Uitspraak
RECHTBANK GELDERLAND
Team strafrecht
Zittingsplaats Arnhem
Parketnummer: 05/000000-21 (voorheen 08-952367-19)
Datum uitspraak : 1 april 2021
Tegenspraak
vonnis van de meervoudige kamer
in de zaak van
de officier van justitie
tegen
[verdachte],
geboren op [geboortedag] 1994 in [geboorteplaats] ,
wonende aan de [adres 1] .
Raadsvrouw: mr. D.N.A. Brouns, advocaat in Amsterdam.
Dit vonnis is gewezen naar aanleiding van het onderzoek op een openbare terechtzitting.
1.De inhoud van de tenlastelegging
Aan verdachte is ten laste gelegd dat:
1.
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem, althans in Nederland, een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid, 138b of 139c Wetboek van strafrecht, heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid of anderszins ter beschikking heeft gesteld of voorhanden heeft gehad, met het oogmerk dat daarmee een van die misdrijven werd gepleegd, door -op zijn Apple gegevensdragers (Apple MacBook M1706 en/of Apple MacBook A1466) de applicaties BlackBullet en OpenBullet geïnstalleerd te hebben/aanwezig te hebben, -van deze applicaties plug-ins voor de websites van (onder andere) [naam 2] , [naam 3] en [naam 4] geïnstalleerd te hebben/aanwezig te hebben met het oogmerk om zich toegang te verschaffen tot gebruikersaccounts op genoemde websites door lijsten met combinaties van gebruikersnamen en wachtwoorden in genoemde applicaties te laden en door middel van de genoemde plug-ins deze combinaties van gebruikersnamen en wachtwoorden door de genoemde websites te laten controleren op geldigheid;
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem, althans in Nederland, een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid, 138b of 139c Wetboek van strafrecht, heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid of anderszins ter beschikking heeft gesteld of voorhanden heeft gehad, met het oogmerk dat daarmee een van die misdrijven werd gepleegd, door -op zijn Apple gegevensdragers (Apple MacBook M1706 en/of Apple MacBook A1466) de applicaties BlackBullet en OpenBullet geïnstalleerd te hebben/aanwezig te hebben, -van deze applicaties plug-ins voor de websites van (onder andere) [naam 2] , [naam 3] en [naam 4] geïnstalleerd te hebben/aanwezig te hebben met het oogmerk om zich toegang te verschaffen tot gebruikersaccounts op genoemde websites door lijsten met combinaties van gebruikersnamen en wachtwoorden in genoemde applicaties te laden en door middel van de genoemde plug-ins deze combinaties van gebruikersnamen en wachtwoorden door de genoemde websites te laten controleren op geldigheid;
2.
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem, althans in Nederland, een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van strafrecht werd gepleegd, door 3.778.732, althans een grote hoeveelheid, email-adressen met wachtwoorden van derden, ten behoeve van het inloggen op onder andere de websites van [naam 2] en [naam 3] en/of andere web-winkels, verworven en/of voorhanden te hebben op zijn Apple gegevensdragers (Apple MacBook M1706 en/of Apple MacBook A1466) en/of in de iCloud behorende bij zijn Apple-account ' [naam 1] ';
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem, althans in Nederland, een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van strafrecht werd gepleegd, door 3.778.732, althans een grote hoeveelheid, email-adressen met wachtwoorden van derden, ten behoeve van het inloggen op onder andere de websites van [naam 2] en [naam 3] en/of andere web-winkels, verworven en/of voorhanden te hebben op zijn Apple gegevensdragers (Apple MacBook M1706 en/of Apple MacBook A1466) en/of in de iCloud behorende bij zijn Apple-account ' [naam 1] ';
3.
hij in of omstreeks de periode 14 februari 2019 tot en met 7 juli 2019 te Arnhem, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website en/of webserver van [naam 2] , 13.762 keer, althans zeer veel keren, is binnengedrongen
hij in of omstreeks de periode 14 februari 2019 tot en met 7 juli 2019 te Arnhem, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website en/of webserver van [naam 2] , 13.762 keer, althans zeer veel keren, is binnengedrongen
-door het doorbreken van een beveiliging,
-door een technische ingreep,
-met behulp van valse signalen of een valse sleutel, te weten door lijsten met combinaties van gebruikersnamen en wachtwoorden in de applicaties BlackBullet en OpenBullet en daarbij gemaakte plug-ins voor de website van [naam 2] te laden en door middel van de genoemde plug-ins deze combinaties van gebruikersnamen en wachtwoorden door de genoemde website te laten controleren op geldigheid en zich zo (middels BlackBullet 4911 keer en middels OpenBullet 8851 keer) toegang heeft verschaft tot gebruikersaccounts op de website en/of webserver van [naam 2] en/of
-door het aannemen van een valse hoedanigheid, te weten door zich voor te doen als de gebruiker(s) van het/de betreffende gebruikersaccount(s);
4.
hij in de periode van 15 augustus 2019 tot en met 15 oktober 2019 te Arnhem, althans in Nederland, een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van strafrecht werd gepleegd, door lijsten met inloggegevens, althans een grote hoeveelheid email-adressen met wachtwoorden van derden, ten behoeve van het inloggen op onder andere de websites van [naam 2] , [naam 3] en/of andere web-winkels, verworven en/of voorhanden te hebben op zijn Apple gegevensdragers (Apple MacBook M1706 en/of Apple MacBook A1466) en/of in de iCloud behorende bij zijn Apple-account ' [naam 1] ';
hij in de periode van 15 augustus 2019 tot en met 15 oktober 2019 te Arnhem, althans in Nederland, een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van strafrecht werd gepleegd, door lijsten met inloggegevens, althans een grote hoeveelheid email-adressen met wachtwoorden van derden, ten behoeve van het inloggen op onder andere de websites van [naam 2] , [naam 3] en/of andere web-winkels, verworven en/of voorhanden te hebben op zijn Apple gegevensdragers (Apple MacBook M1706 en/of Apple MacBook A1466) en/of in de iCloud behorende bij zijn Apple-account ' [naam 1] ';
5.
hij in of omstreeks de periode van 8 december 2018 tot en met 28 september 2019 tezamen en in vereniging met een of meer anderen, althans alleen, te Arnhem, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten in de gebruikersaccounts op de website en/of webserver van [naam 2] en/of [naam 5] en/of [naam 6] en/of [naam 7] en/of [naam 8] en/of [naam 9] en/of [naam 10] van
hij in of omstreeks de periode van 8 december 2018 tot en met 28 september 2019 tezamen en in vereniging met een of meer anderen, althans alleen, te Arnhem, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten in de gebruikersaccounts op de website en/of webserver van [naam 2] en/of [naam 5] en/of [naam 6] en/of [naam 7] en/of [naam 8] en/of [naam 9] en/of [naam 10] van
- [slachtoffer 1] ,
- [slachtoffer 2] ,
- [slachtoffer 3] ,
- [slachtoffer 4] ,
- [slachtoffer 5] ,
- [slachtoffer 6] ,
- [slachtoffer 7] ,
- [slachtoffer 8] en/of
- [slachtoffer 9]
is binnengedrongen
-door het doorbreken van een beveiliging,
-door een technische ingreep,
-met behulp van valse signalen of een valse sleutel, te weten door emailadressen, gebruikersnamen en/of wachtwoorden van bovengenoemde personen in te voeren op de website van [naam 2] en/of [naam 5] en/of [naam 6] en/of [naam 7] en/of [naam 8] en/of [naam 9] en/of [naam 10] en/of -door het aannemen van een valse hoedanigheid, te weten door zich voor te doen als bovengenoemde gebruiker(s) van het/de betreffende gebruikersaccount(s).
