Twee Amerikanen opgepakt voor 'iPad-hack' AT&T
Twee leden van de groep Goatse Security, die in de afgelopen zomer meer dan honderdduizend e-mailadressen van iPad-klanten bij de provider AT&T wisten te bemachtigen, zijn opgepakt en aangeklaagd wegens fraudepleging.
De twee Amerikanen werden eerder deze week in hechtenis genomen en aangeklaagd wegens het verkrijgen van toegang tot een computer zonder toestemming en het plegen van fraude met persoonsgegevens. Dat meldt The Wall Street Journal. In de zomer van 2010 wisten zij via een lek in de website van provider AT&T de e-mailadressen van ongeveer 114.000 iPad-klanten te bemachtigen. Volgens de aanklager is er geen bewijs dat de twee hackers de data verzamelden voor criminele doeleinden.
Daniel Spitler en Andrew Auernheimer ontdekten het lek in de afgelopen zomer op een webpagina van AT&T die werd gebruikt om nieuwe iPads te activeren. AT&T koppelde het icc-id van de tablet aan het e-mailadres van de gebruiker en maakte dit opvraagbaar via de pagina. De hackers schreven een php-script dat zich met de user agent-string van de iPad aanmeldde op de pagina met daarbij een random icc-id. Omdat de verzameling icc-id's redelijk sequentieel opgebouwd was, kon het script simpelweg bij elke poging het gebruikte icc-id stapsgewijs verhogen. Op deze wijze wist het duo meer dan honderduizend e-mailadressen van AT&T-klanten te verzamelen.
De aanklager beschikt ook over een reeks irc-logs waarin Auernheimer en Spitler de hack bespreken. Uit de logs zou blijken dat ze niet zeker wisten of hun acties strafbaar waren, maar er uiteindelijk toch mee doorgingen. In een reactie laat Jason Gates van Goatse Security weten dat hij het zorgelijk vindt dat een makkelijk te vervalsen tekstbestand van een anonieme bron gebruikt wordt om zijn collega's misschien achter slot en grendel te zetten. Daarnaast is hij van mening dat de acties van de twee niet onder de noemer 'hacken' vallen. De enige reden dat het geheel volgens Gates zoveel bekendheid heeft vergaard, is dat Auernheimer onder invloed van drugs in een poging tot ironie absurde claims en uitspraken over de hack gedaan heeft die door de aanklagers voor waarheid werden aangenomen. Auernheimer werd eerder dit jaar al opgepakt voor het bezit van onder andere cocaïne, xtc en lsd.
Reacties (64)
Wat mij betreft mogen deze lieden hard aangepakt worden. Dit zijn natuurlijk praktijken die niet door de beugel kunnen.
Het is natuurlijk wel dat het zorgelijk is dat deze gegevens zo maar verkregen konden worden.
Ze hadden het beter anders kunnen spelen. AT&T op de hoogte stellen van het lek en verder geen media aandacht hier voor vragen
Het is natuurlijk wel dat het zorgelijk is dat deze gegevens zo maar verkregen konden worden.
Ze hadden het beter anders kunnen spelen. AT&T op de hoogte stellen van het lek en verder geen media aandacht hier voor vragen
[Reactie gewijzigd door Cavemania op woensdag 19 januari 2011 12:03]
uhm niet mee eens, ze hebben niet gehacked, deze gegevens waren gewoon te makkelijk opvraagbaar. AT&T doet het dus fout hier en ik weet niet hoe de wet mbt persoonsgegevens in amerika is, maar hun zouden juist moeten worden aangeklaagd voor ernstige nalatigheid.
Verder staat in dit artikel helemaal niet wat die twee gedaan hebben met die gegevens dus volgens mij is het nog niet eens strafbaar. Als ze er wel crimele dingen mee wilden dan zijn ze net zo hard strafbaar.
Verder staat in dit artikel helemaal niet wat die twee gedaan hebben met die gegevens dus volgens mij is het nog niet eens strafbaar. Als ze er wel crimele dingen mee wilden dan zijn ze net zo hard strafbaar.
Nou, de door hun gebruikte techniek maakt dat zij zich hebben voorgedaan als een ander:
Of ze de mailadressen hebben gebruikt of niet, ze zijn fout geweest doordat dit 'lek' niet is gemeld.
Dat klinkt flauw maar zij hebben het recht niet de pagina's zo te openen ondanks dat dit werd gefaciliteerd door de site. Persoonlijk zou dit niet strafbaar hoeven te zijn als zij dit maar hadden gemeld, dit hebben zij verzuimd en hoewel er twijfels waren over de legaliteit van de actie zijn ze ermee doorgegaan.AT&T koppelde het icc-id van de tablet aan het e-mailadres van de gebruiker en maakte dit opvraagbaar via de pagina. De hackers schreven een php-script dat zich met de user agent-string van de iPad aanmeldde op de pagina met daarbij een random icc-id.
Of ze de mailadressen hebben gebruikt of niet, ze zijn fout geweest doordat dit 'lek' niet is gemeld.
Niet het recht hebben om de pagina's zo te openen? Waar haal je die onzin vandaan?
De user agent string is niets meer dan het antwoord op de vraag van de webserver: wat voor OS/browser combinatie gebruik je? Dat is per definitie onbetrouwbare informatie. Elke software ontwikkelaar weet dat je die informatie niet voor waarheid mag aannemen en met wantrouwen moet behandelen.
