Гений кибербезопасности: Пепейн ван дер Стап и его путь от защиты до преступлений
20-летний эксперт похитил данные миллионов голландцев.
В начале 2023 года полиция арестовала 20-летнего Пепейна ван дер Стапа в его квартире на побережье в голландском Зандворте. Около десятка офицеров ворвались в его дом, окружив молодого человека, известного в профессиональных кругах как высококлассный специалист. Однако задержание ван дер Стапа стало следствием двухлетнего расследования: за фасадом эксперта, защитившего сотни компаний от кибератак, скрывался мастер взломов и самый крупный «коллекционер» украденных данных.
Пепейн с юных лет увлекался компьютерами. Ранее он был известен в Нидерландах своими достижениями в области безопасности, представляя результаты своей работы на профильных конференциях. Но его страсть к сбору данных оказалась сильнее этических норм. Как выяснилось, к 20 годам ван дер Стап уже накопил личные данные сотен миллионов пользователей — вероятно, почти всех жителей Нидерландов. Судебные документы утверждают, что таких масштабов преступлений страна ранее не знала.
В течение двух лет полиция следила за действиями ван дер Стапа, используя подслушивающие устройства и программы на его компьютере. Он накапливал данные, создавая собственный «архив» на шифрованных жестких дисках, как своих взломов, так и обмениваясь с другими хакерами. По версии следствия, данные хранились в тысячах папок, организованных с педантичной точностью. Сам он неоднократно говорил, что собирал информацию, чтобы быть первым в хакерской среде. В полиции полагают, что такие коллекции данных нередко использовались для угроз компаниям.
Обнаруженная у хакера сумма превышала 600 тысяч евро, что говорит о масштабах его деятельности. Несмотря на возможные финансовые мотивы, ван дер Стап продолжал работать официально, оплачивая квартиру и жизненные расходы за счет своей легальной работы в кибербезопасности. По его словам, деньги для него не представляли значимости: его «трофеями» были данные.
С ранних лет Пепейн проявлял необычные интересы. В школе он выделялся своей тягой к программированию и с 10 лет самостоятельно изучал язык PHP. За компьютером проводил большую часть времени, избегая обычных детских развлечений. К подростковому возрасту его увлечение перешло в онлайн-мир, где он стал общаться с другими хакерами и в итоге погрузился в мир киберпреступности. Первый крупный взлом на счету ван дер Стапа — атака на сервера учебного заведения, которое он посещал. За этот инцидент он прошел реабилитационную программу Hack_Right, нацеленную на предотвращение хакерских правонарушений среди молодежи. Позднее Пепейн устроился на работу в нидерландскую и британскую компании по кибербезопасности, где был известен как выдающийся специалист.
Тем не менее, в 2021 году он вновь вернулся к криминальной деятельности. Среди его целей были университеты, компании и даже криптовалютные биржи. Данные, которые удавалось похищать, он хранил на серверах за пределами юрисдикции европейских властей, а также не упускал возможности угрожать владельцам за их возвращение. В одном из случаев, взломав системы компании Ticketcounter, он потребовал 7 биткоинов за сохранность данных, что вызвало обеспокоенность и обращение в полицию.
Однако к 2022 году ван дер Стап, измученный двойной жизнью, решил «выйти из тени». Он обратился к нескольким компаниям с предложением помощи в исправлении их уязвимостей и начал сотрудничать с Нидерландским институтом выявления уязвимостей. Вскоре он получил признание за помощь сообществу кибербезопасности. Но в марте того же года старый друг убедил его совершить ещё одну атаку на компанию Virgin Media O2, получив доступ к данным 49 миллионов пользователей. Ван дер Стап потребовал 750 тысяч долларов за возврат данных, из которых позже получил 764 450 долларов в криптовалюте.
Долгое расследование полиции привело к аресту Пепейна в январе 2023 года. Полиция вышла на след преступника благодаря анализу IP-адресов, электронной почты, телефонных номеров и криптовалютных кошельков, использовавшихся при атаках с марта 2021 года. Они нашли его хранилища с 33 терабайтами украденных данных, разделенных на более чем 4000 папок. Обнаруженные данные поразили масштабы: следствию даже не удалось определить точное число пострадавших.
На фоне разбирательства окружение ван дер Стапа выразило шок и разочарование. Его коллеги по работе в кибербезопасности не могли поверить, что тот, кто боролся с хакерами, был одним из них. Один из его бывших работодателей назвал это «предательством», а другой выразил сожаление, что столь блестящий ум оказался на пути преступлений. Сокурсники ван дер Стапа из Hack_Right также испытывали глубокое разочарование. Арест нанёс удар и по репутации Нидерландского института выявления уязвимостей, который потерял финансирование и едва избежал банкротства.
В ноябре 2023 года суд признал Ван дер Стапа виновным во взломе компьютерных систем, вымогательстве, краже непубличных данных, распространении программ-вымогателей и отмывании как минимум 1,5 миллионов евро. С учетом возраста и признания вины хакер получил четыре года тюремного заключения с возможностью освобождения через три года и последующим условным сроком на три года.
В настоящее время Ван дер Стап отбывает наказание в тюрьме на окраине Амстердама. Молодой человек проходит психологическую терапию и признается, что рад прекращению изматывающей двойной жизни. После освобождения планирует сменить сферу деятельности и заняться изучением биохимии и медицины.