2. Overwegingen ten aanzien van het bewijs [1]
Het standpunt van de officier van justitie
De officier van justitie heeft gesteld dat alle ten laste gelegde feiten wettig en overtuigend bewezen kunnen worden.
Het standpunt van de verdediging
De raadsvrouw heeft vrijspraak bepleit van de feiten 1, 3, 4 en 5. Kort samengevat is daarvoor het volgende naar voren gebracht.
Ten aanzien van feit 1 geldt dat de applicaties BlackBullet en OpenBullet niet hoofdzakelijk zijn gemaakt of ontworpen voor het plegen van strafbare feiten, in dit geval computervredebreuk. Blijkens de officiële website van OpenBullet zijn deze applicaties ontworpen voor legale toepassing. Hetzelfde geldt voor de plug-ins, die enkel aanvullingen zijn op een computerprogramma en die in de basis legaal zijn. Daarnaast blijkt niet dat het verdachte is geweest die de plug-ins heeft geïnstalleerd.
Ten aanzien van feit 1 geldt dat de applicaties BlackBullet en OpenBullet niet hoofdzakelijk zijn gemaakt of ontworpen voor het plegen van strafbare feiten, in dit geval computervredebreuk. Blijkens de officiële website van OpenBullet zijn deze applicaties ontworpen voor legale toepassing. Hetzelfde geldt voor de plug-ins, die enkel aanvullingen zijn op een computerprogramma en die in de basis legaal zijn. Daarnaast blijkt niet dat het verdachte is geweest die de plug-ins heeft geïnstalleerd.
Wat betreft feit 3 geldt dat meerdere personen via meerdere apparaten toegang hadden tot het iCloud-account van verdachte en gekoppeld waren aan dat account. Daarmee had niet alleen verdachte toegang tot de applicaties BlackBullet en Openbullet, zijnde programma’s die op de iCloud staan en die op alle gegevensdragers staan (inclusief inhoud) die gekoppeld zijn aan de iCloud. De IP-adressen, gekoppeld aan inlogacties, zijn ook niet direct aan verdachte te linken, omdat het via de proxyserver is uitgevoerd en niet zichtbaar is vanaf welk oorspronkelijk IP-adres een en ander is gebeurd. Daarom staat niet voldoende vast dat het verdachte was die heeft ingelogd op de [naam 2] accounts.
Voor wat betreft feit 4 blijkt uit het dossier ten eerste niet dat de op de iCloud aangetroffen documenten na 15 augustus 2019 zijn aangemaakt. Ten tweede blijkt niet dat het verdachte is geweest die hierbij betrokken is geweest. Hij had geen toegang meer tot de iCloud, aangezien al zijn gegevensdragers in beslag zijn genomen, en hij had geen apparaten meer die aangesloten konden worden op de iCloud. Ook was het wachtwoord inmiddels aangepast.
Verdachte heeft een aantal handelingen met betrekking tot het onder feit 5 tenlastegelegde bekend. Niettemin dient ten aanzien van alle genoemde betrokkenen vrijspraak te volgen, aldus de raadsvrouw. Wat betreft de betrokkenen 1, 2, 4, 5, 6 en 7 blijkt de betrokkenheid van verdachte onvoldoende uit het dossier en wordt verwezen naar hetgeen is aangevoerd over de iCloud. Wat betreft betrokkene 6 blijkt niet dat verdachte [naam 11] opdracht heeft gegeven tot het ophalen van pakketjes op 6 en 9 juli 2019. Wat betreft de betrokkenen 8 en 9 is hooguit sprake van medeplichtigheid, maar dat is niet ten laste gelegd.
Verdachte heeft feit 2 eveneens deels bekend. Verdachte heeft aangegeven dat hij middels bitcoins heeft betaald voor wachtwoorden. De raadsvrouw heeft in aanvulling hierop namens verdachte aangevoerd dat wat betreft de aantallen wordt uitgegaan van de aantallen die zijn genoemd op pagina 181, wat neerkomt op een gekocht aantal van 329.457.
Vooraf
De rechtbank stelt voorop dat verdachte in de kern wordt verweten dat hij gebruikersnamen en bijhorende wachtwoorden van derden heeft verworven, voorhanden heeft gehad en een deel daarvan heeft gebruikt voor het bestellen van goederen bij verschillende webwinkels op naam van anderen. Door gebruik te maken van de software werd duidelijk welke combinaties van gebruikersnamen en wachtwoorden juist waren. Met deze gegevens zou verdachte hebben ingelogd op de accounts van derden bij de webwinkels om daar gegevens aan te passen en bestellingen te doen. Ook na de doorzoeking van de woning van verdachte op 15 augustus 2019, waarbij zijn gegevensdragers in beslag zijn genomen, zou hij opnieuw gebruikersnamen en bijbehorende wachtwoorden van derden hebben verworven en voorhanden hebben gehad in zijn iCloud.
Verdachte heeft de verwijten grotendeels ontkend. De rechtbank komt echter, met uitzondering van feit 4, tot een bewezenverklaring en zal dat hierna per feit motiveren. Het dossier bevat veel technische gegevens. Deze gegevens en andere bewijsmiddelen dienen in samenhang te worden bezien. Om deze samenhang inzichtelijk te maken, zal de rechtbank hierna eerst de bewijsmiddelen afzonderlijk weergeven.
