Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 86 reacties, 21.705 views •

De politie heeft dinsdagavond de vermoedelijke hacker van virtuele provider Simpel in zijn huis in Ede aangehouden. Het gaat om een 43-jarige man. Bij de aanhouding zijn drie computers en verscheidene opslagmedia in beslag genomen.

Dinsdagavond is in zijn woonplaats Ede een 43-jarige man aangehouden die wordt verdacht van de hack van de database van virtuele provider Simpel, die afgelopen weekend plaatsvond. De man kwam al snel na het begin van het onderzoek in beeld, volgens de politie, zodat de aanhouding door het Team High Tech Crime van de Nationale Recherche binnen enkele dagen kon plaatsvinden.

Bij de aanhouding zijn ook drie computers, usb-sticks, geheugenkaarten en een externe harde schijf in beslag genomen. De Edenaar is in verzekering gesteld en wordt verhoord door rechercheurs van het Team High Tech Crime.

Zaterdag werd bekend dat hackers klantgegevens van virtuele provider Simpel hadden bemachtigd, maar in de dagen erna bleek dat de hack groter was. Digitale inbrekers wisten 158 databases van onder andere de virtuele providers Simpel, Youfone en Lebara, maar ook die van artiesten als Rene Froger te benaderen, na binnengekomen te zijn via een lek op de site van Frans Bauer. Het lek was het gevolg van een 'menselijke fout' bij hostingbedrijf Aspider.

Reacties (86)

Reactiefilter:-186082+157+26+30
Moderatie-faq Wijzig weergave
Als je ergens een lek in de beveiliging vindt kun je dat toch gewoon melden bij het desbetreffende bedrijf? Ik snap niet waarom hij het bij Vodafone is gaan melden.
En zijn redenering "Ik had geen zin in de slappe reactie van Simpel" is natuurlijk niet echt rechtsgeldig. Net zo min als boodschappen doen en weglopen "want ik had geen zin om te betalen".

Props voor het vinden van het lek. Maar jammer dat je dan blijkbaar hele tables moet gaan droppen en het moet gaan melden bij de concurrent...

Een aantal Tweakers springt hier nu in de verdediging omdat het ook een nerd is, maar niet elke nerd heeft blijkbaar gezond verstand.
Als je lekken meldt dan gaan ze ten eerste erg vervelend doen en ten tweede gebeurt er niks aan omdat "Toch niemand het weet". Laatst weer een verhaal gehoord over Magister (Administratie systeem voor Magister) dat zo lek als een mandje was. Dat was netjes gemeld en daar werd niks mee gedaan, omdat toch niemand er misbruik van maakte.
Ik heb docenten gehad die meldingen deden van (serieuze) bugs in het systeem. Daar deden ze bij dat bedrijf verder niks mee. Toen ze het op mijn oude school uitrolden was het eerste (en meest gehoorde) klacht over magister dat het ziek- en betermelden zo onlogisch in elkaar zat. Met al die meldingen is toen nooit iets gedaan, waarschijnlijk hebben ze het wel opgelost in een nieuwe, duurdere versie..

