Multifactorauthenticatie ofwel mfa is in opkomst als een manier om accounts extra te beveiligen, zodat slechts een wachtwoord niet meer volstaat om binnen te komen. Deze methode is zonder meer veiliger, maar waterdichte garanties zijn er evenmin. We bekijken enkele uiteenlopende hackscenario’s.

Steeds meer diensten en websites dwingen gebruikers tot veiliger oplossingen op basis van multifactorauthenticatie (mfa), ook wel multi factor verification (mfv) genoemd – hoewel de termen authenticatie en verificatie niet helemaal identiek zijn.

Ook al wordt in bedrijfsomgevingen vaak adaptieve mfa toegepast, waarbij contextuele gegevens en bedrijfsregels bepalen welke factoren in een gegeven situatie gebruikt moeten worden, gaat het bij de meeste mfa-implementaties om twee factoren (2fa). Hierbij heb je naast iets wat je kent of weet, zoals een pincode of een wachtwoord, ook een factor nodig die je bezit, zoals een usb-token of een smartcard, of een die je ‘bent’. Bij dit laatste gaat het dan om biometrische authenticatie, zoals een vingerafdruk of een retinascan. 

Heel wat diensten en websites spreken wel over 2fa, maar laten een gebruiker inloggen met twee factoren van hetzelfde type. Over het algemeen tweemaal iets wat je kent. In die gevallen hebben we het (slechts) over tweestapsauthenticatie.

Het mag duidelijk zijn dat mfa (en 2fa) absoluut veiliger is dan sfa (singlefactorauthenticatie, dus alleen een wachtwoord bijvoorbeel), en producenten pakken daarom graag uit met de claim dat hun mfa-oplossing nog nooit is gehackt. Maar zelfs áls dat zo is, dan kunnen er de volgende dag wellicht wél kwetsbaarheden worden gevonden, of dat nu door pentesting, fuzz testing, een kwetsbaarhedenscan of threat modeling gebeurt. Bij threat modeling worden alle denkbare bedreigingen geïdentificeerd, vervolgens geprioriteerd en (hopelijk) ook opgelost.

Mfa-componenten

Het grootste veiligheidsprobleem met mfa blijft wel dat zo’n oplossing allerlei ondersteunende componenten en infrastructuren bevat waar de producent van de mfa-oplossing geen controle over heeft. Veiligheidsexpert Roger Grimes hamert er in zijn uitstekende boek ‘Hacking Multifactor Authentication’ voortdurend op dat zowat elk onderdeel op een of andere manier vatbaar is voor hacking. We beperken ons hier tot twee componenten.

Zo is een van de eerste fasen in een mfa-proces de initiële registratie, ook wel provisioning of enrollment genoemd. Dat gebeurt via een identity provider die op basis van enkele unieke attributen de identiteit van de aanvrager hoort te bevestigen. Helaas bewijst de praktijk vaak anders. Zo vertrouwen veel services op ‘geverifieerde’ accounts van Google of Facebook, terwijl er massale hoeveelheden frauduleuze accounts actief zijn. 

Of neem een op zich degelijk systeem als PGP (Pretty Good Privacy). Ook hier zetten frauduleuze gebruikers publieke sleutels van anderen in, omdat ontvangers toch zelden de geldigheid van de bijhorende digitale handtekening checken.

©PXimport

Hardware is uiteraard ook een onmisbare component in mfa-implementaties, en of het nu gaat om computers, telefoons of netwerkinterfaces, hardware blijkt altijd wel te compromitteren, waarna het authenticatieproces niet langer betrouwbaar is.

Initiatieven als Trusted Computing proberen dat tegen te gaan en ervoor te zorgen dat elke niet-geautoriseerde aanpassing wordt gedetecteerd. Een typisch voorbeeld is het Trusted Boot-proces van Windows 10, waarbij de bootchip-code van de UEFI-firmware digitaal is ondertekend en elke daaropvolgende hardwarecomponent op de vorige vertrouwt om zijn eigen handtekening te verifiëren, tot Windows is opgestart.

Social engineering

De meeste mfa-aanvallen blijken een mix te zijn van social engineering-technieken en zuiver technische malversaties, waarbij de eerste vaak het pad effenen voor de tweede.

Social engineering zou in al zijn varianten, zoals spear phishing, vishing (phishing over voice) en smishing (phishing via sms), voor zo’n 80 procent van alle digitale inbreuken verantwoordelijk zijn. Ook mfa-oplossingen zijn zeker niet immuun voor dit type aanvallen.

Het meest populair is de truc waarbij een gebruiker via phishing naar een valse site wordt gelokt die niet zelden voorzien is van een geldig digitaal certificaat, dankzij gratis diensten als Let’s Encrypt. Zo’n site imiteert een legitieme site waarop de gebruiker zich aanmeldt met mfa, bijvoorbeeld op basis van de Google Authenticator-app. Zodra het wachtwoord en de gegenereerde code zijn ingevoerd, vraagt de valse site om extra beveiligingsinformatie, zoals wachtwoordherstel- of creditcardgegevens, en pas daarna wordt de gebruiker alsnog naar de echte site doorverwezen.