Aangifte [naam 2]
Namens [naam 2] is aangifte gedaan van onder andere computervredebreuk. [naam 2] had vastgesteld dat door derden op accounts van klanten was ingelogd en dat wijzigingen waren doorgevoerd en goederen waren besteld zonder medeweten of toestemming van de betreffende klanten. Het e-mailadres wat volgens [naam 2] het meest (124 keer) gebruikt werd bij de frauduleuze bestellingen betrof: [account] . [2]
Aanmaken e-mailadres [account]
Dit e-mailadres is aangemaakt op 16 november 2017 en was afgegeven aan ‘ [naam 12] ’ met postcode [postcode 1] in Nederland. [3] Die postcode is gekoppeld aan de adressen [adressen] . [4] Verdachte heeft van november 2014 tot en met februari 2017 ingeschreven gestaan op het adres [adres 2] in Arnhem. [5] Verdachte kende een persoon genaamd [naam 12] goed. Volgens verdachte woonde [naam 12] niet aan de [adres 2] , maar kwam hij daar wel regelmatig. [6]
Uit informatie van [naam 2] is afgeleid dat 10 van de 67 bestellingen die zijn gedaan met het e-mailadres [account] , zijn gekoppeld aan IP-adressen behorende bij een zogenoemde VPN-dienst. Door middel van het inloggen bij een VPN-dienst kan een internetgebruiker internetten zonder dat zijn locatie bekend wordt. Uit de IP-tap op verdachte is de politie gebleken dat hij regelmatig gebruik maakt van deze specifieke VPN-dienst. [11]
Huiszoeking
Op 15 augustus 2019 heeft een huiszoeking plaatsgevonden op verdachtes woonadres. In de woning werden twee zwarte iPhones (A.01.01.001 en A.01.01.003), een MacBook air (A.01.01.006) en een MacBook pro (A.01.01.007) aangetroffen. [12] Ten tijde van de doorzoeking stond een MacBook geopend. Volgens [naam 13] waren de MacBooks van verdachte. [13]
Ook is een witte Nokia telefoon in beslag genomen onder het nummer A.02.02.002 (hierna de Nokia 002). [14]
Verder werden er in de woning veel luxegoederen, waaronder 16 dozen veelal nieuwe of vrijwel ongebruikte (mannen)schoenen van de merken Nike en Adidas, en geld aangetroffen. De politie schat de waarde van de luxegoederen (op basis van nieuwprijs) op € 15.598,00. Ook zijn meerdere pakbonnen van [naam 10] aangetroffen waarop namen en adressen stonden van anderen dan verdachte of [naam 13] . [15]
Onderzoek aan de MacBooks
Op beide MacBooks stond dezelfde gebruikersnaam: ‘ [verdachte] ’. Er was geen ander gebruikersaccount beschikbaar om mee in te loggen. Beide MacBooks waren gekoppeld aan het Apple-account ‘ [naam 1] ’. Verschillende mappen werden via de iCloud, gekoppeld aan dit Apple-account, gesynchroniseerd. Hierdoor kwamen bestanden, het bureaublad en documenten op beide laptops voor. Ook de Apple Notities waren gesynchroniseerd en op beide MacBooks gelijk. De Apple Notities waren ook in de volledigheid lokaal beschikbaar onder andere op MacBook A.01.01.007 (de beide MacBooks zullen hierna worden genoemd: MacBook 006 en MacBook 007). [16]
Gebruikersnamen, wachtwoorden, OpenBullet en BlackBullet
In de iCloud-gegevens en Apple Notities van het account ‘ [naam 1] ’ stonden lijsten met gebruikersnamen en bijbehorende wachtwoorden. De lijsten stonden in mappen, waarbij er mappen waren die leken te verwijzen naar webshops waarvoor de inloggegevens bedoeld waren. Zo stond er een map met wachtwoorden met de naam ‘we’ dat volgens de politie waarschijnlijk een afkorting is voor [naam 2] .nl, en met de naam ‘cb’ dat volgens de politie waarschijnlijk een afkorting is voor [naam 3] .nl. In totaal zijn er 3.778.732
e-mailadressen met wachtwoorden aangetroffen.
e-mailadressen met wachtwoorden aangetroffen.
Op de MacBook 007 stond de software ‘OpenBullet’ geïnstalleerd. De betrokken verbalisant beschrijft dat met deze software het gebruikersgedrag in een internetbrowser gesimuleerd kan worden. De software kan ook worden gebruikt om (de rechtbank begrijpt: langs automatische weg) te controleren of een gebruikersnaam en wachtwoordcombinatie geldig is. De software kan worden uitgebreid met plug-ins, waarmee OpenBullet geschikt gemaakt kan worden voor specifieke websites en online diensten. In de iCloud van verdachte stonden plug-ins voor [naam 2] .nl, [naam 3] .nl, [naam 4] en nog zo’n 20 andere websites en online diensten.
De politie heeft geconstateerd dat de gebruiker in het programma OpenBullet dat op de MacBook 007 was geïnstalleerd acht verschillende wachtwoordlijsten en de plug-ins van [naam 2] .nl en [naam 3] .nl had geladen. In dat programma stond ook geregistreerd welke proxy-server werd gebruikt. De betrokken verbalisant beschrijft dat als het geautomatiseerde inlogverzoek via een proxy-server wordt uitgevoerd het oorspronkelijke IP-adres van de verdachte (de rechtbank begrijpt: de gebruiker) niet zichtbaar is voor de webshop. Door de verzoeken over honderden proxy-servers te verdelen is het voor de aangevallen webshop bijna niet te detecteren dat het om een aanval gaat.
In de database van OpenBullet op de MacBook 007 zag de verbalisant dat er tussen 13 mei 2019 en 7 juli 2019 8851 keer succesvol was ingelogd met een gebruikersnaam en wachtwoord.
Naast OpenBullet werd het programma BlackBullet, een voorganger van en functioneel gelijk aan OpenBullet, aangetroffen op de MacBook 007. In de database van BlackBullet op deze computer zag de verbalisant nog 4911 aanvullende succesvolle inlogpogingen op [naam 2] .nl in de periode van 14 februari tot 16 mei 2019. [17]
Herkomst wachtwoordlijsten
Op de MacBook 007 stond de applicatie Telegram Desktop. Dat is een chat applicatie waarmee tekstberichten en bestanden kunnen worden uitgewisseld.
Het Telegramvenster was actief op de MacBook 007. Aangetroffen werd een aantal chatgesprekken tussen de gebruiker ‘ [naam 14] ’, die op de MacBook 007 was ingelogd, en een gebruiker met de gebruikersnaam ‘ [naam 15] ’.
De gebruiker [naam 15] verstrekt in het chatgesprek op meerdere momenten wachtwoordlijsten aan [naam 14] tegen betaling van Bitcoins. De berichten in deze chat waren gedateerd tussen
25 november 2018 en 15 augustus 2019.
In een chatgesprek is zichtbaar dat [naam 14] op 11 december 2018 aan [naam 15] vraagt of deze een ‘checker’ kan maken voor [naam 2] .nl. Volgens de betrokken verbalisant is een checker in deze context waarschijnlijk een computerprogramma om te controleren of de inloggegevens voor [naam 2] .nl werken. [18]
iPhone 003
Op de inbeslaggenomen iPhone A01.01.003 (hierna: iPhone 003) was het Apple-account [naam 1] geregistreerd. Op die iPhone stond het programma Dropbox met de daaraan gekoppelde accountnaam [account] .