Het opvragen van de gegevens kan middels een URL die voor elke unit werd opgehoogd. Er is geen enkele vorm van beveiliging die iemand er van weerhoud om via Internet die webpagina op te vragen.
Probeer dit maar eens:
http://tweakers.net/nieuws/1
http://tweakers.net/nieuws/2
http://tweakers.net/nieuws/3
enz... Ben ik nou aan het hacken?
AT&T is nalatig geweest. AT&T zou in Nederland stevig aangepakt worden i.v.m. de wet bescherming persoonsgegevens.
De user agent string is niets meer dan het antwoord op de vraag van de webserver: wat voor OS/browser combinatie gebruik je? Dat is per definitie onbetrouwbare informatie. Elke software ontwikkelaar weet dat je die informatie niet voor waarheid mag aannemen en met wantrouwen moet behandelen.
Het opvragen van de gegevens kan middels een URL die voor elke unit werd opgehoogd. Er is geen enkele vorm van beveiliging die iemand er van weerhoud om via Internet die webpagina op te vragen.
Probeer dit maar eens:
http://tweakers.net/nieuws/1
http://tweakers.net/nieuws/2
http://tweakers.net/nieuws/3
enz... Ben ik nou aan het hacken?
AT&T is nalatig geweest. AT&T zou in Nederland stevig aangepakt worden i.v.m. de wet bescherming persoonsgegevens.
[Reactie gewijzigd door Blorgg op woensdag 19 januari 2011 12:37]
Idd naar mijn mening mag de user agent alleen voor "onbelangrijke" zaken worden gebruikt. Hiermee doel ik bijv het aanpassen van een layout dmv de useragent (Normale versie of 1 speciaal voor telefoons/tablets)
Als ik me goed herinner was deze opzet op verzoek van Apple, om de user-experience zo soepel mogelijk te laten zijn (je iPad wordt herkend door het systeem en de website laadt forms alvast met je gegevens).
't Is inderdaad de vraag of je hackt op het moment dat het systeem data prijsgeeft op een valide verzoek van een browser, anderzijds is SQL injectie niet veel anders dan het "opvragen van gegevens middels een URL die voor elke <snip> wordt opgehoogd "...
't Is inderdaad de vraag of je hackt op het moment dat het systeem data prijsgeeft op een valide verzoek van een browser, anderzijds is SQL injectie niet veel anders dan het "opvragen van gegevens middels een URL die voor elke <snip> wordt opgehoogd "...
Wat is een hack ?
Hebben ze gebruik gemaakt van username en wachtwoord, nee
1/2 hack misschien als je selt dat ze een username of unike id gebruikt hebben. Waarbij die unkie id dus eigenlijk niet uniek was maar gewoon een nummerreeks die verre van uniek was.
Het enige dat ze gedaan hebben is een zoekstring gebruiken voor het opvragen van informatie. Je kan stellen dat ze gebruik hebben gemaakt van een fout in het systeem.
Wat tegen ze spreekt is als dit een hack is, is dat ze zijn doorgegaan met het verzamelen van emails, na 1000 stuks haden ze ook kunnen kiezen het openbaar te maken en dan lijkt het minder op een hack.
Het is dus een grensgeval.
Hebben ze gebruik gemaakt van username en wachtwoord, nee
1/2 hack misschien als je selt dat ze een username of unike id gebruikt hebben. Waarbij die unkie id dus eigenlijk niet uniek was maar gewoon een nummerreeks die verre van uniek was.
Het enige dat ze gedaan hebben is een zoekstring gebruiken voor het opvragen van informatie. Je kan stellen dat ze gebruik hebben gemaakt van een fout in het systeem.
Wat tegen ze spreekt is als dit een hack is, is dat ze zijn doorgegaan met het verzamelen van emails, na 1000 stuks haden ze ook kunnen kiezen het openbaar te maken en dan lijkt het minder op een hack.
Het is dus een grensgeval.
Een icc-id is toch gewoon een username? Toegegeven, er kwam geen password bij kijken, maar dat verandert niks aan het feit dat ze, opzettelijk, een username hebben opgegeven die niet aan hen toebehoord. Is het schandalig dat de site ze daarmee weg laat komen? Tuurlijk. Is het desondanks nog steeds fraude? Ik (als niet-jurist) denk van wel.Hebben ze gebruik gemaakt van username en wachtwoord, nee
Volgens mij vergis je je in de betekenis van "uniek". Uniek betekent dat er (binnen dat systeem) maar één gebruiker is die dat id heeft. Hier op T.net is jouw (unieke) userid bijvoorbeeld 70480. Daar is dan vervolgens een gebruikersnaam aan gekoppeld die (op dit moment) ook uniek is, maar wel te wijzigen is. In theorie is het dus mogelijk om je username te wijzigen, waarna het zelfs mogelijk is dat iemand jouw (in dat geval, oude) username gaat gebruiken. Je numerieke id is echter nooit te wijzigen; dat is "permanent uniek" (sorry, kon geen beter woord verzinnen).Waarbij die unkie id dus eigenlijk niet uniek was maar gewoon een nummerreeks die verre van uniek was.