Een andere, vaak toegepaste social engineering-truc is als een scammer iemand opbelt of een bericht stuurt, zogezegd uit naam van zijn financiële instelling. De scammer waarschuwt de gebruiker dat er frauduleuze transacties zijn vastgesteld, maar dat de instelling die kan blokkeren zodra de gebruiker zijn inloggegevens ter verificatie heeft doorgegeven.

©PXimport

Met deze gegevens kan de scammer het gebruikersaccount nu in herstelmodus plaatsen; alsof je je wachtwoord vergeten bent. Veel mfa-aanbieders bieden alternatieve authenticatiemethodes aan als het een legitieme gebruiker niet meer lukt zich aan te melden. Helaas zijn deze back-up-authenticatieprocedures meestal weinig dwingend.

Door de herstelmodus zal de nietsvermoedende gebruiker bijvoorbeeld een nieuwe code op een alternatief e-mailadres doorgestuurd krijgen. In het slechtste geval kan zo’n code zelfs naar een niet eerder geregistreerd e-mailadres worden verstuurd, wat het de scammer wel heel makkelijk maakt, aangezien hij dan een eigen adres kan invullen. In het andere geval meldt de scammer aan de gebruiker dat ook deze code ter verificatie moet worden doorgestuurd, waarna hij met die code het account kan overnemen.

Heel wat diensten laten de gebruiker in de herstelmodus een aantal vooraf beantwoorde persoonlijke vragen oplossen. Vragen als je geboortedatum, je postcode en de locatie van de eerste ontmoeting met je partner. Stemmen de antwoorden overeen, dan gaat zo’n dienst ervan uit dat het om de legitieme gebruiker gaat. Deze drie herstelvragen volstonden bijvoorbeeld om het e-mailaccount van oud-vicepresidentskandidate Sarah Palin over te nemen.

De moraal van dit verhaal: als het ook maar enigszins mogelijk is, vermijd dan de persoonlijke vragen voor de herstelmodus. Maak je er toch gebruik van, verzin dan bij voorkeur specifieke antwoorden voor iedere website en bewaar ze in een wachtwoordbeheerder.

Brute force

Ook zijn er nog altijd accounts die zich via ‘brute force’-technieken laten hacken. Hierbij worden talloze pogingen met telkens andere wachtwoorden of pincodes uitgevoerd tot de login slaagt. Dat kan zowel handmatig als met geautomatiseerde tools, zoals L0phtcrack, John the Ripper of Burp Suite. Zo werd met Burp Suite bijvoorbeeld een mfa-oplossing op basis van een otp (one-time password) gehackt. 

De hacker ontving een otp-verzoek, en na een analyse van het bewuste pakket wist hij dat er een code van zes cijfers werd verwacht. Hij sluisde het pakket door naar het tabblad Intruder van de Burp Suite, waar hij het bewuste otp-veld via brute force door diverse mogelijke combinaties liet vervangen tot de otp door de server werd geaccepteerd.

©PXimport

Een min of meer vergelijkbare poging op de otp-oplossing van Instagram werd succesvol uitgevoerd door een whitehat-hacker (die daarvoor een bug bounty van 30.000 dollar van Facebook ontving). Ook deze service verwachtte een code van zes cijfers voor de 2fa – binnen de otp-verlooptijd van 10 minuten. Bovendien liet Instagram niet meer dan 250 pogingen toe per ip-adres.

Wel bleek het mogelijk tot 500 pogingen te ondernemen wanneer er afwisselend een ander ip-adres werd gebruikt. Voor 150 dollar kon de hacker via een cloudservice-provider ten slotte de brute force-aanval uitvoeren, vanaf zo’n 4000 ip-adressen tegelijk.

Mite en mitb

Een andere manier om gegevens buit te maken, zijn mitm-aanvallen (man-in-the-middle), maar uiteraard zijn er ook mite-aanvallen mogelijk. Dat staat voor man-in-the-endpoint, waarbij een hacker erin slaagt een toestel van de gebruiker zelf te compromitteren. Het zal je weinig verbazen dat in zo’n scenario eigenlijk geen enkele communicatiewijze nog betrouwbaar is, en dus ook mta niet.

Zo’n mite-aanval vinden we bijvoorbeeld vaak terug bij banking trojans. Hierbij wordt in de lokale pc met behulp van social engineering of drive-by-downloads eerst een trojan geïnstalleerd. Die monitort heimelijk wat er in de browser gebeurt (man-in-the-browser, mitb). Wanneer er een trefwoord herkend wordt dat aangeeft dat de gebruiker zich aanmeldt bij een bancaire instelling, start de trojan een tweede, verborgen browsersessie. Zodra de gebruiker – al dan niet via mfa – is aangemeld en zijn rekeningen bekijkt, wijzigt de trojan stiekem de accountinformatie en doet een bankoverschrijving naar een frauduleus bankaccount. Vraagt de bank om nadere uitleg, dan komt die automatisch terecht bij de hackers.

