Nederlandse en Franse autoriteiten hebben VPN-dienst First VPN offline gehaald tijdens een internationale operatie gericht op cybercriminele infrastructuur.
De actie vond plaats op 19 en 20 mei en werd geleid door het Nederlandse Team High Tech Crime in samenwerking met Franse onderzoekers, ondersteund door Europol en Eurojust. Volgens de autoriteiten werd de dienst specifiek aangeboden aan cybercriminelen die hun identiteit wilden verbergen tijdens illegale online activiteiten.
Autoriteiten monitorden crimineel verkeer vóór de inval
Onderzoekers zeggen dat ze vóór het offline halen van de dienst inzicht kregen in het verkeer en de communicatie van gebruikers van First VPN. Volgens de Nederlandse politie gingen veel gebruikers ervan uit dat de dienst volledige anonimiteit bood en niet samenwerkte met opsporingsdiensten.
De VPN werd naar verluidt actief gepromoot op ondergrondse cybercrimefora en claimde openlijk niet mee te werken met autoriteiten. Ook stelde de dienst geen logs van gebruikers op te slaan en buiten traditionele juridische systemen te opereren.
Volgens de politie positioneerde First VPN zich daardoor niet als een normale privacydienst, maar als infrastructuur bedoeld om
cybercriminaliteit te ondersteunen, waaronder ransomware-aanvallen, hackoperaties en accountinbraken.
33 servers in beslag genomen tijdens internationale operatie
Tijdens het onderzoek haalden autoriteiten 33 servers uit de lucht die verbonden waren aan het VPN-netwerk. Europol coördineerde de analyse van de verzamelde gegevens via een speciale Operational Taskforce, die tientallen inlichtingenrapporten zou hebben gedeeld met andere internationale onderzoeken.
Gebruikers van de VPN-dienst ontvingen ook meldingen waarin stond dat het platform in beslag was genomen en dat zij geïdentificeerd waren als klant van de provider.
Beheerder verhoord in Oekraïne
Privacytools zijn op zichzelf niet illegaal
De operatie komt op een moment waarop privacytools in Europa steeds meer onder een vergrootglas liggen. Hoewel VPN’s zelf legaal zijn en veel gebruikt worden voor privacy, beveiliging en thuiswerken, maken autoriteiten steeds vaker onderscheid tussen reguliere VPN-providers en diensten die specifiek cybercriminelen proberen aan te trekken.
Recent stelde de EU nog wetgeving voor om VPN-gebruik te reguleren en het omzeilen van leeftijdsverificatie tegen te gaan.
Wat vinden wij hiervan?
VPN’s zijn bedoeld om online vrijheid, beveiliging en privacy toegankelijk te maken voor iedereen. Waar ze níét voor bedoeld zijn, zijn kwaadwillende praktijken of misleidende claims over beleid en ethiek.
Daarom bedoelen we het ook echt wanneer we zeggen dat we geen logs van onze gebruikers bijhouden. Tegelijkertijd is
Wij zijn er om je te helpen beschermen tegen cybercrime. Niet om het mogelijk te maken.