Hierboven noemde iemand al het voorbeeld van SQL-injectie, dat is ook "alleen maar een string", maar wel eentje waarvan je weet dat die onbedoelde gevolgen kan hebben.Het enige dat ze gedaan hebben is een zoekstring gebruiken voor het opvragen van informatie. Je kan stellen dat ze gebruik hebben gemaakt van een fout in het systeem.
Gebruik (of "misbruik"?) maken van een fout in het systeem is niet zomaar toegestaan. Ga maar kijken naar de DVD-hack van jaren terug tot en met de PS3-hack van een paar weken geleden; ook die maakten alleen maar gebruik van een fout in het systeem.
Even afgaand op de regeling met routers; zolang er geen wachtwoord op zit, maakt het niet uit of je toestemming vraagt.Een icc-id is toch gewoon een username? Toegegeven, er kwam geen password bij kijken, maar dat verandert niks aan het feit dat ze, opzettelijk, een username hebben opgegeven die niet aan hen toebehoord. Is het schandalig dat de site ze daarmee weg laat komen? Tuurlijk. Is het desondanks nog steeds fraude? Ik (als niet-jurist) denk van wel.
Voor de ING; niemand is bestraft, én er is geen aanklacht geweest (voor zover ik weet).
Is inloggen op iemands computer ook illegaal als er geen wachtwoord op zit? Ik vind (persoonlijk) van niet.
Deden ze zichzelf voor als andere personen? Tja, hier zouden ze mee gepakt kunnen worden, maar ik zou het nogal triest vinden van de desbetreffende winkel. Pas gewoon niet dit soort gestoorde toepassingen toe! Als mensen slechte wachtwoorden willen gebruiken moeten ze die zelf maar expliciet invoeren!
offtopic; wat een afschuwelijke naam + banner + spreuk... heeft iemand eventjes gekeken? http://security.goatse.fr/
ga daarna maar even googelen op goatse (alleen voor meerderjarigen die hun ogen achteraf willen uitsteken).
Als die computer in mijn huis staat achter mijn internet router dan is het gewoon inbraak. Je komt tenslotte via de oprit door de voordeur in mijn priveomgeving.Is inloggen op iemands computer ook illegaal als er geen wachtwoord op zit? Ik vind (persoonlijk) van niet.
Zelfs al heb ik er geen slot op, zonder uitnodiging is het gewoon mijn domein en daar heeft niemand het recht om binnen te komen. Niet op makkelijke manier en ook niet op moeilijke manier.
Ik mag dus geen URL's intypen, want dat is in feite wat ze gedaan hebben.
Dergelijke dingen zouden allerminst strafbaar moeten zijn, zelfs als ze de gegevens wel hadden verkocht. Zelfs als ze het niet gemeld hadden.
Dit is zoiets als je e-mail adres van je buurman op de ruit van je huis plakken en zeggen dat niemand er iets mee mag doen. Het is natuurlijk niet netjes, en ze hadden in dit geval makkelijk kunnen weten dat het niet netjes is, maar hacken is het allerminst.
Op diverse phpbb3 fora typ ik ook bovenin andere nummers in om sneller naar pagina's te kunnen (omdat d'r alleen 1,2,3...20,21,23 staat bv).
Dergelijke dingen zouden allerminst strafbaar moeten zijn, zelfs als ze de gegevens wel hadden verkocht. Zelfs als ze het niet gemeld hadden.
Dit is zoiets als je e-mail adres van je buurman op de ruit van je huis plakken en zeggen dat niemand er iets mee mag doen. Het is natuurlijk niet netjes, en ze hadden in dit geval makkelijk kunnen weten dat het niet netjes is, maar hacken is het allerminst.
Op diverse phpbb3 fora typ ik ook bovenin andere nummers in om sneller naar pagina's te kunnen (omdat d'r alleen 1,2,3...20,21,23 staat bv).
Hacken is: Manipuleren van een aanvraag (useragent) en je voordoen als iemand anders (een id van ander gebruikten) om je toegang te verschaffen tot informatie die niet van jou is.
En dat is dit dus. Dat de beveiliging slecht is, is een hele andere discussie.
Hadden ze de informatie gekregen door een eigen id te gebruiken met standaard internet explorer. Antwoord nee. Ze moesten de aanvragen manipuleren om toegang te krijgen, dus hebben ze de site gewoon gehacked.
Het was wat anders geweest wanneer ze met een generieke http request de informatie van de site hadden gekregen. Maar dat kon niet, anders hadden ze geen manipulatie hoeven uitvoeren
Kortom, strafbaar.
En dat is dit dus. Dat de beveiliging slecht is, is een hele andere discussie.
Hadden ze de informatie gekregen door een eigen id te gebruiken met standaard internet explorer. Antwoord nee. Ze moesten de aanvragen manipuleren om toegang te krijgen, dus hebben ze de site gewoon gehacked.
Het was wat anders geweest wanneer ze met een generieke http request de informatie van de site hadden gekregen. Maar dat kon niet, anders hadden ze geen manipulatie hoeven uitvoeren
Kortom, strafbaar.
Je hebt de goudpot voor me gevonden!
Ik ga al mijn website bezoekers aanklagen welke een vervalste user agent hebben!
Even een random IRC logje maken, een vage gast laten zeggen dat afkorting (het is een smilie
) "XD" betekend dat ze precies weten wat ze doen en ze het helemaal kapot willen maken
Ik vraag me nog heel erg af hoe de Jury dit gaat zien. Het enige belastende bewijs is een 150-pagina IRC log die aangeleverd is door een "anonieme bron"
Like, c'mon... Rechtzaken m.b.t. ICT gerelateerde zaken zijn zo lachwekkend.