In de internethistorie op de iPhone 003 was een bezochte URL (de rechtbank begrijpt: een internetpagina) zichtbaar met het gebruikte e-mailadres [account] en de gebruikersnaam [naam 16] . Deze gebruikersnaam is gelijk aan meerdere social media-accounts die zijn aangetroffen op dezelfde iPhone. [19]
Bestelling op naam van [slachtoffer 1]
Aangeefster [slachtoffer 1] heeft verklaard dat een derde (zonder haar toestemming) met haar gegevens bestellingen heeft gedaan bij webwinkels van [naam 2] , [naam 5] en [naam 6] . De bestelling bij [naam 6] (9 paar Nike Air Max) zijn ook daadwerkelijk geleverd op een bezorglocatie in Arnhem. Aangeefster heeft een foto verstrekt waar de afleverdatum en tijd van het pakketje op staan vermeld. Op die foto is zichtbaar ‘bezorgd op donderdag 27 juni 2019 15.07 uur’. [20]
Op de iPhone 003 zijn afbeeldingen van de track & trace-codes aangetroffen van deze bestelling. Vermeld stond:
- oorspronkelijk bezorgadres: Gamma, mevrouw [slachtoffer 1] , [adres 3]
- adres Post-NL locatie: Gamma, [adres 4]
- zending is afgehaald op 27 juni om 15:07 uur. [21]
Bestelling op naam van [slachtoffer 2]
Aangever [slachtoffer 2] heeft verklaard dat een derde bij [naam 7] goederen zou hebben besteld. Aangever heeft echter geen account bij [naam 7] . [22] Het pakket dat op naam van [slachtoffer 2] is besteld, is op 10 augustus om 11:06 afgeleverd op het afhaalpunt ( [naam 17] in Arnhem) en is om 14:23 afgetekend door ‘MP’. [23]
Op de iPhone 003 zijn afbeeldingen van de track & trace-codes aangetroffen van deze bestelling. Vermeld stond:
- oorspronkelijk bezorgadres: [slachtoffer 2] , [adres 5]
- bezorgadres: [naam 17] , Arnhem
- afzender: [naam 7] Nederland
- bezorgd op zaterdag 10 augustus 14:23 uur. [24]
Bestelling op naam van [slachtoffer 3]
Op de iPhone 003 zijn afbeeldingen van de track & trace-codes aangetroffen van deze bestelling. Vermeld stond:
- oorspronkelijk bezorgadres: [slachtoffer 3] , [adres 6]
- adres Post-NL locatie: COOP, [adres 7]
- afzender: [naam 7] Nederland
- zending is afgehaald op zaterdag 15 augustus 13:32 uur. [25]
Een op 13 augustus 2019 op naam van [slachtoffer 3] geplaatste bestelling is op
15 augustus (2019) afgeleverd op het afhaalpunt COOP te Arnhem en is om
13.32 uur afgetekend door [naam 18] . [26]
15 augustus (2019) afgeleverd op het afhaalpunt COOP te Arnhem en is om
13.32 uur afgetekend door [naam 18] . [26]
In de contacten in de Nokia 002 die onder verdachte in beslag is genomen stond het nummer [telefoonnummer 1] onder vermelding van ‘ [naam 18] ’. In de politiesystemen is dat nummer gekoppeld aan [naam 18] . [27]
[naam 18] is op 11 september 2018 aangehouden nadat zij in of nabij Arnhem pakketjes hadden afgehaald die besteld waren bij [naam 5] of [naam 2] . Haar opdrachtgever maakte gebruik van het e-mailadres [account] . [28]
Bestelling op naam van [slachtoffer 4]
Aangeefster [slachtoffer 4] , wonende op een adres met postcode [postcode 2] , heeft aangifte gedaan van (illegaal) gebruik van haar identiteitsgegevens. Via haar account bij de [naam 2] waren twee iPhones en een iPad besteld. Zij kreeg rekeningen voor bestellingen die zij niet had geplaatst van [naam 8] en [naam 5] . Bij de bestelling van [naam 5] was als afleveradres de Albert Heijn in Arnhem opgegeven. Verder was aan haar e-mailadres [naam 19] het forwardmailadres dat begon met [account] gekoppeld. [29]
Op de iPhone 003 is een tekstbestand aangetroffen ten aanzien van deze bestelling. Vermeld stond:
Bestelling op naam van [slachtoffer 5]
Aangeefster [slachtoffer 5] , echtgenote van [naam 20] , wonende te Zeewolde, heeft verklaard dat er bij diverse webshops voor veel geld aan artikelen is gekocht, waarbij gebruik is gemaakt van haar naam en adres. Aangeefster had deze artikelen niet besteld. Er zijn bestellingen gedaan bij [naam 2] , [naam 5] en [naam 6] . [naam 6] heeft in totaal vier paar schoenen afgeleverd op het PostNL adres bij de Gamma in Arnhem. [31]
Op de iPhone 003 is een notitie met bestelinformatie aangetroffen van deze bestelling. Vermeld stond:
“Adres PostNL-locatie
Gamma
[adres 8]
Bestelling op naam van [slachtoffer 6]
Aangever [slachtoffer 6] heeft verklaard dat op zijn naam meerdere bestellingen waren geplaatst bij [naam 2] en [naam 5] , welke bestellingen aangever niet had geplaatst. [33]
Bestelling op naam van [slachtoffer 7]
Aangeefster [slachtoffer 7] , wonende in Assen, heeft aangifte gedaan van identiteitsfraude, omdat een persoon haar persoonlijke gegevens heeft misbruikt om bestellingen te plaatsen bij de webshops van [naam 5] , [naam 6] , [naam 9] .nl en [naam 2] . Bij [naam 6] waren twee bestellingen gedaan. De bestellingen bij [naam 6] zijn afgehaald bij de Primera aan de [adres 9] in Arnhem. Aangeefster ontving een afhaalbevestiging van deze bestellingen met de barcode [code 1] . [36] De bestellingen zijn opgehaald door voornoemde [naam 11] . [37]
Op de iPhone 003 is een notitie met bestelinformatie aangetroffen van deze bestelling. Vermeld stond:
“ [slachtoffer 7]
[naam 21]
[adres 10]
[slachtoffer 7]
(…)
Assen
[code 1]
2 pakketen.” [38]
Bestelling op naam van [slachtoffer 8]
Aangever [slachtoffer 8] heeft verklaard dat hij werd gebeld door [naam 8] over een bestelling die hij niet had geplaatst. Het pakje zou naar de COOP in Arnhem worden gestuurd. Tevens zag aangever op zijn PostNL app dat er nog een pakketje onderweg was van [naam 5] , een playstation, die onderweg was naar de Coop in Arnhem. Aangever heeft contact gelegd met de Coop en met de politie. [39] Verdachte heeft bevestigd dat hij op 7 augustus 2019 heeft gebeld met de Coop over deze bestelling. In afgeluisterde gesprekken (telefoonnummer [telefoonnummer 2] ) is gehoord dat verdachte zich Meneer [slachtoffer 8] noemt en dat zijn huisnummer 39 zou zijn. Verdachte informeert over een pakketje van [naam 5] . [40] Voornoemde [naam 11] is aangehouden terwijl hij dit pakketje wilde ophalen bij de COOP. In de telefoon van [naam 11] is een chatgesprek zichtbaar waarin instructies met betrekking tot dit pakketje worden gegeven door de persoon van het telefoonnummer [telefoonnummer 3] . In de iPhone 003 is ditzelfde chatgesprek aangetroffen. [41] Verdachte heeft bevestigd dat hij [naam 11] heeft gevraagd het pakketje op te halen. [42]
Bestelling op naam van [slachtoffer 9]
De heer [slachtoffer 9] heeft verklaard dat hij door de [naam 2] was gebeld over bestellingen die niet door hem waren geplaatst. [43] Verdachte heeft verklaard dat hij met gebruikmaking van de naam [slachtoffer 9] heeft gebeld met afhaalcentrum De Buren over het ophalen van een pakketje en dat hij toen op de locatie de Blaak in Rotterdam was. Bij het afluisteren van dat telefoongesprek is gehoord dat verdachte zich kenbaar maakt als ‘ [slachtoffer 9] ’. De mastlocatie ten tijde van het telefoongesprek was [adres 11] . [44]
Op de iPhone 003 is een notitie met bestelinformatie aangetroffen van deze bestelling. Vermeld stond:
“ [slachtoffer 9] (…): (…) [code 2] ” [45]
Beoordeling door de rechtbank
Ten aanzien van het gebruik van de beide in beslag genomen iPhones en de in beslag genomen MacBooks 006 en 007
Verdachte heeft ter terechtzitting te kennen gegeven dat de beide zwarte iPhones en MacBook 006 van hem zijn. Niemand anders dan hijzelf maakte daarvan gebruik. Ook heeft verdachte verklaard dat [naam 1] zijn iCloud-account is. [46] Ten aanzien van MacBook 007 heeft hij verklaard dat deze niet van hem is maar door een ander in zijn woning is achtergelaten. Hij heeft deze MacBook wel eens “opengemaakt en dingen bekeken”, maar er geen “dingen opgezet of instellingen veranderd”. Naar het oordeel van de rechtbank kan op grond van de voormelde onderzoeksbevindingen ten aanzien van de MacBooks echter worden aangenomen dat niet alleen MacBook 006 maar ook MacBook 007 van verdachte was en dat hij daarvan ook de enige gebruiker was. Verdachte heeft immers, terwijl dat wel van hem had mogen worden verwacht, geen enkele feitelijke onderbouwing gegeven voor zijn stelling dat MacBook 007 van een ander was en niet of nauwelijks door hem is gebruikt, maar het gelaten bij niet concrete, laat staan verifieerbare stellingen.