Om deze praktijken tegen te gaan, stuurden banken bij wijze van mfa authenticatiecodes door, gelinkt aan een specifieke transactie. Aanvankelijk hielp dat, maar de banking trojans pasten zich aan. Voortaan wachtten ze tot de gebruiker zelf een banktransactie deed, om dan in het geniep alleen de eigen transactie naar de bank te verzenden. Die stuurde daarop de mfa-code voor de frauduleuze transactie door en de gebruiker tikte die nietsvermoedend in.

©PXimport

Namespace hijacking

Een ‘namespace’ verwijst naar een gedeeld systeem waarbinnen objecten op een specifieke wijze opgeslagen en gelokaliseerd worden. Bekende namespaces zijn bijvoorbeeld AD (Active Directory in domeinnetwerken), LDAP (Lightweight Directory Access Protocol) en DNS (Domain Name System). Deze laatste zet webadressen om in de bijhorende ip-hostadressen en is daarmee een gewild doelwit voor allerlei aanvallen, waaronder DNS-hijacking.

We beperken ons hier tot een paar veelgebruikte methodes, waarvan de eenvoudigste de zogenoemde ‘doppelganger domains’ zijn. Dat zijn domeinnamen die bijna identiek zijn aan bekende exemplaren, zoals www.arnazon.com (in plaats van amazon), www.llnkedin.com (linkedin) en www.micosoft.com (microsoft). Iets technischer is malware die de instellingen van de DNS-client aanpast, meestal door de DNS-server bij de gebruiker te wijzigen of door het hosts-bestand van malafide ingangen te voorzien.

 Dit laatste kun je in Windows snel zelf uitzoeken. Druk op Windows-toets+R en voer %windir%\system32\drivers\etc in. Versleep het bestand hosts naar je bureaublad en open dit in Kladblok. Voeg de regel <ip-adres> <hostnaam> toe, met het ip-adres van een andere webserver dan die van de hostnaam). Sla het bestand op, versleep het weer naar de originele submap en sta de operatie toe. 

Herstart je pc en tik de hostnaam in je browser in. Je wordt nu omgeleid naar de webserver van het ip-adres. Een andere populaire techniek zijn de domain hijacks. Een hacker slaagt erdan in een ‘authoritative’ DNS-server over te nemen (wellicht via het account van een DNS-beheerder), waarna hij het ip-adres van een DNS-record naar een onbetrouwbare locatie laat verwijzen.

©PXimport

Access token

Wanneer een gebruiker zich succesvol authenticeert, genereren de meeste authenticatiesystemen een access (control) token en sturen dat door naar (het betreffende proces van) die gebruiker. Zo’n token kan de vorm aannemen van bijvoorbeeld een Kerberos-ticket (in een Windows-netwerk), maar kan net zo goed een html-cookie zijn, bijvoorbeeld als de gebruiker zich bij een website wil aanmelden. Dit token zorgt ervoor dat de gebruiker zich voor de daaropvolgende handelingen binnen dezelfde sessie niet telkens opnieuw hoeft aan te melden.

Natuurlijk, wie zo’n access token in handen krijgt, kan zich dus binnen zo’n sessie voordoen als de legitieme gebruiker (session hijacking). Dat kan in principe op twee manieren. Zo zijn er nog altijd heel wat websites die eenvoudig te raden sessie-ID’s gebruiken, zodat ze makkelijk kunnen worden gereproduceerd. Maar tokens stelen is vaak nog eenvoudiger, bijvoorbeeld door het kapen van een netwerksessie met tools als het reeds eerder vermelde Burp Suite of WebScarab (een onderdeel van Kali Linux). 

In feite komt dit neer op een mitm-aanval. Zo’n opzet is bijvoorbeeld mogelijk wanneer de hacker ongemerkt een proxy node opzet die alle commando’s van de client en de server naar de andere partij doorstuurt. In een lan kan dat bijvoorbeeld via arp poisoning. Loopt de communicatie over internet, dan kan de gebruiker bijvoorbeeld via phishing of met een doppelganger domain naar de malafide proxy worden gelokt waar alle input van de gebruiker, waaronder zijn mfa-authenticatie, in het geheim wordt doorgestuurd naar de echte doelsite (en omgekeerd).

©PXimport

Onbetrouwbare software

Soms maken de ontwikkelaars van mfa-oplossingen of van een van de ondersteunende componenten hackers het ongewild makkelijk. Er duiken namelijk nog vrij vaak kwetsbaarheden op in zulke software. Hier vind je een lijst met veelvoorkomende software-onvolkomenheden, specifiek voor authenticatie-doeleinden.

Wil je zelf uitzoeken of er hiaten zijn gevonden bij een (authenticatie-)product of softwareproducent, raadpleeg dan de CVE Details-database (Common Vulnerability and Exposures). Hier zie je ook de meest gebruikelijke programmeerfouten. We beperken ons hier tot twee bekende types: xss en buffer overflow.

