde bu açıkları düzeltirdi. Bunu kurbanlarına bir iyilik olsun diye yapmıyordu; sadece verilere sahip olan tek hacker olmak istiyordu.

Van der Stap, hapishanede kaldığı birkaç ay boyunca telefonda ve yüz yüze yaptığı görüşmelerde, genç yaşta bilgisayarlara nasıl ilgi duyduğunu ve bilgisayar korsanlığına nasıl yöneldiğini anlattı. Suçlarını telafi etmenin bir yolu olarak ve diğer genç hackerların kendi hayatlarını düzene sokmalarına yardımcı olması umuduyla hikayesini anlatmak istediğini söyledi.

Businessweek ile yaptığı görüşmeler sırasında Van der Stap hâlâ yaptıklarının ciddiyetiyle yüzleşmeye çalışıyor gibiydi. Suçunu rahatça kabul etti, ancak zaman zaman suç çılgınlığı sırasında sergilediği teknik becerilerle övünmekten de kendini alamadı. Amsterdam’ın 12 mil kuzeybatısındaki bir hapishane hücresinde suç kariyerini düşünürken Van der Stap derin bir rahatlama duygusu hissettiğini söyledi. “Beni daha önce tutuklamalarını isterdim” dedi. “Bulunduğum yerde olmaktan memnunum.”

Van der Stap‘ın annesi Sammy Brands, oğlunun çocukken dışarıda pek oynamadığını söylüyor. Web sitelerinde içerik görüntüleme teknikleri gibi alışılmadık ilgi alanları vardı. Van der Stap yaklaşık 10 yaşındayken, PHP for Dummies serisinden bir kitabı eline aldı ve web siteleri oluşturmak için yaygın olarak kullanılan programlama dilini öğrenmeye başladı.

Gençliğinin büyük bölümünü Amsterdam’a bir saatlik mesafede bulunan taşra şehirleri Almere ve Lelystad’da oradan oraya taşınarak geçirdi. Annesi bir ev eşyaları mağazasında çalışmış ve restoranların işletilmesine yardımcı olmuş; Van der Stap ve ağabeylerinden biri, kısmen teknolojiyi sınıftan uzak tutarak yaratıcılığa ve hayal gücüne öncelik veren bir Waldorf okuluna gitmiş. Brands, “Deliydi, çünkü tek istediği bilgisayara girmekti, hayatı buydu,” diye hatırlıyor.

Van der Stap‘ın anne ve babası o yaklaşık 4 yaşındayken ayrılmış. Annesi, başka sorunlarla da uğraşan oğlu için bu durumun zor olduğunu söylüyor. Bir noktada oğluna, sosyal olarak başkalarıyla ilişki kurmakta zorlanma ve belirli rutinleri ve ilgi alanlarını takıntı haline getirme eğilimi ile karakterize edilen bir gelişim bozukluğu olan Asperger sendromu teşhisi konmuş. Brands bu teşhisi reddettiğini söylüyor.

Van der Stap çocukluğu hakkında ayrıntılı bilgi vermek istemiyor. Ancak kovuşturmasıyla ilgili belgeler, bir keresinde kendi canına kıymaya çalıştığını gösteriyor ve hem kendisi hem de annesi bunu doğruluyor. Ayrıca bir süre ailesinden uzakta, sorunlu ev hayatı olan çocukların kaldığı bir tesiste yaşamış.

Bilgisayar güvenilir bir kaçıştı. Van der Stap 13 yaşındayken Minecraft adlı dünya kurma oyununu oynarken birisi sohbette bir internet servis sağlayıcısını hackleyebileceğini ve şirketin abonelerinden herhangi birinin kişisel bilgilerini elde edebileceğini söyleyerek övündü. Van der Stap hacker’a ailesinin bilgilerini bulup kendisine göndermesi için meydan okudu. Hacker bunu yaparak Van der Stap‘ı etkiledi ve siber suçlarla uğraşan diğer kişilerle tanıştığı çevrimiçi bir gruba katılmasına yol açan bir arkadaşlığın kıvılcımını çaktı.

