Hackers publiceren gegevens klanten Franse kredietverstrekker
Hackers hebben persoonlijke gegevens van klanten van het Franse Credipret online gezet. Het bedrijf, dat leningen verstrekt aan Fransen, wilde het door de hackers gevraagde geldbedrag om de gegevens uit de openbaarheid te houden niet betalen.
Op Twitter had de hackersgroep Rex Mundi, die wellicht gelieerd is aan het losvaste hackersverband Anonymous, al laten weten van plan te zijn de gegevens te publiceren. Beveiligingsnieuwssite security.nl ontdekte dat de gegevens ook daadwerkelijk openbaar zijn gemaakt. Op Pastebin zijn de gegevens van honderden Fransen verschenen, waarbij onder andere telefoonnummers, adressen en gegevens over de door hen aangevraagde leningen te zien zijn.
De hackers wilden een bedrag van 20.000 euro ontvangen van Credipret om de bewuste gegevens niet te publiceren. De kredietverstrekker wilde echter niet over de brug komen, waarna tot publicatie werd overgegaan. Volgens de hackers vroegen zij om geld omdat Credipret de gegevens op een onbeveiligde server had opgeslagen.
Het is niet de eerste keer dat de hackersgroep Rex Mundi persoonsgegevens steelt om daar vervolgens 'losgeld' voor te vragen. De hackers menen zelf dat de afpersingspraktijken als een soort straf voor het gehackte bedrijf moet worden gezien, wegens slechte beveiliging van persoonsgegevens. Eerder werden onder andere de gegevens van 4000 Nederlandse uitzendkrachten gestolen en online gezet omdat uitzendbureau Accord weigerde 10.000 euro te betalen.
Reacties (57)
Private groepen die 'straffen' gaan uitdelen, niet bepaald hoe een rechtsstaat in elkaar zit. Dit is gewoon klip-en-klare criminaliteit, waar de grens tussen "white hat" en "black hat" ver is overschreden.. De hackers menen zelf dat de afpersingspraktijken als een soort straf voor het gehackte bedrijf moet worden gezien
Dit zijn echte cyberterroristen. Aanpakken die gasten!
Vooraf gezegt, ik ben het niet eens met het publiseren van deze data en er losgeld gevraagt wordt. Dit moet door de wet aangepakt worden. Nu dit gezegt te hebben.
Wat is het verschil met BREIN?
Wat is het verschil met BREIN?
Het verschil me Brein lijkt me toch vrij duidelijk, maar kennelijk is dat niet voor iedereen zo. Ten eerste zit Brein (nog) niet achter particulieren aan. Ten tweede plaatst Brein geen gegevens van particulieren op Pastebin. Ten derde zit Brein in de hoek van de (vermeende) copyright schending, niet in de server beveiliging. Ten vierde dupeert Brein geen particulieren die totaal geen invloed hebben op het al dan niet publiceren van hun data.
Als ik echt mijn best doe kan ik waarschijnlijk nog wel even door gaan. Kort gezegd, ik zie totaal geen overeenkomsten tussen Brein en deze groep overduidelijke internet criminelen, afgezien misschien van het feit dat ik het met geen van beide eens ben.
Als ik echt mijn best doe kan ik waarschijnlijk nog wel even door gaan. Kort gezegd, ik zie totaal geen overeenkomsten tussen Brein en deze groep overduidelijke internet criminelen, afgezien misschien van het feit dat ik het met geen van beide eens ben.
Waar wica op doelt is waarschijnlijk het eigen rechter spelen. En eerlijkheid gebied me te zeggen dat Brein dat inderdaad ook doet. Het meest kwalijke daaraan is echter dat de Nederlandse rechtspraak dat oogluikend toestaat. Maar de vergelijking slaat hier verder de plank mis.
Het schikken van een (copyright) overtreding is nog altijd heel wat anders dan het chanteren van een bedrijf. In der minne schikking is juist een groot goed in een rechtsstaat. Verkeers overtredingen worden in het algemeen ook in der minne afgehandeld door het betalen (=acceptatie schikking) van de acceptgiro.
Je hebt ook de mogelijkheid om niet in te gaan op het voorstel. Maar dan moet je verantwoording afleggen bij een rechter. Dat brengt vaak extra kosten met zich mee. Brein speelt geen rechter, maar bied jouw de mogelijkheid om de gang naar de rechter te voorkomen.
