Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 181 reacties, 32.516 views •

De zeventienjarige verdachte van de hack op KPN heeft bekend. Dat meldt het Openbaar Ministerie. De verdachte werd vorige week al opgepakt. De hack bij KPN vond in januari plaats. De hacker zou in zijn eentje hebben gehandeld.

De zeventienjarige Barendrechter zou toegang hebben gehad tot honderden KPN-servers. Hij beheerde bovendien een website voor gestolen creditcards, wat ook een reden kan zijn waarom hij vastzit. Volgens mensen met wie hij chatte deed hij het vooral uit verveling en voor de lol.

Het Openbaar Ministerie bevestigt na berichtgeving op Nu.nl tegenover Tweakers.net dat de verdachte bekend heeft. "Ik kan niet in details treden in dit stadium", aldus woordvoerder Wim de Bruin. Wel zegt De Bruin dat de hacker 'hoogstwaarschijnlijk' in zijn eentje handelde. "Hij heeft anderen wel op de hoogte gesteld, maar het hacken zelf heeft hij alleen gedaan, lijkt het nu."

De zeventienjarige jongen werd vorige week opgepakt, waarbij zijn pc, twee laptops en gegevensdragers in beslag zijn genomen. Hij wordt verdacht van de hack bij KPN van afgelopen januari. Daarbij zou hij toegang hebben verkregen tot een core-router en kon hij wellicht het internetverkeer van klanten afluisteren. Dat was mogelijk vanwege de gebrekkige beveiliging van KPN; veel servers waren voorzien van oudere software met kwetsbaarheden. Naar aanleiding van de hack heeft KPN de beveiliging opgevoerd.

Reacties (181)

Reactiefilter:-11810177+1119+27+31
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Eigenlijk zou er een groep van burgers en bedrijven op moeten staan die een claim indienen bij de KPN. Blijkbaar zijn zij jarenlang niet in staat geweest om persoonlijke gegevens op de juiste manier te beveiligen. Dit staat in hun privacy statement

"KPN gaat zorgvuldig met je gegevens om en zorgt ervoor dat elke verwerking van je gegevens voldoet aan de toepasselijke wet- en regelgeving."

http://www.kpn.com/privacy.htm

Maar beveiligen ho maar.

Ok die jongen is fout geweest, maar KPN heeft het wel laten gebeuren. VAn een bedrijf van dergelijke grote en reputatie mag je dat niet verwachten.
Kijk daar ben ik het nou mee eens. Tuurlijk is die jongen fout. Maar het is wel om je kapot te schamen dat een 17-jarige met een laptop en pc zich toegang kan verschaffen tot de KPN servers. Nee dan heb je als KPN de zaken goed op orde.
Het grappige is dat je wel steeds kan benadrukken over grote bedrijven, mag niet dit en dat, maar ik denk dat het formaat JUIST het probleem is met beveiliging.
In het MKB waar 1 of 2 IT mannetjes de boel draaiende houden is het heel overzichtelijk te maken wat wanneer doet, openstaat, doorvoert en waarom aandachtspunten waar zitten. Tevens zijn die wat minder waarschijnlijk doelwit voor hacks. KPN is een netwerk zo groot dat als dat ergens niet goed gemanaged wordt ga ik niet vreemd kijken dat er hele server racks staan waarvan mensen niet weten waar het voor is en zich er daardoor niemand zich er mee bezig houd. Als je dan ook nog bedenkt dat een KPN een boeiend doelwit is vind ik het opzich best nog een achievement dat er nu pas wat mis gaat.

Het is niet goed natuurlijk, maar ik denk wel dat daar het probleem zit wat je o.a. hier ziet en bij al die anadere grote toko's.
Interessant, iemand enig idee wat voor een straf deze jongen hiervoor kan krijgen. Want hij is natuurlijk ook nog minderjarig!
Om even een toevoeging te doen op de reactie van wildhagen:

Het gelinkte artikel (138a lid 1 sub a Wetboek van Strafrecht) is inderdaad de basis voor het delict. Echter is artikel 138a lid 2 juncto art 138a lid 3 WvSr ook van toepassing. Dit omdat hij de creditcard gegevens vervolgens ook heeft (geprobeerd) door te verkopen. Let wel op! Dit is wanneer hij zal worden berecht volgens het volwassenen strafrecht. Dit gebeurt veel minder vaak dan soms wordt gedacht door mensen. Deze mogelijkheid bestaat wel, artikel 77b WvSr. Maar in mijn ervaring wordt hier niet zo snel een beroep op gedaan.