Çok geçmeden, Gamergate trolleme hareketini ve QAnon komplo teorisini teşvik etmesiyle öne çıkan kötü şöhretli bir anonim mesaj panoları koleksiyonu olan 8chan’i ziyaret etmeye başladı. (Sitenin adı o zamandan beri 8kun olarak değiştirildi.) Van der Stap çoğunlukla siyasi konuları atladı. Öncelikli olarak Baphomet adlı bir panoya ilgi duydu; burada kullanıcılar, hacklenen şirketlerden çalınan tüketici verileri gibi elde ettikleri ve hâlâ istedikleri veri tabanlarının listelerini yayımlıyorlardı.

Van der Stap en iyi ve en eksiksiz veri tabanı koleksiyonuna sahip olmayı takıntı haline getirdi ve bu da siber saldırılar gerçekleştirme arzusunu körükledi. “Bilgisayar korsanlığı benim için çok kolaydı ve bu bir zorunluluk değildi,” diyor. “Benim alışkanlığım toplamaktı. Veri toplamak, verileri düzenlemek, verileri indirmek, klasörler oluşturmak.”

Van der Stap 2018 yılında, 16 yaşındayken bilgisayar programcılığı okumak için meslek yüksekokuluna kaydoldu. İlk haftasında canı sıkıldı ve üniversitenin bilgisayar ağına dağıtılmış bir hizmet reddi (DDoS) saldırısı düzenledi -çevrimdışı kalmaya zorlamak için ağa trafik bombardımanı yaptı. Yakalandıktan sonra, genç siber suçluları yasadışı faaliyetlerden uzaklaştırmayı amaçlayan Hack_Right adlı bir hükûmet programına katılmaya gönderildi. Van der Stap bu girişimi tamamladı ve 2020 yılında üniversiteden mezun oldu. Annesinin evindeki yatak odasından birkaç Hollandalı şirket için yazılım geliştirme ve mühendislik alanlarında serbest çalışmaya başladı.

Brands‘e göre Van der Stap çoğu gün akşamın derinliklerine kadar çalışıyordu. Üç dizüstü ve iki masaüstü bilgisayarı olduğunu ve genellikle hepsinin aynı anda açık olduğunu hatırlıyor. “Çok fazla ekranı vardı” diyor. “Deli gibi çalışırdı ve her zaman çok hızlı yazardı.”

Kendi ifadesine göre, Van der Stap bu sıralarda bir bilgisayar korsanlığı ve gasp çılgınlığına başladı. Hedefleri arasında iki üniversite, Hollandalı bir yayıncılık şirketi, bir pizza zinciri, birkaç teknoloji ve ticaret firması ve bir kripto para borsası vardı. Ayrıca, virüs bulaşmış bilgisayarlardaki dosyaları erişilemez hale getiren fidye yazılımını yayan başka bir hacker’a da yardım etti. Polis daha sonra Van der Stap‘ın, aralarında bir sağlık kuruluşunun da bulunduğu en az iki fidye yazılımı kurbanından zorla para almaya çalıştığına dair kanıtlar buldu. (Van der Stap işlediği pek çok suçu kabul etmekle birlikte, fidye yazılım saldırılarının sorumluluğunu üstlenme konusunda isteksiz davranıyor ve bu vakalarda itici gücün ortağı olduğunu söylüyor. “Görünüşe göre bu kurbanlardan ikisiyle görüşmeler yapmışım,” diye kabul ediyor. “Yani bu bir nevi gasp anlamına geliyor.")

Ekim 2021’de, merkezi İngiltere’nin Manchester kentinde bulunan siber güvenlik firması NCC Group, SnapMC adını verdikleri ve “genellikle 30 dakikadan kısa sürede tamamlanan hızlı saldırılar” gerçekleştirdiğini söyledikleri hacker hakkında bir rapor hazırladı. Van der Stap bu kişinin kendisi olduğunu söylüyor ve raporu ortaya çıkardığı için neredeyse gurur duyuyor. “O kadar hızlıydım ki neredeyse hiçbir güvenlik şirketi yanıt veremedi” diyor.

Van der Stap‘in ilişkili olduğu bir grup hacker’ı yakından takip eden Hollandalı siber güvenlik uzmanı Rickey Gevers, Van der Stap‘in becerilerinin dikkate değer olduğu konusunda hemfikir. Gevers, genellikle çocukça trollük yapan bir grupta “o daha sessiz biriydi” diyor, ancak “her zaman tüm sınırları aşardı”.