Het hacken van een bedrijf wordt over het algemeen meer gezien als een overtreding dan een misdrijf. Had het bedrijf die 20.000 euro betaald aan de hackers dan zou de zaak waarschijnlijk nooit een vervolg krijgen bij justitie. Daarbij heb je ook niet de garantie dat de gegevens niet alsnog worden gepubliceerd als je wel betaald. Nu kan Credipret bewijzen dan zij zijn gechanteerd en chantage is altijd een misdrijf en het zal ook met een veel hogere prioriteit worden opgepakt.
Daarbij is de kans waarschijnlijk erg klein dat Credipret zelf de software van de website heeft geschreven. In de meeste gevallen wordt daarvoor een extern bureau ingehuurd. Credipret mag in dat geval net als de consument verwachten dat de beveiliging op orde is.
De meeste bedrijven hebben geen verstand van beveiliging. Dat is de primaire reden dat zij ontwikkeling en hosten uitbesteden. Zelfs als Credipret gebruik heeft gemaakt van een elcheapo ontwikkelaar is zij (juridisch) nog steeds niet verantwoordelijk voor de beveiliging van de servers. Dat is en blijft de ontwikkelaar/hoster, die wordt daarvoor betaald..
Je hebt ook de mogelijkheid om niet in te gaan op het voorstel. Maar dan moet je verantwoording afleggen bij een rechter. Dat brengt vaak extra kosten met zich mee. Brein speelt geen rechter, maar bied jouw de mogelijkheid om de gang naar de rechter te voorkomen.
Het hacken van een bedrijf wordt over het algemeen meer gezien als een overtreding dan een misdrijf. Had het bedrijf die 20.000 euro betaald aan de hackers dan zou de zaak waarschijnlijk nooit een vervolg krijgen bij justitie. Daarbij heb je ook niet de garantie dat de gegevens niet alsnog worden gepubliceerd als je wel betaald. Nu kan Credipret bewijzen dan zij zijn gechanteerd en chantage is altijd een misdrijf en het zal ook met een veel hogere prioriteit worden opgepakt.
Daarbij is de kans waarschijnlijk erg klein dat Credipret zelf de software van de website heeft geschreven. In de meeste gevallen wordt daarvoor een extern bureau ingehuurd. Credipret mag in dat geval net als de consument verwachten dat de beveiliging op orde is.
De meeste bedrijven hebben geen verstand van beveiliging. Dat is de primaire reden dat zij ontwikkeling en hosten uitbesteden. Zelfs als Credipret gebruik heeft gemaakt van een elcheapo ontwikkelaar is zij (juridisch) nog steeds niet verantwoordelijk voor de beveiliging van de servers. Dat is en blijft de ontwikkelaar/hoster, die wordt daarvoor betaald..
Waarom zou een website van een kredietverlener gegevens bevatten van de klanten? Ik heb nog niet gehoord van kredietverleners waar je online kan inloggen om een lening af te sluiten. Mocht dat toch zo zijn dan is dat nieuws voor mij.
Maar als de webserver in het netwerk hangt en op die manier andere servers met deze data kunnen bereikt worden, dan lijkt me dat een grove fout in netwerkbeveiliging van de IT dienst aldaar.
Maar als de webserver in het netwerk hangt en op die manier andere servers met deze data kunnen bereikt worden, dan lijkt me dat een grove fout in netwerkbeveiliging van de IT dienst aldaar.
Ik zou zeggen google eens op "online lening afsluiten" en je krijgt legio mogelijkheden te zien. Alles kan online, ook een lening afsluiten.Ik heb nog niet gehoord van kredietverleners waar je online kan inloggen om een lening af te sluiten. Mocht dat toch zo zijn dan is dat nieuws voor mij
Brein durft nog niet. Maar zie de duitse variant:
http://www.telegraaf.nl/d..._aan_de_schandpaal__.html
http://www.telegraaf.nl/d..._aan_de_schandpaal__.html
Muziek uploaden is illegaal, volslagen incompetent zijn (als ik even aanneem dat dit inderdaad van een onbeveiligde server komt) niet.
