← Ecosysteem
0 / 7
Aanvalstijdlijn — 2024–2026

Elke aanval onthult een laag die ontbreekt

Elk beveiligingsincident hieronder legt een specifiek gat bloot in bestaande systemen. Klik op een incident om te zien welke Prism-laag het dicht — en waarom dat architectureel iets nieuws is.

1
febr. 2024 Credential stuffing
23 miljoen gestolen wachtwoorden gerecycled bij 1.200 sites
Eén lek → toegang tot alle accounts met hetzelfde wachtwoord. MFA via sms werd in 34% van de gevallen omzeild via SIM-swapping.
Klik om te zien wat dit oplost →
Huidig systeem
  • Wachtwoord hergebruikt op meerdere sites
  • Eén database-lek = toegang overal
  • SMS-OTP onderschepbaar via SIM-swap
  • Geen bewijs van fysieke aanwezigheid
PrismPass
  • Geen wachtwoord — biometrie verlaat het apparaat nooit
  • Server slaat geen herbruikbare credential op
  • Elke sessie genereert een unieke handtekening
  • Wearable-nonce bewijst fysieke aanwezigheid
Laag die dit dicht: PrismPass — authenticatie zonder centraal geheim →
2
febr. 2026 Identiteitsdata
Odido — 6,2 miljoen klanten: naam, adres, paspoortnummer gelekt
Naam, adres en paspoortnummer van 6,2 miljoen mensen gestolen. Data direct bruikbaar voor identiteitsfraude — onherroepelijk.
Klik om te zien wat dit oplost →
Huidig systeem
  • Naam, adres, paspoortnummer centraal opgeslagen
  • Één lek = permanente schade
  • Klant weet niet wat precies is uitgelekt
  • Data onherroepelijk buiten
PrismID
  • Odido hoefde alleen "is klant?" te bewijzen, niet wie
  • ZKP-bewijs: "heeft contract" zonder naam of adres
  • Geen centraal identiteitsregister om te stelen
  • Lek van commitment-hash is waardeloos zonder privésleutel
Laag die dit dicht: PrismID — selectieve identiteitsbewijzing →
3
mrt. 2026 Dwang
Gemeente Epe — medewerker onder druk gezet tot toegangsverlening
552.000 bestanden inclusief BSN-nummers uitgelekt nadat een medewerker onder fysieke druk toegang verleende. Biometrie werkt perfect onder dwang — en dat is het probleem.
Klik om te zien wat dit oplost →
Huidig systeem
  • Alle authenticatie werkt ook onder dwang
  • Geen detectie of onderscheid mogelijk
  • Aanvaller ziet normale toegang
  • Schade pas zichtbaar ná het feit
PrismShield
  • Centroid meet bewegingskwaliteit, context en stressrespons
  • Afwijking triggert stille sandbox-sessie
  • Aanvaller ziet normale login — krijgt nep-omgeving
  • Alert naar vertrouwd contact binnen 60 seconden
Laag die dit dicht: PrismShield — vrijwilligheidsdetectie →
4
okt. 2025 Tracking
Google Topics API stopgezet — 85% onnauwkeurige conversies, 30% omzetverlies
De vervanging van third-party cookies bleek slechter dan het origineel. Adverteerders en publishers verloren inkomsten. Gebruikers verloren controle zonder er beter van te worden.
Klik om te zien wat dit oplost →
Google Topics / cookies
  • Browser leidt interesses af zonder toestemming
  • Cookies koppelen sessies aan persoon
  • Gebruiker heeft geen controle over wat gedeeld wordt
  • 85% onnauwkeurig, hoge advertentiekosten
PrismAdd
  • Gebruiker beheert eigen interesse-wallet
  • Privacy Pass tokens: unlinkable per definitie
  • Adverteerder ontvangt categorie, nooit identiteit
  • Opt-in — niets gedeeld tenzij expliciet ingeschakeld
Laag die dit dicht: PrismAdd — anoniem interesse-paspoort →
5
apr. 2026 Patiëntdata
ChipSoft — patiëntdossiers bedreigd; arts moet aantonen wie hij is