Het lijkt mij dan ook waarschijnlijker dat hij op basis van het jeugdstrafrecht zal worden berecht. Dan is inderdaad, zoals Darkshadow16 al aangaf, de straf maximaal 2 jaar jeugddetentie of een of meerdere hoofdstraffen die zijn beschreven in artikel 77h WvSr. Namelijk: jeugddetentie (max. 24 maanden), taakstraf (maximaal 200 uur of wanneer meerdere taakstraffen worden opgelegd max 240 uur in totaal) of een geldboete (maximaal 3800 euro). Als er een geldboete wordt opgelegd dan is het niet zo dat de ouders hiervoor verantwoordelijk zijn. Uiteraard kan het zo zijn dat zij indirect (via de minderjarige) de boete betalen. Maar in principe is alleen de minderjarige hiervoor verantwoordelijk. Dat ouders de geldboete moeten betalen voor hun kind is dan ook een fabeltje.

Even een disclaimer. Sowieso is het altijd moeilijk een dergelijke straf te bepalen zonder de precieze omstandigheden van het geval en de dader te kennen. Maar ik denk dat ik zo een idee heb gegeven wat er mogelijk zou zijn.

[Reactie gewijzigd door martijnsk87 op 27 maart 2012 12:17]

Nergens las ik dat deze knul ook het beheren van de gestolen Creditcard gegevens heeft bekend.
Dat is m.i. een onbewezen aantijging.

Voor de KPN-hack hoort deze knul geen straf, maar een beloning te krijgen. Hij heeft de maatschappij en m.n. de KPN klanten een dienst bewezen door de nalatigheid van KPN aan het licht te brengen

[Reactie gewijzigd door denkster op 27 maart 2012 16:43]

Voor het hacken zelf kan hij al een jaar celstraf krijgen, volgens dit artikel, of een boete tot ¤ 19.500.

Voor die creditcard info denk ik dat de potentiele straf nog wel een stukje hoger kan zijn.

Hij is idd minderjarig, maar gezien de ernst van zijn misdrijven kan men er ook voor kiezen hem als volwassene te berechten, zeker omdat hij bijna volwassen is. Dat komt wel vaker voor.

Maargoed, zelfs al berechten ze hem als minderjarige, en hij krijgt een boete opgelegd, dan mogen zijn ouders die gaan betalen. Die zijn immers voor hem verantwoordelijk.

[Reactie gewijzigd door wildhagen op 27 maart 2012 11:51]

...
Maargoed, zelfs al berechten ze hem als minderjarige, en hij krijgt een boete opgelegd, dan mogen zijn ouders die gaan betalen. Die zijn immers voor hem verantwoordelijk.
Dat was nou juist pas in het nieuws, dat zijn ouders schijnbaar vanaf 16 niet meer, dat wilden ze weer in gaan voeren.
Er is dus als het goed is niets te verhalen op de ouders.

edit: http://www.rtl.nl/(/actue...akelijk_voor_kinderen.xml

[Reactie gewijzigd door mgeevers op 27 maart 2012 12:09]

Voor het hacken zelf kan hij al een jaar celstraf krijgen, volgens dit artikel, of een boete tot ¤ 19.500.
Volgens het OM gisteravond max. 2 jaar jeugddetentie.
Voor die creditcard info denk ik dat de potentiele straf nog wel een stukje hoger kan zijn.

Hij is idd minderjarig, maar gezien de ernst van zijn misdrijven kan men er ook voor kiezen hem als volwassene te berechten, zeker omdat hij bijna volwassen is. Dat komt wel vaker voor.
Maar niet in dit soort zaken. Enkel bij zware geweldmisdrijven die gericht zijn tegen het leven.
Maargoed, zelfs al berechten ze hem als minderjarige, en hij krijgt een boete opgelegd, dan mogen zijn ouders die gaan betalen. Die zijn immers voor hem verantwoordelijk.
Hij heeft ook buiten nederland gekraakt!
Maximaal 2 jaar jeugddetentie werd gisteren op het nieuws gezegd. Als hij meerderjarig was geweest dan was de straf maximaal 6 jaar gevangenis.
Ik vind dat de overheid ook een claim bij KPN moet leggen. Als een bedrijf van deze omvang zo slecht met persoonsgegevens omgaat.
Je haalt een paar zaken door elkaar:

1: Deze knul heeft bij zijn hack geen persoonsgegevens buit gemaakt.
2: Een of andere grappenmaker (vermoedelijk uit de VS) heeft uit een bestand met emailadressen (buitgemaakt bij een hack van een babywinkel) alle mailadressen van KPN-klanten gefilterd en deze online gezet, met de claim dat deze van hack #1 afkomstig waren.