Brein heeft van (een flink aandeel van) de mensen waar ze de rechten van behartigen toestemming om namens hen op te treden; Rex Mundi heeft dat ongetwijfeld niet (al was het maar omdat de gegevens die ze openbaar maken toebehoren aan de mensen die ze claimen te beschermen
).
Brein heeft van (een flink aandeel van) de mensen waar ze de rechten van behartigen toestemming om namens hen op te treden; Rex Mundi heeft dat ongetwijfeld niet (al was het maar omdat de gegevens die ze openbaar maken toebehoren aan de mensen die ze claimen te beschermen
).
Dan noem je het een schikking, zoals Brein en kornuiten doen.
Mee eens, alleen ben ik wel benieuwd naar de rechtzaak mochten ze deze gasten ooit te pakken krijgen (en die kans is groot, aangezien hackersgroepen slecht tegen infiltratie kunnen leert de geschiedenis, zie LulzSec). Want waar eindigt het laakbaar handelen van de eigenaar van de database(s) en waar begint cybercrime? Je kunt dan zeggen 'jah, ze hebben helemaal niks te zoeken in dat systeem, dus zijn ze schuldig!'. Dat vind ik hypocriet, want als zij het kunnen, dan kunnen 'echte' criminelen het ook, met als verschil dat die het niet aan de grote klok hangen. Wat is erger: je gegevens gestolen waarbij jij én het bedrijf hiervan op de hoogte zijn, of een diefstal die niet eens is opgemerkt en plots wordt je slachtoffer van identity theft, waarbij je vervolgens onmogelijk kunt aantonen dat het lek bij het bedrijf x heeft gezeten (want die ontkennen natuurlijk alles, bang dat ze zijn voor claims). Natuurlijk mag je een auto niet stelen, maar als ik hem niet op slot doe, dan kan ik hoog en laag springen, maar de verzekering zal niet uitkeren. Nog los van of en welke straf de dief in dat geval verdient.
[Reactie gewijzigd door Rick2910 op maandag 27 augustus 2012 15:58]
Zonder meer worden hiermee de verkeerde personen gestraft; als je een lening hebt lopen bij dit bedrijf liggen al jou gegevens op straat, niet die van het bedrijf. Dat is inmijn ogen verkeerd. áls ze dan zo nodig eigen rechter willen spelen, straf dan de mensen die je wilt pakken en niet de mensen die er geen ruk aan kunnen doen.
@ Pixeltje
Helaas zal het op deze manier moeten gebeuren omdat er geen wettelijk alternatief is om een bedrijf dat nalaat om gegevens naar behoren te beveiligen voor het gerecht te dagen.
Als je het pastebin bericht leest http://pastebin.com/N3LBcfj8 zie je dat ze hun eis al hadden verlaagd naar 5000 euro omdat ze de grootte van het bedrijf overschat hadden.
Desalniettemin weigerden ze te betalen voor de privacy van hun klanten. En men kan inderdaad concluderen dat de gegevens toch verspreid kunnen worden nadat het losgeld is betaald maar dat is nu eenmaal het risico van online data slecht te beveiligen.
Dat klanten worden bestraft doordat hun gegevens geopenbaard worden is zwaar overdreven omdat ze al in tal van databases bekend zijn. Voor bedrijven/banken zijn deze gegevens al op te vragen omdat iedere kredietverstrekking geregistreerd word bij een nationale databank. Dat men kwaad kan doen met deze gegevens is de schuld van bedrijven/overheid doordat men uit kostenoverwegingen steeds minder gegevens nodig heeft om een wettelijke overeenkomst te sluiten. Zie een mondeling akkoord met op een bandje bij energiecontracten. Daar is de identiteit aan de andere kant van de lijn al helemaal niet wettelijk vast te stellen maar toch kan er een mondeling akkoord die wettelijk bindend is aangegaan worden. Het is dus een fout in het huidige systeem.
Verder zou een mogelijk toekomstige klant zich wel twee keer achter de oren krabben voordat hij een lening bij het bedrijf aanvraagt omdat zijn gegevens waarvan hij verwacht dat deze zorgvuldig bewaard worden niets waard zijn voor dit bedrijf. Dat is de straf voor het bedrijf.
die wellicht gelieerd is aan het losvaste hackersverband Anonymous? Bron?
