De Spaanse nationale politie heeft een verdachte gearresteerd die ervan wordt beschuldigd gevoelige persoonlijke informatie te hebben gelekt van medewerkers van verschillende belangrijke overheidsinstellingen, waaronder cyberbeveiliging, wetshandhaving en nationale veiligheidsinstanties. De autoriteiten zeiden dat de onthullingen aanzienlijke zorgen over de nationale veiligheid veroorzaakten vanwege de aard van de getroffen organisaties.
Volgens onderzoekers zou de verdachte persoonlijke gegevens hebben gepubliceerd die verband houden met medewerkers van het National Cybersecurity Institute (INCIBE), de National Police, de Civil Guard, de National Security Council en het kantoor van de procureur-generaal van de staat. De gelekte informatie bevatte naar verluidt details die gebruikt konden worden om personeel in gevoelige overheidsfuncties te identificeren en mogelijk te targeten.
Spaanse autoriteiten beschreven het incident als een grootschalige doxingoperatie. Doxing houdt in dat persoonlijke informatie over individuen wordt geautoriseerd gepubliceerd, vaak met de bedoeling hen te intimideren, lastigvallen of ontmaskeren. In dit geval zeiden functionarissen dat de gelekte gegevens betrekking hadden op personeel van organisaties die verantwoordelijk zijn voor nationale veiligheid, cybersecurity, wetshandhaving en strafrechtelijke onderzoeken.
De arrestatie volgt op een onderzoek uitgevoerd door gespecialiseerde cybercrime-eenheden binnen de Spaanse nationale politie. Onderzoekers traceerden de activiteit tot één verdachte die naar verluidt een centrale rol speelde bij het verkrijgen en verspreiden van de informatie online. De autoriteiten hebben de identiteit van de persoon niet openbaar gemaakt of precies gespecificeerd hoe de gegevens zijn verkregen.
Functionarissen hebben ook niet bevestigd hoeveel mensen door de lekken zijn getroffen. De politie zei echter dat de blootgestelde informatie betrekking had op meerdere overheidsorganisaties en risico’s met zich meebracht die verder gingen dan gewone privacyschendingen vanwege de posities van veel slachtoffers. Werknemers van cyberbeveiligingsinstanties, wetshandhavingsinstanties en nationale veiligheidsinstellingen worden vaak beschouwd als risicovolle doelwitten voor intimidatie, intimidatiecampagnes en verdere cyberaanvallen.
De zaak voegt zich voort op een reeks recente onderzoeken in Spanje die betrekking hebben op diefstal en openbaarmaking van gevoelige persoonlijke informatie. In het afgelopen jaar hebben Spaanse autoriteiten verschillende personen gearresteerd die ervan worden beschuldigd gegevens te lekken of te verkopen die zijn verkregen van overheidsinstanties, bedrijven, journalisten en publieke functionarissen.
Volgens de Spaanse wet kan het onbevoegd verkrijgen, openbaarmaken of verspreiden van persoonlijke informatie aanzienlijke strafrechtelijke sancties met zich meebrengen. Het Spaanse Wetboek van Strafrecht voorziet in gevangenisstraffen voor het verkrijgen van privégegevens zonder toestemming en voor het verspreiden van die informatie aan derden, met strengere straffen mogelijk wanneer de openbaarmakingen gevoelige informatie of openbare instellingen betreffen.
De politie heeft nog niet aangekondigd of er extra arrestaties worden verwacht als onderdeel van het onderzoek. De autoriteiten zeiden dat digitaal bewijs dat tijdens de operatie in beslag is genomen, wordt onderzocht om de volledige omvang van de lekken te bepalen, potentiële medeplichtigen te identificeren en vast te stellen of er aanvullende datasets zijn verkregen of verspreid.