← Ecosysteem
0 / 7
Aanvalstijdlijn 2024–2026

Elke aanval onthult een laag die ontbreekt

Elk beveiligingsincident hieronder legt een specifiek gat bloot in bestaande systemen. Klik op een incident om te zien welke Prism-laag het dicht en waarom dat architectureel iets nieuws is.

1
febr. 2024 Credential stuffing
23 miljoen gestolen wachtwoorden gerecycled bij 1.200 sites
Eén lek → toegang tot alle accounts met hetzelfde wachtwoord. MFA via sms werd in 34% van de gevallen omzeild via SIM-swapping.
Klik om te zien wat dit oplost →
Huidig systeem
  • Wachtwoord hergebruikt op meerdere sites
  • Eén database-lek = toegang overal
  • SMS-OTP onderschepbaar via SIM-swap
  • Geen bewijs van fysieke aanwezigheid
PrismPass
  • Geen wachtwoord, biometrie verlaat het apparaat nooit
  • Server slaat geen herbruikbare credential op
  • Elke sessie genereert een unieke handtekening
  • NFC-tag-nonce bewijst fysieke aanwezigheid
Laag die dit dicht: PrismPass authenticatie zonder centraal geheim →
2
febr. 2026 Identiteitsdata
Odido: 6,2 miljoen klanten: naam, adres, paspoortnummer gelekt
Naam, adres en paspoortnummer van 6,2 miljoen mensen gestolen. Data direct bruikbaar voor identiteitsfraude, onherroepelijk.
Klik om te zien wat dit oplost →
Huidig systeem
  • Naam, adres, paspoortnummer centraal opgeslagen
  • Één lek = permanente schade
  • Klant weet niet wat precies is uitgelekt
  • Data onherroepelijk buiten
PrismID
  • Odido hoefde alleen "is klant?" te bewijzen, niet wie
  • ZKP-bewijs: "heeft contract" zonder naam of adres
  • Geen centraal identiteitsregister om te stelen
  • Lek van commitment-hash is waardeloos zonder privésleutel
Laag die dit dicht: PrismID selectieve identiteitsbewijzing →
3
mrt. 2026 Dwang
Gemeente Epe: medewerker onder druk gezet tot toegangsverlening
552.000 bestanden inclusief BSN-nummers uitgelekt nadat een medewerker onder fysieke druk toegang verleende. Biometrie werkt perfect onder dwang en dat is het probleem.
Klik om te zien wat dit oplost →
Huidig systeem
  • Alle authenticatie werkt ook onder dwang
  • Geen detectie of onderscheid mogelijk
  • Aanvaller ziet normale toegang
  • Schade pas zichtbaar ná het feit
PrismShield
  • Centroid meet bewegingskwaliteit, context en stressrespons
  • Afwijking triggert stille sandbox-sessie
  • Aanvaller ziet normale login en krijgt een nep-omgeving
  • Alert naar vertrouwd contact binnen 60 seconden
Laag die dit dicht: PrismShield vrijwilligheidsdetectie →
4
okt. 2025 Tracking
Google Topics API stopgezet. 85% onnauwkeurige conversies, 30% omzetverlies
De vervanging van third-party cookies bleek slechter dan het origineel. Adverteerders en publishers verloren inkomsten. Gebruikers verloren controle zonder er beter van te worden.
Klik om te zien wat dit oplost →
Google Topics / cookies
  • Browser leidt interesses af zonder toestemming
  • Cookies koppelen sessies aan persoon
  • Gebruiker heeft geen controle over wat gedeeld wordt
  • 85% onnauwkeurig, hoge advertentiekosten
PrismAdd
  • Gebruiker beheert eigen interesse-wallet
  • Privacy Pass tokens: unlinkable per definitie
  • Adverteerder ontvangt categorie, nooit identiteit
  • Opt-in: niets gedeeld tenzij expliciet ingeschakeld