Ten aanzien van IP-adres [IP-adres] en het iCloud-account
Het in het dossier beschreven gebruik van het IP-adres [IP-adres] en iCloud-account rekent de rechtbank eveneens enkel aan verdachte toe. Niet gebleken is, en ook verdachte gaat daar niet vanuit, dat [naam 13] betrokken is geweest bij de aan verdachte verweten gedragingen. Ter terechtzitting heeft verdachte verklaard “dat in de loop der jaren mensen op bezoek zijn geweest, dat hij hen zijn wifi-gegevens heeft gegeven en dat die personen waarschijnlijk zittend voor zijn voordeur op internet zaten en dingen deden”. Ook hier heeft verdachte slechts algemene stellingen betrokken, zonder enige feitelijke onderbouwing en de rechtbank gaat daaraan dan ook voorbij. Het is op geen enkele wijze aannemelijk geworden dat anderen dan verdachte gebruik hebben gemaakt van het IP-adres en iCloud-account. Dat die “anderen” dat dan “zittend voor zijn voordeur” zouden hebben gedaan, is ook overigens ongeloofwaardig.
Ten aanzien van e-mailadres [account]
Verdachte heeft ter terechtzitting verklaard dat hij nooit gebruik heeft gemaakt van het
e-mailadres [account] . Naar het oordeel van de rechtbank kan op grond van de voormelde onderzoeksbevindingen, meer in het bijzonder die bevindingen waarin dit
e-mailadres naar voren komt, worden aangenomen dat verdachte de gebruiker van dit
e-mailadres was. Verdachte heeft tegenover die bevindingen volstaan met een blote ontkenning en geen (aannemelijke) verklaring gegeven voor de omstandigheid dat het
e-mailadres meerdere malen te linken is aan andere onderzoeksbevindingen die direct in verband kunnen worden gebracht met verdachte, te weten onder andere de link met het
IP-adres [IP-adres] en het Dropbox-account.
IP-adres [IP-adres] en het Dropbox-account.
Ten aanzien van feit 1
De rechtbank zal zich allereerst uitlaten over de vraag of de applicaties BlackBullet en OpenBullet aangemerkt kunnen worden als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een misdrijf als bedoeld in, voor zover in de onderhavige zaak van belang, artikel 138ab, eerste lid, van het Wetboek van Strafrecht (Sr), te weten computervredebreuk.
Hiervóór is opgenomen wat de gebruiksmogelijkheden zijn van de applicatie OpenBullet en de plug-ins waarmee deze applicatie kan worden uitgebreid. Hetzelfde geldt voor de voorganger van OpenBullet, zijnde BlackBullet. Aan de raadsvrouw kan worden toegegeven dat deze software op zichzelf is ontworpen met als doel legale toepassing daarvan.
De vraag die zich dan voordoet is of software die niet als zodanig hoofdzakelijk ontworpen is tot het plegen van computervredebreuk, maar daarbij wel een belangrijke rol kan spelen, aangemerkt kan worden als technisch hulpmiddel in voornoemde zin en als bedoeld in artikel 139d, tweede lid, aanhef en sub a, Sr.
Onder verwijzing naar inmiddels gevormde jurisprudentie op dit punt (bijvoorbeeld ECLI:NL:GHDHA:2020:1559) merkt de rechtbank op dat uit de wetsgeschiedenis van laatstgenoemd artikel kan worden opgemaakt dat de wetgever de eis heeft gesteld dat met het betreffende technisch hulpmiddel daadwerkelijk computervredebreuk of andere computermisdrijven als bedoeld in dat artikel zullen worden gepleegd. Ook kan daaruit worden opgemaakt dat de wetgever niet een dusdanig strikte uitleg heeft willen hanteren dat de eis wordt gesteld dat een technisch hulpmiddel gemaakt en/of ontworpen moet zijn om als zelfstandig computerprogramma computermisdrijven mee te plegen.
Naar het oordeel van de rechtbank kunnen de applicaties BlackBullet en OpenBullet, en de plug-ins waarmee deze applicatie kunnen worden uitgebreid, daarom worden aangemerkt als technisch hulpmiddel als bedoeld in artikel 139, tweede lid, aanhef en sub a, Sr. Deze applicaties worden immers, zoals hiervóór weergegeven en zoals ook in de onderhavige zaak aan de orde is -waarover hierna meer-, ook worden gebruikt om te controleren of een combinatie van gebruikersnaam en wachtwoord geldig is. Met deze informatie kan vervolgens het misdrijf in artikel 138ab, eerste lid, Sr, computervredebreuk, worden gepleegd.
Uit de hiervóór weergegeven bewijsmiddelen, en uit hetgeen hierna nog zal worden overwogen over de feiten 3 en 5, blijkt naar het oordeel van de rechtbank dat verdachte de applicaties BlackBullet en OpenBullet en de diverse plug-ins voorhanden heeft gehad met het oogmerk van het plegen van computervredebreuk. Dat verdachte, zoals gesteld, de plug-ins niet heeft geïnstalleerd vindt weerlegging in de hiervóór weergegeven bewijsmiddelen en de door de rechtbank gedane vaststelling dat hij de enige gebruiker was van MacBook 007 en het iCloud-account.
De rechtbank concludeert dat het onder feit 1 ten laste gelegde wettig en overtuigend bewezen kan worden.
Ten aanzien van feit 2
Verdachte heeft verklaard dat hij Telegram gebruikte en dat hij met [naam 15] heeft gechat en hem betaald heeft voor lijsten met wachtwoorden. Deze lijsten werden opgeslagen op zijn iCloud-account. Verdachte betaalde met Bitcoins.. [47]
Gelet op deze verklaring van verdachte, gevoegd bij de hiervóór weergeven bewijsmiddelen, acht de rechtbank het onder feit 2 tenlastegelegde wettig en overtuigend bewezen, waaronder het in de tenlastelegging opgenomen aantal van 3.778.732. Anders dan de verdediging ziet de rechtbank geen aanleiding om dit aantal drastisch naar beneden bij te stellen. Gezien hetgeen hierna nog zal overwogen over de feiten 3 en 5, had verdachte het oogmerk om door middel van gebruikmaking van de verkregen e-mailadressen met wachtwoorden computervredebreuk te plegen.
