F.A.Q. Operation Endgame

In case you still have any questions, we have listed the most frequently asked questions for you.

More than 16 million victims worldwide have received a notification email. It's understandable that there are questions, so we are sharing the most frequently asked questions with you. The FAQ is available in English, Dutch, German, French, and Spanish. The Spanish translation is AI generated, there might be some translation flaws.

CASE FILE

English

Is this a scam?

It’s great that you’re skeptical. However, this is legit and definitely not a scam. This operation is a collaboration between the Dutch National Police, Europol, Digital Trust Center, NCSC and others. We, Dutch Institute of Vulnerability Disclosure (DIVD), are mentioned in the press releases from the Dutch Police and Europol. The ‘Check je Hack. (translation: Check your Hack) FAQ also mentiones DIVD and shares a link back to this casefile.

Do you have my password?

No, we do not have your password. We may have sent you an email containing a partial password, with only the last four characters visible. This is the only part of your password we possess because the Dutch Police ensured that all passwords were hidden before sharing the data with us.

You are processing my personal data without my consent, is that legal?

Yes it is. Under Dutch law and European privacy regulations, we can process this data based on a so-called “legitimate interest.”DIVD is a private foundation that operates under a strict code of conduct, with the aim to make the digital world safer.

Are you going to go after the criminals who stole my information?

No, we are not. That is a matter for law enforcement. As per article 9 of our code of conduct:

We analyze online threats, not threat actors. We are researchers and don’t serve the needs of governments or law enforcement.

What is an ADFS account and what can criminals do with it?

An ADFS (Active Directory Federation Services) account enables single sign-on for multiple applications. If criminals access it, they can infiltrate corporate systems, cloud services, and email accounts, leading to the theft of sensitive data and potential further attacks within the organization.

Dutch - Nederlands

Is dit scam of phishing?

Nee, dit is absoluut geen scam.

Deze operatie is een samenwerking tussen de Nederlandse Politie, Europol, het Digital Trust Center, NCSC-NL en anderen. Wij, het Dutch Institute of Vulnerability Disclosure (DIVD), worden genoemd in de persberichten van de Nederlandse Politie en Europol. De ‘Check je Hack’ FAQ vermeldt ook DIVD en deelt een link naar de case van ons CSIRT.

Hebben jullie mijn wachtwoord?

Nee, we hebben je wachtwoord niet. We hebben je mogelijk een e-mail gestuurd met een gedeeltelijk wachtwoord, waarbij alleen de laatste vier tekens zichtbaar zijn. Dit is het enige deel van je wachtwoord dat we bezitten. De Nederlandse Politie heeft alle wachtwoorden gedeeltelijk verborgen voordat ze deze informatie deelden met anderen.

Jullie hebben mijn persoonlijke gegevens zonder mijn toestemming, is dat legaal?

Ja, dat is het. Volgens de Nederlandse wet en de Europese privacyregels mogen wij deze gegevens verwerken op basis van een zogenaamd “gerechtvaardigd belang.” DIVD is een private stichting die opereert onder een strikt gedragscode (zie: Code of Conduct), met als doel de digitale wereld veiliger te maken.

Weten jullie hoe de Nederlandse Politie aan deze informatie is gekomen?

Nee, we hebben die informatie niet. We weten dat Operatie Endgame informatie bevat van verschillende botnets.

Gaan jullie de criminelen aanpakken die mijn informatie hebben gestolen?

Nee, dat is een taak voor de wetshandhaving. Wij analyseren online bedreigingen, niet de daders. Ook notificeren wij de slachtoffers. Je leest hier meer over in artikel 9 van onze Code of Conduct.

Wat is een ADFS account en wat kunnen criminelen daarmee doen?

Een ADFS (Active Directory Federation Services) account maakt single sign-on mogelijk voor meerdere applicaties. Als criminelen toegang krijgen tot zo’n account, kunnen ze infiltreren in bedrijfsystemen, cloudservices en e-mailaccounts. Dit kan leiden tot diefstal van gevoelige gegevens en mogelijk verdere aanvallen binnen de organisatie.

Als jullie niet in opdracht van overheden of autoriteiten werkt, waarom werken jullie dan samen met de politie in deze zaak?

Het handelen op basis van deze dataset is direct in lijn met artikel 3 van onze gedragscode: Analyseer databases met gelekte inloggegevens en rapporteer aan de organisaties of personen die zijn gecompromitteerd om passende maatregelen te nemen.

We analyseren elke database die we ontvangen, inclusief die van wetshandhaving instanties. We doen dit echter onafhankelijk, zonder enige verplichting of intentie om specifieke informatie in ruil daarvoor te delen.

German - Deutsch

Ist das ein Betrug?