Aanval op het EPD-systeem van 73 ziekenhuizen. Arts moet bewijzen: "ik ben arts, ik ben bevoegd voor deze patiënt" — zonder dat het systeem de naam van de arts of patiënt centraal hoeft op te slaan.
Klik om te zien wat dit oplost →
Huidig systeem
  • Centrale database: arts-ID + patiënt-ID + dossier
  • Één inbreuk = toegang tot alle dossiers
  • Naam en BIG-nummer in zelfde tabel als diagnoses
  • Audit-log herleidbaar naar individu
PrismID + PrismPass
  • ZKP: "heeft BIG-registratie" zonder naam of nummer
  • Driehoeks-auth bewijst fysieke aanwezigheid arts
  • Dossier-toegang gelogd als commitment-hash, niet naam
  • Lek van de log is waardeloos zonder privésleutel
Lagen die dit dichten: PrismID + PrismPass gecombineerd →
6
2027–2030 Post-kwantum
Kwantumcomputers breken RSA en ECDSA — huidige handtekeningen worden terugwerkend kraakbaar
"Harvest now, decrypt later": aanvallers verzamelen versleuteld verkeer nu om het te ontsleutelen zodra kwantumcomputers beschikbaar zijn. NIST publiceerde in 2024 de eerste post-kwantum standaarden (FIPS 203/204/205).
Klik om te zien wat dit oplost →
Huidig systeem
  • RSA-2048 en ECDSA gebroken door kwantumcomputer
  • TLS-verkeer nu al verzameld voor later
  • Migratie van miljoenen sleutels kost jaren
  • Identiteitsdata van nu is herleidbaar in 2030
PrismID (post-kwantum ready)
  • Architectuur voorziet ML-KEM en ML-DSA (FIPS 203/204)
  • Ephemeral keys: elke sessie andere handtekening
  • Geen centraal opgeslagen identiteitsdata om terug te lezen
  • Migratie per commitment, niet per persoon
Laag die dit voorbereidt: PrismID — post-kwantum architectuur →
7
apr. 2026 Infrastructuur
Bewezen: PrismRelay — anonieme communicatie als ruggengraat
Alle vier producten sturen bevestigingen, alerts en tokens — maar nooit via een adres dat aan een persoon is gekoppeld. Dat vereist een eigen communicatielaag. PrismRelay is die laag.
Klik om te zien hoe dit werkt →
Zonder PrismRelay
  • PrismShield duress-alert vereist e-mailadres van gebruiker
  • PrismID-statusbericht koppelt instantie aan identiteit
  • PrismAdd-token herleidbaar via bezorgingsadres
  • Communicatielaag wordt zwakste schakel in de keten
PrismRelay
  • Elk product communiceert via tijdgebonden token-adressen
  • pp-[token]@globalsecurity.nu — bewezen 28 april 2026
  • Geen mailserver, geen naam, geen persistentie
  • Token verlopen na gebruik — replay onmogelijk
Infrastructuurlaag: PrismRelay — de HTTPS van het ecosysteem →
Vijf lagen — zeven gaten gedicht
PrismPass Geen wachtwoord, geen centraal geheim. Biometrie + wearable + apparaat als driehoek. Replay onmogelijk.
PrismShield Detecteert dwang zonder valse positieven. Sandbox-sessie bij afwijking — aanvaller ziet geen verschil.
PrismID Bewijst attributen zonder identiteit. Post-kwantum ready. Geen centraal register om te stelen.
PrismAdd Gebruiker bepaalt wat gedeeld wordt. Tokens zijn unlinkable. Opt-in, nooit opt-out.
PrismRelay Anonieme communicatie tussen alle lagen. Geen adres, geen naam, geen persistentie. Bewezen.

Verdieping — Technisch / Bewijs

Architectuur

Systeemoverzicht, protocollen en lagenmodel

 PrismPass — Bewijs

Cryptografisch bewijs en live demo

 PrismShield — Bewijs

Centroid gedragsmodel en duress-detectie

 PrismID — Bewijs

ZKP-bewijzen en attribuut-verificatie

 PrismAdd — Bewijs

Privacy-bewarende reclame en consent-mechanisme

 Anoniem notificatiekanaal

Privacy Pass RFC 9576/9578 — live demo

 PrismPass Observer

Wat de server ziet en wat hij nooit te weten komt