De rechtbank Midden-Nederland heeft een 34-jarige man veroordeeld tot een voorwaardelijke gevangenisstraf van vijf maanden en een taakstraf van 240 uur wegens het inbreken op de systemen van verschillende bedrijven via het programma OpenBullet. Volgens de rechter wist de man vorig jaar gedurende een periode van drie maanden in te breken op servers van KPN, Thuisbezorgd.nl, Vodafone, Marktplaats, Winkelstraat.nl en ridecheck.app.

Hij beschikte over inloggegevens die vermoedelijk via datalekken waren verkregen en gebruikte die vervolgens om op accounts bij de genoemde bedrijven in te loggen. De gevalideerde gebruikersnamen en wachtwoorden verkocht hij aan anderen of gebruikte hij zelf om toegang te krijgen. Dit wordt ook wel credential stuffing genoemd en is mogelijk als mensen hun wachtwoorden hergebruiken.

Voor het uitvoeren van de aanvallen gebruikte hij OpenBullet, dat al jaren voor credential stuffing wordt gebruikt. OpenBullet omschrijft zichzelf als een "webtesting suite" waarmee het mogelijk is om requests naar een webapplicatie te sturen. Volgens de rechter gaat het hier om een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van het betreffende misdrijf. Naast computervredebreuk werd de man ook schuldig bevonden aan het verwerven en voorhanden hebben van OpenBullet met als doel het plegen van een misdrijf.

"Verdachte heeft door middel van het programma OpenBullet gedurende een periode van drie maanden meermalen digitaal ingebroken in de computersystemen van verschillende bedrijven. Verdachte heeft zich bovendien schuldig gemaakt aan het beschikbaar stellen en verhandelen van (wederrechtelijk verkregen) inloggegevens met het doel dat hiermee computermisdrijven gepleegd konden worden", stelde de rechter.

Die rekende het de verdachte zeer ernstig aan. "Door zijn handelen heeft verdachte anderen in staat gesteld kennis te nemen van gevoelige (persoons)gegevens die niet voor hen waren bestemd en/of met de door hem aangeboden gegevens criminele activiteiten te plegen. Door de handelwijze van verdachte is het vertrouwen in het internetverkeer geschaad. Een ieder behoort zich veilig te voelen in zijn eigen digitale omgeving waarin persoonlijke gegevens zijn opgeslagen dan wel toegankelijk zijn."

Bij het opleggen van de straf heeft de rechtbank ook de kosten en imagoschade voor de getroffen bedrijven laten meewegen. Daarnaast werd er rekening mee gehouden dat de verdachte eerder is veroordeeld voor soortgelijke feiten in België. De verdachte kreeg uiteindelijk een lagere voorwaardelijke gevangenisstraf dan het Openbaar Ministerie had geëist, omdat de rechter de verdachte deels volgde in zijn verklaring dat het "hacken" is begonnen als een uitdaging die vervolgens uit de hand is gelopen.

De rechter besloot ook geen geldboete op te leggen zoals was geëist, aangezien er ook rekening met de draagkracht van de verdachte moet worden gehouden. Die is op dit moment nog student en moet in het kader van de Belgische zaak al een forse schuld betalen.