Ik doe wel eens voor hoe het zou zijn als ik de aangeklaagde hun schoenen zouden staan voor de rechtbank.
"u bent aangeklaagt omdat u x (enige technische term/uitleg die een rechter kan geven) gedaan heeft bij bedrijf/persoon y"
Daarna gaan ze proberen uit te leggen (in enig sinds technische termen die leken moeten kunnen begrijpen (daar heb je het al!)) waar het op gebaseerd is.
Ik zou na die uitleg echt alleen een beetje dom kunnen gaan kijken en dom gaan lachen aangezien die mensen echt uitspraken baseren op alles wat NIET met ICT te maken heeft.
Ik zou gewoon geen (technische) reactie kunnen geven.
Ik ga al mijn website bezoekers aanklagen welke een vervalste user agent hebben!
Even een random IRC logje maken, een vage gast laten zeggen dat afkorting (het is een smilie
) "XD" betekend dat ze precies weten wat ze doen en ze het helemaal kapot willen makenIk vraag me nog heel erg af hoe de Jury dit gaat zien. Het enige belastende bewijs is een 150-pagina IRC log die aangeleverd is door een "anonieme bron"
Like, c'mon... Rechtzaken m.b.t. ICT gerelateerde zaken zijn zo lachwekkend.
Ik doe wel eens voor hoe het zou zijn als ik de aangeklaagde hun schoenen zouden staan voor de rechtbank.
"u bent aangeklaagt omdat u x (enige technische term/uitleg die een rechter kan geven) gedaan heeft bij bedrijf/persoon y"
Daarna gaan ze proberen uit te leggen (in enig sinds technische termen die leken moeten kunnen begrijpen (daar heb je het al!)) waar het op gebaseerd is.
Ik zou na die uitleg echt alleen een beetje dom kunnen gaan kijken en dom gaan lachen aangezien die mensen echt uitspraken baseren op alles wat NIET met ICT te maken heeft.
Ik zou gewoon geen (technische) reactie kunnen geven.
Oke laten we het zo stellen, jij hebt je fiets bij huis staan en hij staat niet op slot. Hij wordt meegenomen. Dat is geen diefstal?
Moet jij worden aangeklaagt voor de diefstal van je fiets?
Ze hebben gegevens op een manier opgevraagd zoals niet hoort, ze zijn dus op illegale wijze aan deze gegevens gekomen. Of ze er wel of niet criminele dingen mee gedaan hebben staat hier helemaal los van.
Moet jij worden aangeklaagt voor de diefstal van je fiets?
Ze hebben gegevens op een manier opgevraagd zoals niet hoort, ze zijn dus op illegale wijze aan deze gegevens gekomen. Of ze er wel of niet criminele dingen mee gedaan hebben staat hier helemaal los van.
Ik denk wel dat 9 van de 10 zal zeggen dat het je eigen schuld is dat je fiets is gejat, wanneer je deze niet op slot zet.
Dat ben ik met je eens echter het is wel strafbaar om eigendommen van een ander mee te nemen, het is en blijft dus een illegale activiteit.
(IANAL) In dit geval zijn beide partijen 'strafbaar', de 'hackers' mogen de gegevens niet opvragen, maar wat betreft privacy is het niet best dat de gegevens zo makkelijk opvraagbaar waren.
AT&T is in die zin (onder het NL recht tenminste) evengoed aansprakelijk. Nu lijkt het meer alsof AT&T (met hulp van het OM, blijkbaar) de verantwoordelijkheid voor hun eigen databeveiliging van zich afschuift.
AT&T is in die zin (onder het NL recht tenminste) evengoed aansprakelijk. Nu lijkt het meer alsof AT&T (met hulp van het OM, blijkbaar) de verantwoordelijkheid voor hun eigen databeveiliging van zich afschuift.
En hier (Vlaanderen) maak je nog kans op een boete voor het faciliteren van diefstal van (ik dacht) 50 euro. Hetzelfde geldt als bvb je auto niet op slot is of je laat iets waardevol achter op een zichtbare plaats...
Hiermee wil ik niet gezegd hebben dat de 'daders' van deze 'hack' zomaar vrijuit mogen gaan.
Hiermee wil ik niet gezegd hebben dat de 'daders' van deze 'hack' zomaar vrijuit mogen gaan.
"k denk wel dat 9 van de 10 zal zeggen dat het je eigen schuld is dat je fiets is gejat, wanneer je deze niet op slot zet."
Volgens mij had iedereen zijn 'fiets' nog na afloop van deze 'diefstal'.
Imho moeten mensen eens ophouden met dit soort simplistische vergelijkingen, ze raken kant nog wal. Het is vrijwel altijd een geval van appels en peren.
Volgens mij had iedereen zijn 'fiets' nog na afloop van deze 'diefstal'.
Imho moeten mensen eens ophouden met dit soort simplistische vergelijkingen, ze raken kant nog wal. Het is vrijwel altijd een geval van appels en peren.
Uhm wat is er gestolen?? De gegevens staan nog steeds op de servers van AT&T. Je vergelijking gaat gewoon niet op in het digitale tijdperk.