Es ist großartig, dass Sie skeptisch sind. Diese Operation ist jedoch legitim und definitiv kein Betrug. Diese Operation ist eine Zusammenarbeit zwischen der niederländischen Nationalpolizei, Europol, dem Digital Trust Center, dem NCSC und anderen. Wir, das Dutch Institute of Vulnerability Disclosure (DIVD), werden in den Pressemitteilungen der niederländischen Polizei und Europol erwähnt. Die FAQ ‘Check je Hack’ (Übersetzung: Überprüfen Sie Ihren Hack) erwähnt auch DIVD und teilt einen Link zu dieser Fallakte.

Haben Sie mein Passwort?

Nein, wir haben Ihr Passwort nicht. Wir haben Ihnen möglicherweise eine E-Mail mit einem Teil Ihres Passworts geschickt, wobei nur die letzten vier Zeichen sichtbar sind. Dies ist der einzige Teil Ihres Passworts, den wir besitzen, da die niederländische Polizei dafür gesorgt hat, dass alle Passwörter vor dem Teilen der Daten mit uns versteckt wurden.

Sie verarbeiten meine persönlichen Daten ohne meine Zustimmung, ist das legal?

Ja, das ist es. Nach niederländischem Recht und den europäischen Datenschutzbestimmungen dürfen wir diese Daten auf der Grundlage eines sogenannten „berechtigten Interesses“ verarbeiten. DIVD ist eine private Stiftung, die nach einem strengen Verhaltenskodex arbeitet, mit dem Ziel, die digitale Welt sicherer zu machen.

Werden Sie die Kriminellen verfolgen, die meine Informationen gestohlen haben?

Nein, das werden wir nicht. Das ist eine Angelegenheit für die Strafverfolgungsbehörden. Laut Artikel 9 unseres Verhaltenskodex: Wir analysieren Online-Bedrohungen, nicht die Bedrohungsakteure. Wir sind Forscher und dienen nicht den Bedürfnissen von Regierungen oder Strafverfolgungsbehörden.

Was ist ein ADFS-Konto und was können Kriminelle damit machen?

Ein ADFS-Konto (Active Directory Federation Services) ermöglicht eine einmalige Anmeldung für mehrere Anwendungen. Wenn Kriminelle darauf zugreifen, können sie in Unternehmenssysteme, Cloud-Dienste und E-Mail-Konten eindringen, was zum Diebstahl sensibler Daten und zu weiteren potenziellen Angriffen innerhalb der Organisation führen kann.

Wissen Sie, wie die niederländische Nationalpolizei diese Informationen erhalten hat?

Nein, wir kennen keine Einzelheiten, aber wir wissen, dass die Operation Endgame Informationen aus mehreren Botnets enthält.

Wenn Sie „den Bedürfnissen von Regierungen oder Strafverfolgungsbehörden nicht dienen“, warum arbeiten Sie dann in diesem Fall mit der niederländischen Nationalpolizei zusammen?

Das Handeln auf Basis dieses Datensatzes steht direkt im Einklang mit Artikel 3 unseres Verhaltenskodex: Analysieren Sie Datenbanken mit geleakten Zugangsdaten und melden Sie dies den kompromittierten Organisationen oder Personen, damit sie geeignete Maßnahmen ergreifen können.

Wir analysieren jede Datenbank, die wir erhalten, einschließlich der von Strafverfolgungsbehörden. Wir tun dies jedoch unabhängig, ohne jegliche Verpflichtung oder Absicht, spezifische Informationen im Gegenzug weiterzugeben.

French - Français

Est-ce une arnaque ?

C’est bien que vous soyez sceptique. Cependant, ceci est légitime et définitivement pas une arnaque. Cette opération est une collaboration entre la Police Nationale Néerlandaise, Europol, le Digital Trust Center, le NCSC et d’autres. Nous, Dutch Institute of Vulnerability Disclosure (DIVD), sommes mentionnés dans les communiqués de presse de la Police Néerlandaise et d’Europol. La FAQ ‘Check je Hack’ (traduction : Vérifiez votre Hack) mentionne également le DIVD et partage un lien vers ce dossier.

Avez-vous mon mot de passe ?

Non, nous n’avons pas votre mot de passe. Nous avons peut-être envoyé un e-mail contenant un mot de passe partiel, avec seulement les quatre derniers caractères visibles. C’est la seule partie de votre mot de passe que nous possédons parce que la Police Néerlandaise a veillé à ce que tous les mots de passe soient masqués avant de partager les données avec nous.

Traitez-vous mes données personnelles sans mon consentement, est-ce légal ?