Şubat 2021’de Van der Stap, Rotterdam merkezli biletleme şirketi Ticketcounter BV‘den çalıntı veriler elde etti ve 3 milyon müşteri kaydını bir siber suç forumunda satmaya çalıştı. Birkaç gün sonra, WhatsApp‘ta sahte bir kişilik yarattı ve Portekiz’e ait bir telefon numarası ile Rus muhalefet figürü Alexey Navalny‘nin profil resmini kullanarak Ticketcounter‘ın icra kurulu başkanı Sjoerd Bakker‘e bir mesaj gönderdi. “Eğer bunu gizli bir şekilde halledebilirsek, hiçbir zarar gelmeyecektir” diye yazdı. Bakker’a, o sırada yaklaşık 400.000 $ değerinde olan yedi Bitcoin almadığı takdirde verileri halka açıklayacağını söyledi.

Bakker hemen polise haber verdi. Şirketine gelebilecek olası zarardan korksa da haraç talebini ödemeye niyeti yoktu ve bu durum Van der Stap‘i kızdırmış görünüyordu. “Dedi ki, ‘Kocanın kim olduğunu biliyorum. Nerede yaşadığını biliyorum’ dedi. Çok korkutucu bir hal aldı,” diyor Bakker. “O noktada tüm iletişimi kestim.”

Gece gündüz bilgisayar başında çalışan Van der Stap, siber suçlar konusunda tükenmeye başlamıştı. Artık bu mücadeleden heyecan duymuyordu. Bilgisayarında iki dakika içinde yıkıma neden olacak komutlar yazabildiğini söylüyor: “Bunu gözlerim kapalı bile yapabilirdim. Artık heyecan verici değildi; sadece sağlıksızdı.”

Ayrıca giderek daha da endişeleniyordu, çünkü sadece siber güvenlik araştırmacılarının değil, aynı zamanda emirlerini yerine getirmesini isteyen hacker çetelerinin de dikkatini çektiğini biliyordu. Rusça konuşan ünlü fidye yazılımı çetesi LockBit‘in defalarca onu işe almaya çalıştığını söylüyor. LockBit‘i hiç sevmemiş, üyelerini açgözlü, liderlerini ise dengesiz ve tehlikeli olarak görmüş. “Çok fazla veriye sahip olduğuma dair bir fikirleri vardı, ki bu doğruydu” diyor. “Biraz kirli olduğunu düşündüğüm için onlarla hiç birlikte olmadım.”

Hassas telekomünikasyon altyapısından füze sistemlerine kadar her şey hakkında bilgi isteyenlerin de olduğunu söylüyor. Hükûmetler için çalışan insanlardan gelebileceğinden endişe ettiği bu tür talepleri genellikle geri çevirirdi. Her şeyin “tuhaf ve korkutucu” hale geldiğini söylüyor. Hâlâ genç bir delikanlıydı. Bir sabah aynada kendine baktı ve aniden korkuya kapıldığını hissetti.

2021’in sonlarına doğru, o zamanlar 19 yaşında olan Van der Stap yasal işler yapmaya karar verdi. Şirketlerle iletişime geçerek siber güvenlik açıkları konusunda yardım teklif etmeye başladı. Bir vakada, Hollanda’da bağımlılık sorunları olan insanlara yardım eden bir kuruluş tarafından kullanılan sunuculardaki güvenlik eksikliklerini tespit ettiğini söylüyor. Bir başka örnekte ise Hollandalı bir su şirketi ve elektrik sağlayıcılarına altyapılarındaki güvenlik açıkları hakkında bilgi verdiğini söylüyor. Su şirketi yönetimi bunun karşılığında kendisine bir kutu hediye ve el yazısıyla yazılmış bir teşekkür notu göndermiş. “Yaptığım kötü şeyleri iyi bir şeyle telafi etmeye çalıştım” diyor.

Ayrıca Londra ve Amsterdam’da bir siber güvenlik girişimi olan Hadrian Security‘de çalışmaya başladı. Hack_Right programında Van der Stap‘e mentorluk yapmış olan şirketin kurucu ortaklarından Olivier Beg, işe girmesine yardımcı oldu. Görevinin bir parçası da Hadrian‘ın müşterilerine yönelik siber saldırı simülasyonları gerçekleştirmekti.