Dus dat ze niets doen met security meldingen verbaast me niets.
Hij kwam er in via Frans Bauer (of een van die), dus had het eigenlijk daar moeten melden.
Maar of er dan iets mee gedaan was had ik ook in twijfel getrokken, dus zoek je de hoster op. En die licht je in, want die hebben (nieuws: Hostingbedrijf: hack bij Simpel was mogelijk door fout bij migratie de fout gemaakt.
En dan is het maar afwachten of het hosting bedrijf zijn klanten inlicht. Maar het achter de hand houden van screenshots die aantonen waar je allemaal bij had kunnen komen lost dat eventueel op.
Al eens een veiligheidslek gemeld bij een bedrijf? Want dan weet je perfect wat hij bedoelt met slappe reacties.
Ja hoor, doorgaans dankbare en adequate reacties.
Waarschijnlijk als hij het bij T-mobile had gemeld, hadden ze alsnog aangifte gedaan.
Denk niet dat dit iets aan de zaak zal veranderen.
wat is dat voor domme reactie. dan nog ga je de hack gegevens niet aan de concurrent geven. tenzij je minder nette bedoelingen heb.
Dan meld je het bij een krant of een consumenten organisatie of een politieke partij (niet CDA of VVD natuurlijk).
Grappig dat veel figuren hier de actie van de hacker vergoeilijken ,je hebt gewoon met je poten van andermans eigendom af te blijven ,inbreken is strafbaar.Ook de zogenaamde drogreden ,dat t gebeurt om een lek aan te tonen vind ik nogal dubieus,als jij het niet aantoont weet verder ook niemand `t en is t dus niet nodig t`aan te tonen, ik denk eerder dat het er om gaat om te laten zien hoe goed je wel niet bent , dat je dit kan. Dit komt trouwens wel overeen met de totale normvervaging in de samenleving ,dus dat geldt ook voor het internet.
ls jij het niet aantoont weet verder ook niemand `t en is t dus niet nodig t`aan te tonen
onzinredenering. Als hij erachter kan komen, betekend het dat anderen er ook achter kunnen komen, dus moet er iets aan gedaan worden lijkt me. Een security breach, is een breach, of mensen ervan weten of niet, dat maakt het geen mindere breach.
"hoe goed je wel niet bent " laat me niet lachen.. als het zo was had die wel via tor of vpn gewerkt.. sorry hoor, ik noem dit gepruts op eerste class
Belachelijk... Hij heeft er toch niets mee gedaan behalve laten zien dat er een lek zit? Ze moeten hem bedanken... Asociaal.
Hij schijnt ook informatie/databases gedownload te hebben.
De hacker, die zijn hack openbaarde via de webcare van Vodafone, heeft mogelijk de databases gedownload van Lebara en Youfone, en van de site van onder anderen René Froger.
Kijk, of aantonen dat er een lek is goed of kwaad is daar valt over te discussiëren, maar misbruik maken van het lek is iets compleet anders en duidelijk over de grens.

En dat is gelijk het probleem met zogenaamde 'white hat hackers', je weet nooit of dat het eigenlijke motief was. Elke hacker kan achteraf zeggen dat ze alleen maar 'iets wilde aantonen', etc.

[Reactie gewijzigd door anandus op 11 juli 2012 16:46]

Downloaden van databases is geen misbruik per se. Wat je ermee doet is een tweede namelijk... en of je het opgeslagen houdt of niet.

Dat hij het opgeslagen hield als bewijs voor als Simpel zou blijven ontkennen lijkt mij bijvoorbeeld logisch.

Sowieso onschuldig tot anderszins bewezen. Maar je hebt gelijk: white hat is al gauw een grijs gebied.
Het binnen dringen van database is wel degelijk strafbaar, je mag geen systeem binnen gaan waar je geen toestemming voor heb, al is het geheel open netwerk zonder beveiliging of wat dan ook! Je heb het recht niet om daar binnen te gaan en dan pleeg je computervredebreuk op zijn minst, elk systeem die je binnen gaat waar je niet behoor te zijn val daar in principe onder.

Edit/
Linkje naar de uitleg van de wet.
http://www.iusmentis.com/...iteit/computervredebreuk/

Ook open netwerken of computers vallen onder deze wet, je heb daar niks te zoeken. Zie het als verboden toegang voor onbevoegde, verboden terrein, kom je daar wel op heb je kans dat je 1 jaar celstraf riskeert of/en boete.

Edit/2
Had het mis, boven deze man hangt maximaal 4 jaar cel boven het hoofd, hij heeft computervredebreuk gepleegd met gegevensdiefstal.

"Computervredebreuk met gegevensdiefstal

Wie na het opzettelijk en wederrechtelijk binnendringen ook nog eens gegevens kopieert, kan een straf van maximaal vier jaar cel (of boete van 16.750 euro) verwachten (art. 138ab lid 2). Dit misdrijf wordt wel diefstal van gegevens genoemd, al is die term niet helemaal juist. Gegevens in een computerbestand kunnen niet worden weggenomen, en zonder wegnemen kan er geen sprake van diefstal zijn. Wat meestal gebeurt is dat de inbreker de gegevens kopieert naar zijn eigen systeem, en ze zo zelf kan gebruiken of aan derden kan doorgeven. De oorspronkelijke eigenaar heeft ze dan nog steeds. Het enige dat hij kwijt is, is de exclusieve toegang tot de gegevens."

[Reactie gewijzigd door mad_max234 op 11 juli 2012 17:24]

Hacken is eigenlijk altijd een misdrijf... Zelfs iemand met echt de beste intenties moet zich nog verdomd goed verborgen houden, anders heb je kans om gepakt te worden omdat het bedrijf niet kan hebben dat ze negatieve publiciteit krijgen.
En dat, is naar mijn mening, belachelijk. Dat klokkenluider gedoe waar de politiek het een tijdje geleden over had lijkt mij dus zo'n slecht idee nog niet...