Er word namelijk nergens enige melding gemaakt dat dit waar zou zijn. En de handelswijze lijkt ook niet op Anonymous aangezien deze voor zover ik weet nog nooit losgeld gevraagd zou hebben voor wat dan ook. Ze leggen websites plat en waar mogelijk defacen ze websites uit principiele overwegingen. Niet voor geld.
Helaas zal het op deze manier moeten gebeuren omdat er geen wettelijk alternatief is om een bedrijf dat nalaat om gegevens naar behoren te beveiligen voor het gerecht te dagen.
Als je het pastebin bericht leest http://pastebin.com/N3LBcfj8 zie je dat ze hun eis al hadden verlaagd naar 5000 euro omdat ze de grootte van het bedrijf overschat hadden.
Desalniettemin weigerden ze te betalen voor de privacy van hun klanten. En men kan inderdaad concluderen dat de gegevens toch verspreid kunnen worden nadat het losgeld is betaald maar dat is nu eenmaal het risico van online data slecht te beveiligen.
Dat klanten worden bestraft doordat hun gegevens geopenbaard worden is zwaar overdreven omdat ze al in tal van databases bekend zijn. Voor bedrijven/banken zijn deze gegevens al op te vragen omdat iedere kredietverstrekking geregistreerd word bij een nationale databank. Dat men kwaad kan doen met deze gegevens is de schuld van bedrijven/overheid doordat men uit kostenoverwegingen steeds minder gegevens nodig heeft om een wettelijke overeenkomst te sluiten. Zie een mondeling akkoord met op een bandje bij energiecontracten. Daar is de identiteit aan de andere kant van de lijn al helemaal niet wettelijk vast te stellen maar toch kan er een mondeling akkoord die wettelijk bindend is aangegaan worden. Het is dus een fout in het huidige systeem.
Verder zou een mogelijk toekomstige klant zich wel twee keer achter de oren krabben voordat hij een lening bij het bedrijf aanvraagt omdat zijn gegevens waarvan hij verwacht dat deze zorgvuldig bewaard worden niets waard zijn voor dit bedrijf. Dat is de straf voor het bedrijf.
die wellicht gelieerd is aan het losvaste hackersverband Anonymous? Bron?
Er word namelijk nergens enige melding gemaakt dat dit waar zou zijn. En de handelswijze lijkt ook niet op Anonymous aangezien deze voor zover ik weet nog nooit losgeld gevraagd zou hebben voor wat dan ook. Ze leggen websites plat en waar mogelijk defacen ze websites uit principiele overwegingen. Niet voor geld.
Inderdaad zo hoort het niet.
Aan de andere kant hoeveel bedrijven betalen hun mede werkers niet geld om hun mond te houden over bepaalde dingen dan wel pers/politie om even de andere kant op te kijken. Al dan niet via een legale weg maar het is zeker niet vreemd voor een bedrijf om geld neer te leggen om voor hun schadelijke informatie onder de pet te houden.
In dit geval doen de hackers niet veel anders ze doen hun "werk" en verkrijgen toegang tot persoonsgegevens die beveiligd hadden moeten zijn. Vervolgens melden ze dit bij het bedrijf en bieden ze het bedrijf aan voor een bedrag de gegevens niet openbaar te maken. Het bedrijf heeft dan een simpele keuze, toegeven dat ze een probleem hadden het probleem oplossen en al dan niet pogen hun klanten te beschermen door de gegevens terug te kopen van de hackers.
Veel bedrijven zullen dit zeker doen en dat is dan ook waar de hackers van uitgaan. Voor de hackers is het erg belangrijk dat ze als ze het geld ontvangen ook daadwerkelijk de gegevens niet publiceren of misbruiken als ze geloofwaardig willen blijven naar andere bedrijven toe.
Of je het nu leuk vind of niet het is een al jaren lang bestaande manier om geld te verdienen. Van mensen die voor een TV programma Schiphol binnen dringen tot reviewers die voor een leuk bedrag of een mooie gadget positief zijn over een product. Het komt allemaal op het zelfde neer mensen tonen aan dat iets wel of niet goed is om er zelf wijzer van te worden. In het geval van een hack is de enige manier om aan de buiten wereld te bewijzen dat de hack ook echt geslaagd is gegevens buitmaken en publiceren. Deze hackers bieden aan om deze informatie niet te laten zien om op die manier het bedrijf haar imago te laten behouden.