Dus:
- De 17-jarige kan alleen aangeklaagd worden voor de hack op het KPN-netwerk, niet voor het stelen/publiceren van persoonsgegevens, want daar heeft hij geen toegang toe gehad. Daar komt nog wel het beheer van de website met CC-gegevens bij, maar dat staat los van KPN.
- Er zijn geen persoonsgegevens buitgemaakt bij KPN, wel bij een babywinkel. Omdat veel mensen overal hetzelfde wachtwoord gebruiken, was de kans erg groot dat met de gegevens van de babywinkel, mailaccounts van de betrokken klanten misbruikt konden worden. Omdat op dat moment de omvang van het probleem onduidelijk was, heeft KPN veiligheidshalve (en achteraf erg overdreven) de emailservers een paar dagen platgelegd om de risico's in kaart te brengen en de boel up-to-date te krijgen. Daarnaast is de mogelijkheid gebouwd om het voor klanten mogelijk te maken om via de website op een eenvoudige (maar veilige) manier het wachtwoord van het emailaccount te wijzigen.
- De 17-jarige heeft nu in elk geval Justitie (strafrechtelijk) achter zijn broek aan zitten en misschien ook KPN (civielrechtelijk).
- De grappenmaker uit de VS kan ook nog een hoop plezier beleven aan zijn actie (tenzij hij onbekend blijft). De FBI heeft deze zaak in onderzoek en de Amerikaanse justitie heeft weinig gevoel voor humor als het aankomt op digitale inbraak. Zelfs het publiceren van gegevens die je zelf niet hebt buitgemaakt is in de VS een halszaak.
Ik vind toch ook dat dit minstens onderzocht moet worden.

Wat die jongeman gedaan heeft is misdadig, maar het is kleine-jongens misdaad - modern equivalent van het ingooien van ramen, met waarschijnlijk wel wat verzwarende omstandigheden.

Wat zo'n bedrijf doet als het zijn beveiliging verwaarloost is grote-mensen laksheid, en toch heel wat erger. Klanten vertrouwen dat bedrijf met hun gegevens, en zijn verantwoordelijk voor een goede beveiliging ervan.

Welke verantwoordelijkheden exact waar liggen, zal een rechter moeten uitmaken. Maar als blijkt dat men bij KPN beveiliging niet serieus (genoeg) nam, mogen daar voor mij toch zwaardere straffen op staan dan wat de jonge hacker riskeert.
Wel wat jammer dat KPN eerst moet gehacked worden voor ze de beveiliging opvoeren. Zeker als het alleen maar voor de lol was van deze hacker. Kan iedereen die het wil daar binnen geraken. (Mits de juiste kennis natuurlijk :D)
In 2000 heb ik met KPN-hosting gewerkt. Het bleek toen al zo lek als een mandje. Er stond bijvoorbeeld geen wachtwoord op de sysadmin-account van SQL Server. Elke klant kon dus de hele databaseserver rondstruinen, herstarten, databases verwijderen etc.

Verder bleek het poepsimpel om met een klein script bestanden te kunnen lezen en schrijven (inclusief verwijderen). Ik heb dat indertijd aangegeven, een oplossing aangedragen, een dinerbon gekregen van een erg leuk bedrag maar een paar maand later was het lek nog steeds aanwezig.

Het heeft dus blijkbaar 12 jaar geduurd voor ze de rest van beveiliging inzagen ...
Over slechte beveiliging bij kpn gesproken:

In de tijd van I-mode kon men via de Hi website maximaal 10 smsjes sturen om vrienden en kennissen op de hoogte te stellen van I-mode, ze kregen dan een reclame smsje plus een stukje tekst dat de verzender erbij kon zetten.

Een collega van mij heeft toen met een loop in de html-code naar één nummer zoveel smsjes verstuurd dat de server die de smsjes verstuurde plat kwam te liggen. Hij is daarvoor ook ontslagen (ik werkte toen in een callcenter van kpn).

Edit: Typos en @S0epkip: Het was een soort uit de hand gelopen kwajongens streek, het was helemaal niet de bedoeling om de server plat te leggen. De bedoeling was om veel smsjes naar iemand te sturen, voor de grap.

[Reactie gewijzigd door MxD op 27 maart 2012 16:38]

I-mode... :Y) Op de Samsung E800... :Y)

Maar vrij lomp natuurlijk, om je "eigen" server plat te leggen i.p.v. alleen het proof-of-concept aan de desbetreffende afdeling door te sturen.
KPN zou nu eigenlijk alle schade moeten verhalen op deze jongen. Dat zal een flinke claim worden.
KPN zou nu eigenlijk alle schade moeten verhalen op deze jongen.
Nee, KPN zou nu eigenlijk alle schade moeten verhalen op de perso(o)n(en) die verantwoordelijk zijn voor het gebrekkige ICT beleid. Op degenen die nalatig zijn geweest in het melden van dit soort lekken binnen de organisatie voor zover deze bekend waren.