In het artikel staat niet dat er iets fouts is gebeurd met deze gegevens, dus om nog maar een rare vergelijking erbij te gooien.
De gegevens van wikileaks bevatten hele geheime informatie die strafbaar is om te hebben. Omdat ik toevallig ooit de insurance file heb gehad mogen ze mij vastzetten? Nee tuurlijk niet, ik kan er volgens mij ook niets aan doen dat ik het onder ogen gehad heb. Je weet van te voren niet precies wat erin zat/stond.
Je moet alleen de gene die het heeft gelekt aanpakken, en dat is niet wikileaks maar de gene die het zelf naar wikileaks heeft gelekt. Waarbij rekening dient gehouden te worden dat bepaalde informatie gewoon gelekt mag worden ook al is het nog zo geheim. De staat moet soms ook verantwoording afleggen voor hun daden
In het artikel staat niet dat er iets fouts is gebeurd met deze gegevens, dus om nog maar een rare vergelijking erbij te gooien.
De gegevens van wikileaks bevatten hele geheime informatie die strafbaar is om te hebben. Omdat ik toevallig ooit de insurance file heb gehad mogen ze mij vastzetten? Nee tuurlijk niet, ik kan er volgens mij ook niets aan doen dat ik het onder ogen gehad heb. Je weet van te voren niet precies wat erin zat/stond.
Je moet alleen de gene die het heeft gelekt aanpakken, en dat is niet wikileaks maar de gene die het zelf naar wikileaks heeft gelekt. Waarbij rekening dient gehouden te worden dat bepaalde informatie gewoon gelekt mag worden ook al is het nog zo geheim. De staat moet soms ook verantwoording afleggen voor hun daden
[Reactie gewijzigd door LeVortex op woensdag 19 januari 2011 12:32]
Jij houd het blijkbaar niet voor mogelijk, maar in sommige Nederlandse gemeentes is het volgens de plaatselijke APV strafbaar om je fiets niet op slot te zetten! Kun je dus een boete voor krijgen, geloof dat het in bepaalde plaatsen EUR 30,- kost.Moet jij worden aangeklaagt voor de diefstal van je fiets?
Maar de fietsendief blijft nog steeds strafbaar.
Ook als deze geen dief bleek, maar een eerlijke vinder en deze de fiets meenam om bij het politiebureau af te geven?
Als jij een portemonnee op straat vindt en meeneemt om aan de eigenaar terug te geven ben je toch ook niet meteen een dief? Eerder een hulpvaardige burger.
Als jij een portemonnee op straat vindt en meeneemt om aan de eigenaar terug te geven ben je toch ook niet meteen een dief? Eerder een hulpvaardige burger.
[Reactie gewijzigd door CyBeRSPiN op woensdag 19 januari 2011 12:52]
Echt? Jij vergelijkt het opvragen van een webpagina met diefstal?
Als ik staatsgeheimen op een bankje op het NS station laat liggen omdat ik mijn trein moet halen. Ben ik dan nalatig omdat ik deze niet in een zware kluis had gelegd, of ben jij dan een landverrader als je die staatsgeheimen die voor iedereen toegankelijk zijn in ziet? Jij moest immers het mapje openen en door de papieren bladeren. Of mogen we dat soms niet zien als een vorm van beveiliging die je niet had mogen omzeilen?
En ga dan niet roepen: het gaat er om wat je met die informatie doet. Dat is hier niet aan de orde. Deze twee 'hackers' zijn aangeklaagd voor het verkrijgen van toegang tot een computer zonder toestemming en het plegen van fraude met persoonsgegevens.
Als ik staatsgeheimen op een bankje op het NS station laat liggen omdat ik mijn trein moet halen. Ben ik dan nalatig omdat ik deze niet in een zware kluis had gelegd, of ben jij dan een landverrader als je die staatsgeheimen die voor iedereen toegankelijk zijn in ziet? Jij moest immers het mapje openen en door de papieren bladeren. Of mogen we dat soms niet zien als een vorm van beveiliging die je niet had mogen omzeilen?
En ga dan niet roepen: het gaat er om wat je met die informatie doet. Dat is hier niet aan de orde. Deze twee 'hackers' zijn aangeklaagd voor het verkrijgen van toegang tot een computer zonder toestemming en het plegen van fraude met persoonsgegevens.
Zou je beter kunnen zeggen dat iemand een foto heeft gemaakt van je fiets zonder te vragen. De "fiets" staat er tenslotte nog en werkt net als voor de foto.
op die foto kun je niet fietsen
die discussies over foute vergelijkingen blijven leuk
die discussies over foute vergelijkingen blijven leuk
Tuurlijk is het diefstal, maar ook in Nederland is het niet toegestaan om je eigendommen onbeheerd/onafgesloten achter te laten. Ik ken iemand die daar ook daadwerkelijk een boete voor gehad heeft wegens niet op slot zetten van auto(tig jaren geleden). Ik vind dat ver gaan, maar geeft aan dat het een het ander dus niet uitsluit.
In principe is het zo dat als je als 'hacker' opmerkt dat er zo'n flagrante beveiligingsfout gemaakt wordt, er van je verwacht wordt dat je dit aan de verantwoordelijke meldt om deze de kans te geven het te fixen. Doet deze dit niet, is het ook te verwachten dat je na enige tijd dit lek openbaar maakt.