Xss staat voor cross-site scripting en is een aanval op basis van code-injectie aan de clientzijde. Deze injectie kan bijvoorbeeld plaatsvinden wanneer je een webpagina met een malafide code bezoekt (persistent xss) of er via een ‘foute’ link terechtkomt (reflected xss). Bij deze laatste zijn dan aan het einde van de url extra parameters toegevoegd die door de server als commando’s worden geïnterpreteerd. Die kunnen er bijvoorbeeld voor zorgen dat de gebruiker stiekem naar een andere site wordt omgeleid.

Het andere type, buffer overflow, is bijna net zo oud als het programmeren zelf. Hierbij wordt bijvoorbeeld aan een listening service andere dan de verwachte en ook meer data doorgespeeld, waardoor deze input niet alleen de voorziene dataruimte opvult, maar ook de coderuimte, zodat de programma-instructies van de hacker worden uitgevoerd.

©PXimport

Fysieke aanval

Xss en buffer overflow zijn dus ongewilde bugs door ontwikkelaars van mfa-oplossingen, maar aan de andere kant van het spectrum bevinden zich de doelbewuste hardware-manipulaties door hackers. Dat kan zo simpel zijn als ‘schoudersurfen’ (meekijken over de schouder van een weinig alerte gebruiker – daarom ook hangen er doorgaans spiegels bij bankautomaten) of diefstal van het mfa-apparaat, zoals een totp-apparaat (time-based one-time password). Maar het kan ook veel geavanceerder, tot zogenoemde side-channel attacks (laterale kanaalaanvallen) aan toe.

Bij zo’n aanval wordt informatie verkregen door de fysieke implementatie van een systeem, zoals een specifiek energieverbruik, ultrasone emanaties (van beeldschermen) of elektromagnetische lekken. Op deze site kun je meer technische details lezen over een side-channel-aanval van begin 2021 op de security keys van Google Titan en YubiKey op basis van elektromagnetische straling.

Of wat tenslotte te denken van cold boot-aanvallen, waarbij geheugenchips zoals de TPM-chip (Trusted Platform Module) worden bespoten met vrieslucht, zodat de inhoud van de chips even behouden blijft – waaronder bijvoorbeeld de (decryptie)sleutel van een encryptietool als BitLocker. Vervolgens kan een hacker de inhoud van die chips met speciale software naar een ander apparaat kopiëren en daar uitlezen om zo de sleutel te bemachtigen. 

Dergelijke aanvallen zijn al met succes gedemonstreerd en ook op YouTube vind je hier aardig wat video’s over. Net zoals over vele andere aanvallen waarmee ook mfa-oplossingen te omzeilen zijn.

De vier teaser trailers van aankomende Marvel-film Avengers: Doomsday blijken een groot succes: meer dan een miljard mensen wereldwijd hebben de teasers blijkbaar gezien.

Afgelopen december startte Marvel Studios de promotie voor de aankomende film Avengers: Doomsday op. Elke week verscheen er een nieuwe teaser trailer in de bioscoop, die kort daarna ook op internet verscheen.

Vier teaser trailers

Er zijn in een maand tijd vier trailers verschenen waarin diverse personages die bekend zijn van de 'Marvel Cinematic Universe' werden getoond. Hiermee werd duidelijke gemaakt dat ze ook in Avengers: Doomsday weer van de partij zijn.

Zo kwam er een zeer bekend gezicht uit eerdere films terug. Wie dat precies is, zullen we hier niet verklappen, maar kun je in de trailer zelf zien. Verder is ook duidelijk dat Thor, de X-Men, personages uit het fictieve land Wakanda en de Fantastic Four van de partij zijn. De vier teaser trailers zijn hieronder nog eens te zien, mocht je ze gemist hebben.

Waar er van films normaal eerst één teaser trailer en daarna een volledige trailer uitgebracht wordt, koos Marvel hier dus voor vier teaser trailers. Die strategie heeft gewerkt, want volgens de laatste schattingen (via The Hollywood Reporter) hebben in totaal 1,02 miljard mensen de teasers gezien. Het is daarbij niet bekend hoe de verdeling precies ligt per teaser trailer, maar hoe dan ook gaat het om een indrukwekkend aantal kijkers.

Over Avengers: Doomsday

Avengers: Doomsday is de langverwachte nieuwe film binnen de Marvel Cinematic Universe, een gedeeld universum waar haast alle moderne Marvel-films (en ook verschillende series op Disney+) tegenwoordig onder vallen. Samen vertellen ze een doorlopend verhaal, vergelijkbaar met een tv-serie, maar dan met films die een productiewaarde hebben die bij dergelijke producties past.

De Avengers-films zijn een soort vieringen van dit universum waarin alles samenkomt: de personages, maar ook de verhaallijnen die in vorige films zijn begonnen. Avengers: Doomsday moet dan ook de volgende grote 'tentpole'-release worden binnen deze franchise.