Beg bu haber için kendisiyle röportaj yapılmasını reddetti. Ancak Hadrian‘ın kurucu ortağı ve CEO’su Rogier Fischer, Van der Stap‘ın hiçbir tehlike işareti göstermediğini söylüyor. “Tüm hackerlar biraz tuhaftır. Aynı şey geliştiriciler için de geçerli,” diyor Fischer. “Ama son derece yetenekliydi.”

Ocak 2022’de Van der Stap, düzeltilmeleri için internetteki güvenlik açıklarını tarayan ve kâr amacı gütmeyen bir kuruluş olan Hollanda Güvenlik Açığı İfşası Enstitüsü‘nde gönüllü olarak çalışmaya başladı. DIVD‘nin genel müdürü Chris van ‘t Hof, “DIVD’de çalışmaya başladığı andan itibaren en parlak araştırmacılarımızdan biri oldu,” diye hatırlıyor. “Her vakada hemen ekibin en üretken üyesi olurdu.” Van ‘t Hof, Van der Stap‘ın on binlerce şirketi etkileyen güvenlik açıklarının giderilmesine yardımcı olduğunu söylüyor. Katkıları sayesinde Avrupa Birliği siber güvenlik ajansının “şöhretler listesinde” yer aldı ve “topluluğumuza özverili bir şekilde yardım etme” çabalarından dolayı takdir edildi.

Ancak siber suçların cazibesine direnmek zor oldu. Şubat 2022’de eski bir iş arkadaşı Van der Stap ile temasa geçerek bir bilgisayar korsanlığı konusunda yardım istedi. Bu kişi, Birleşik Krallık’ta 49 milyondan fazla telefon, televizyon ve internet abonesi olan İngiliz Virgin Media O2 şirketine bağlı savunmasız sunucular tespit etmişti. Eğer sunucuya girebilmiş olsalardı, bu bir telekomünikasyon şirketinin şimdiye kadarki en büyük ele geçirilişlerinden biri olacaktı.

Van der Stap, asıl işi yapacak başka birini arayan bir beleşçi olarak gördüğü eski ortağından gelen teklifleri ilk başta görmezden geldi. Ancak üç aylık baskı ve “neredeyse ağlamaklı bir tonda” yardım etmesi için yalvaran 20 mesaj olarak tanımladığı mesajlardan sonra nihayet kabul etti. Van der Stap, sunucunun eski yazılımındaki bir güvenlik açığından yararlanarak içeri girdi. “Üç dakikamı aldı” diyor.

Şirketin yedekleme dosyaları ve üretim günlüklerinin yanı sıra 20 milyondan fazla müşteri kaydını ele geçirdi. Van der Stap‘a göre verilerin çoğu şifrelenmemişti. Şaşırtıcı bir vurgun olmuştu.

Van der Stap verilerin bir kopyasını aldı ve Batılı kolluk kuvvetlerinin ulaşamayacağı Rusya’daki bir sunucuda sakladı. Hollandalı savcılara göre, daha sonra verileri şirketin kendi sunucusunda erişilemez hale getirdi ve güvenlik ekibine bir mesaj gönderdi. “Merhaba, muhtemelen bu e-postayı neden aldığınızı merak ediyorsunuz,” diye başlıyordu not. “Altyapınızdaki bir güvenlik açığı nedeniyle… sakladığınız birçok veriyi ele geçirmeyi başardım.”

Van der Stap, elde ettiği verilerin ayrıntılarını açıklamaya devam etti, Bitcoin cinsinden 750.000 $ ödeme talep etti ve şirkete yanıt vermesi için 72 saat süre verdi. “Eğer iletişime geçmezseniz, altyapınıza ciddi zarar vereceğiz ve kaynak kodunuz sızdırılacak,” diye tehdit etti.