Cracken om schade toe te brengen of voor de lol valt niet goed te praten. Maar als je beveiliging een lachertje is dat iemand zomaar naar binnen kan en toegang krijgt tot honderden servers is toch echt, zeker voor een 'professioneel' IT bedrijf als KPN een schande en compleet hun eigen schuld. Zij, juist zij, zouden beter moeten weten. KPN levert diensten aan een verscheidenheid van partijen waaronder de overheid. Oftwel, onze overheid gebruikt onveilige diensten van KPN. Wij betalen dus voor de gatenkaas van KPN, dat is echt niet ok.

Het is goed dat ze gecracked zijn en dat de dader is gepakt. Hopelijk gaan ze nu de beveiliging naar een hoger plan tillen bij KPN.
Schade verhalen op de beheerders? Zo zal je mensen afschrikken en wil straks niemand dat werk nog doen.
Als iemand inbreekt in je huis door het slot op je deur te verwijderen, klaag je toch ook de fabrikant van je deur niet aan?
Als iemand inbreekt in je huis door het slot op je deur te verwijderen, klaag je toch ook de fabrikant van je deur niet aan?
Wel als het slot niet deugd. Als het slot is verkocht als zijnde een slot wat niet zomaar te verwijderen is, en als achteraf blijkt dat je dat zonder noemenswaardige moeite kan doen, dan wel.

Dat is hier nu dus ook het geval geweest bij KPN. Deze 17-jarige knaap heeft zonder al teveel moeite toegang tot honderden systemen en een core router kunnen krijgen. Dat kun je niet goed praten als KPN zijnde. Dan kun je wel die jongen aansprakelijk gaan stellen, maar daar los je het onderliggende probleem niet mee op.

IT managers komen wat mij betreft veel te makkelijk weg met laksheid. Als je een beroep uitoefent waarbij nalatigheid tot letsel of doden leidt, dan worden de verantwoordelijke personen voor de rechter gesleept als het mis gaat. Maar IT managers die door nalatigheid enorme schade 'veroorzaken' komen er mee weg. In het ergste geval verliezen ze hun baan of worden ze weg gepromoveerd.
wel als dat komt door een systeemfout in de deur en hierdoor makkelijk de verwijderen is....
Die zullen vast ook wel op hun donder krijgen.
Maar daar kan je de schade niet op verhalen aangezien het mensenwerk blijft en dat is niet altijd perfect.
waarom? omdat KPN in de eerdere jaren te laks is geweest om de beveiliging na te lopen en waar nodig aan te passen?
ik denk toch echt dat KPN de schuld bij haar zelf moet gaan zoeken.

dat zet alleen nog niet recht dat deze jongen het hele gebeuren van KPN gehackt heeft.
dan had hij zo mans moeten zijn geweest om niks op straat te gooien en aan moeten geven aan KPN dat er een gigantisch lek is.
waarom? omdat KPN in de eerdere jaren te laks is geweest om de beveiliging na te lopen en waar nodig aan te passen?
ik denk toch echt dat KPN de schuld bij haar zelf moet gaan zoeken.
Is dat een excuus om straffeloos rond te grasduinen in systemen waar je geen rechten toe hebt? Als jij je huisdeur niet op slot doet is het dan legaal de boel maar leeg te halen?
als ik de voordeur open laat dan zal de politie niks doen, als ik de sleutel in mijn fiets slot laat zitten waardoor die gestolen word dan zal de politie zeggen: eigen schuld dikke bult. zeggen ze dat ook tegen kpn nu?
de politie zal wel misschien iets doen wanneer ik mishandelt ben in mijn eigen huis met de voordeur open, of als ze me van de fiets slaan.

ik vind dit gewoon hartstikke krom, ik ben het met je eens van de eene kant, maar je vergelijking klopt niet. terwijl ze het 17 jarig jongetje wel aanpakken.
De politie doet echt wel aangifte als jou huis leeg geroofd is. Ook al was de deur open. Stelen is strafbaar. Dat iets makkelijk verkrijgbaar is maakt het niet minder fout. Met diezelfde logica kan ik dus ook de bloempotten bij je voor de deur wegjatten. Want ja die stonden daar maar ombeveiligd en dus mag het...

[Reactie gewijzigd door Mirved op 27 maart 2012 12:30]

De politie doet geen aangifte, je kunt altijd zelf aangifte doen bij de politie, in de meeste gevallen zelfs via internet.
Wat whitewidow bedoelt denk ik is dat de politie een aangifte van inbraak niet zal aannemen, omdat de voordeur open stond. Je kan hoogstens huisvredebreuk en diefstal opgeven. De verzekering keert geen geld uit in dit geval.

Echter bij KPN stond ook een virtuele deur open die zo te lezen eigenlijk dicht had moeten zitten.