Ten aanzien van feit 3
Zoals blijkt uit de hiervóór weergegeven bewijsmiddelen zijn er 8851 succesvolle inlogs, ofwel hacks, geweest via OpenBullet en 4911 succesvolle inlogs/hacks via BlackBullet, en wel door middel van de plug-in ten aanzien van [naam 2] . Ook het tenlastegelegde onder feit 3 kan naar het oordeel van de rechtbank daarom wettig en overtuigend bewezen worden. Het ten aanzien van dit feit door de verdediging gevoerde verweer vindt weerlegging in de bewijsmiddelen en in de door de rechtbank gedane vaststelling dat verdachte de enige gebruiker was van MacBook 007 en het iCloud-account.
Ten aanzien van feit 4
De officier van justitie heeft ten aanzien van dit feit, in reactie op het verweer van de verdediging, naar voren gebracht dat na de inbeslagname onder verdachte van de gegevensdragers het iCloud-account op haar verzoek ontoegankelijk is gemaakt door wijziging van het wachtwoord. Een dag later is het account echter weer geactiveerd, wat alleen mogelijk is met gebruikmaking van het eigen Apple ID, en zijn er nieuwe lijsten/nieuwe leads met inloggegevens van anderen geplaatst. De officier van justitie stelt zich op het standpunt dat hieruit kan worden opgemaakt dat verdachte na 15 augustus 2019 (naar de rechtbank het standpunt begrijpt: met gebruikmaking van een andere computer/telefoon) is doorgegaan met zijn criminele handelen.
De rechtbank zal verdachte van dit feit vrijspreken. Uit het dossier blijkt niet dat verdachte het iCloud-account na 15 augustus 2019 opnieuw heeft geactiveerd, naar in dat geval zou moeten worden aangenomen met gebruikmaking van een andere computer/telefoon en zijn eigen Apple ID. Dat dit op zichzelf mogelijk zou zijn, en dan alleen via het eigen Apple ID, mag zo zijn, maar blijkt niet uit bijvoorbeeld een ter zake opgemaakt proces-verbaal van bevindingen, noch een ander bewijsmiddel, en kan ook niet worden aangemerkt als een feit van algemene bekendheid. Voorts kan uit het dossier evenmin voldoende worden opgemaakt dat de aangetroffen lijsten/leads na 15 augustus 2019 in de iCloud zijn geplaatst.
Ten aanzien van feit 5
Op grond van de hiervóór weergegeven bewijsmiddelen, te weten de in relatie tot de genoemde bestellingen verkregen onderzoeksgegevens, alsook gezien de door de rechtbank gedane vaststelling dat het e-mailadres [account] bij verdachte in gebruik was, acht de rechtbank wettig en overtuigend bewezen dat verdachte zich schuldig heeft gemaakt aan het onder feit 5 tenlastegelegde. Ook hier vindt het verweer van de verdediging weerlegging in die bewijsmiddelen en de vaststelling van de rechtbank.
De rechtbank zal verdachte vrijspreken van het ten laste gelegde medeplegen. Waar het gaat om de bestellingen op naam van [slachtoffer 2] en [slachtoffer 3] , heeft verdachte samengewerkt met [naam 18] . Zij heeft in opdracht van verdachte beide keren de door verdachte bestelde pakketjes opgehaald. En waar het gaat om de bestellingen op naam van [slachtoffer 6] , [slachtoffer 7] en [slachtoffer 8] heeft verdachte alle keren samengewerkt met [naam 11] . Hij heeft in opdracht van verdachte de door verdachte bestelde pakketjes opgehaald. Nog afgezien van de vraag of hier kan worden gesproken van een nauwe en bewuste samenwerking met [naam 18] en [naam 11] (die veeleer de rol van medeplichtige lijken te hebben gehad), stuit een bewezenverklaring van het medeplegen reeds af op de omstandigheid dat enkel ten laste is gelegd het binnendringen van de accounts van de in de tenlastelegging genoemde personen. Dat [naam 18] , [naam 11] of andere personen daarbij betrokken zijn geweest is niet gebleken.
3.De bewezenverklaring
Naar het oordeel van de rechtbank is wettig en overtuigend bewezen dat verdachte het onder de feiten 1, 2, 3 en 5 tenlastegelegde heeft begaan, te weten dat:
1.
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem
, althans in Nederland,een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt
en/of ontworpenis tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid,
138b of 139cWetboek van Strafrecht,
heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid of anderszins ter beschikking heeft gesteld ofvoorhanden heeft gehad, met het oogmerk dat daarmee dat misdrijf werd gepleegd, door
, althans in Nederland,een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt
en/of ontworpenis tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid,
138b of 139cWetboek van Strafrecht,
heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid of anderszins ter beschikking heeft gesteld ofvoorhanden heeft gehad, met het oogmerk dat daarmee dat misdrijf werd gepleegd, door
-op zijn Apple gegevensdragers (Apple MacBook M1706 en
/ofApple MacBook A1466) de applicaties BlackBullet en OpenBullet geïnstalleerd te hebben/aanwezig te hebben,
/ofApple MacBook A1466) de applicaties BlackBullet en OpenBullet geïnstalleerd te hebben/aanwezig te hebben,
-van deze applicaties plug-ins voor de websites van (onder andere) [naam 2] , [naam 3] en [naam 4] geïnstalleerd te hebben/aanwezig te hebben
met het oogmerk om zich toegang te verschaffen tot gebruikersaccounts op genoemde websites door lijsten met combinaties van gebruikersnamen en wachtwoorden in genoemde applicaties te laden en door middel van de genoemde plug-ins deze combinaties van gebruikersnamen en wachtwoorden door de genoemde websites te laten controleren op geldigheid;
2.
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem
, althans in Nederland, een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft
vervaardigd, verkocht,verworven
, ingevoerd, verspreid en/of anderszins ter beschikking heeft gestelden
/ofvoorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid,
138b of 139cWetboek van Strafrecht werd gepleegd, door 3.778.732
, althans een grote hoeveelheid,e-mail-adressen met wachtwoorden van derden, ten behoeve van het inloggen op onder andere de websites van [naam 2] en [naam 3] en/of andere web-winkels, verworven en
/ofvoorhanden te hebben op zijn Apple gegevensdragers (Apple MacBook M1706 en
/ofApple MacBook A1466) en
/ofin de iCloud behorende bij zijn Apple-account ' [naam 1] ';
hij in de periode van 14 februari 2019 tot en met 15 augustus 2019 te Arnhem
, althans in Nederland, een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft
vervaardigd, verkocht,verworven
, ingevoerd, verspreid en/of anderszins ter beschikking heeft gestelden
/ofvoorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid,
138b of 139cWetboek van Strafrecht werd gepleegd, door 3.778.732
, althans een grote hoeveelheid,e-mail-adressen met wachtwoorden van derden, ten behoeve van het inloggen op onder andere de websites van [naam 2] en [naam 3] en/of andere web-winkels, verworven en
/ofvoorhanden te hebben op zijn Apple gegevensdragers (Apple MacBook M1706 en
/ofApple MacBook A1466) en
/ofin de iCloud behorende bij zijn Apple-account ' [naam 1] ';
3.