Dat het bedrijf er voor kiest om niet te betalen en vertrouwd op de kwaliteit van hun producten en het feit dat mensen vergeven en vergeten is een keuze. Voor de klanten een zeer ongelukkige omdat de hackers toen er niet betaald werd geen andere optie hadden dan te publiceren. Immers geloofwaardigheid is van groot belang in hun tak van sport.
Piraterij en gijzeling bestaan al vele jaren alleen nu worden klanten gegijzeld en worden bedrijven gevraagd om ze te beschermen door hun geld er tegen over te zetten. Het hoort niet maar het is een logisch gevolg van de manier waarop veel bedrijven omgaan met de gegevens die klanten aan hen toevertrouwen.
Aan de andere kant hoeveel bedrijven betalen hun mede werkers niet geld om hun mond te houden over bepaalde dingen dan wel pers/politie om even de andere kant op te kijken. Al dan niet via een legale weg maar het is zeker niet vreemd voor een bedrijf om geld neer te leggen om voor hun schadelijke informatie onder de pet te houden.
In dit geval doen de hackers niet veel anders ze doen hun "werk" en verkrijgen toegang tot persoonsgegevens die beveiligd hadden moeten zijn. Vervolgens melden ze dit bij het bedrijf en bieden ze het bedrijf aan voor een bedrag de gegevens niet openbaar te maken. Het bedrijf heeft dan een simpele keuze, toegeven dat ze een probleem hadden het probleem oplossen en al dan niet pogen hun klanten te beschermen door de gegevens terug te kopen van de hackers.
Veel bedrijven zullen dit zeker doen en dat is dan ook waar de hackers van uitgaan. Voor de hackers is het erg belangrijk dat ze als ze het geld ontvangen ook daadwerkelijk de gegevens niet publiceren of misbruiken als ze geloofwaardig willen blijven naar andere bedrijven toe.
Of je het nu leuk vind of niet het is een al jaren lang bestaande manier om geld te verdienen. Van mensen die voor een TV programma Schiphol binnen dringen tot reviewers die voor een leuk bedrag of een mooie gadget positief zijn over een product. Het komt allemaal op het zelfde neer mensen tonen aan dat iets wel of niet goed is om er zelf wijzer van te worden. In het geval van een hack is de enige manier om aan de buiten wereld te bewijzen dat de hack ook echt geslaagd is gegevens buitmaken en publiceren. Deze hackers bieden aan om deze informatie niet te laten zien om op die manier het bedrijf haar imago te laten behouden.
Dat het bedrijf er voor kiest om niet te betalen en vertrouwd op de kwaliteit van hun producten en het feit dat mensen vergeven en vergeten is een keuze. Voor de klanten een zeer ongelukkige omdat de hackers toen er niet betaald werd geen andere optie hadden dan te publiceren. Immers geloofwaardigheid is van groot belang in hun tak van sport.
Piraterij en gijzeling bestaan al vele jaren alleen nu worden klanten gegijzeld en worden bedrijven gevraagd om ze te beschermen door hun geld er tegen over te zetten. Het hoort niet maar het is een logisch gevolg van de manier waarop veel bedrijven omgaan met de gegevens die klanten aan hen toevertrouwen.
Er is een simpel probleem met deze redenatie: hackers zijn niet te vertrouwen. Er is geen enkele garantie dat deze hackers in de toekomst de gegevens niet alsnog publiceren, of er nog een keer geld voor proberen te vragen, of de gegevens aan je teruggeven terwijl ze ook aan andere partijen worden verkocht (de concurrent bijvoorbeeld). Het geld is dus altijd weggegooid. Sterker nog, het kan zelfs schadelijk zijn als uitkomt dat jij als bedrijf criminelen hebt afgekocht (dat op zichzelf is al chantagemateriaal).pogen hun klanten te beschermen door de gegevens terug te kopen van de hackers.
Praktijkvoorbeeld: de man die cd-roms met Zwitserse bankgegevens stal, hiervoor werd veroordeeld en de schijven terug moest geven, dat deed, en vervolgens kopieën aan Duitsland doorverkocht voor vele miljoenen én een nieuwe identiteit kreeg.
Wat een onzin. Alsof dr tv ploeg dan tegen Schiphol zegt: "als je ons betaald zenden we t niet uit".