Bu mesaj Virgin Media O2‘nin güvenlik ekiplerini paniğe sevk etti. Businessweek tarafından görüntülenen şirket içi e-postada, bir şirket yöneticisi Van der Stap‘ın mesajını alan güvenlik müdahalesine dahil olmayan herkese mesajı silmeleri talimatını verdi. Yönetici, “Bunun doğru olduğu ortaya çıkarsa müşterilerimiz üzerindeki potansiyel etkisi ve itibar kaybı nedeniyle, dikkatli davranmamız ve alınan bilgileri yaymamamız veya kimseyle paylaşmamamız gerekiyor” uyarısında bulundu.

Şirket iki gün içinde Van der Stap‘ın iddialarının gerçek olduğunu doğruladı. Kendisine piyasa değeri 764.450 $ olan 24,7 Bitcoin ödedi.

İhlal şimdiye kadar kamuya açıklanmamıştı. Uluslararası devler Telefónica ve Liberty Global‘in sahibi olduğu şirket, bir sözcüsünün Businessweek‘e gönderdiği e-postada belirttiğine göre, işine önemli bir etkisi olmadığı için o sırada bunu açıklamadı. “Hiçbir kişisel mali bilgiye erişilemedi ve ICO’yu -Birleşik Krallık Bilgi Komiserliği- ve işbirliği yaptığımız diğer yetkilileri derhal uyarmak da dahil olmak üzere hızlı bir şekilde harekete geçtik,” diye yazan sözcü, Birleşik Krallık’ın veri koruma düzenleyicisi olan ICO‘nun olayı ve Virgin Media O2’nin yanıtını araştırdığını ve herhangi bir işlem yapmadığını da sözlerine ekledi.

Sözcü, “Güvenlik nedenleriyle attığımız belirli adımları detaylandırmıyoruz, ancak bu eylemler hızlı, titiz ve her zaman birinci önceliğimiz olan müşterilerimizi korumaya odaklıydı” diye yazdı. Şirket Bitcoin ödemesiyle ilgili sorulara ise yanıt vermedi.

Bu, Van der Stap‘in şimdiye kadarki en büyük tahsilatıydı. Paranın yaklaşık beşte birini, kendisine hack’lemesi için baskı yapan iş ortağıyla paylaştı. Geri kalanını bir kripto para cüzdanında sakladı. Sonra Hadrian ve DIVD‘deki günlük işlerine geri döndü.

Saldırıdan sonra Van der Stap tekrar siber suç sahnesinden çekildi. Ancak sekiz ay sonra, Ocak ayındaki o gece, suç faaliyetleri için kullandığı bilgisayarı açmak ve bazı hesaplarına giriş yapmak gibi kritik bir hata yaptı.

Hollanda polisi neredeyse iki yıldır bu an için hazırlanıyordu. Mart 2021’e kadar uzanan bir dizi saldırının aynı IP adresleri, e-posta adresleri, telefon numaraları ve kripto para cüzdanları koleksiyonu kullanılarak gerçekleştirildiğini fark etmişlerdi. Bazı durumlarda kurbanlara gönderilen notlarda neredeyse aynı ifadeler yer alıyordu.

Online hesapları ve telefon numaralarını gerçek dünyadaki bir kimliğe bağlayacak ipuçlarını aramaya başladılar. Bilgisayar korsanı, sahte kimliklerden oluşan bir ağın arkasına saklanarak izini kaybettirme konusunda iyi bir iş çıkarmış gibi görünüyordu. Ancak 2022 yılının başlarında polis, siber suçlular için çevrimiçi bir mesaj panosu olan RaidForums’dan ele geçirilen kullanıcı veritabanlarının kopyalarını elde etti. Saldırıdan elde ettiği verileri satmaya çalışan bir kullanıcı, başlangıçta “pepijnstap”-Van der Stap‘ın gerçek adı- rumuzunu içeren bir e-posta adresiyle kaydolmuştu.

Kısa sürede bir dizi bilgisayar korsanlığı vakasında baş şüpheli haline geldi. Polis evini dinlemek için onay aldı, o uzaktayken içeri girdi ve ev ofisine bir mikrofon yerleştirdi. Ayrıca klavyesinin içine bir keylogger yerleştirerek yazdığı her şeyi izlemelerini sağladılar.

