Amsterdam, 31 maart 2012
Feitenrelaas onderzoek naar melding hack www.50pluspartij.nl (d.d. 30 maart 2012) In dit schrijven wordt uitgegaan van feiten zoals deze door mij zijn verkregen vanuit bronnen die in dit feitenrelaas worden aangegeven. Dit feitenrelaas is gemaakt naar aanleiding van aantijgingen, beschuldigingen, meningsverschillen en onduidelijkheden binnen het bestuur van 50PLUS, om hieruit conclusies te trekken en daarover een mening te vormen. Sinds 10 december 2010 ben ik, als extern freelance medewerkster verantwoordelijk geweest voor het opzetten en bijhouden van de website van 50PLUS. Mijn reguliere werkzaamheden bestaan uit het opzetten / ontwerpen en bijhouden van websites. In december 2010 ben ik gevraagd om zonder voorwaarden of garanties, op verzoek van bestuurslid en contactpersoon K. de Lange van de toen in oprichting zijnde partij, een website te maken, te zorgen voor de plaatsing en ordening van materiaal alsmede deze website te onderhouden. Daarnaast zijn kort na het eerste ontwerp en na plaatsing van de website met K. de Lange afspraken gemaakt over toekomstige vernieuwingen en ontwikkelingen om rekening te houden met een progressie van 50PLUS. Voor acute en actuele ontwikkelingen die betrekking hadden op de website, ben ik 24 uur per dag, ook tijdens vakanties, beschikbaar geweest. De vernieuwingen en ontwikkelingen van de website bleven uit doordat vanuit het bestuur aan mij geen voorstellen zijn gedaan om vernieuwingen en wijzigingen van de website uit te voeren. Door slechts de voorzitter J. Nagel en bestuurslid K. de Lange werd politiek inhoudelijk materiaal aangeleverd, dat door mij op de website van 50PLUS is geplaatst. Op 22 februari 2012 werd mij door J. Nagel (voorzitter) en H. Krol (vicevoorzitter) in een persoonlijk gesprek aangegeven dat beheer, vernieuwingen, organisatie en het bijhouden van de website zou worden overgenomen door een bedrijf van H. Krol in samenwerking met een redacteur van de Gaykrant in Best. Daarnaast werd door H. Krol voorgesteld om de site onder te brengen bij een andere provider en open te stellen voor advertenties. In dit gesprek heb ik getracht aan te geven dat ik een verandering van provider onnodig vond, dat ik geen belangen heb in de provider en het politiek juridisch niet wenselijk achtte om de website van 50PLUS te gebruiken voor reclamedoeleinden. Tevens heb ik in dit gesprek aangegeven dat ik het wel eens was met de voorstellen over de vernieuwing van de website, echter dat nimmer vanuit het bestuur contact met mij was opgenomen om die vernieuwingen met mij te bespreken. H. Krol stelde voor om per direct de zogenaamde mastercodes over te dragen aan hem en aan een redacteur van de Gaykrant. Gezien de politieke belangen, heb ik in een mail op 23 februari 2012 aan het bestuur van 50PLUS aangegeven dat het besluit betreffende de overname van de website door een eigen bedrijf van een bestuurslid een verstrengeling van belangen zou kunnen betekenen en dat dit de onafhankelijke politieke positie van 50PLUS in gevaar zou kunnen brengen. Het was naar mijn idee niet wenselijk dat voorafgaand aan deze bestuursbeslissing anderen over mastercodes beschikken, daarmee kan men de inhoud van de website wijzigingen terwijl ik daarvoor verantwoordelijk gesteld kon worden. Gezien het belang voor 50PLUS heb ik op 6 februari 2012 aan J. Nagel een code afgegeven, om daarmee documenten in concept op de website te plaatsen. De mastercode is in beheer bij K. De Lange en bij mij. Omwille van zorgvuldigheid en bescherming van de inhoud van de website van 50PLUS is door mij besloten de mastercode niet zonder enig verder overleg ter beschikking te stellen aan H. Krol, omdat dit naar mijn idee alleen door het bestuur besloten kon worden. Ik heb hierbij ook het belang van 50PLUS laten meewegen. De voorzitter J. Nagel beloofde mijn mening en afwegingen in overweging te nemen en gaf aan hierop terug te komen. Door K. de Lange is, mede door deze discussie besloten zijn functie als bestuurlid neer te leggen.