Dus nu komt de vraag (en precedent als er een uitspraak komt): Is dit een hack(als in inbraak) of is dit slechts diefstal en eventueel computer-vredebreuk?
Ze hebben de voordeur niet open laten staan, maar de verouderde sloten niet vernieuwd. Er is nog steeds beveiliging omzeild en dus is het nog steeds inbreken. Dit is helemaal niet te vergelijken met openstaande deuren of sleutels op fietsslot laten zitten.
Helemaal mee eens, het lijkt me dat hij voor het inbreken an sich een 'symbolische' straf moet krijgen in de vorm van X uurtjes schoffelen, maar als hij werkelijk iets heeft gedaan met de verkregen gegevens/data dan mogen ze wat mij betreft volgens het normale recht wel een mooie straf gaan bepalen.
Nee maar als er een aannemelijk gezegd kan worden dat jou sloten vervangen hadden moeten worden (functioneren niet meer naar behoren) dan zal een verzekeraar als snel aangeven dat het eigen schuld is.
Nee hoor. Als jouw deur open staat is iemand die jouw huis leeghaalt gewoon strafbaar. Jij hebt hoogstens een probleem om het van de verzekering vergoed te krijgen, maar dat zijn twee separate zaken.
Maar is het dan wel terecht daar KPN de beveiliging weg te bezuinigen? Het is niet dat we in een wereld leven zonder hackers...KPN weet dat ook. Dus moet KPn niet gaan huilen. Dit is puur omdat ze te gierig waren om geld te investeren in beveiliging.
Net als de overheid in het algemeen --> geen microsoft patches installeren omze een dikke vette firewall hebben --> EPIC FAIL
waarom? omdat KPN in de eerdere jaren te laks is geweest om de beveiliging na te lopen en waar nodig aan te passen?
ik denk toch echt dat KPN de schuld bij haar zelf moet gaan zoeken.
Nee, omdat hij kwaadwillig geweest is. Hij heeft KPN niet gewaarschuwd over het lek.En hij heeft de gegevens op straat gegooid.Voor zulke akties kun je geen begrip tonen. Keihard straffen helpt op deze leeftijd(hopelijk)
Maar dan stap je wel geheel over het feit heen dat KPN aantoonbaar heel veel steken heeft laten vallen en spreekwoordelijk de deur niet eens op slot had, maar zelfs wagenwijd open had staan. Om het maar even te projecteren op een ordinaire diefstal uit een woning... als jouw voordeur onbewaakt heeft opengestaan en je huis wordt leeggehaald dan heeft de verzekering ook veel moeite met uitkeren, oftewel die zeggen zoek het maar uit want eigen schuld dikke bult. Dat betekent uiteraard niet dat als de dader gepakt wordt dat deze vrijuit moet gaan, maar compleet opdraaien voor de schade is veel te ver gezocht... je zou zelfs kunnen zeggen: gelegenheid maakt de dief... en ja, dat is een argument wat je in de rechtbank kan gebruiken... een van de belangrijkste redenen waarom 'uitlokking' in Nederland verboden is.

[Reactie gewijzigd door MicGlou op 27 maart 2012 12:15]

Dat een verzekering moeite heeft met uitkeren zegt niet zo veel of het nou je eigen schuld is of niet dat er mensen in je huis zijn geweest en spullen hebben gestolen. Verzekeraars keren altijd het liefst zo min mogelijk geld uit, ook al sta je volledig in je recht, zullen ze er nog zo veel mogelijk aan doen om het uitgekeerde bedrag zo laag mogelijk te krijgen.

Overigens vind ik dit helemaal geen gelegenheid maakt de dief, als je langs een huis loopt en je ziet dat de deur open is kan het een gelegenheid zijn. Maar normaal gesproken tijdens het surfen merk je eigenlijk niets van de achterliggende beveiliging etc. van een website. Dan moet je dus al actief op zoek zijn naar een beveiligingslek.
Omdat de beveiliging van KPN niet op orde was geeft nog niemand het recht erop in te breken. Niet dat dit de laksheid van KPN vrijpleit maar evenmin pleit dit een hacker vrij.

Het is geen moord maar het hoort ook niet beloond te worden.
Laat staan geprezen ...
Een 17 jarige heeft nog helemaal geen bezittingen. Dan krijgt deze een enorme claim, gaat failliet en KPN heeft er niks aan.
Als hij al geld heeft verdiend met die creditcards dan is hij dat kwijt als wederrechtelijk verkregen voordeel aan de staat en niet aan KPN.
Een 17 jarige heeft nog helemaal geen bezittingen. Dan krijgt deze een enorme claim, gaat failliet en KPN heeft er niks aan.
Als hij al geld heeft verdiend met die creditcards dan is hij dat kwijt als wederrechtelijk verkregen voordeel aan de staat en niet aan KPN.
In elk geval zijn je ouders financieel aansprakelijk voor je tot 23 jaar. De ouders zullen dus de kosten moeten betalen als KPN een schadevergoeding gaat eisen.
De ouders zijn niet meer aansprakelijk vanaf 16 jaar. Hij kan dus gewoon opdraaien voor de gevolgen. 23 jaar is onzin. Miss ben je in de war met de levensonderhoud vrrplichting en zelfs die loopt maar tot 21 jaar.