Grappig dat ik gedownmod wordt omdat ik mijn mening geef trouwens :)
Niets wijst er op dat de beste man slechte intenties had, maar dat oordeel hebben veel mensen al klaar blijkbaar; zonder ook nog maar een greintje bewijs is hij al schuldig bevonden door vele Tweakers zonder dat er ook maar een zaak is geweest...
Blijkbaar is het een -1 waard om uit te gaan van het goede in de mens ;)

[Reactie gewijzigd door WhatsappHack op 11 juli 2012 17:20]

Daarnaast heb je volledig gelijk.

Vaak gebeurd het niet op de netste manier, maar een bedrijf als Simpel.nl zou hiervoor onder de loep moeten worden genomen en een dikke boete krijgen als blijkt dat ze nalatig (zeer waarschijnlijk) zijn geweest.

Maar precies het tegenover gestelde gebeurd.
Inderdaad zeer waarschijnlijk als je ook dit van Nu.nl er bij leest:

Bij de inbraak blijken ook zogenaamde verkeersgegevens (wie met wie belt) toegankelijk te zijn geweest. Opvallend daarbij is dat het belgegevens van voor 2011 te zijn. Die informatie had vernietigd moeten zijn.


edit, wat meer ontopic, de manier waarop gehacked, dat er gegevens gekopieerd zijn en de manier van bekend maken zijn inho op zijn minst dubieus.
Onderzoek daarnaar is dus ook terecht, hij is immers nog niet veroordeeld dat gebeurt alleen als hij ook echt wat gedaan heeft wat niet mag... dus lijkt me een goede zaak voor alle betrokkenen.

Onderzoek naar de manier van werken bij Simpel.nl zou blijkbaar ook geen kwaad kunnen :)

[Reactie gewijzigd door Nounours op 11 juli 2012 20:58]

Ja, dat is precies waar ik ook heel veel moeite mee heb!

Zo'n bedrijf komt ermee weg en zeggen vrolijk 'menselijke fout' en daarmee is het afgedaan. Ik kan daar zo slecht tegen en het gebeurd telkens weer opnieuw.
Ze verdienen op zijn minst al negatieve publiciteit en moeten gewoon leren van hun fouten. :Y)

Wat betreft zo'n hacker, ik zou er persoonlijk pas problemen mee hebben als hij er daadwerkelijk misbruik van wilt maken of hiermee gaat dreigen. Op dat moment ben je fout bezig en verdien je keihard opgepakt en gestraft te worden. Zodra een hacker het direct kenbaar maakt zal er misschien bewijsmateriaal nodig zijn ter overtuiging en dit kan moeilijk zonder deze gegevens te downloaden.
Ik denk ook dat het mogelijk beter was geweest voor deze hacker om vrijwillig deze gegevens af te staan nadat het officieel door het bedrijf in kwestie is aangenomen en kenbaar is gemaakt. Dan kan het in ieder geval niet in een doofpot worden weggemoffeld en toont zo'n hacker aan geen verkeerde intenties te hebben.

Wat ook echt triest is dat als het een bedrijf betreft er binnen no-time iemand kan worden opgepakt, terwijl als je als particulier belazerd word door een persoon of zelfs bedrijf op internet, je daarmee gewoon je centen kwijt bent. Probeer maar eens aangifte te doen bij oplichting, ze willen er eigenlijk niet de moeite voor nemen want 'de kans dat het wat oplevert is minimaal'. 8)7
Het is misschien niet helemaal hetzelfde, maar het gaat om het principe...
Het probleem is dat je als bedrijf niet weet wie je voor je hebt. Als er 's nachts iemand aan jouw deur zit te morrelen, zogenaamd om te zien of je huis wel goed beveiligd is en hij komt met zo'n smoes van "ja, ik check even of u uw deur wel op slot hebt"... Wat doe jij dan? Je mag zelfs een huis waarvan de voordeur openstaat niet zomaar binnengaan. Hoezo zou dat digitaal anders zijn?

Ik vind wel dat er onderscheid moet zijn tussen het aantonen dat iets lek is en het aantonen en tegelijk iets kopiëren. Dat eerste zou als een goede daad gezien kunnen worden, dat tweede is dubieus. Dat hij het als bewijs wilde gebruiken als ze zouden ontkennen dat er een lek was, is niet te bewijzen nu hij het lek openbaar heeft gemaakt via Vodafone.
Helaas moet je dat tweede doen omdat er vaak anders laks mee wordt om gegaan.
Downloaden van databases is geen misbruik per se. Wat je ermee doet is een tweede namelijk... en of je het opgeslagen houdt of niet.
Als je geen toestemming hebt is het strafbaar en dat was hier het geval. Dit soort foutive informatie zou echt niet meer op tweakers staan. Er zijn veel te veel jonge mensen die voor jaren problemen krijgen omdat dit soort onzin lezen.