Vanaf 22 februari 2012 heb ik een aantal opdrachten uitgevoerd voor de voorzitter J. Nagel. Op dinsdag 27 maart 2012 heb ik een weblog op de site van 50PLUS geplaatst. Dit betreft de laatste revisie, voorafgaand aan het voorval op vrijdag 30 maart 2012, waar later in dit relaas aan wordt gerefereerd. Op dinsdag 27 maart 2012, omstreeks 21.15 uur is met mij telefonisch overleg gevoerd door de voorzitter J. Nagel. In dit gesprek kwam ter sprake of het huidige hostingcontract van de website van 50PLUS bij de huidige provider ontbonden kon worden, om die dan bij het bedrijf van H. Krol onder te brengen. Op zijn verzoek zou ik dit uitzoeken. Daarnaast is gesproken over verbetering / vernieuwing van de website. Hierbij heb ik aangegeven dat zowel K. de Lange als ik medio 2011 met de vernieuwing op de website wilden beginnen. Dat het ons echter ontbrak aan aangeleverde documenten en concrete voorstellen vanuit het bestuur. Het bestuur en / of een door het bestuur gemandateerde redactie is verantwoordelijk voor de inhoud van het materiaal. Het materiaal moet passen bij de standpunten van de partij. Ik merkte in het telefoongesprek op dat mij en K. de Lange werd verweten dat de vernieuwingen op de website niet werden ontwikkeld en uitgevoerd, terwijl ik in dit telefoongesprek aangaf dat het inhoudelijk samenstellen van de website juist een taak is van het bestuur of een door het bestuur gemandateerde redactie en niet van mij. Maar dat ik deze opdrachten praktisch uiteraard wel kan uitvoeren. Ik ben verantwoordelijk voor de techniek, voor een correcte plaatsing van het materiaal, eventueel ook voor een taalkundige correctie, maar niet voor de inhoud en het schrijven van partijpolitiek inhoudelijk materiaal. Op woensdag 28 maart 2012, omstreeks 10.30 uur is wederom met mij telefonisch overleg gevoerd door de voorzitter J. Nagel waarbij ik heb aangegeven dat het voortijdig beëindigen van het abonnement bij de huidige provider mogelijk was, dat daar kosten aan verbonden zijn en dat ik de noodzaak niet zag om dit te doen. De provider VIP staat als gerenommeerd bekend en host sites van o.a. Rabobank, Het Rode Kruis, diverse ministeries, etc. In dit telefoongesprek werd verder door J. Nagel aan mij verteld dat ik spoedig zou horen welke beslissing er genomen zou worden. In een mail van 29 maart 2012 omstreeks 00.41 uur deelt J. Nagel aan mij mee dat hij op 30 maart 2012 samen met M. Baay op het partijkantoor in Best is en dat hij dan een beslissing zou nemen. Op vrijdag 30 maart 2012, de dag waarop de beslissing genomen zou worden of het beheer van de website overgenomen zou worden, werd ik rond het middaguur gebeld door het bestuurslid M. Baay. Zij meldde mij dat er door een medewerker / bestuurslid in Best een grote hoeveelheid afbeeldingen was aangetroffen op de website van 50PLUS. De afbeeldingen betroffen foto’s van wapens en onder meer foto’s van Pim Fortuyn. M. Baay vertelde mij eveneens dat de medewerker / bestuurslid, waarvan de naam niet genoemd werd, ongeveer 20.000 afbeeldingen had ontdekt, nadat hij/zij de inhoud van de website had gekopieerd. Reden om dit te doen was volgens M. Baay dat de melder had ontdekt dat op zaterdag 24 maart 2012 de website enige tijd niet bereikbaar was. Ik heb aan het bestuurslid M. Baay aangeven dat ik deze melding direct zou onderzoeken en dat ik de bron van de melding zou willen weten. Onmiddellijk na dit telefoongesprek, heb ik een download en een backup gemaakt van de website. Daarnaast heb ik direct hierna telefonisch contact opgenomen met een medewerker Elroy van de provider VIP. Deze medewerker wist mij na enig