Hierin zullen alle Marvel-superhelden die tot dusver zijn geïntroduceerd samenkomen om het op te nemen tegen de gevaarlijke Doctor Doom. De film draait vanaf 18 december 2026 in de bioscoop, en zal in 2027 opgevolgd worden door Avengers: Secret Wars.

De release van Grand Theft Auto 6 belooft de grootste gebeurtenis in het entertainmentlandschap ooit te worden. Punt. Groter dan Avatar en Avengers: Endgame bij elkaar. We bereiden ons er inmiddels al zo’n dertien jaar op voor, en om jou ook klaar te stomen staat alles wat je moet weten over GTA 6 hier op een rij: de releasedatum, trailers, het verhaal, de platforms én meer.

Dit artikel is voor het laatst bijgewerkt op 16 januari.

Releasedatum en platforms GTA 6

Na twee keer uitstellen staat de releasedatum van Grand Theft Auto 6 momenteel op 19 november 2026. De eerste aangekondigde releaseperiode van het spel was in het najaar van 2025, daarna mei 2026. We hopen uiteraard dat het nu een beetje klaar is met uitstellen, maar volgens de bekende en algemeen betrouwbare Jason Schreier van Bloomberg is de game nog altijd niet ‘content-compleet’ en is verder uitstel nog altijd mogelijk. Zeker omdat het volgende fiscale jaar tot en met maart 2027 loopt, zouden Rockstar-medewerkers er vrede mee hebben om de game rustig nog een keer uit te stellen.

Niettemin zal GTA 6 op een gegeven moment daadwerkelijk uitkomen, op de PlayStation 5 en Xbox Series X- en S-consoles. Er gaan geruchten dat ontwikkelaar Rockstar Games een Switch 2-versie van het spel overweegt, maar neem dat vooral met een korrel zout gezien de hardwarecapaciteit van het hybride-platform van Nintendo.

Wel kunnen we vrij zeker stellen dat de game uiteindelijk ook op pc speelbaar wordt. Uitgaande van Rockstars meest recente titels kan dat tussen één en twee jaar duren. GTA 5 kwam 19 maanden na de console-release naar pc, en Red Dead Redemption 2 deed daar ook iets langer dan een jaar over.

Daarnaast wordt gespeculeerd dat GTA 6 voor PlayStation 6 en de volgende generatie Xbox-consoles verschijnt, gezien die mogelijk al vanaf 2027 verschijnen. Hoewel de kans groot is dat er op den duur een versie voor die nieuwe platforms verschijnt, worden de PlayStation 5 en Xbox Series X en S vrijwel zeker niet overgeslagen. Inmiddels zijn de consoles gezamenlijk ruim 120 miljoen keer over de toonbank gegaan, waardoor de install base voor Rockstar veel aantrekkelijker is dan een nieuw platform.

Wordt GTA 6 weer uitgesteld?

Momenteel vragen spelers zich vooral af of GTA 6 de releasedatum van 19 november nu wél haalt. De game is inmiddels al twee keer uitgesteld, terwijl Rockstar gaandeweg meermaals heeft aangegeven uit te gaan van de aanvankelijk gecommuniceerde release. Het laatste uitstel zou volgens het officiële statement vooral goed zijn voor het polijsten van de ervaring.

Zoals hierboven al genoemd, rapporteerde de doorgaans behoorlijk betrouwbare journalist Jason Schreier begin januari 2026 echter dat bronnen hem vertelden dat GTA 6 nog altijd niet ‘content complete is’, wat inhoudt dat er nog altijd features ontworpen, overwogen en geïmplementeerd worden. Schreier stelt dan ook dat de releasedatum van 19 november niet zo zeker meer is, en dat de game nóg een keer kan worden uitgesteld.

Op 5 januari stelde de eveneens vrij betrouwbare insider Tom Henderson daarentegen dat de ontwikkeling van GTA 6 volgens planning verloopt, dus er is nog geen reden tot doemdenken. Daarbij is niets van dit alles door Rockstar bevestigd, dus het is allemaal louter speculatie.

Noemenswaardig is overigens dat Rockstar Games in oktober 2025 31 medewerkers heeft ontslagen, volgens moederbedrijf Take-Two wegens het delen van bedrijfsgegevens in een Discord-server. Dit gebeurde een maand nadat dezelfde medewerkers zich aansloten bij een vakbond en/of aanstalten maakten een vakbond op te richten. Sindsdien ligt Rockstar onder vuur, maar of dat ook impact heeft op de ontwikkeling van GTA 6 is lastig te zeggen.

©Rockstar Games

Het verhaal van GTA 6

Er gingen al geruime tijd geruchten en speculaties, maar inmiddels is door de trailers bevestigd dat GTA 6 een Bonnie and Clyde-achtig verhaal vertelt met Lucia Caminos en Jason Duval als speelbare hoofdpersonages. De twee hebben een relatie, en het verhaal lijkt te beginnen wanneer Lucia door stom toeval vrijkomt uit de gevangenis Leonida Penitentiary.