hij in
of omstreeksde periode 14 februari 2019 tot en met 7 juli 2019 te Arnhem
, althans in Nederland,opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website en/of webserver van [naam 2] , 13.762 keer
, althans zeer veel keren,is binnengedrongen
of omstreeksde periode 14 februari 2019 tot en met 7 juli 2019 te Arnhem
, althans in Nederland,opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website en/of webserver van [naam 2] , 13.762 keer
, althans zeer veel keren,is binnengedrongen
-door het doorbreken van een beveiliging,
-door een technische ingreep,
-met behulp van valse signalen of een valse sleutel, te weten door lijsten met combinaties van gebruikersnamen en wachtwoorden in de applicaties BlackBullet en OpenBullet en daarbij gemaakte plug-ins voor de website van [naam 2] te laden en door middel van de genoemde plug-ins deze combinaties van gebruikersnamen en wachtwoorden door de genoemde website te laten controleren op geldigheid en zich zo (middels BlackBullet 4911 keer en middels OpenBullet 8851 keer) toegang heeft verschaft tot gebruikersaccounts op de website en/of webserver van [naam 2]
en/of
en/of
-door het aannemen van een valse hoedanigheid, te weten door zich voor te doen als de gebruiker(s) van het/de betreffende gebruikersaccount(s);
5.
hij in
of omstreeksde periode van 8 december 2018 tot en met 28 september 2019
tezamen en in vereniging met een of meer anderen, althans alleen,te Arnhem
, althans in Nederland,opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten in de gebruikersaccounts op de website en/of webserver van [naam 2] en
/of[naam 5] en
/of[naam 6] en
/of[naam 7] en
/of[naam 8] en
/of[naam 9] en
/of[naam 10] van
hij in
of omstreeksde periode van 8 december 2018 tot en met 28 september 2019
tezamen en in vereniging met een of meer anderen, althans alleen,te Arnhem
, althans in Nederland,opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten in de gebruikersaccounts op de website en/of webserver van [naam 2] en
/of[naam 5] en
/of[naam 6] en
/of[naam 7] en
/of[naam 8] en
/of[naam 9] en
/of[naam 10] van
- [slachtoffer 1] ,
- [slachtoffer 2] ,
- [slachtoffer 3] ,
- [slachtoffer 4] ,
- [slachtoffer 5] ,
- [slachtoffer 6] ,
- [slachtoffer 7] ,
- [slachtoffer 8] en
/of
/of
- [slachtoffer 9]
is binnengedrongen
-door het doorbreken van een beveiliging,
-door een technische ingreep,
-met behulp van valse signalen of een valse sleutel, te weten door e-mailadressen, gebruikersnamen en
/ofwachtwoorden van bovengenoemde personen in te voeren op de website van [naam 2] en
/of[naam 5] en
/of[naam 6] en
/of[naam 7] en
/of[naam 8] en
/of[naam 9] en
/of[naam 10] en
/of
/ofwachtwoorden van bovengenoemde personen in te voeren op de website van [naam 2] en
/of[naam 5] en
/of[naam 6] en
/of[naam 7] en
/of[naam 8] en
/of[naam 9] en
/of[naam 10] en
/of
-door het aannemen van een valse hoedanigheid, te weten door zich voor te doen als bovengenoemde gebruiker(s) van het/de betreffende gebruikersaccount(s).
Voor zover er in de tenlastelegging kennelijke taal- en/of schrijffouten voorkomen, zijn die fouten verbeterd. Verdachte is daardoor niet in de verdediging geschaad.
Wat meer of anders is ten laste gelegd dan hiervoor bewezen is verklaard, is niet bewezen.
Verdachte zal daarvan worden vrijgesproken.
4.De kwalificatie van het bewezenverklaarde
Het bewezenverklaarde levert op:
feit 1:
Het met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid van het Wetboek van Strafrecht wordt gepleegd, een technisch hulpmiddel dat hoofdzakelijkgeschikt gemaakt is tot het plegen van een zodanig misdrijf voorhanden hebben;
feit 2:
Het met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid van het Wetboek van Strafrecht wordt gepleegd, een computerwachtwoord, toegangscode of een daarmee vergelijkbaar gegeven waardoor toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan, verwerven en voorhanden hebben;
feit 3:
Computervredebreuk, meermalen gepleegd;
feit 5:
Computervredebreuk, meermalen gepleegd.
5.De strafbaarheid van de feiten
De feiten zijn strafbaar.
6.De strafbaarheid van de verdachte
Verdachte is strafbaar, nu geen omstandigheid is gebleken of aannemelijk is geworden die de strafbaarheid van verdachte uitsluit.
7.De overwegingen ten aanzien van straf en/of maatregel
Het standpunt van de officier van justitie
De officier van justitie heeft gevorderd dat verdachte zal worden veroordeeld tot een gevangenisstraf voor de duur van 30 maanden en tot een geldboete van € 10.000,00.
Het standpunt van de verdediging
De raadsvrouw heeft de rechtbank verzocht een gevangenisstraf op te leggen gelijk aan de tijd dat verdachte op het politiebureau heeft gezeten, een onvoorwaardelijke gevangenisstraf als stok achter de deur en een taakstraf. Verdachte heeft zich gedistantieerd van de sociale omgeving waarbinnen de feiten zijn gepleegd en heeft zijn leven op orde. Hij heeft zijn opleiding bijna afgerond, heeft een baan en heeft onlangs een huis gekocht. Door een gevangenisstraf zou verdachte alles kwijtraken en in de schulden komen. Verder zijn de feiten al twee jaar oud en is artikel 63 Sr van toepassing.
De beoordeling door de rechtbank
De rechtbank heeft bij de bepaling van de op te leggen straf rekening gehouden met de aard en de ernst van hetgeen bewezen is verklaard en de omstandigheden waaronder dit is begaan. De rechtbank heeft verder rekening gehouden met de persoon en de omstandigheden van verdachte, zoals daarvan uit het dossier en ter terechtzitting is gebleken, waaronder de justitiële documentatie van verdachte, gedateerd 28 januari 2021. Daaruit blijkt dat verdachte vaker in beeld is geweest bij justitie voor vermogensdelicten. In 2016 is verdachte veroordeeld voor een straatroof tot een deels onvoorwaardelijke gevangenisstraf en in 2014 voor heling.
Verdachte heeft zich schuldig gemaakt aan het verwerven en voorhanden hebben van een zeer grote hoeveelheid, ruim 3,7 miljoen, combinaties van gebruikersnamen/e-mailadressen en wachtwoorden voor verschillende webwinkels. Door middel van meerdere technische hulpmiddelen op zijn computer heeft verdachte geautomatiseerd getest of deze combinaties van gebruikersnamen/e-mailadressen en wachtwoorden juist waren. Bij 13.762 van deze combinaties bleek dit het geval en is hij succesvol binnengedrongen in accounts van derden bij die webwinkels. Er vond in die gevallen dus een succesvolle hack plaats. Via verschillende van die accounts heeft verdachte bestellingen geplaatst voor veelal luxe kostbare goederen, waarna hij die goederen heeft ontvangen. Daarvoor heeft hij onder andere gebruik gemaakt van katvangers die de bestellingen voor hem ophaalden. In een aantal gevallen heeft verdachte zich ook de toegang verschaft tot het e-mailaccount van de slachtoffers en er voor gezorgd dat de
e-mailberichten van deze personen doorgestuurd werden naar het e-mailadres dat hij gebruikte voor zijn criminele activiteiten. Daardoor raakten de slachtoffers pas op de hoogte van de bestellingen die via hun account waren gedaan, nadat de betreffende webwinkels daarover met hen contact opnamen.