onderzoek te melden dat er geen vreemd internetverkeer was waar te nemen en dat firewall en virusscanner eveneens geen melding maakten van verdachte internetactiviteiten. Ook op mijn computersysteem en op de server zijn door firewalls en virusscanners op mijn computer eveneens geen meldingen gemaakt van een verdachte aanval. De download van de website van 50PLUS die ik kort na de melding van M. Baay op vrijdag 30 maart 2012 omstreeks 12.15 uur had gemaakt, toonde aan dat op de website 547 bestanden in 514 folders aanwezig waren. In totaal waren er 21 JPG-bestanden en 9 GIF-bestanden op de website aanwezig, die na controle behoren bij het materiaal dat op de website van 50PLUS hoort te staan. Er was bij controle van de website geen sprake van 20.000 afbeeldingen op de server van de website. Ook bij vergelijking van back-ups op
grootte van bytes bleek dat er geen aanzienlijke verschillen waren waar te nemen, die zouden kunnen duiden op het aanwezig zijn van 20.000 afbeeldingen. De 20.000 afbeeldingen die door de medewerker / bestuurslid in Best waren aangetroffen zijn zowel door mij als door de medewerker van VIP na uitvoerig onderzoek niet aangetroffen. Ik vroeg mij af hoe het kon dat een medewerker / bestuurslid in Best 20.000 afbeeldingen op de website van 50PLUS had aangetroffen. Daarvoor waren naar mijn idee de navolgende scenario’s denkbaar: 1. Door hackers zijn 20.000 afbeeldingen op de website van 50PLUS geplaatst. 2. Door een virus op mijn computer is een link corrupt geraakt en zorgde deze corrupte link ervoor dat de melder werd doorverwezen naar een andere website, waarop de 20.000 afbeeldingen werden gehost. 3. Door een bestuurslid is aan mij een document toegezonden, waarin een corrupte link is verwerkt. 4. De computer van de melder in Best is besmet met een virus. 5. Er zijn geen 20.000 afbeeldingen en er is sprake van een zogenaamde HOAX om mij en of anderen in diskrediet te brengen. Ten aanzien van scenario 1, kon direct al door onderzoek vastgesteld worden dat er “slechts” 547 bestanden met in totaal 21 JPG-bestanden en 9 GIF-bestanden op de website gehost werden en dat de 20.000 afbeeldingen niet op het domein / in de directory van 50PLUS stonden. De vraag is ook wat het voor zin heeft voor een hacker om 20.000 afbeeldingen “verborgen” in een directory van een website te plaatsen. Afbeeldingen die dan alleen zichtbaar gemaakt kunnen worden bij een volledige download van de website van de server. Een actie die normale gebruikers van het internet nooit zullen uitvoeren. De hier veronderstelde actie van de hacker lijkt dan ook volledig zinloos te zijn. Het eerste scenario kan hierbij uitgesloten worden. Naar scenario 2, waarbij door een virus op mijn computer een link corrupt is geraakt, is eveneens onderzoek uitgevoerd. Virusscanners op mijn computer geven na grondige scans geen positieve melding aan. Ook door de provider wordt gebruik gemaakt van virusscans en firewalls en ook daar zijn geen meldingen vastgelegd. Door slechts 1 bezoeker, namelijk de melder in Best wordt melding gemaakt. Door geen enkele andere bezoeker van de website is melding gemaakt van “vreemde” afbeeldingen. Ook bij handmatige controle van links op de website van 50PLUS kunnen de genoemde 20.000 afbeeldingen niet teruggevonden worden. Het terugvinden van de 20.000 afbeeldingen door het aanklikken van links is vooralsnog niet reproduceerbaar. Daarnaast gaf de melder aan dat hij de afbeeldingen had aangetroffen nadat hij de inhoud van de website had gedownload, dus de gewraakte afbeeldingen bevonden zich in de download. Als de afbeeldingen afkomstig waren in een exacte