Polis aylarca Van der Stap’in siber suçlar için kullandığı bilgisayara giriş yapmasını bekledi. Bilgisayarın dahili sabit diskleri şifreli olduğu için, bilgisayar korsanlığındaki sorumluluğunu kanıtlamak için ihtiyaç duydukları delilleri elde etmenin tek yolu onu bilgisayarı kullanırken yakalamaktı. Sonunda bunu başardığında her şey çok hızlı gelişti. Van der Stap‘in tutuklandığını anlaması birkaç dakika sürdü; önce soyulduğunu zannetmişti.

Bilgisayar, 4.000’den fazla klasör halinde dikkatlice düzenlenmiş 33 terabayt çalıntı veri içeren, ayrı ayrı şifrelenmiş sabit disklerden oluşan karmaşık bir sistem içeriyordu. Olayın büyüklüğü polis ve savcıları şaşkına çevirdi. Savcılar, “Şüphelinin bilgisayarında bulunan kişisel verilerin miktarı o kadar büyük ki, toplamda kaç kişinin dahil olduğu bile belirlenemedi” sonucuna vardı. Yine de polis, Van der Stap‘ın hacklenen şirketlere gönderdiği tehdit mesajlarının kopyaları, tehditleri göndermek için kullandığı bir e-posta hesabının giriş bilgileri ve tutuklandığında giriş yaptığı siber suç forumuna gönderdiği çalıntı verilerle ilgili mesajlar gibi kanıtları ele geçirmeyi başardı.

Van der Stap‘ın dairesine yapılan baskın sırasında, bir grup polis memuru annesinin Almere’deki evine geldi. Onları kapıda gördüğünde en kötüsünden korkmuş. Oğlunun anksiyete ve depresyonla mücadele ettiğini biliyordu -ilk düşüncesi ona öldüğünü söylemek için orada olduklarıydı.

Polis varlıklarını hemen açıklamadı, sadece arama yapmak için izinleri olduğunu söyledi. Brands ancak Van der Stap‘ın avukatı ve Hadrian’daki meslektaşlarıyla konuştuktan sonra oğlunun gözaltına alındığını ve ciddi siber suçlarla suçlandığını anladı. “Bu benim için tam bir şok oldu” diyor. “Pepijn çok tatlı, sevecen bir oğul olduğu için bu benim için inanılmazdı. Hollandaca’da bir deyim vardır; ayaklarımın altındaki toprak gitmişti.”

Van der Stap‘a yönelik suçlamalar Ekim 2023’te Amsterdam’ın güneyindeki bir mahkeme binasında ortaya kondu. Duruşmalar iki gün boyunca devam etti ve duruşma salonu Van der Stap’ın siber güvenlik görevlerinde birlikte çalıştığı kişilerle doluydu.

Bu kişiler arasında duydukları karşısında şoke olan Hadrian’s Fischer da vardı. “Kendimi ihanete uğramış gibi hissettim,” diyor. “Çünkü her gün onun gibi hackerlarla mücadele ediyorduk.” Van der Stap‘in insanları tehdit etme ve şirketlerden haraç alma olaylarına karışmasıyla ilgili ayrıntılar özellikle canını yaktı. “Bunun affedilemez ve kabul edilemez bir davranış olduğunu düşündüm. Ve bu canımı yaktı.”

DIVD konuyu tartışmak üzere personel toplantıları düzenledi ve insanlar gözyaşlarına boğuldu. Van ‘t Hof davanın kurumu çökertebileceğinden korkuyordu. Kâr amacı gütmeyen bir kuruluş olarak dış finansmana dayanıyor ve Van der Stap‘ın tutuklanmasının ardından haberlerin ortaya çıkmasından kısa bir süre sonra, kuruluşun sponsorlarından biri DIVD ile ilişkisini kesti ve toplam 200.000 Avro tutarındaki planlanmış ödemeleri iptal etti. Van ‘t Hof, “Cehennemden geçtik, neredeyse iflas ediyorduk, güvenimizi kaybettik,” diyor.

DIVD, Van der Stap‘ın kurumdaki görevini kötüye kullanıp kullanmadığını anlamak için dışarıdan bir yükleniciye bir soruşturma yaptırdı; soruşturmada hiçbir şey bulunamadı. DIVD o zamandan beri mali açıdan toparlanmış durumda.