Als gevolg van de hacks door verdachte, de bestellingen die hij vervolgens op naam van anderen heeft gedaan en de administratieve rompslomp die dit met zich bracht, hebben de webwinkels grote financiële schade geleden. Ook de slachtoffers heeft het veel tijd en moeite gekost om te achterhalen wat er gebeurd was en om weer toegang te krijgen tot hun account bij de webwinkels.
Verdachte heeft door zijn gedragingen bovendien inbreuk gemaakt op het vertrouwen dat mensen hebben in het winkelen via het internet, terwijl dit vertrouwen juist voor deze manier van handelen zo belangrijk is. De zeer grote hoeveelheid van combinaties van gebruikersnamen en wachtwoorden van Nederlandse webwinkels die verdachte in zijn bezit had, maakt de kans groot dat de al dan niet verouderde inloggegevens van het account van een willekeurige Nederlander in het bezit waren van verdachte. Dit leidt tot onrust in de samenleving.
De grootschaligheid van de gedragingen van verdachte, puur uit eigen financieel gewin, rekent de rechtbank verdachte zwaar aan. Hij heeft zich niet bekommerd om de vergaande gevolgen voor de gedupeerde webshops en particulieren.
De rechtbank ziet, anders dan de verdediging, geen aanleiding om in strafmatigende zin rekening te houden met de omstandigheid dat verdachte zich gedistantieerd heeft van zijn criminele verleden/contacten en dat hij zijn leven nu op orde heeft. Verdachte heeft ter terechtzitting slechts beperkt verantwoording afgelegd voor zijn handelen en zichzelf een kleine rol aangemeten. Hij heeft gewezen naar andere personen, die volgens hem het brein zijn van de hacks en bestellingen op naam van anderen. Wie die andere personen zijn en wat zij precies hebben gedaan heeft hij echter niet willen zeggen.
De rechtbank acht, gelet op de ernst van de feiten en de ingrijpende gevolgen daarvan, een onvoorwaardelijke gevangenisstraf van langere duur de enige passende sanctie en neemt de eis van de officier van justitie hierbij als uitgangspunt. Met de officier van justitie acht de rechtbank daarnaast een forse geldboete op zijn plaats, gelet op het grote financiële gewin van verdachte. In strafmatigende zin houdt de rechtbank rekening met het feit dat zij verdachte zal vrijspreken van feit 4, het medeplegen onder feit 5 en met het feit dat artikel 63 Sr van toepassing is (verdachte is op 6 november 2019 door het Gerechtshof Arnhem-Leeuwarden veroordeeld tot een gevangenisstraf van 300 dagen waarvan 204 dagen voorwaardelijk en een taakstraf van
240 uren).
De rechtbank acht een gevangenisstraf voor de duur van 27 maanden en een geldboete van € 10.000,00 passend en geboden.
8.De beoordeling van het beslag
Het standpunt van de officier van justitie
De officier van justitie heeft gevorderd de twee iPhones, de twee MacBooks, het geldbedrag van € 6.040,00 en de cryptocurrency, de rechtbank begrijpt de Bitoins verbeurd te verklaren. Deze goederen zijn volgens de officier van justitie gebruikt voor het plegen van de strafbare feiten of daaruit verkregen.
Het standpunt van de verdediging
De raadsvrouw heeft zich op het standpunt gesteld dat de iPhones, MacBooks, het geld en de Bitcoins moeten worden teruggegeven aan verdachte.
De beoordeling door de rechtbank
De rechtbank beslist dat de voorwerpen die aan verdachte toebehoren voor verbeurdverklaring in aanmerking komen, te weten:
- 2 Apple iPhones (A.01.01.001 en A.01.01.003)
- Apple MacBook ( [code 3] )
- Apple MacBook ( [code 4] ).
Deze voorwerpen waren allen gekoppeld aan het iCloud-account van verdachte waarop de lijsten met combinaties van gebruikersnamen en wachtwoorden stonden. De data op deze apparaten synchroniseerden bovendien met elkaar. Op één van de MacBooks is daarnaast de software OpenBullet en Blackbullet geïnstalleerd en gebruikt voor de hacks en hackpogingen. Verder werden de apparaten gebruikt voor communicatie met betrekking tot de gepleegde feiten. De rechtbank heeft rekening gehouden met de draagkracht van verdachte.
Nu geen (in)directe relatie kan worden vastgesteld met de bewezenverklaarde feiten, bestaat naar het oordeel van de rechtbank geen grond tot het verbeurdverklaren dan wel het onttrekken aan het verkeer van het inbeslaggenomen geld en Bitcoins. Daarom zal de rechtbank beslissen tot teruggave aan verdachte. Hierbij wordt opgemerkt dat op dit geldbedrag en deze Bitcoins conservatoir (boete)beslag rust, zodat daadwerkelijke teruggave niet aan de orde is, omdat de rechtbank aan verdachte tevens een geldboete zal opleggen.
9.De toegepaste wettelijke bepalingen
De oplegging van de straf is gegrond op de artikelen 23, 24c, 33, 33a, 55, 57, 63, 138ab en 139d van het Wetboek van Strafrecht.
10.De beslissing
De rechtbank:
spreekt verdachte vrij van het onder feit 4 tenlastegelegde;
verklaart bewezen dat verdachte de overige ten laste gelegde feiten, zoals vermeld onder ‘De bewezenverklaring’, heeft begaan;
verklaart niet bewezen hetgeen verdachte meer of anders is ten laste gelegd dan hierboven bewezen is verklaard en spreekt verdachte daarvan vrij;
verstaat dat het aldus bewezenverklaarde oplevert de strafbare feiten zoals vermeld onder ‘De kwalificatie van het bewezenverklaarde’;
verklaart verdachte hiervoor strafbaar;
veroordeelt verdachte wegens het bewezenverklaarde tot
een gevangenisstraf voor de duur van 27 (zevenentwintig) maanden;
een gevangenisstraf voor de duur van 27 (zevenentwintig) maanden;
veroordeelt verdachte tevens tot
een geldboete van € 10.000,00 (tienduizend euro), te vervangen door 85 (vijfentachtig) dagen hechtenis als verdachte deze geldboete niet voldoet;
een geldboete van € 10.000,00 (tienduizend euro), te vervangen door 85 (vijfentachtig) dagen hechtenis als verdachte deze geldboete niet voldoet;
verklaart verbeurd de voorwerpen:
- twee Apple iPhones
- Apple MacBook ( [code 3] )
- Apple MacBook ( [code 4] )
gelast de teruggave aan verdachte van het inbeslaggenomen geldbedrag groot € 6.040,00 en 0,14 Bitcoins.
Dit vonnis is gewezen door mr. M.J. Wasmann (voorzitter), mr. K.A.M. van Hoof en
mr. L.F. Bögemann, rechters, in tegenwoordigheid van mr. C. Aalders, griffier, en uitgesproken ter openbare terechtzitting van deze rechtbank op 1 april 2021.
mr. L.F. Bögemann, rechters, in tegenwoordigheid van mr. C. Aalders, griffier, en uitgesproken ter openbare terechtzitting van deze rechtbank op 1 april 2021.
Mr. L.F. Bögemann en mr. C. Aalders zijn buiten staat dit vonnis mede te ondertekenen.