kopie van de server, is er geen sprake van een corrupte link in één van de documenten. Door bestuurslid M. Baay is in een telefonisch overleg aangegeven dat melder heeft gesproken over een link. Dit lijkt in contradictie te zijn met het eerdere verhaal van melder waarbij hij/zij de inhoud van de website heeft gekopieerd en dat hij/zij daar de afbeeldingen had aangetroffen. Op mijn verzoek zou het bestuurslid M. Baay bij de melder navraag doen over de link / URL die verwijst naar de 20.000 afbeeldingen, zodat ik hiernaar onderzoek kon uitvoeren. M. Baay vertelde mij dat de melder na het tonen van enkele afbeeldingen was weggegaan en dat de bron en de link daardoor onbekend blijven. Ook dit tweede scenario is door mij verregaand onderzocht en lijkt niet aannemelijk te zijn, door het ontbreken van aanwijzingen voor een virus op mijn computer of in de bestanden die op de server van de provider VIP staan, alsmede de verklaring van de melder dat de afbeeldingen zich bevonden bij de download. Met het onderzoek naar een corrupte link bij scenario 2, kan direct ook antwoord gegeven worden voor scenario 3. Ook voor scenario 3 geldt dat er geen positieve meldingen zijn gemaakt van virussen op mijn
computer of op de server van de provider VIP en de verklaring van de melder dat de afbeeldingen zich in de download bevonden. Ook hiermee kan scenario 3 als niet aannemelijk geclassificeerd worden. Ten aanzien van scenario 4, waarbij de computer van de melder in Best besmet is geraakt met een virus en dat daardoor hij/zij als enige bij het bezoeken van de website van 50PLUS 20.000 afbeeldingen te zien krijgt, lijkt aannemelijk. Met name omdat andere bezoekers geen melding maken en zowel de provider VIP en ik de afbeeldingen door onderzoek niet kunnen reproduceren, lijkt dit “fenomeen” individueel bepaald te zijn. Wat dit scenario niet ondersteunt is dat de “kennelijk” computerervaren melder uit Best, die gehoste sites kan downloaden en zelfstandig onderzoeken doet naar servers die niet bereikbaar zijn, zich niet afvraagt en controleert of er sprake is van een virus op zijn/haar eigen computer, voordat hij de verontrustende melding maakt. Daar H. Krol in Best de overname van de website zou realiseren, lijkt het voor de hand te liggen dat hij de beschikking heeft over computerervaren personeelsleden die scenario 4 hadden kunnen vaststellen of uitsluiten. Daar na de melding niets meer is vernomen van de melder of H. Krol, lijkt ook scenario 4 niet aannemelijk. Blijft over scenario 5 waarbij er geen 20.000 afbeeldingen op de website staan en er sprake is van een zogenaamde HOAX om mij en / of anderen in diskrediet te brengen. Voor dit scenario heb ik wel enige aanwijzingen kunnen vinden. Zoals eerder is aangegeven zijn bij uitvoerig onderzoek geen 20.000 afbeeldingen aangetroffen. De melding wordt gedaan door een persoon die werkzaam is, of werkzaamheden verricht, in het kantoor van H. Krol. Deze melder, werkzaam in Best is de enige die het fenomeen van de 20.000 gewraakte afbeeldingen heeft ontdekt. H. Krol heeft in het gesprek van 22 februari 2012 aangegeven dat hij de website wil onderbrengen bij de Gaykrant en zelf wil zorgen voor hosting, webbouw en redactie. Dat door mij hiervoor ook binnen het bestuur een aantal bezwaren naar voren waren gebracht, omdat er sprake zou kunnen zijn van belangenverstrengeling. Melder gaf aan bij M. Baay dat hij de download had verricht omdat de server van de provider op 24 maart 2012 niet bereikbaar was. Deze vraag is uitgezet bij de provider VIP om dit te verifiëren. Indien uit dit onderzoek blijkt dat er geen sprake is geweest van