Deze man heeft gewoon serieuze problemen. De straffen zijn niet mis en er is een signaal af te geven. En als hij klaar is met het strafrecht komt er vast nog wel een civiele zaak. Elk persbericht dat is uitgegeven door Simpel kan hij dan gaan betalen. Duizenden euro's.
Vind je? Er breekt iemand in je huis, kijkt rond, checkt dingen en gaat weg. Week later heb je een brief, een zeker persoon is in je huis geweest en vervolgens staat erin de brief dat je geen rookmelders, blusapparatuur etc. hebt.

Dat lijkt mij zo fijn gevoel dat iemand in mijn huis is geweest en vervolgens nog even zegt wat er niet goed mis is... :+
Je breekt in bij een bedrijf, neemt foto's en probeert vervolgens de foto's te verkopen aan de concurrent. Is dit niet gewoon bedrijfsspionage?
Er is nergens sprake geweest dat hij de gegevens wou verkopen of gebruiken. Hij heeft de hack via een concurrent gemeld, omdat er dan misschien iets aan gedaan zou worden, en hij geen zin had in het hele gezeik errond als hij rechtstreeks zou gaan. Volledig te begrijpen.
Jammer voor hem dat het zo is uitgedraait.
Jammer voor hem dat het zo is uitgedraait.
Wanneer een 43 jarige, dus zeker niet een 14 jarig scriptkiddy, niet het benul heeft dat hij met dit soort "aantonen" over de schreef gaat volgens velen, en dus het risico loopt vervolgt te worden, noem ik dat niet "jammer voor hem" maar gewoon dom, of héél misschien een heldendaad.

Alle goede intenties van hackers, en het begrip van vele tweakers ten spijt: in de échte wereld zit men gewoon niet te wachten op dit soort acties. Daar kun je als 'kenner' lang of kort over ouwehoeren, het verandert echter niets aan het feit dat het gewoonweg niet geaccepteerd wordt. De netiquette is niet van toepassing op het rechtsysteem.

Neem je de risico's dan toch? Dan ben je of a) een held (omdat je achter deze principes blijft staan, ondanks dat je ervoor beboet wordt) b) een crimineel (dom) of c) gewoon (weer) dom.
ik denk dat de netetiquette bij witte hoedjes ook is dat je het bedrijf waarbij het speelt eerste de kans geeft het te repareren voor je het bericht vrij geeft publiekelijk dat er iets niet in orde is. En je geeft de informatie wat je gedana hebt, het bewijs enz. natuurlijk aan het bedrijf in kwestie en niet aan een concurrent.
Als je je hoedje wit wilt houden dan doe je dit soort dingen simpelweg niet. Je kunt wel prima lokaal aan de slag met software (oa open source), of in opdracht van het betreffende bedrijf een pentest doen.
Vrij nutteloos altijd, die vergelijkingen met echte de 'tastbare wereld'. Maar ok, wat jij beschrijft is hoogstwaarschijnlijk huisvredebreuk (als de eigenaar van dat huis het niet wilde)
Waarom is dat nutteloos? Sommige dingen mogen gewoon niet, waarom vinden we het overtreden van een regel in de digitale regel ineens minder erg?

Als iemand een hek om een weiland heeft staan weet je ook dat je verkeerd zit als je daar overheen klimt en door dat weiland heen gaat, waarom is dat anders als iemand dat in de digitale wereld doet? In dit geval heeft die man ook nog flink rond zitten snuffelen en foto's van vanalles gemaakt (data gekopieerd).

Het fundamentele issue hier op tweakers is naar mijn mening dat velen vinden dat een hacker die alleen wat aantoont niks te verwijten valt vanwege één of andere morele overtuiging dat dat een goede daad is ofzo. Dat mag je vinden, maar er zijn gewoon wetten die dit beschrijven en die worden duidelijk overtreden in dit soort gevallen. Los daarvan vind ik het wat naïef om verklaringen van dit soort hackers zomaar te geloven.