Ik denk dat dit met het horen van getuigen-deskundigen wel met een sisser zal aflopen, eerlijk gezegd is deze manier van activeren waarbij niets semi(random) wordt gecodeerd nogal eenvoudig en is AT&T dit vrij stevig aan te rekenen. Ben alleen bang dat de persoonsgegevens aan de andere kant van de plas nog minder gewaarborgd zijn dan hier...
In principe is het zo dat als je als 'hacker' opmerkt dat er zo'n flagrante beveiligingsfout gemaakt wordt, er van je verwacht wordt dat je dit aan de verantwoordelijke meldt om deze de kans te geven het te fixen. Doet deze dit niet, is het ook te verwachten dat je na enige tijd dit lek openbaar maakt.
Ik denk dat dit met het horen van getuigen-deskundigen wel met een sisser zal aflopen, eerlijk gezegd is deze manier van activeren waarbij niets semi(random) wordt gecodeerd nogal eenvoudig en is AT&T dit vrij stevig aan te rekenen. Ben alleen bang dat de persoonsgegevens aan de andere kant van de plas nog minder gewaarborgd zijn dan hier...
Als het al niet helemaal duidelijk zou zijn of je 1 fiets wel of niet zou mogen stelen, maar als je 100.000 fietsen steelt? Toch wel een kwaadaardige actie op zijn minst, ook al is het makkelijk te doen.
@Cavernania
Fiets stelen? Wat heeft dit te maken met opvragen van email adressen?
Het is eerder: Je hebt hem niet vastgemaakt waardoor iemand jou fiets heeft omgedraaid en het serienummer genoteerd. Illegaal?
Fiets stelen? Wat heeft dit te maken met opvragen van email adressen?
Het is eerder: Je hebt hem niet vastgemaakt waardoor iemand jou fiets heeft omgedraaid en het serienummer genoteerd. Illegaal?
Dus als bij jou de huisdeur niet op slot is (gemakkelijk toegang) mag iedereen dan ongevraagd binnenkomen om vervolgens door je privé spullen te gaan snuffelen?uhm niet mee eens, ze hebben niet gehacked, deze gegevens waren gewoon te makkelijk opvraagbaar.
Natuurlijk niet!
[Reactie gewijzigd door Carbon op woensdag 19 januari 2011 12:54]
Niemand verbied ze om door het raam te kijken naar jou spullen en alles te noteren, aangezien de ramen deze mogelijkheid bieden.
Ze hebben nooit toegang gekregen tot de website = binnengaan.
Ze hebben gebruik gemaakt van een slechte design = Zet een gigantische doorzichtige raam in je badkamer, jou willie is te bekijken
Ze hebben nooit toegang gekregen tot de website = binnengaan.
Ze hebben gebruik gemaakt van een slechte design = Zet een gigantische doorzichtige raam in je badkamer, jou willie is te bekijken
[Reactie gewijzigd door anthogno op woensdag 19 januari 2011 14:44]
Volgens de Nederlandse (en Belgische) wetgeving is dat een aantasting van de privacy en dus verboden.Niemand verbied ze om door het raam te kijken naar jou spullen en alles te noteren, aangezien de ramen deze mogelijkheid bieden.
AT&T is degene die hier achter slot en grendel moeten. verantwoordelijkheid hebben op miljoenen persoonlijke NAW gegevens.. en dat voor iedereen vrijstellen... van de zotte! en dan degene die het aan het licht laten komen bestraffen 
Don't shoot the messenger.
Wat hebben ze met de e-mail adressen gedaan? Dat wordt niet duidelijk uit het artikel. Daarnaast is het opvragen van wat codes met een scriptje niet bepaald hacken. Als je iemand aanklaagt, klaag dan AT&T aan die deze informatie publiekelijk beschikbaar stelt. Dit lijkt me eerder grove nalatigheid van de systeembeheerders van AT&T.
Maar goed, jij hebt blijkbaar liever doofpot praktijken, wat niet weet wat niet deert...
Wat hebben ze met de e-mail adressen gedaan? Dat wordt niet duidelijk uit het artikel. Daarnaast is het opvragen van wat codes met een scriptje niet bepaald hacken. Als je iemand aanklaagt, klaag dan AT&T aan die deze informatie publiekelijk beschikbaar stelt. Dit lijkt me eerder grove nalatigheid van de systeembeheerders van AT&T.
Maar goed, jij hebt blijkbaar liever doofpot praktijken, wat niet weet wat niet deert...
Ik vind helemaal niet dat je dit soort dingen in de doofpot moet stoppen (heb ik ook nergens gezegt) maar je kan wel het fatsoen hebben om het bedrijf hierop te wijzen en ze de kans geven de fout te herstellen. Gebeurd dit niet kan je altijd nog de media opzoeken.quote: CavemaniaOke laten we het zo stellen, jij hebt je fiets bij huis staan en hij staat niet op slot. Hij wordt meegenomen. Dat is geen diefstal?
Moet jij worden aangeklaagt voor de diefstal van je fiets?
Ze hebben gegevens op een manier opgevraagd zoals niet hoort, ze zijn dus op illegale wijze aan deze gegevens gekomen. Of ze er wel of niet criminele dingen mee gedaan hebben staat hier helemaal los van.