Laag die dit dicht: PrismAdd anoniem interesse-paspoort →
5
apr. 2026 Patiëntdata
ChipSoft: patiëntdossiers bedreigd; arts moet aantonen wie hij is
Aanval op het EPD-systeem van 73 ziekenhuizen. Arts moet bewijzen: "ik ben arts, ik ben bevoegd voor deze patiënt", zonder dat het systeem de naam van de arts of patiënt centraal hoeft op te slaan.
Klik om te zien wat dit oplost →
Huidig systeem
  • Centrale database: arts-ID + patiënt-ID + dossier
  • Één inbreuk = toegang tot alle dossiers
  • Naam en BIG-nummer in zelfde tabel als diagnoses
  • Audit-log herleidbaar naar individu
PrismID + PrismPass
  • ZKP: "heeft BIG-registratie" zonder naam of nummer
  • Driehoeks-auth bewijst fysieke aanwezigheid arts
  • Dossier-toegang gelogd als commitment-hash, niet naam
  • Lek van de log is waardeloos zonder privésleutel
Lagen die dit dichten: PrismID + PrismPass gecombineerd →
6
2027–2030 Post-kwantum
Kwantumcomputers breken RSA en ECDSA: huidige handtekeningen worden terugwerkend kraakbaar
"Harvest now, decrypt later": aanvallers verzamelen versleuteld verkeer nu om het te ontsleutelen zodra kwantumcomputers beschikbaar zijn. NIST publiceerde in 2024 de eerste post-kwantum standaarden (FIPS 203/204/205).
Klik om te zien wat dit oplost →
Huidig systeem
  • RSA-2048 en ECDSA gebroken door kwantumcomputer
  • TLS-verkeer nu al verzameld voor later
  • Migratie van miljoenen sleutels kost jaren
  • Identiteitsdata van nu is herleidbaar in 2030
PrismID (post-kwantum ready)
  • Architectuur voorziet ML-KEM en ML-DSA (FIPS 203/204)
  • Ephemeral keys: elke sessie andere handtekening
  • Geen centraal opgeslagen identiteitsdata om terug te lezen
  • Migratie per commitment, niet per persoon
Laag die dit voorbereidt: PrismID post-kwantum architectuur →
7
apr. 2026 Infrastructuur
Bewezen: PrismRelay: anonieme communicatie als ruggengraat
Alle vier producten sturen bevestigingen, alerts en tokens maar nooit via een adres dat aan een persoon is gekoppeld. Dat vereist een eigen communicatielaag. PrismRelay is die laag.
Klik om te zien hoe dit werkt →
Zonder PrismRelay
  • PrismShield duress-alert vereist e-mailadres van gebruiker
  • PrismID-statusbericht koppelt instantie aan identiteit
  • PrismAdd-token herleidbaar via bezorgingsadres
  • Communicatielaag wordt zwakste schakel in de keten
PrismRelay
  • Elk product communiceert via tijdgebonden token-adressen
  • pp-[token]@globalsecurity.nu bewezen 28 april 2026
  • Geen mailserver, geen naam, geen persistentie
  • Token verlopen na gebruik, replay mogelijkheid is klein
Infrastructuurlaag: PrismRelay de HTTPS van het ecosysteem →
Vijf lagen: zeven gaten gedicht
PrismPass Geen wachtwoord, geen centraal geheim. Biometrie + NFC-tag + apparaat als driehoek. Replay structureel bemoeilijkt.
PrismShield Detecteert dwang zonder valse positieven. Sandbox-sessie bij een afwijking ziet de aanvaller geen verschil.
PrismID Bewijst attributen zonder identiteit. Post-kwantum ready. Geen centraal register om te stelen.
PrismAdd Gebruiker bepaalt wat gedeeld wordt. Tokens zijn unlinkable. Opt-in, nooit opt-out.
PrismRelay Anonieme communicatie tussen alle lagen. Geen adres, geen naam, geen persistentie. Bewezen.

Verdieping: Technisch / Bewijs