Iemand die ergens inbreekt, data inziet en vervolgens melding van de slechte beveiliging maakt aan de concurrent van het bedrijf waar hij ingebroken heeft is gewoon duidelijk op meerdere vlakken fout bezig. Of hij nou wel of niet kwaad in de zin had maakt voor de wetsovertreding niet uit. Stupiditeit is geen geldige reden om de wet te overtreden, wellicht wel een reden voor een mindere straf, maar daar mag een rechter over oordelen.
Kom op; hij heeft gemeld bij Vodafone dat hij de hele DB van een concurent heeft... rara, wat zouden daar voor motivatie achter zitten? Daarnaast heeft ie een aantal van de DB's volledig gedumpt; als je het alleen doet om aan te tonen dat er iets mis is, dump je een paar records om dat aan te tonen, niet de hele DB.
Kan onhandigheid zijn. Zo van "bij Simpel reageren ze toch niet en Vodafone schopt vast wel stennis".

Domme onhandigheid, dat wel. Denken dat Vodafone (en dan helemaal de twitter-account-mensen) in zouden gaan op een verzoek tot heling van de data lijkt me eigenlijk nog dommer :P
Helaas/gelukkig is "dom" geen excuus, noch een verdediging die stand houdt.
Data doorspelen naar een concurrent lijkt me niet "niks gedaan". Misschien gevalletje eigen schuld dikke bult van de hostingtoko van Simpel, maar als whitehat hacker is dit niet de manier om met dit soort gevallen om te gaan.
Belachelijk... Hij heeft er toch niets mee gedaan behalve laten zien dat er een lek zit? Ze moeten hem bedanken... Asociaal.
Hij had de lek ook telefonisch/e-mail kunnen melden ipv. er misbruik van te maken.Dat is pas asociaal.
Nu heeft hij heeft de privacywet geschonden.
Tegenover Nu.nl laat Simpel weten dat er in ieder geval 12.000 e-mailadressen op straat liggen.
Die van Simpel bevatte in elk geval privacygevoelige gegevens, onder meer adresgegevens van klanten en 'verkeersgegevens', info over met wie ze hebben gebeld en ge-sms't tot 2011.
nieuws: Ook Lebara en Youfone getroffen door Simpel-hack

[Reactie gewijzigd door Nozem1959 op 11 juli 2012 22:04]

Bedank je mij ook als ik 's nachts jouw voordeur openmaak zonder iets te beschadigen en ik laat je de buren weten dat ik je voordeur open heb gekregen zodat zei dat vervolgens aan jou kunnen melden?
Sorry hoor, maar ALS deze man het gedaan heeft, faalt hij wel aardig. Een beetje hacker moet toch wel in staat zijn om zijn sporen te verbergen. In ieder geval zodanig dat het je niet binnen een week wordt opgepakt.

Nou ben ik toch wel benieuwd hoe hij het heeft aangepakt. Misschien was hij wel gewoon wat aan het rotzooien en had hij geen idee dat het hiertoe zou leiden? Iemand van 43 kan je toch geen echte script kiddie noemen.
Oh jawel hoor, Skid heeft niks met leeftijd te maken; een skid is iemand die tooltjes gebruikt maar niet de kennis in huis heeft om te begrijpen wat zo'n tool nou doet onder de motorkap; laat staan zelf zo'n tool te maken.

Denk dat hij gewoon Havij/SQLMap gedownload heeft en dat gericht heeft op wat sites om te zien of er wat kwetsbaar is, zonder daar TOR/proxies tussen te zetten.
Leeftijd zegt natuurlijk niet alles. Sterker nog, op het gebied zijn het vooral de jongeren of jong volwassenen die 'up to date' zijn met de recentste ontwikkelingen. Een 43-jarige kan evengoed een scriptkiddy zijn als een 14-jarige, al verwacht je van eerstgenoemde natuurlijk wel volwassener gedrag.

De laatste tijd zijn 'hackers' veel in opspraak geraakt. In de media is er veel aandacht aan besteed, met name toen bedrijven als Sony er mee te maken kregen. Om dan te stellen dat 'wat rotzooien' en 'onwetendheid' dan echt een excuus is, kan ik me niet in vinden. Volgens mij weet je best goed dat je bezig bent met onzuivere dingen wanneer je in andermans databases loopt te rommelen, helemaal wanneer hier privé-gegevens van de klanten op staan.

Anderzijds hoort een bedrijf haar beveiliging ook op orde te hebben, daar valt weinig tegen in te brengen. :)
Op deze manier is het wachten tot de white-hats veranderen in black-hats. Beveiligingslekken aantonen is tegenwoordig in de meeste gevallen alleen maar in het nadeel van de hacker, ook al deelt deze geen informatie met de buitenwereld.