Gijzeling hoort niet inderdaad, sterker nog: het is verboden.
Als niemand die databases zouden hacken is er niets aan de hand, je mag alleen wel van een bedrijf verwachten dat het afdoende z'n werk doet om te versleutelen, beveiligen etc.
Bedrijven zouden helemaal niet moeten kunnen kiezen om hun falen onbekend te laten zijn door daarvoor criminelen te betalen. Een hacker met goede bedoelingen stelt het bedrijf op de hoogte en vraagt tegen vergoeding het bedrijfs probleem op te lossen of doet het gratis, en gaat niet schermen met het duperen van klant en bedrijf.
Gijzeling hoort niet inderdaad, sterker nog: het is verboden.
Als niemand die databases zouden hacken is er niets aan de hand, je mag alleen wel van een bedrijf verwachten dat het afdoende z'n werk doet om te versleutelen, beveiligen etc.
Bedrijven zouden helemaal niet moeten kunnen kiezen om hun falen onbekend te laten zijn door daarvoor criminelen te betalen. Een hacker met goede bedoelingen stelt het bedrijf op de hoogte en vraagt tegen vergoeding het bedrijfs probleem op te lossen of doet het gratis, en gaat niet schermen met het duperen van klant en bedrijf.
Die tv ploeg doet het ook alleen maar voor het geld. Die cameraman en geluidsman liggen echt niet wakker van de beveiliging van Schiphol. Ze nemen dat alleen als onderwerp, omdat het kijkers zal trekken, omdat het niet door de beugel kan. Ze verdienen aan het feit dat Schiphol-passagiers gevaar lopen. Moreel gezien doen ze niet zo heel veel anders dan de hackers ten opzichte van de klanten van deze financiële dienstverlening.
Ja in plaats van boetegeld te vragen voor het niet dichten van een beveiligingslek en de gegevens als bewijs geven om lek te bevestigen lijkt me logisscher. Dan even terzijde dat het crimineel is om "boetegeld/losgeld" te vragen.
Wees creatief en reken geld voor consultancy
Wees creatief en reken geld voor consultancy
Idd... nooit toegeven aan dit soort dreigementen. En uiteraard wel direct je beveiliging omhoogschroeven, eens gebleken is dat dit niet bleek te deugen.
"Private groepen die 'straffen' gaan uitdelen, niet bepaald hoe een rechtsstaat in elkaar zit. Dit is gewoon klip-en-klare criminaliteit, waar de grens tussen "white hat" en "black hat" ver is overschreden.", zegt Keypunchie.
Het idee van white en black hat staat op losse schroeven als je een andere discussie voert.
De discussie gaat over het feit dat wij hebben geleerd dat we leven in een rechtsstaat, waar mensen voor hun gedrag verantwoordelijk worden gehouden in een rechtzaal, door daarvoor opgeleide mensen etc.
Er bestaat ook zoiets als burgerlijke ongehoorzaamheid. Ik vind dat een cruciaal en essentieel middel voor burgers om gerechtigheid af te dwingen en bestuurders te confronteren met de wensen van de groep.
Je kunt zeggen dat white hat hackers een vorm van digitale burgerlijke ongehoorzaamheid vertonen. Dat is prima.
Maar als een groep een soort losgeld vraagt in de zin van straf voor bedenkelijk, gevaarlijk of verwijtbaar gedrag dan vindenw e dat alleen een rechter dat mag vaststellen.
Echter, wanneer we kijken naar de digitale samenleving, dan blijkt dat bedrijven beveiliging niet seieus genoeg nemen, daaraan te weinig middelen besteden en verwijtbaar te weinig werk er van maken en dus achter lopen. Het risico is groot, niet voor een enkel individu maar juist voor steeds grotere groepen mensen wier persoonlijke gegevens op straat komen te liggen.
Kunnen wij wachten en dienen we te vertrouwen op commerciële instellingen die de digitale samenleving betreden met hun websites, registraties en databases met klantgegevens? En moeten we gelaten accepteren dat die bedrijven en instellingen weten dat ze er mee weg komen? Het is immers niet zo dat er veel rechtszaken lopen over dit verwijtbare gebrek aan risico management.
Blijkbaar kunnen de white hatters niet genoeg indruk maken en doen ze feitelijk het werk voor die organisaties, die vervolgens vaak niet alleen niet ondankbaar zijn maar die goedbedoelende hackers vervolgen.