Wel is het vaak zo dat de aansprakelijkheidsverzekering van de ouders ook voor deze 17 jarige jongen includeert en kan kpn dus de schade bij de verzekering verhalen.
uuh, voor de staat wederrechtelijk verkregen voordeel inpikt worden eventuele verplichtingen er wel uit voldaan - zou toch wat zijn als dat niet zo was :+
Ze wachten gewoon totdat ze gehackt worden omdat ze zelf geen geld willen investeren om de oude software te upgraden. Daarna lekker de beveiliging verhogen software updaten en alles verhalen op de hacker...? |:(
De nederlandse wet staat eerder toe dat de schade die deze jongen veroorzaakt heeft verhaald wordt.
Een inbreker hoeft ook alleen voor de schade (+boete/gevangenis) te betalen en niet voor het installeren van een nieuw alarmsysteem met meer toeters en bellen dan hetgeen hij (wellicht) kapot gemaakt heeft.
Eigenlijk vind ik het geen slecht idee als er een fonds ofzo komt dat geld voor alarm installaties, autoalarmen en inbraak preventie komt. En iedere inbreker die je oppakt hier aan laten betalen.

Het is toch eigenlijk van de gekke dat je een fortuin moet investeren in beveiliging alleen omdat sommige mensen zo nodig aan iemand zijn spullen moet zitten.

Ja KPN moet zijn zaken op orde hebben, vooral als je weet dat de zooi zo lek is als een zeef maar laat veroordeelde eens een keer betalen aan de kosten die de maatschappij heeft om te voorkomen dat ze toeslaan.
Nee, de KPN zou zich diep moeten schamen dat een 17-jarige in zijn eentje de beveiliging kan omzeilen en zelfs een core-router weet te beheersen. Als een 17-jarige dat kan, dan kunnen terroristen dat ook. Kortom, de overheid zou een enorme claim bij de KPN neer moeten leggen vanwege nalatigheid want wij vertrouwen met zijn allen dat de KPN haar zaakjes op orde heeft.

De 17-jarige knul heeft ook niet slim gehandeld maarreh, hij is 17. Niet iedereen van die leeftijd begrijpt de hacker-ethiek. En als je een website beheert met gestolen creditcards dan kun je op je klompen aanvoelen dat je iets doet dat niet mag, zelfs als je 17 bent. Daarvoor mag hij worden gestraft waarbij aangetekend mag worden dat hij mogelijk met minder sympathieke bedoelingen de KPN heeft gehacked.
Fout, KPN moet worden aangeklaagd wegens ernstige nalatigheid. ICT security"specialisten" per direct op straat kieperen gevolgd door de complete directie.

KPN heeft verzuimd om de beveiliging van een triviaal netwerk voor de Nederlandse Economie goed te beveiligen. Dat een 17 jarige zover in het systeem kan binnendringen is domweg dieptriest te noemen. Wat als het een buitenlandse mogendheid met nog minder goede intenties was. Wie weet is dit al gebeurd en niet ontdekt?
Blijkbaar zijn de interne procedures niet goed, zitten de verkeerde mensen achter de securityknoppen. Je moet als securityofficer wel sterk in de schoenen staan anders moet je maar wat anders gaan doen. Hoe kan het dat wanneer er op een laag niveau de zaken niet in orde zijn dat er zo diep in het systeem wordt binnengedrongen? Het is immers een gegeven dat je er vanuit moet gaan dat op een laag niveau ALTIJD de zaken niet goed in orde zijn. Ontwerp je de security met dit in je achterhoofd dan was de 17 jarige niet zover binnen kunnen dringen.

De 17 jarige wordt nu als zondebok gebruikt terwijl KPN de wind van voren moet krijgen..

[Reactie gewijzigd door Floor op 27 maart 2012 12:48]

Hoewel ik het met je eens ben dat dit ook voor KPN consequenties zou moeten hebben, neemt dat nog steeds niet weg dat die jongen strafbare feiten heeft gepleegd.

Voor die feiten moet hij gewoon verantwoording afleggen in de rechtbank en indien schuldig bevonden flink bestraft worden. Nalatigheid van 1 partij is nog steeds geen vrijbrief voor een andere partij om er misbruik van te maken.
En als jij je deur vergeet op slot te doen en je huis wordt leeg geroofd.
Vervolgens pakken ze de inbreker en jij vind dat jij dan voor de schade moet opdraaien en de inbreker beloond moet worden omdat je bent vergeten bent de deur op slot te doen?