Van ‘t Hof, Van der Stap‘a kızgın olmadığını söylüyor. Onun yerine üzüntü ve acıma duygularını dile getiriyor: “Böylesine parlak bir zekânın boşa harcanması ne büyük bir kayıp.”

Kasım 2023’te bir yargıç Van der Stap‘ı bilgisayarlara izinsiz girme, gasp, kamuya açık olmayan verileri çalma, fidye yazılımı dağıtma ve en az 1,5 milyon Avro aklama suçlarından suçlu buldu. Yargıç Van der Stap‘ın yaşını, kişisel koşullarını ve itirafını göz önünde bulundurduktan sonra kendisine hafif bir ceza verdi. Üç yıl sonra serbest bırakılması ve bunu üç yıllık denetimli serbestliğin takip etmesi bekleniyor.

Van der Stap şimdi Amsterdam’ın dış mahallelerindeki bir sanayi bölgesinde küçük bir hapishane hücresinde yaşıyor. Zamanını telafi etmeye çalışarak geçiriyor. Bilgisayar ekranının arkasındayken neden olduğu zarardan uzak olduğunu, ancak şimdi bununla yüzleşmek zorunda kaldığını söylüyor.

Van der Stap, cezasının infazından yaklaşık bir ay sonra Businessweek ile yaptığı bir saatlik görüşmede, ahlaki suçluluk konusunu doğrudan gündeme getirdi. Bir süre sessiz kaldıktan sonra, “Yaptığım her şey hakkında ne düşünüyorsunuz?” diye sordu. O kadar uzun süredir -gençliğinden beri- bilgisayar korsanlığı yapıyordu ki ne zaman yanlış yaptığını ve ne kadar kötü olduğunu anlamakta güçlük çekiyordu. “Çoğu gülünç -bunu nasıl söyleyeceğimi bilmiyorum- çoğu sınırları çok aşıyor,” dedi eylemleri hakkında. “Ama merak edip durduğum şey şu: ‘2016’da ya da 2018’de yaptıklarım için gerçekten ben mi suçluyum?”

Bu hackerların çoğunluğu gençlerdir. Bazılarının siyasi motivasyonları vardı ama çoğunlukla can sıkıntısı ve merakın bir kombinasyonu ya da büyük bir hedefi alaşağı etmenin zaferiyle hareket ediyorlardı. “Herhangi bir ideolojiyle hareket etmiyordum,” diyor genç hacker, aynı durumun kendileri için yarattıkları durumdan kaçmaya çalışan pek çok genç hacker için de geçerli olduğunu söyledi. “Bunu duydunuz mu bilmiyorum ama herkes aynı cümleyi tekrarlıyor: ‘Ben ruhumu çoktan sattım. Asla duramam’. Ve pek çok hacker buradan çıkmak istiyor.”

Van der Stap‘in bir telefona erişimi var ve yaptıkları için özür dilemek amacıyla ailesini, iş arkadaşlarını ve bazı kurbanlarını arıyor. Geçen yılın sonlarında tehdit ettiği ve haraç almaya çalıştığı Ticketcounter CEO’su Bakker ile temasa geçti. Bakker başlangıçta Van der Stap‘e karşı öfkeliydi ve onun ağır bir şekilde cezalandırılmasını istiyordu, ancak onunla görüşmeyi kabul etti. Yaptıkları görüşmeden daha sempatik duygularla ayrıldı. Bakker, “Bittiği için mutluyum ama sonuçtan memnun değilim,” diyor. “Burada sadece kaybedenler var.”

Hapishanenin içinde, bir ziyaret odasında, Van der Stap beyaz bir tişört ve kot pantolon giyiyordu. Çocuksu yüzü ve utangaç tavırlarıyla diğer mahkumlardan ayrılıyordu. Terapi gördüğünü ve iki taraflı hayatının yorgunluğundan zorla koparıldığı için mutlu olduğunu söylüyor. Kendisini affetmiş olan annesini arayarak çok zaman geçiriyor. Cezası bittiğinde siber güvenliğe geri dönmeyi planlamıyor. Bunun yerine biyokimya ve tıp eğitimi almak istiyor. Hapishane ona gözetim altında bir bilgisayara erişim izni veriyor ama artık onu pek kullanmak istemiyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…