Dat zegt Rickey Gevers van Digital Investigation. De data is inmiddels al maanden in het bezit van het ict-onderzoeksbedrijf en zou al eerder worden vernietigd. Dat is toen uitgesteld doordat na publiciteit veel bedrijven op zoek gingen naar hun data in de brei van 750 GB aan informatie. Die verzoeken via Surfcert komen nog steeds bij Digital Investigation binnen, zegt Gevers.

Het gaat tot nu toe om bijna 50 organisaties die -volgens Gevers- “behoorlijk schrikken" als zij zien welke data vanuit hun bedrijf of instelling terecht is gekomen op de Command & Control-server van de beheerders van het Pobelka botnet. In totaal zou er informatie zijn van duizenden organisaties, waaronder NU.nl, de NOS, maar ook waterleiding- en energiebedrijven. Gevers zegt “na de piek aan informatie-aanvragen" over te willen gaan tot vernietiging van alle data. Hij wil niet wachten tot alle organisaties zich hebben gemeld. "De deadline voor nog geïnteresseerde organisaties is 28 februari", zegt Gevers. "Op 1 maart vernietigen we de data."

Politie ontkent bezit data

De data zou vernietigd kunnen worden omdat volgens Gevers het Team High Tech Crime van de nationale politie inmiddels beschikt over een complete kopie van de 750 GB aan data. Overigens ontkent dat team dat zij alle data hebben. “We hebben in eerste instantie een deel van de informatie aangeboden gekregen, maar die data bleek corrupt en dus onleesbaar", zegt Franki Klarenbeek, woordvoerder namens Het Team High Tech Crime. Na enkele gesprekken met Gevers zou volgens haar gebleken zijn dat er geen link kon worden gemaakt met bestaande strafrechtelijke onderzoeken en dus zag de politie van verdere actie af.

Gevers wil die lezing van het team HTC nuanceren. “We hebben inderdaad gesprekken gehad en ja, er kon geen link worden gemaakt met bestaande onderzoeken. Maar tijdens die gesprekken werd niets gezegd over corrupte data. Dat werd ons pas afgelopen week duidelijk. Verder was de politie volledig op de hoogte van al onze acties." Gevers wil benadrukken dat het team HTC "zijn uiterste best heeft gedaan" het onderzoek naar deze C&C-server binnen bestaande onderzoeken te passen. "Dit bleek simpelweg niet mogelijk. Maar er ligt inmiddels een volledige kopie van de data bij de politie."

Data van C&C-server in Duits datacenter

De 750 GB aan data die Digital Investigation nog steeds in bezit heeft, komt vanaf een Command & Control-server die toebehoorde aan de herders van het botnet Pobelka, dat duizenden computers in Nederland had besmet. Die server stond in Duitsland, in een datacenter dat eigendom is van een Nederlands hostingbedrijf. Vanwege de fysieke ligging van de server kon de cyberpolitie eventueel zelf pas ingrijpen nadat al het papierwerk met de Duitse collega's was afgehandeld.

Digital Investigation kreeg de server daarentegen in de schoot geworpen. “De eigenaar van het datacenter reageerde op ons eerste bericht dat er wat met die server was nog vol ongeloof. De dag erna was hij geschrokken en gaf hij de controle over de server aan ons." Van de server haalde Gevers de bewuste 750 GB aan data, die sindsdien als een hete aardappel in zijn handen ligt. “In eerste instantie wilde niemand het hebben, ook de NCSC niet. Pas later hadden ze belangstelling voor de IP-adressen die tot die data behoorden en die datablokken hebben we ze gegeven."

Data door beperkte groep mensen ingezien

Ook de zich nu meldende bedrijven krijgen alleen de datablokken toegestuurd die informatie bevatten die gerelateerd is aan die organisatie. “En dan alleen als die organisaties bekend zijn bij NCSC en/of Surfcert." Verder is (een deel van) de data ingezien door twee medewerkers van de NOS, onderzoeksjournalist Brenno de Winter en in eerste instantie twee functionarissen van het Team High Tech Crime Die hebben allen een Non-Disclosure Agreement (NDA) moeten tekenen, waarbij werd beloofd geen namen van organisaties bekend te maken. Verder moest het inzien van data "journalistiek relevant" zijn. De organisaties die vorige week in de uitzending van het NOS Journaal werden genoemd, hadden daarmee ingestemd, zegt Gevers.

Update 10.10: De KLPD bestaat sinds de invoering van de nationale politie als koepelorganisatie niet meer. Daar waar KLPD stond is of 'politie' of team High Tech Crime neergezet.