Jij vind het terecht de gegevens zomaar geopenbaard worden terwijl klanten hiervan de dupe worden? Het lijkt me toch dat algemeen bekend is je dat niet kan maken.

Ik zeg niet dat zijn leven verpest moet worden door absurde straffen.
Maar je kan het niet zomaar laten gaan.
Praat geen onzin, die vergelijking gaat niet op. Lees eerst maar eens wat ik geschreven heb en denk er dan nog eens over na. Tip:
- ik heb het nergens over belonen.
- we hebben het hier over een telecomreus met een enorme maatschappelijke verantwoording die zijn beveiliging niet in orde heeft. Waar bovendien je toch vanuit mag dat er een redelijke staf aanwezig is om de beveiliging in orde te hebben.

Als je dan toch een vergelijking wil maken: een bank met een verborgen openstaande raam in een kluis Je hoeft geen hardcore inbreker te zijn om de kluis te kraken. Leuk hoor als je daarin je waardevolle spullen hebt liggen. En op wie ben jij dan boos als blijkt dat die kluis geroofd is? De inbreker van 17 of de bank? Het netwerk van KPN is voor Nederland net zo waardevol en van levensbelang voor de economie alhier.

[Reactie gewijzigd door Floor op 27 maart 2012 16:45]

Dan vraag ik mezelf toch af of je niet betere dingen te doen hebt als je 17 jaar bent. Niet te geloven dat hij dat allemaal voor elkaar heeft gekregen.

Op verschillende websites staat ook dat hij in heeft gebroken op computers van de Tokohu Universiteit in Japan, de universiteit van Trondheim in Noorwegen en de KAIST in Korea. Deze jongen zou een baan moeten krijgen bij een beveiligingsbedrijf zodat hij heel de dag legaal mag hacken om een lek op te sporen.
Als deze jongen het bij enkel hacken had gelaten: Zeker leuke kandidaat om in je bedrijf te hebben. Maar dit figuur koos ervoor om buitgemaakte data te verkopen, crimineel dus. En daardoor zal je deze jongen nooit kunnen vertrouwen zonder supervisie.
En wat heeft hem weerhouden om te solliceteren op zo een job? Ja, hij is minderjarig, maar er zijn voldoende studenten die tijdens het weekend en vakanties werken.

Ik weet niet hoe het zit in Nederland, maar in België is studentenwerk allemaal geregeld op vlak van duur en loon. Dan had hij er nog iets aan over gehouden ook, ipv voor de rechter te moeten verschijnen.

En het bedrijf dat hem aan nam heeft dan ook nog eens een goedkope werkkracht in dienst.
Breivik zou een baan bij een anti-terreur eenheid moeten krijg. Hij weet precies hoe terroristen denken! Dan kan hij de hele dag terroristen opsporen!
Goed idee. We hebben het huidige strafrecht helemaal niet nodig. We moeten mensen die overtredingen begaan gewoon verplicht in dienst laten treden bij de gedupperde. Winkeldieven bij het MKB, mensen die 50+ km te hard rijden bij de politie, hackers bij beveiligingsbedrijven. Klinkt als een prima plan.

Even serieus: deze jongen zegt dat hij het gedaan heeft uit verveling. Dat kan, maar waar je het dan bij houdt is rondkijken, niet misbruik maken van de situatie. Heb je een lek gevonden waardoor je bij CC gegevens kan? Meld dit dan in ieder geval. Als je het door gaat verkopen dan ben je direct een aardig eindje verwijderd van de lijn die moreel en immoreel van elkaar schijdt.
Hiermee ga je meteen wel van het ene naar het andere uiterste. Breivik heeft een massamoord gepleegd. Deze jongen mag dan wel veel materiële schade hebben gemaakt, maar kom op, hij is 17 en ik vind dat hij een lange taakstraf moet krijgen voor de dingen die hij heeft geflikt. Maar een strafblad vind ik al te ver gaan, ja als hij het nog een keer doet. Misschien heeft hij geen idee wat hij heeft aangericht en waar hij toe in staat is. Ik zou die jongen gewoon hulp laten krijgen, en er voor zorgen dat hij op het rechte pad komt. Als dat goed komt, dan zullen er zeker bedrijven bij hem aankloppen :)
ja maar die is niet echt 100% in zijn hoofd. deze jongen daarin tegen wel
ja maar die is niet echt 100% in zijn hoofd. deze jongen daarin tegen wel
Dus jij vind het hacken van servers en het beheren van een site die gestolen CC verkoopt normaal gedrag voor een 17-jarige? Ik denk dat er op zijn minst sprake is van een laag inlevingsvermogen en (voor een late puber normaal) gebrek aan risico inschattingsvermogen. Hij kan wel hoog inteligent zijn maar daarmee is hij nog niet 'normaal'. We weten weinig of deze tiener, maar wat we weten doet nu niet meteen het beeld van een 100% normale jongen zien.
KPN werkt met verouderde software dat dit een keer onvermijdelijk was.
Het is als met oude brandweerwagens werken en de brandstichter aansprakelijk stellen omdat de vuurhaard zich zo makkelijk heeft kunnen verspreiden.