Net als Bonny Parker en Clyde Harrow in de jaren 30 lijken Lucia en Jason samen het criminele pad te bewandelen, wat volgens de beschrijvingen op de GTA 6-website niet zonder slag of stoot gaat. Jasons beschrijving luidt: "Jason wil een makkelijk leven, maar het wordt alleen maar moeilijker. Jason is opgegroeid tussen criminelen. Na een kortstondige carrière in het leger om zijn tienerjaren af te schudden, belandde hij in de Keys, waar hij doet wat hij het best doet: werken voor lokale drugdealers. Het is misschien tijd om iets nieuws te zoeken."

©Rockstar Games

Over Lucia is het volgende geschreven: "Lucia's vader heeft haar leren vechten zodra ze kon lopen. Het leven bleef haar daarna maar klappen geven. Door te vechten voor haar familie is ze in Leonida Penitentiary beland. Door puur toeval is ze daar nu weg. Lucia heeft haar lesje geleerd: vanaf nu speelt ze het slim."

Wat voor avonturen en moeilijkheden de twee in Vice City moeten doorstaan, is momenteel nog lastig te zeggen, maar Jasons drang naar een makkelijk leventje kan wellicht voor een conflict tussen de twee hoofdpersonages zorgen.

Het ligt trouwens in de lijn der verwachtingen dat het wisselen tussen Jason en Lucia op een vergelijkbare manier gaat als in Grand Theft Auto 5. Spelers kunnen op elk gewenst moment wisselen, maar enkele missies zullen specifiek voor één personage zijn.

©Rockstar Games

Andere personages van GTA 6

Met het uitbrengen van de tweede trailer heeft Rockstar Games ook een boekje opengedaan over de andere personages die we gedurende het verhaal en in de wereld van GTA 6 te zien krijgen. Jason Duval en Lucia Caminos staan hierboven bij het verhaal beschreven, en daaruit viel al op te maken dat zij banden hebben met wat onfrisse figuren in Vice City. Hieronder noemen we een aantal van die personages:

Brian Heder

Brian Heder is een van de drugsbazen waar Jason voor werkt, in ruil voor gratis verblijf in een huis in de Keys. De beste man heeft z'n handen in het verleden vaak genoeg vuil gemaakt en laat nu anderen het werk voor hem oppakken. Hij dealt onder andere drugs vanuit zijn scheepswerf, samen met zijn derde vrouw Lori.

©Rockstar Games

Cal Hampton

Net als zijn maatje Jason neemt Cal Hampton werk aan van Brian, maar hij bekijkt ook graag de zonnige kant van het leven. Het liefst verzorgt hij vanuit zijn eigen huis de communicatie met een biertje in de hand. Hij is wat paranoïde, maar de beste man is ook tevreden aan de lagere wal van Leonida. Volgens een aantal fans lijkt Cal nogal op acteur Matty Matheson (bekend van de serie The Bear) maar de cast van GTA 6 is nog altijd niet bekend.

©Rockstar Games

Real Dimez

Bae-Luxe en Roxy zijn de twee leden van Real Dimez, een rap-duo met een groot bereik op social media. Het duo is al sinds de middelbare school bevriend en gebruikt hun mediakennis nu om ongure types te helpen (en daar iets aan te verdienen).

©Rockstar Games

Raul Bautista

Dan is er ook Raul Bautista, een overvaller die niet vies is van een beetje grand theft auto en daarbij de nodige risico's neemt. Hij is ervaren en gedreven om de grootst mogelijke buit binnen te harken, wat vaak voor extra gevaar zorgt. Niet dat Raul dat iets kan schelen…

©Rockstar Games

Boobie Ike en Dre’quan Priest

De op zijn GTA’s genaamde Boobie Ike is volgens de website een bekende naam in Vice City. Met het geld dat hij verdiende met drugsgerelateerde zaken heeft hij nu een heus vastgoedimperium opgebouwd, waardoor hij er nu heerlijk warmpjes bij zit. Dat betekent overigens niet dat hij zich nu netjes aan de regels houdt, integendeel. Overigens heeft Boobie het een en ander te maken met Dre’quan Priest, een jongeman die ambities heeft om rapper te worden.

©Rockstar Games

Setting en gameplay

Dat las je inderdaad goed: met Grand Theft Auto 6 keert Rockstar Games terug naar Vice City, dezelfde stad waar de gelijknamige game uit 2002 zich afspeelde.

Daarbij staat Rockstar inmiddels bekend om hun ontzettend gedetailleerde werelden en diverse activiteiten die je kunt uitvoeren. Een aantal gameplay-opties van het spel is wel al bekend gemaakt middels de officiële website en de trailers.