Misschien zouden bedrijven met grote ICT-netwerken eens ingangen moeten gaan maken voor mensen die een lek/hack te melden hebben. Op dit moment zijn de meeste mensen aangewezen op de Klantenservice en Webcare personeel van dit soort bedrijven. Dat zijn over het algemeen (klinkt lullig, niet zo bedoelt) niet de slimste mensen dus die zullen zo'n dergelijke melding niet serieus nemen.

Kijk maar naar het onbeveiligd opslaan van Vodafone wachtwoorden. Toen de desbetreffende Tweaker dit aankaartte bij Vodafone werd hij afgescheept met "De beveiliging is prima op orde". Toen Tweakers.net Vodafone hierover aan de tand voelde was het opeens wel een groot probleem en stond het binnen no-time op alle nieuws sites.

Kortom: Grote ICT-bedrijven, maak eens ingangen voor de normale man die beveiligings issues te melden hebben!
Op deze manier is het wachten tot de white-hats veranderen in black-hats. Beveiligingslekken aantonen is tegenwoordig in de meeste gevallen alleen maar in het nadeel van de hacker, ook al deelt deze geen informatie met de buitenwereld.
Het is altijd een zeer gevaarlijke hobby. Als iemand in een van mijn systemen komt en dat bij me komt melden dan doe ik aangifte. Het is namelijk strafbaar, met welke bedoeling je het ook doet. Het mag niet. Verboden.

Mooi (en zoals atijd kromme) analogie. Recentelijk probeerde iemand die 150 reed en geflists werd aan te tonen dat hij het deed om aan te tonen dat als hij niet remde maar accelereerde de flitscamera zou falen. Zijn acties zouden aantonen dat het systeem niet juist werkte. Hij kreeg 2 maanden en 750 euro in plaats van veel aandacht op geenstijl en in de Telegraaf.
Ik ben met je eens dat het een gevaarlijke hobby is, maar iemand moet het doen aangezien de bedrijven het niet zelf doen (of althans, niet goed genoeg).

Een bedrijf met duizenden persoonlijke klantgegevens moet er gewoon voor zorgen dat die zijn beveiliging op orde heeft.

Zoals ik al zei is het wachten tot de lekken niet meer worden gemeld maar dat de gegevens gewoon worden doorverkocht. Dat is de toekomst als bedrijven de "goed bedoelde" hacks op deze panische wijze proberen te vervolgen.

Stel ik zal in jouw systemen inbreken, en ik meldt dat netjes aan jou, en jij doet alsnog aangifte, dan kan je er vanuit gaan dat jou gegevens binnen no-time op straat liggen. Althans, dat zal ik doen. Ik probeer je namelijk te helpen en jij doet aangifte. Dan wil ik wraak

Ja, die laatste alinea komt een beetje kinderachtig over maar ik kan me voorstellen dat de hackers er ook zo over denken.

Edit; Je laatste voorbeeld met te hard rijden kan je hier trouwens niet mee vergelijken. Met te hard rijden zet je je eigen leven, maar ook die van de andere weggebruikers op het spel.

[Reactie gewijzigd door iLikeNoobies op 11 juli 2012 17:37]

Ik denk niet dat wat voor bedrijf dan ook chantabel is op deze manier, bij een hack kan men er simpelweg nooit vanuit gaan dat er geen informatie is gelekt en weer verder gaan met de dagelijkse gang van zaken. In de media komt het toch, dan maar liever met een bericht erbij dat de hacker is opgepakt, want stilhouden is een onmogelijke opgave als de hacker daadwerkelijk wil chanteren of wraken. Als een hacker daadwerkelijk contact heeft met een bedrijf zal die geenszins geneigd zijn om nog meer informatie naar buiten te brengen, en daardoor nog een zwaardere straf te riskeren. Als gehackte partij geldt vaak: de beste verdediging is een tegenaanval.

Kortom volgens mij komt jouw scenario meer overeen met Hollywood :P

Volgens mij had Simpel het niet beter kunnen doen (afgezien van een nalatige veiligheid als het aan hun te wijten was)

[Reactie gewijzigd door lopert op 11 juli 2012 19:02]

Er is in deze kwestie helemaal geen sprake van chantage. De hacker heeft een lek gevonden en dat gemeldt, misschien niet tegen de juiste partij, maar wel gemeldt.

Persoonlijk denk ik niet dat mijn scenario overeenkomt met Hollywood, maar met de realiteit. De persoon in kwestie wou een bedrijf waarschuwen en wordt daar nu voor gestraft.

