1. Commerciële bedrijven mogen legaal malware leveren

HackingTeam leverde software aan overheden die zich ethisch in een heel grijs gebied bevinden. Het gaat om software waarmee computers en smartphones kunnen worden geïnfecteerd.

Dat bedrijven als HackingTeam bestaan, was altijd een publiek geheim. Privacy-organisaties en activisten vermoedden dat altijd wel, maar bewijs was er eigenlijk nooit. Organisaties als de FBI zullen niet snel toegeven dat ze dergelijke software kopen - zogenaamd in het kader van 'de veiligheid'.

Uit de data van HackingTeam is onomstotelijk bewezen dat er overheidsinstanties zijn die software kopen van commerciële bedrijven, waarmee burgers gevolgd kunnen worden. Dat is geen verrassing, maar nu weten we het tenminste zeker.
 

2. Het bedrijf leverde aan de vreselijkste regimes

In de torrent van gestolen data was één aspect vooral interessant: De klantenlijst. Het bedrijf bleek zijn software namelijk niet alleen aan westerse inlichtingendiensten te verkopen, maar ook aan dictatoriale regimes.

Een van die landen is Soedan, dat bij de Verenigde Naties helemaal onder aan de vertrouwensladder staat. De VN hebben veel handelsrestricties opgesteld voor Soedan, waardoor je nog geen pak suiker naar het land mag exporteren zonder toestemming.

Maar HackingTeam zat daar niet zo mee. Dat leverde zonder scrupules spionagesoftware aan het land.

De doodseskaders uit Bangladesh zijn een andere notoire klant. Dat zijn geheime troepen die in opdracht van het dictatoriale regime dissidenten opsporen en liquideren. HackingTeam had er geen enkele moeite mee om software te leveren die dat werk wat makkelijker maakte.
 

3. Nederland had ook interesse

Precies een dag nadat de grote hack aan het licht kwam zou een delegatie van de Nederlandse politie een afspraak hebben met HackingTeam. Vanwege de hack werd die afspraak op het laatste moment afgezegd, waardoor Nederland niet officieel op de klantenlijst stond.

Dat neemt niet weg dat we nu wel weten wat de politie wil. Het is geen verrassing dat de politie en het Ministerie van Veiligheid & Justitie graag meer hack-bevoegdheden willen hebben, waarmee ze kunnen inbreken op computers van verdachten.

In de database met gestolen info zijn e-mails gevonden van een werknemer van de politie. Daarin geeft hij aan dat de politie mogelijk interesse had in Galileo (PDF), een softwarepakket waarmee apparaten van gebruikers kunnen worden gevolgd.

De politie ontkent overigens dat het interesse had in de software. Volgens een woordvoerder was er nooit echt sprake van dat de software werd aangeschaft. Het ging alleen om 'een oriënterend gesprek'.

Niet alleen de politie had interesse in de software. Al in 2011 bekeek de MIVD het bedrijf, en ook de Belastingdienst heeft navraag naar bepaalde software gedaan. Daarnaast werden er tientallen e-mails van ambtenaren van diverse ministeries gevonden in de database van HackingTeam.

Of er ook echt iets gekocht is, is niet bekend. Mogelijk wordt dat later nog bekend, wanneer alle archieven zijn doorzocht.
 

4. Het bedrijf had zijn eigen beveiliging niet op orde

Voor een bedrijf dat zulke geavanceerde en gevaarlijke software bouwt, heeft HackingTeam zijn eigen beveiliging totaal niet op orde. Hoewel het nog niet helemaal duidelijk is wie de grote hack pleegde en hoe dat ging, lijken er wel flinke gaten in de beveiliging te hebben gezeten.

Zo was de complete toegang tot alle servers in handen van een aantal systeembeheerders, die bovendien pas kort bij het bedrijf werkten.

Nu kun je je afvragen of dat erg is - eigen schuld, dikke bult, toch? Helaas is het niet zo simpel, want als een bedrijf dat zulke gevaarlijke software maakt zijn eigen beveiliging zo slecht heeft geregeld, hoe zit het dan met de software die nu op de markt is? Hoe zit het met de software die de plitie zou gaan gebruiken om Nederlandse verdachten te hacken? Zou die wél veilig zijn? Dat is maar de vraag...