[Reactie gewijzigd door Cavemania op woensdag 19 januari 2011 12:26]
Het is wel Amerika en met de DMCA en beperkte fair use wetgeving daar kun je ook aangeklaagd worden als je AT&T op de hoogte stelt van de fout. Je weet immers pas van de fout als je een e-mail adres aan de hand van een ID hebt opgevraagd. Met een beetje pech sleept AT&T je vervolgens voor de rechter wegens inbraak/fraude/ongeauthoriseerde toegang.
Nee, want je hebt ook nog een wet die expliciet klokkenluiders beschermt.
(nog wel, misschien dat dat nu veranderd door Wikileaks)
(nog wel, misschien dat dat nu veranderd door Wikileaks)
[Reactie gewijzigd door arjankoole op woensdag 19 januari 2011 14:10]
Maar doorredenerend in die trant zou at&t (of in ieder geval de verantwoordelijke) daar dus nog zwaarder voor moeten worden gestraft (onbeveiligd online gooien van persoonlijk data van gebruikers).
Ik vind dat dat gemeengoed moet worden, indien een crack plaatsvind van dit soort data dan dient ook de houder die de situatie heeft gecreert voor een dergelijk crack gestraft te worden (proportioneel tov de mate van nalatigheid natuurlijk).
Ik vind dat dat gemeengoed moet worden, indien een crack plaatsvind van dit soort data dan dient ook de houder die de situatie heeft gecreert voor een dergelijk crack gestraft te worden (proportioneel tov de mate van nalatigheid natuurlijk).
[Reactie gewijzigd door blouweKip op woensdag 19 januari 2011 12:23]
Ze hebben het lek gemeld aan AT&T, maar die negeerden het liever. Dus ja, dan moet je het maar publiek maken, anders fixen ze toch niets.
Dat beweren ze maar daarvoor is geen enkel bewijs gevonden.Ze hebben het lek gemeld aan AT&T, maar die negeerden het liever.
FBI Affidavit Details iPad Hack Probe
Ik ben het daar niet mee eens. Als ze een mailtje hadden gestuurd naar AT&T met daarin dat ze dat konden hacken, lijkt mij de kans groot dat de AT&T medewerker als eerste de delete knop vindt. Op deze manier hebben ze voorkomen dat iemand met illegale doeleinden deze lijst in handen kon krijgen, en als ik hen was zou ik AT&T aanklagen wegens privacyschending
[Reactie gewijzigd door Beatboxx op woensdag 19 januari 2011 12:47]
Inderdaad ik hoop dat de ICTer van AT&T hard aangepakt wordt. Het is gewoon belachelijk eenvoudig om op deze manier privacy gevoelige gegevens te verkrijgen.
jammer dat AT&T er zo mee omgaat. Zij hebben immers een hele domme fout gemaakt met de registratie van iPads. het is een wonder dat ik nog geen claims heb gehoord richting AT&T over slechte privacy bescherming. volgens mij is ook wel degelijk te zien dat deze "hackers" het niet deden voor de e-mailadressen, maar om een signaal af te geven richting AT&T dat ze er iets aan moeten doen.
Erg slecht van se dat ze niet wisten dat het bemachtigen van email adressen op die manier illegaal was 
, lijkt me nog al duidelijk aangezien je privé gegevens van andere steelt(kopieert) en dan eventueel door verkoopt of op het internet gaat publiceren.
als ze geen intentie hadden om een van beide opties te doen waarom wil je dan zoveel mail adressen hebben leuk voor de verzameling of zo
dag het niet.
, lijkt me nog al duidelijk aangezien je privé gegevens van andere steelt(kopieert) en dan eventueel door verkoopt of op het internet gaat publiceren.als ze geen intentie hadden om een van beide opties te doen waarom wil je dan zoveel mail adressen hebben leuk voor de verzameling of zo
dag het niet.Lees ook de bron he
Ze wilden dus waarschijlijk het lek openbaar maken. Dit wordt vaak gedaan om bedrijven erop te wijzen dat hun beveiliging niet op orde is. Vele bedrijven doen pas wat met deze informatie nadat aangetoond is dat er veel data achterhaald kan worden met de hack. Openbaar maken is dan de enige optie voor de hackers.The next day, Mr. Spitler asked that Mr. Auernheimer protect his identity after Mr. Auernheimer suggested they reveal the security flaw to the press, prosecutors said in the complaint.
[Reactie gewijzigd door thefal op woensdag 19 januari 2011 12:14]
Een IRC log lijkt me allerminst bezwarend materiaal, even vooropstellen, ik neem het absoluut niet op tegen de mensen die de hack hebben geplaatst. Echter is het wel ook van AT&T gebleken dat zij niet heel erg secuur dus omgaan met de gegevens van hun klantne. Mij verbaast het dan ook dat er verder nog niet een onderzoek naar is gestart o.i.d.
[Edit]Even wat discussie voer:
AT&T treft zeker voor een deel blaam, zij gaan immers redelijk onzorgvuldig met de gegevens van hun afnemers om. Dat praat echter niet goed dat men zomaar de gegevens van anderen in kijkt. Dat het kan, betekend niet automatisch dat het mag. Echter ben ik toch blij dat het gedaan is, zonder kwade bedoelingen, want anders had iemand het gedaan die misschien -wel- kwade bedoelingen gehad. Dan was AT&T veel verder van huis. hun reactie op deze 2 "hackers" vind ik ook wel kinderachtig. Ze hebben juist nu, nog geen schade geleden hierdoor, en hopelijk doen ze het in de toekomst beter.