een storing op zaterdag 24 maart 2012 en de melder hiervan als enige melding maakt kan uit voornoemd onderzoek worden geconcludeerd dat dit niet waar is, wat een aanwijzingen oplevert voor scenario 5. De melder van de 20.000 afbeeldingen heeft bij M. Baay aangegeven dat de server op zaterdag 24 maart 2012 niet bereikbaar was en dat hij / zij daarom, met een voor dit onderzoek zinloze en onlogische werkwijze, de inhoud van de directories van de 50PLUS-website had gedownload. Een controle of onderzoek uitvoeren door de melder, naar de onbereikbaarheid van de website bij de provider VIP, lijkt in het geheel niet logisch te zijn met het uitvoeren van het downloaden van een website. Er lijkt een onderzoek te zijn uitgevoerd dat niet in overeenstemming is met een normale actie van ontdekking van een virus. Het is namelijk niet logisch om na het ontdekken van een vermoedelijke virus / hack, de computer uit te schakelen en weg te gaan zonder maatregelen te nemen. De melder kan verweten worden dat hij zinloze onderzoeken uitvoert en onzorgvuldig omgaat met politiek gevoelig materiaal, tenzij de melding een HOAX betreft en er geen nadere beschermende acties ondernomen behoeven te worden. In dit geval zou de handelswijze passen en logisch verklaarbaar kunnen zijn voor scenario 5. De melder geeft tegenstrijdige onlogische verklaringen voor het aantreffen van de gewraakte 20.000 afbeeldingen. In het ene geval treft melder de afbeeldingen aan bij de download van de site en in het andere
geval zou er sprake zijn van een corrupte link. Indien de afbeeldingen aangetroffen zijn bij de download van een kopie van de website van 50PLUS, is er geen sprake van een corrupte link, maar zijn afbeeldingen op de server geplaatst waar de website van 50PLUS gehost wordt. Zoals aangegeven zijn hiervoor na uitvoerig onderzoek geen aanwijzingen teruggevonden en dit lijkt dus niet waar te zijn. Indien een link corrupt zou zijn, worden de afbeeldingen zoals door melder genoemd, niet aangetroffen bij de download, zoals melder beweert, maar wordt via de link verwezen naar een andere site waarop vermeende afbeeldingen staan en die zijn bij een download van een kopie van de website van 50PLUS niet zichtbaar. Dit is onderzocht voor scenario 2 en 3 en lijkt dus eveneens niet waar te zijn. In beide gevallen geldt dat de betrouwbaarheid van de melder afneemt en neemt de waarschijnlijkheid voor scenario 5 toe. Mij is niet duidelijk wie de melder is en wat zijn hoedanigheid is. Er lijkt uitermate veel moeite gedaan te worden om de identiteit van de melder niet prijs te geven. De melder wordt zelfs door de voorzitter J. Nagel geïntroduceerd als informant, hetgeen, mede door het kantoor in Best, doet vermoeden dat melder onderdeel uitmaakt van het bestuur of betrokken is bij de overname van de website door het bedrijf van H. Krol. Om duidelijkheid te krijgen over de gang van zaken zijn er in ieder geval de navolgende vragen: •
Wat is de functie van de melder?
•
Waarom heeft melder op 24 maart 2012 de website bezocht?
•
Wie heeft melder opdracht gegeven om de website te downloaden?
•
Wie heeft melder opdracht gegeven om de bestanden van de website te controleren?
•
Wanneer heeft melder de website gedownload?
•
Wanneer heeft melder de 20.000 afbeeldingen ontdekt?
•
Waarom heeft de melder de website gedownload?
•
Waarom heeft de melder een controle van bestanden uitgevoerd?
•
Heeft de melder zijn bevinden vastgelegd en besproken met diens opdrachtgever?
•
Waarom maakt melder of diens opdrachtgever niet onmiddellijk bij mij of K. de Lange melding van het aantreffen van 20.000 gewraakte afbeeldingen?