Is hij werkelijk zo goed of kan een modale hacker dit? Natuurlijk valt het niet goed te praten. Het is te hopen dat deze jongen uiteindelijk op het rechte pad blijft.
In een ander artikel (ik geloof op nu.nl) stond dat'ie waarschijnlijk vooral goed was met tooltjes. Ik denk dat dat klopt. Een exploit gebruiken om binnen te komen (1 verouderde server met een direkte koppeling aan internet is genoeg) en eenmaal binnen is het feest en kun je de tooltjes loslaten.
Lijkt me niet dat iedereen zo maar naar binnen wandelt, daarvoor zal het nog wat te complex zijn, maar ik denk dat elke modale hacker die een beetje van de hoed en de rand weet dit ook was gelukt.
Het is als met oude brandweerwagens werken en de brandstichter aansprakelijk stellen omdat de vuurhaard zich zo makkelijk heeft kunnen verspreiden.
En dat zal dan ook zeker gebeuren, brandstichting is immers niet toegestaan. Dat doet niets af aan de kwaliteit van de brandweerauto's. Of betekend dit dat we, nu veel brandweerkorpsen kampen met onderbezetting, vrij fikkies mogen stoken?
Weet je wat lullig is.

Dat hij nu op gaat draaien voor totale incompetentie en nalatigheid bij KPN.

Terwijl naast hem tientallen andere ook op die servers hebben gezeten, maar dat zal verder niet meer onderzocht worden.

Advies een dit soort mensen leer eerst wat skills voordat je op een OS gaat rommelen en bellen gaat doen rinkelen.
Hij had niet hoeven inbreken. Dat is toch echt zijn eigen keus geweest.
Als er ook anderen op die server hebben gezeten (en ze zijn traceerbaar) dan komen ook zij wel een keer aan bod.

Wat bij mij de vraag oproept: hoe zijn ze bij deze 17-jarige uitgekomen? Is hij zo dom geweest om vanaf zijn eigen IP-adres te hacken of dacht hij veilig via een andere route (TOR?) zijn gang te kunnen gaan?
Uit verveling... Hacken. Als ie nog iets slimmer was geweest. Had hij KPN gewezen op dit veiligheidslek. En wellicht kunnen adviseren omtrent deze beveiliging.
Dat had beter op zijn CV gestaan!
Deze knaap is 17 denk niet dat hij zo druk is met z'n CV
Tsja, da's dan niet slim van hem, want mocht hij idd worden veroordeeld kan hij nu een heleboel ICT-banen in de toekomst wel vergeten. En hij heeft voor vele jaren een strafblad.

En dat lijkt me begrijpelijk en ook wel terecht, gezien de omvang van de schade die hij aangericht heeft.
Hij is misschien niet druk met zijn CV. Maar met een beetje verstand kan hij in deze business meer verdienen dan in de supermarkt met vakken vullen.
Zou me niets verbazen als hij alsnog een aanbod krijgt van kpn
Als ik KPN was zou ik die knul inderdaad in dienst nemen. Dat klinkt een stuk sympathieker dan het pad wat nu wordt bewandeld. Dan kan deze scriptkid leren van wat hij heeft gedaan, in ieder geval is aangetoond dat hij voldoende technisch inzicht heeft. Dat kun je van het management van KPN niet zeggen. Tuurlijk, toen de boel plat ging werden er 100 consultants per dag ingezet. KPN (en trouwens justitie ook) is helemaal vol van de geleden miljoenenschade. Lekker makkelijk he. Jarenlang lekker bezuinigen op onderhoud aan systemen, en dan de schuld afschuiven op de eerste de beste minderjarige scriptkid. De miljoenenschade is geen schade maar niets anders dan kosten van achterstallig onderhoud. KPN: u moet u schamen.
Je noemt het nou wel 'de eerste de beste scriptkid', maar sinds wanneer hebben die websites in beheer met gestolen creditcardgegevens? Die hij naar het schijnt ook nog probeerde door te verkopen. Dan heb je gewoon met een minderjarige crimineel te maken.

Neemt niet weg dat de beveiliging bij KPN natuurlijk veel te slecht is.
Ik vind dat je iemand van 17 perspectief moet bieden. In een gevangenis donderen schiet geen hol op. Kost de samenleving meer geld. Als hij nog geen strafblad had afdoen met 'foei nooit meer doen'. En lekker bij KPN op het hoofdkantoor uitnodigen om eens te praten over een mooie toekomst.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True