[Edit]Even wat discussie voer:
AT&T treft zeker voor een deel blaam, zij gaan immers redelijk onzorgvuldig met de gegevens van hun afnemers om. Dat praat echter niet goed dat men zomaar de gegevens van anderen in kijkt. Dat het kan, betekend niet automatisch dat het mag. Echter ben ik toch blij dat het gedaan is, zonder kwade bedoelingen, want anders had iemand het gedaan die misschien -wel- kwade bedoelingen gehad. Dan was AT&T veel verder van huis. hun reactie op deze 2 "hackers" vind ik ook wel kinderachtig. Ze hebben juist nu, nog geen schade geleden hierdoor, en hopelijk doen ze het in de toekomst beter.
[Reactie gewijzigd door Nazanir op woensdag 19 januari 2011 12:16]
In principe zijn dit soort hacks ook wel goed, AT&T heeft blijkbaar gewoon niet goed beveiligde pagina's ergens staan waar dit op te vragen is. Het is dan weer de vraag wat de hackers ermee doen om het echt strafbaar te maken imo. Als ze gewoon AT&T mailen met berichten dat ze van 100.000+ klanten een e-mailadres kunnen opvragen was er niet zoveel aan de hand geweest.
PS: Goatse Security? Wat een naam
PS: Goatse Security? Wat een naam
Dubbele mening,
A: met is verboden volgens de nederlandse wet om op deze wijze aan login gegevens te komen.
B: het is een methode om mensen wakker te schrikken.
De mening blijft verdeelt, meeste mensen geven overal gegevens op zonder dat ze weten waar & hoe het opgeslagen wordt.
door deze marnier van 'openbaar' maken worden mischien jij als gebruiker gewaarschuwt.
met de gegevens kan misbruik worden gepleegt, maar dan zouden de hackers de media er toch niet bij halen?
A: met is verboden volgens de nederlandse wet om op deze wijze aan login gegevens te komen.
B: het is een methode om mensen wakker te schrikken.
De mening blijft verdeelt, meeste mensen geven overal gegevens op zonder dat ze weten waar & hoe het opgeslagen wordt.
door deze marnier van 'openbaar' maken worden mischien jij als gebruiker gewaarschuwt.
met de gegevens kan misbruik worden gepleegt, maar dan zouden de hackers de media er toch niet bij halen?
Typische Symboolpolitiek dus, we verbieden het, dan zijn wij ingedekt met een wetje maar aan het systeem veranderen we niets.
Das nog maar de vraag. Volgens de nederlandse wet is het strafbaar om in te breken op een systeem waarbij enige vorm van beveiliging doorbroken moet worden. De discussie zou dan zijn of een sequentiele cijferreeks gezien kan worden als een vorm van beveiliging. In nederland is het daarom dan ook erg handig om in ieder geval een password op je pc te zetten en een key op je wifi verbinding. Al zijn deze dingen soms makkelijk te breken is het iig strafbaar itt een open wifi met open computers.
Hoe dan ook gaat het nederlands recht hier niet op, en het is onduidelijk hoe de wetgeving daar precies is.
Hoe dan ook gaat het nederlands recht hier niet op, en het is onduidelijk hoe de wetgeving daar precies is.
Ik ben dus één van de weinige die eigenlijk toch best een beetje moest lachen om: 'Goatse Security' ?
Zeker niet, moest er ook even om gniffelen.
nope niet de enige
Misschien hadden ze een film "The Men Who Stare at Goats" (2009) gezien?
Nee, Goatse.cx is legendarischIk ben dus één van de weinige die eigenlijk toch best een beetje moest lachen om: 'Goatse Security' ?
Hier ging ook bijna de koffie over het toetsenbord 
Damn, dat logo er ook bij, laat niks aan de verbeelding over. Eet smakelijk! 
Het is ook niet erg slim geweest om de hack te bespreken in een publiek IRC kanaal. Beter hadden ze een kanaal geregistreerd met een wachtwoord of invite-only o.i.d..
Alhoewel er staat dat de logs van 'a confidential source' afkomstig zijn. Dus dat kunnen ook logs van de server zijn, of van de hackers hun computers
Alhoewel er staat dat de logs van 'a confidential source' afkomstig zijn. Dus dat kunnen ook logs van de server zijn, of van de hackers hun computers
Alleen zijn die logs amper bewijs. Ze zijn super makkelijk te vervalsen . Dus wie zegt dat het wel echte logs zijn?
De gasten hadden dit veel slimmer moeten spelen
Als ze bij die gegevens konden, moesten ze deze lek aankaarten en dan konden ze er misschien nog een paar pegels aan verdiene.
Ik vind dat dit achteraf nog moet kunnen en dat een aanklacht weer iets te overdreven is
Als ze bij die gegevens konden, moesten ze deze lek aankaarten en dan konden ze er misschien nog een paar pegels aan verdiene.
Ik vind dat dit achteraf nog moet kunnen en dat een aanklacht weer iets te overdreven is
"in een poging tot ironie absurde claims en uitspraken over de hack gedaan"
Welke claims en uitspraken vraag ik me dan af.
Welke claims en uitspraken vraag ik me dan af.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