Opmerkelijk is dat er sprake zou zijn van plaatjes van wapens en o.a. Pim Fortuyn. De laatst genoemde persoon heeft in het verleden contacten onderhouden met de voorzitter J. Nagel. Iets dat slechts een kleine selecte groep van mensen met politieke kennis weten. Een aanval op een website waarbij afbeeldingen worden gebruikt door externe hackers, zal eerder andere, meer illegale en aanstootgevende afbeeldingen bevatten. Met name de afbeeldingen van Pim Fortuyn geven aan dat dit een persoonlijk karakter heeft. Iets dat ik eerder vind passen bij een andere of eigen politieke partij. Hiermee geeft dit eveneens een aanwijzing voor scenario 5. Door M. Baay ben ik op vrijdag 30 maart 2012 van de ontdekking van de 20.000 afbeeldingen op de hoogte gebracht. In een mail van de voorzitter J. Nagel las ik dat hij al veel eerder op de hoogte was van het aantreffen van de 20.000 afbeeldingen op de website van 50PLUS. Zelf heb ik op dinsdag 27 maart 2012 en woensdag 28 maart 2012 telefonisch overleg gevoerd over de website en J. Nagel heeft mij niets laten weten van het aantreffen van de 20.000 afbeeldingen op de website. Waarom word ik uitgesloten voor iets waarvoor ik verantwoordelijk ben, ook hiervoor kan een verklaring gevonden worden in scenario 5.
Hoe kan het dat alleen een medewerker / bestuurslid uit Best de gewraakte afbeeldingen aantreft en alle andere bezoekers van de website van 50PLUS daar geen melding van maken. Ook hiervoor kan een verklaring voor scenario 5 gevonden worden. De website is door mij ontwikkeld, gemaakt en wordt bijgehouden sinds 10 december 2010. Opmerkelijk is dat op de dag waarop een beslissing komt of het beheer / onderhoud / redactie bij H. Krol kan worden ondergebracht, dat enkele uren voor dit besluit, de melder uit Best de verontrustende melding maakt en dat dit de enige hack-melding is geweest die ik sinds 10 december 2010 heb gehad. Ook hiervoor tref ik sterke aanwijzingen aan die scenario 5 aannemelijker maken. Waarom wordt er door de melder geen bewijs aangedragen, waarom wordt de link niet verstrekt of waarom wordt geen inzicht gegeven over de plaats / URL waar de gewraakte afbeeldingen zijn aangetroffen. Ook dit is voor mij een sterke aanwijzing voor scenario 5. Op vrijdag 30 maart 2012, omstreeks 16.35 uur ontving ik een e-mail afkomstig van de voorzitter J. Nagel, waarin in Best met H. Krol was overeengekomen dat het beheer / vormgeving / onderhoud en redactie van website door het bedrijf van H. Krol uitgevoerd gaat worden. Ik stond genoemd als contactpersoon, echter zonder duidelijke taak. Uit de mail maak ik op dat, om de onafhankelijkheid van de website te waarborgen, het webbeheer op mijn naam komt te staan, echter in de praktijk volledig zal worden overgenomen en worden uitgevoerd door het bedrijf van H. Krol. Voor mijn taak bestaat de naam katvanger. Gezien scenario 5 is dit volledig in overeenstemming met de eerdere aanwijzingen, om eerst een HOAX naar buiten te brengen, mijn werk in een kwaad daglicht te stellen en door gebruik te maken van doorzichtige trucs, de overname van de website te beïnvloeden. Voorgaand feitenrelaas is door mij geschreven met als doel deze feiten binnen het bestuur kenbaar te maken, het bestuur te informeren en daarmee het algemene belang van 50PLUS te dienen. Ik heb met het schrijven van dit feitenrelaas geenszins de bedoeling gehad om personen opzettelijk te beschuldigen, echter moet ik concluderen dat er wel sterke aanwijzingen naar voren zijn gekomen die duiden op het opzettelijk toebrengen van schade betreffende mijn reputatie. Dit feitenrelaas is dan ook gemaakt ter noodzakelijke verdediging.