Oui, c’est légal. Selon la loi néerlandaise et les réglementations européennes en matière de confidentialité, nous pouvons traiter ces données sur la base d’un « intérêt légitime ». Le DIVD est une fondation privée qui opère sous un code de conduite strict, avec pour objectif de rendre le monde numérique plus sûr.

Allez-vous poursuivre les criminels qui ont volé mes informations ?

Non, ce n’est pas notre rôle. C’est une affaire pour les forces de l’ordre. Selon l’article 9 de notre code de conduite: Nous analysons les menaces en ligne, pas les acteurs de ces menaces. Nous sommes des chercheurs et ne répondons pas aux besoins des gouvernements ou des forces de l’ordre.

Qu'est-ce qu'un compte ADFS et que peuvent faire les criminels avec ?

Un compte ADFS (Active Directory Federation Services) permet une authentification unique pour plusieurs applications. Si des criminels y accèdent, ils peuvent infiltrer les systèmes d’entreprise, les services cloud et les comptes de messagerie, ce qui peut entraîner le vol de données sensibles et des attaques potentielles supplémentaires au sein de l’organisation.

Savez-vous comment la police nationale néerlandaise a obtenu ces informations ?

Non, nous ne connaissons pas les détails, mais nous savons que l’Opération Endgame contient des informations provenant de plusieurs botnets.

Si vous « ne servez pas les besoins des gouvernements ou des forces de l'ordre », pourquoi coopérez-vous avec la police nationale néerlandaise dans cette affaire ?

Agir sur cet ensemble de données est directement en ligne avec l’article 3 de notre code de conduite : Analyser les bases de données contenant des identifiants divulgués et signaler aux organisations ou aux personnes compromises afin de prendre les mesures appropriées.

Nous analysons chaque base de données que nous recevons, y compris celles des forces de l’ordre. Cependant, nous le faisons de manière indépendante, sans aucune obligation ni intention de partager des informations spécifiques en retour.

Spanish - Español

¿Es esto una estafa?

Es genial que seas escéptico. Sin embargo, esto es legítimo y definitivamente no es una estafa. Esta operación es una colaboración entre la Policía Nacional de los Países Bajos, Europol, el Digital Trust Center, NCSC y otros. Nosotros, el Instituto Neerlandés de Divulgación de Vulnerabilidades (DIVD), somos mencionados en los comunicados de prensa de la Policía Neerlandesa y Europol. La sección de preguntas frecuentes ‘Check je Hack’ (traducción: Verifica tu Hack) también menciona al DIVD y comparte un enlace a este caso.

¿Tienes mi contraseña?

No, no tenemos tu contraseña. Es posible que te hayamos enviado un correo electrónico con una parte de tu contraseña, con solo los últimos cuatro caracteres visibles. Esta es la única parte de tu contraseña que poseemos porque la Policía Neerlandesa se aseguró de que todas las contraseñas estuvieran ocultas antes de compartir los datos con nosotros.

¿Estás procesando mis datos personales sin mi consentimiento, es eso legal?

Sí, lo es. Según la ley neerlandesa y las regulaciones europeas de privacidad, podemos procesar estos datos en base a un “interés legítimo”. El DIVD es una fundación privada que opera bajo un estricto código de conducta, con el objetivo de hacer el mundo digital más seguro.

¿Vas a perseguir a los criminales que robaron mi información?

No, no lo haremos. Eso es una cuestión para las fuerzas del orden. Según el artículo 9 de nuestro código de conducta: Analizamos las amenazas en línea, no a los actores de las amenazas. Somos investigadores y no servimos a los intereses de los gobiernos o las fuerzas del orden.

¿Qué es una cuenta ADFS y qué pueden hacer los criminales con ella?

Una cuenta ADFS (Active Directory Federation Services) permite el inicio de sesión único para múltiples aplicaciones. Si los criminales acceden a ella, pueden infiltrarse en sistemas corporativos, servicios en la nube y cuentas de correo electrónico, lo que puede llevar al robo de datos sensibles y a posibles ataques adicionales dentro de la organización.

¿Sabes cómo obtuvo la información la Policía Nacional de los Países Bajos?

No, no conocemos los detalles, pero sabemos que la Operación Endgame contiene información de varios botnets.

Si "no sirven a los intereses de los gobiernos o las fuerzas del orden", ¿por qué están cooperando con la Policía Nacional de los Países Bajos en este caso?

Actuar sobre este conjunto de datos está directamente en línea con el artículo 3 de nuestro código de conducta: Analizar bases de datos con credenciales filtradas e informar a las organizaciones o personas comprometidas para que tomen medidas adecuadas.

Analizamos todas las bases de datos que recibimos, incluidas las de las fuerzas del orden. Sin embargo, lo hacemos de forma independiente, sin ninguna obligación o intención de compartir ninguna información específica a cambio