Uiteraard staan de volledige databases al op internet. Maar alleen op plekken waar die door de hacker kunnen worden benaderd. Het feit dat ze zijn USB's, harde schijven en computers in beslag hebben genomen zegt natuurlijk niets.

White-hats die goed willen doen zullen Black-hats worden en geld gaan verdienen aan de gehackte informatie. Het bedrijf op de hoogte stellen levert namelijk niets meer op dan een aangifte.

En afgezien daarvan, een goede hacker weet zijn sporen te wissen.
Verwar realiteit daarom niet met wat er eventueel kan gebeuren. Ik ben nog niet veel gevallen tegengekomen waar de hacker een tegenoffensief opent, voornamelijk na een aangifte, dit zou ook niet echt van intelligentie getuigen. Mijn ervaring is dat meestal als er aangifte gedaan wordt (ongeacht goede of slechte motieven) de hacker zich wel gedeisd houd en zal proberen zichzelf in te dekken om verdere verdachtmaking aan zijn/haar adres te beperken.

[Reactie gewijzigd door lopert op 11 juli 2012 19:35]

Vorig jaar heb ik een beveiligingslek aangetroffen in het systeem van een grote Nederlandse hostingprovider. Door data te manipuleren zag ik dat het daadwerkelijk een lek was. De lek heb ik netjes gemeld.
Hebben ze aangifte tegen me gedaan? Nee, ze waren me dankbaar en hebben me levenslang gratis hosting gegeven. Dankbaar dat ik het melde en zo heb voorkomen dat data in de toekomst in de verkeerde handen zou vallen.
Euhm, waarom zou je deze hacker willen aanhouden? Zover ik weet zijn er geen aanwijzingen dat hij de informatie heeft gekopieerd en daar misbruik van heeft gemaakt. Daarnaast heeft de persoon aangegeven geen criminele intenties te hebben en heeft hij netjes de hack gemeld. Vind het nogal voorbarig om meteen de hele inboedel in beslag te nemen en de persoon te arresteren wanneer er geen verdenkingen zijn.
Euhm, waarom zou je deze hacker willen aanhouden?
Omdat het strafbaar is. punt.

En hij heeft het niet netjes gemeld, ik denk dat je de zaak niet gevolgd hebt. Hij heeft de informatie aan een concurent gegeven. Hij heeft niet eens een poging gedaan het te melden aan de beheerder. Dat is maakt het allemaal nog een beetje dommer.
Dus als ik bij jou thuis de deur kapot maak naar binnen ga, tussen al je persoonlijke spullen ga snuffelen maar niks mee neem dan vind jij dat absoluut geen probleem ?

Raar verhaal of niet ;) Of die nou weet mee heeft genomen of niet het blijft niet goed wat die heeft gedaan.
Hou eens op met deze kromme vergelijking altijd. Wat deze persoon heeft gedaan is juist iets goed. Dit zou beloond moeten worden. Een lek in een systeme vinden en dit melden.

Sowiso is digitaal binnendringen iets raars, wat als hij gewoon via ftp://backups.simpel.nl deze database heeft bemachtigd omdat hier geen password op stond? Is dat hacken, of per toeval op komen?
Dit heb ik bijvoorbeeld eens gehad bij een HBO opleiding. Alle prive gegevens, adres, telefoon, pasfoto, cijferlijst, etc... was zo te vinden in een SQL backup. Ik heb dit bij een vertrouwenspersoon gemeld waar ik zeker van was hier ietsm ee gedaan zou worden, maar volgens jouw beredenatie had ik opgepakt moeten worden, want wat ik deed mocht niet, huh?

Wat als er een lek in het elektronisch patienten dossier systeem zit, iemand hier achter komt (en geen slechte dingen mee wilt doen), maar bang is om dit te melden uit angst om opgepakt te worden? Dan is het wachten tot de eerste spammers er ook achter komen en even per post reclame sturen voor 'alternatieve' goedkope medicijnen..

Natuurlijk is het niet verkeerd dat de politie hier aandacht aan besteed, voor hetzelfde geld heeft deze persoon weldegelijk geprobeerd misbruik te maken (hier is niks over gemeld in het nieuws afaik). Maar ik word gewoon doodmoe van die kromme huisvredebreuk onzin vergelijkingen...

[Reactie gewijzigd door marking op 11 juli 2012 17:17]

Vanuit jou voorbeeld heeft de hacker tegen een andere school gezegd: Pssst ik heb alle gegevens van de leerlingen van een concurrent.

