MaxiDed was een hosting provider die vanaf circa 2008 actief was. Het bedrijf adverteerde met “don’t ask, don’t tell” hosting en klanten gebruikten de dienst naar verluidt voor het versturen spam, DDoS-aanvallen, voor malware (o.a. Carbanak) en het verspreiden van materiaal van seksueel misbruik van minderjarigen (zie ZDnet, 17 mei 2018, dit politierapport, p. 39, deze paper van Noorozian e.a. 2019 (.pdf) en dit rapport (.pdf) van TrendMicro))

MaxiDed’s model bestond uit het resellen van servers bij meer dan 30 verschillende hostingproviders in 82 landen. Volgens ZDNet zou MaxiDed 300.000 klanten hebben bediend, met betaling in o.a. Bitcoin voor maandabonnementen. De diensten varieerden van het hosten van botnetservers en exploit-kits tot platformen voor goksites en voor de distributie van pornografie.

Arrestaties en jurisprudentie

In 2018 leidde een politie-operatie tot de sluiting van MaxiDed. De operatie werd uitgevoerd door autoriteiten in Thailand en Nederland en de data zou zijn gedeeld met Europol. Het onderzoek richtte zich op de activiteiten van MaxiDed en de personen erachter (zie ook Bleepingcomputer, 16 mei 2018). De Thaise politie arresteerde in mei 2018 een 26-jarige Moldavische man nabij Bangkok, vermoedelijk een beheerder van MaxiDed. Rond diezelfde tijd werd in Bulgarije een medeverdachte aangehouden.

In Nederland werd een verdachte veroordeeld voor witwassen op 29 april 2019, ECLI:NL:RBROT:2019:8067 (de uitspraak werd pas op 17 oktober 2019 gepubliceerd zie ook Cybercrime jurisprudentieoverzicht – december 2019 | jjoerlemans.com). De uitspraak is geanonimiseerd, maar duidelijk is dat het hier over de Moldavische verdachte ging.

De verdachte werd vrijgesproken voor het medeplegen van het verspreiden van materiaal van seksueel misbruik van minderjarigen. Volgens de rechtbank is geen sprake van opzet, ook niet in voorwaardelijke zin, op deze gedragingen. De rechtbank vond dat het openbaar ministerie bewijs moest aandragen dat de verdachte bewust was (dat er sprake was van opzet) van de verspreiding van het materiaal. Dat de verdachte heeft verklaard dat illegale software en (volwassenen) porno werd uitgewisseld, vormt daarvoor geen onderbouwing. Evenmin blijkt dat de verdachte betrokken is geweest bij de afhandeling van abuse-meldingen betreffende kinderporno, aldus de rechtbank. Gelet daarop is ook van voorwaardelijk opzet geen sprake.

De verdachte werd wel veroordeeld tot het gewoonte maken van schuldwitwassen. De verdachte kreeg in totaal meer dan 500.000 euro via ‘ePayments’. De verdachte had toegang tot betaalsystemen van de bedrijven (zoals Webmoney en Bitcoins), maar niet is bewezen dat ‘verdachte ook bevoegd was om over de inkomsten van deze bedrijven te beschikken’.

In plaats van de geëiste vijf jaar gevangenisstraf krijgt de verdachte slechts vijf maanden gevangenisstraf opgelegd, met vermindering van de tijd die hij in verzekering of voorlopige hechtenis heeft doorgebracht.

Leerpunten

Over de zaak werd op 28 mei 2019 in NRC Handelsblad gezegd dat ‘Justitie zegt geleerd te hebben van een mislukte strafzaak tegen Maxided’. Onduidelijk is wat die leerpunten zijn, maar dit interview (2025) in het OM magazine Opportuun over ‘bad hosting’ biedt daar mogelijk antwoord op.

Bij dit type zaken moet het openbaar ministerie namelijk niet alleen bewijzen dat een dienstverlener de technische middelen heeft geleverd waarmee strafbare feiten kunnen worden gepleegd, zoals servers, IP-adressen of communicatiediensten, maar ook dat sprake was van opzet op de onderliggende criminaliteit. Dat vereist bewijs dat de aanbieder wist dat klanten strafbare feiten zouden plegen én hen daarbij bewust heeft gefaciliteerd. De Nederlandse rechtspraak laat zien dat die bewijsdrempel hoog ligt.

In de zaak Maxided slaagde het OM er niet in direct bewijs aan te dragen dat de verdachte wist dat via zijn diensten materiaal van seksueel misbruik van minderjarigen werd verspreid, laat staan dat hij daar actief aan heeft bijgedragen. In latere zaken tegen zogenoemde ‘bad hosting’-aanbieders werd juist meer nadruk gelegd op omstandigheden waaruit een bewuste aanvaarding van crimineel gebruik kon worden afgeleid, zoals het structureel negeren van abusemeldingen, het toestaan van anonieme registraties en het accepteren van cryptobetalingen zonder identiteitscontrole.

Op basis van dergelijke omstandigheden kan de rechter mogelijk concluderen dat een aanbieder ‘willens en wetens de aanmerkelijke kans heeft aanvaard’ dat zijn infrastructuur werd gebruikt voor cybercriminaliteit. Dit is ook een belangrijke bevinding uit mijn artikel met Sofie Royer: Prosecuting communication service providers | jjoerlemans.com.