Het is te verwachten dat het plannen en uitvoeren van overvallen (ook wel Heists geheten) een groot onderdeel van de ervaring wordt. Net als in GTA 5 lijkt het er ook op dat Jason en Lucia kleinere winkels van hun rijkdommen kunnen beroven, aangezien we ze in de eerste trailer een supermarkt binnen zien stormen.

©Rockstar Games

Om bij het thema van actievolle gameplay te blijven: we hebben Lucia ook in een soort kooigevecht kunnen zien. Omdat zij een echte vechtersbaas is, zou het ons niet verbazen als we deel kunnen nemen aan verschillende knokpartijen in Vice City. In het verlengde van ‘sport’ hebben we ook beelden gezien van trainingslocaties, waar eventuele fitness-minigames aan bod kunnen komen. Jason benchpresst in de trailer 120 kilo, wat gezien Rockstars oog voor detail wellicht ook een effect kan hebben op de gezondheid van het personage.

In rustiger vaarwater lijken sociale media ook een rol te spelen. De trailers zitten vol met nieuwsbeelden op zowel televisies als via TikTok-achtige apps, dus wellicht bevat het spel een mechaniek dat draait om het runnen van een socialmedia-account. Sommige van de namen van deze in-game apps en platforms zijn mogelijk ook gelekt.

Bekende GTA-insider Tez2 meldt op GTA Forums dat hij diverse app- en domeinnamen heeft gevonden. Deze namen zouden in mei zijn vastgelegd door een tussenbedrijf waar Take-Two mee samenwerkt, en dat zijn geheel volgens GTA-traditie parodieën op bestaande apps. Rydeme zou bijvoorbeeld een fictieve versie van Uber kunnen zijn. De domeinen zijn als volgt:

what-up.app

rydeme.app

buckme.app

leonidagov.org

brianandbradley.com

hookers-galore.com

wipeoutcornskin.com

myboyhasacreepycorndog.com

Water lijkt daarnaast een wat grotere rol te spelen in en rondom Vice City. Het gebied met de naam Grassrivers laat onder meer zien dat spelers plaats kunnen nemen in een hovercraft en kajaks. Bovendien lijkt het erop dat we in GTA 6 kunnen duiken en doet Rockstar het eindelijk: vissen wordt een mogelijkheid! Verdere rustgevende activiteiten in de stad zelf zijn volgens de trailers het minigolfen en poolen. Daarbij heeft Jason een PlayStation 5-achtige console thuis staan, dus misschien kunnen we ook wel videogames spelen ín de videogame.

©Rockstar Games

Jagen

De meest recente trailer liet daarbij ook veel wilde dieren zien, wat wellicht een hint kan zijn naar uitgebreide jaag-mogelijkheden. De technologie voor dieren in Red Dead Redemption 2 is immers erg uitgebreid, dus misschien heeft Rockstar daar een plekje voor gevonden in GTA 6.

Beperkingen in de map

Opvallend: Lucia droeg in de eerste trailer en in de key art van het spel een enkelband. Sommige fans speculeren nu dat dit de kaart in het begin van GTA 6 ‘beperkt’. Je kunt dan wellicht nog niet door de hele stad en de daaromheen liggende gebieden scheuren – in elk geval niet als Lucia. Trevor uit GTA 5 kon in het begin van zijn verhaallijn ook niet van het noorden in Los Santos naar de binnenstad; dat kon pas later in de game. Ook in eerdere delen was de kaart tijdelijk beperkt.

©Rockstar Games

Bloediger dan ooit

Het klinkt nogal willekeurig, maar de persoon die het nummer van Tom Petty and the Heartbreakers in de eerste trailer van GTA 6 correct heeft voorspeld, heeft ook wat andere claims over de game gedaan. Houd je zoutvaatje er wel bij!

Volgens de gebruiker kunnen spelers in GTA 6 dual-wielden (waarbij je in beide handen een apart wapen draagt) én zouden ledematen van lichamen gescheiden kunnen worden. Sowieso is de game volgens deze gebruiker al een stuk bloediger dan wat we gewend zijn. Verder zou het mogelijk zijn om te basketballen in teams van drie en kan de kleur van de lucht worden aangepast van blauw naar oranje en paars.

Details uit een gigantische lek

Een gebruiker genaamd teapotuberhacker heeft jaren geleden bijna honderd video’s geplaatst op GTAForums, die naar eigen zeggen beelden van Grand Theft Auto 6 tonen. De bestanden laten een alfaversie van het spel zien, waarin verschillende details opvallen. Bijvoorbeeld een balk die aftelt naar de komst van de politie en verschillende opties wanneer je een pistool op iemand richt; een beetje zoals in Red Dead Redemption 2, waarin je kunt focussen op NPC’s en hen kunt begroeten of in de zeik kunt nemen. Ook was in de beelden te zien dat Lucia een stripclub betreedt, en overvallen Jason en Lucia samen een restaurant.

De map van GTA 6: Leonida

Dat we teruggaan naar Vice City is inmiddels al een tijdje bekend, maar de spelwereld (het op Florida gebaseerde Leonida)wordt veel groter. GTA 6 belooft daarom vele malen gedetailleerder te worden dan het in 2002 verschenen GTA: Vice City.