Ik vind white hat hacking prima, maar dat houd eerder in: Meld het bij het desbetreffende bedrijf en ga GEEN data downloaden. Luistert een bedrijf niet dan kun je altijd nog naar de media gaan. Naar een concurrent gaan dat is helemaal niet slim, dan kun je achteraf nog verklaren dat je geen slechte bedoelingen had, maar je acties wijzen wel naar mogelijk slechte bedoelingen. Je weet immers niet of hij om geld had gevraagd als Vodafone had gemeld: Ja we zijn erin geinteresseerd.

Dat hij naar de concurrent was gegaan dat is de grootste fout die hij heeft gemaakt en daarmee verdient hij het in mijn ogen dus ook om opgepakt te worden en een paar jaartjes te zitten. Dit is dan gebaseerd op de feiten en niet op dingen achteraf proberen goed te praten om strafvermindering te krijgen.

De strafbare feiten op een rij:
-In een systeem neuzen waar je geen toegang toe hoort te hebben. - Computervredebreuk.
-Database downloaden. - Diefstal van data
-Data aanbieden aan een concurrent. - Poging tot bedrijfsspionage

Maar we leven in Nederland dus zal hij over een maandje of 2 wel weer vrij zijn.
Wat wil dit eigenlijk zeggen wat dat is me onduidelijk: De Edenaar is "in verzekering" gesteld en wordt verhoord door rechercheurs van het Team High Tech Crime.
In verzekering gesteld kan dat vergeleken worden met een officiële gerechtelijke aanhouding en verdachtmaking?
Dat betekent dat ze meer tijd nodig hebben voor het onderzoek voordat hij vrij gelaten kan worden (lees: sporen uitwissen)
http://nl.wikipedia.org/w...len#Inverzekeringstelling

[Reactie gewijzigd door GrooV op 11 juli 2012 16:56]

Voor het team High Tech Crime is hacking nu vergelijkbaar met terrorisme? De hacker had ook alles voor zich kunnen houden en zijn voordeel kunnen doen met alle data: als je dan door de mand valt, is een inval begrijpelijk. Deze hacker maakte zijn hack bekend.

Kortom, als ik in bv. een dure mode winkel loop en ik zie dat de kassa onbewaakt open staat, dan zal ik dit niet melden: voor je het weet word je opgepakt als overvaller.

@BertjeDH: die iemand van 43 is mogelijk gewoon een old-school white-hat hacker uit de tijd van Utopia en HacTic. Als zoiemand iets raars tegenkomt op een website, bv. een vreemde foutmelding, dan gaat hij een paar standaard hack pogingen wagen, zoals bv. SQL injection of wat XSS klooien. Als dat zomaar lukt ga je natuurlijk nog een stapje verder en dan blijk je ineens toegang te hebben tot de, kennelijk niet goed afgeschermde, SQL server. Dat is dan het moment om aan de bel te gaan trekken.
Als je als 43 jarige onderhand niet weet dat het strafbaar is dan zorg je ervoor dat je niet te traceren bent. Dan kan al vrij eenvoudig...

Vervolgens is er wel degelijk ongein uitgehaald met de data uit een aantal van die databases, dat hoeft natuurlijk niet te betekenen dat deze 43 jarige man dat heeft gedaan. Zo een gat is open genoeg om er meer mee te doen.

De man had ook gewoon melding kunnen doen bij de hosting partij als het ging om meerdere sites. Daarna een berichtje naar alle getroffen klanten, daarna naar de media (als het lek is gedicht).
Misschien heeft hij zich zelf verraden door ze op de hoogte te stellen ervan:
nieuws: 'Hacker stelde Simpel via Vodafone op de hoogte van hack'

Wellicht had hij er mee weg kunnen komen als hij dat niet had gedaan?
De commerciële schade die hij aangericht heeft, zal wel in de 10 000-den ¤ lopen. Hij gaf zelfs een tip aan de concurrent om de gegevens te misbruiken. Gelukkig had die andere partij geen kwade bedoelingen. Het had dan echt fout kunnen lopen. Je zou denken dat een 43-jarige meer verstand zou hebben.
Hij gaf zelfs een tip aan de concurrent om de gegevens te misbruiken.
Heb je daar een bron voor? Dit is de eerste keer dat ik dat lees...
Hij had de lek getipt aan Vodafone, en bewust niet aan Simpel.

bron: tweakers.net
LOL zeker kost het 10.000-den euro's om de 'schade' te verhelpen.
Op kosten van de hacker de brakke beveiliging fixen zeker.....

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True