Oplettende fans denken zelfs al in een van de trailers het huis van Tommy Vercetti gespot te hebben, al valt dat momenteel nog lastig te zeggen. We zijn hoe dan ook benieuwd of deze oude protagonist wellicht een rol speelt in dit nieuwe deel.

©Rockstar Games

Goed, Vice City en de bredere staat Leonida hebben verschillende trekpleisters te bieden, waarover Rockstar meer in detail is getreden op de officiële website. De over het algemeen betrouwbare journalist Tom Henderson heeft de kaart van GTA 6 vergeleken met ‘de kaart van Fortnite’. Daarmee wordt gerefereerd naar het continu veranderen van de kaart, het toevoegen van nieuwe locaties en eventuele uitbreidingen van de spelwereld. De informatie die officieel over de verschillende gebieden is vrijgegeven, lees je ook hieronder.

Ambrosia

Ambrosia is de industriële hotspot van Leonida en is dus de plek waar de zogeheten 'American Dream' tot leven komt. Er staan suikerfabrieken waar inwoners kunnen werken, maar de locatie wordt ook geteisterd door Final Chapter, een motorbende die het gebied onveilig maakt.

©Rockstar Games

Grassrivers

We noemden eerder het geweldige natuursysteem van Red Dead Redemption 2 al, en dankzij de Grassrivers kan Rockstar dergelijke gebieden ook in GTA 6 verwerken. Het stropen van alligators lijkt hier schering en inslag, en we zien dat spelers zich met hovercrafts over de wateren kunnen bewegen.

©Rockstar Games

Leonida Keys

We hebben de Keys veel voorbij zien komen in de marketinguitingen van GTA 6. Het is immers de plek waar Jason Duval (en later Lucia) woont. Ook hier speelt water weer een rol: volgens de website zijn de wateren rondom de Keys zowel de mooiste als gevaarlijkste in Leonida. Wellicht omdat Brian Heder de boel in toom houdt? Niettemin is de Keys geen denderend mooie plek om te wonen, maar het leven is er wel lekker simpel.

©Rockstar Games

Mount Kalaga National Park

De Grassrivers is niet het enige gebied in Leonida waar de wildernis intact blijft. Ook hier vind je water, en ditmaal kun je er terecht met een vishengel. Of met een jachtgeweer, want jagen op het wild van Mount Kalaga is vermoedelijk ook mogelijk. Er is daarbij nog meer te doen in het park, zoals lekker crossen op motoren of je aansluiten bij gekke groepen die zich liever afsluiten van de buitenwereld.

©Rockstar Games

Port Gellhorn

De ooit populaire toeristische locatie Port Gellhorn is inmiddels vergane glorie. Er komen geen toeristen meer op af, maar de nieuwe inwoners hebben voor een bijzondere cultuur gezorgd. Of die ook veilig is, is een tweede.

©Rockstar Games

Hoe zit het met GTA 6 Online?

GTA Online, de onlinemodus die als onderdeel van Grand Theft Auto 5 werd gelanceerd, blijft een waardevolle bron van inkomsten voor Rockstar vanwege de Shark Cards die spelers kunnen kopen. Hoewel de komst van een onlinemodus voor GTA 6 nog niet is bevestigd, is de verwachting wel dat die er uiteindelijk komt. GTA 4, GTA 5 en Red Dead Redemption 2 kregen immers ook een tijdje na de lancering van de singleplayer een online modus. Wat dat betekent voor de ondersteuning van GTA Online is onbekend, al zei Take-Two's CEO Strauss Zelnick in een interview met IGN het volgende op de vraag of GTA Online wordt afgesloten:

"Ik ga theoretisch spreken, want ik ga het niet hebben over een specifiek project als daar nog geen aankondiging van is gedaan, maar over het algemeen onderhouden we onze projecten wanneer de consumenten nog steeds met die titels bezig zijn."

©Rockstar Games

GTA Online in GTA 6 kijkt wellicht af bij Fortnite

Het online handelsmagazine Digiday heeft onthuld dat Rockstar van GTA Online een soort metaverse-ervaring wil maken à la Fortnite en Roblox. Inhoudelijk zou dat betekenen dat creators met de assets van GTA 6 zelf ervaringen kunnen neerzetten . Daar zou dan ook geld mee verdiend kunnen worden door de creators.

Wat hiermee te maken kan hebben, is dat Rockstar in 2023 de teams achter populaire GTA 5- en Red Dead Redemption 2-mods opkocht. Die teams richtten zich vooral op online roleplaying, wat in GTA Online erg populair is.

Eind 2025 stelde Rockstar al een Mission Creator beschikbaar in GTA Online, wat wellicht een voorproefje is van de plannen voor GTA 6.

Screenshots

©Rockstar Games

©Rockstar Games

©Rockstar Games

©Rockstar Games

©Rockstar Games

©Rockstar Games