Iets wringt hier. Is het dan vreemd dat als de rechterlijke macht achter loopt en niet in staat is tot dwang en het afdwingen van verantwoordelijk gedrag bij organisaties, er mensen zijn die die taak overnemen? Ze doen dat op basis van het collectief belang. Maar wij leren vanaf onze geboorte dat wij zelf alle verantwoordelijkheid uit handen dienen te geven aan de rechterlijke macht en het Openbaar Ministerie, dat de wetgever bepaalt wat kan en wat niet kan en dat we voor de rest pacifistisch alles aan hen moeten overlaten.
Dat blijkt niet te werken. Hebben wij als mens het fundamentele recht vanuit moreel-ethische gronden het recht in eigen hand te nemen? Ik meen van wel. De vraag is alleen, waar ligt de grens, hoe vermijd je willekeur. Maar dienen wij overgeleverd te zijn aan de grillen van organisaties met gebrekkige beveiliging omdat black hat hackers zich te buiten gaan in wat we dan 'chantage' noemen? En is het juist dat ze de gegevens publiceren als losgeld niet betaald wordt?
Is er een andere keuze? Als men niet publiceert dan is het een wassen neus en komen die bedrijven er alsnog mee weg.
Misschien is het erg voor de getroffen mensen in dat bestand. Maar misschien zouden ze kunnen accepteren dat in principe, in principe de hackers in hun belang en het belang van de samenleving handelden. Want de getroffenen staan niet in alleen die onbeveiligde server maar ook misschien in vele andere. En dus in theorie kunnen ze meermaals getroffen worden door gebrek aan beveiliging.
De situatie zoals die is is niet ideaal. Ik heb geen medelijden met die bedrijven en organisaties. Ze nemen niet de vereiste verantwoordelijkheid en de wetgever loopt achter en de rechterlijke macht al net zo. Als burger heb je het recht jezelf te beschermen en deze hackers zijn wat mij betreft de enigen die verantwoordelijkheid nemen.
Het idee van white en black hat staat op losse schroeven als je een andere discussie voert.
De discussie gaat over het feit dat wij hebben geleerd dat we leven in een rechtsstaat, waar mensen voor hun gedrag verantwoordelijk worden gehouden in een rechtzaal, door daarvoor opgeleide mensen etc.
Er bestaat ook zoiets als burgerlijke ongehoorzaamheid. Ik vind dat een cruciaal en essentieel middel voor burgers om gerechtigheid af te dwingen en bestuurders te confronteren met de wensen van de groep.
Je kunt zeggen dat white hat hackers een vorm van digitale burgerlijke ongehoorzaamheid vertonen. Dat is prima.
Maar als een groep een soort losgeld vraagt in de zin van straf voor bedenkelijk, gevaarlijk of verwijtbaar gedrag dan vindenw e dat alleen een rechter dat mag vaststellen.
Echter, wanneer we kijken naar de digitale samenleving, dan blijkt dat bedrijven beveiliging niet seieus genoeg nemen, daaraan te weinig middelen besteden en verwijtbaar te weinig werk er van maken en dus achter lopen. Het risico is groot, niet voor een enkel individu maar juist voor steeds grotere groepen mensen wier persoonlijke gegevens op straat komen te liggen.
Kunnen wij wachten en dienen we te vertrouwen op commerciële instellingen die de digitale samenleving betreden met hun websites, registraties en databases met klantgegevens? En moeten we gelaten accepteren dat die bedrijven en instellingen weten dat ze er mee weg komen? Het is immers niet zo dat er veel rechtszaken lopen over dit verwijtbare gebrek aan risico management.
Blijkbaar kunnen de white hatters niet genoeg indruk maken en doen ze feitelijk het werk voor die organisaties, die vervolgens vaak niet alleen niet ondankbaar zijn maar die goedbedoelende hackers vervolgen.
Iets wringt hier. Is het dan vreemd dat als de rechterlijke macht achter loopt en niet in staat is tot dwang en het afdwingen van verantwoordelijk gedrag bij organisaties, er mensen zijn die die taak overnemen? Ze doen dat op basis van het collectief belang. Maar wij leren vanaf onze geboorte dat wij zelf alle verantwoordelijkheid uit handen dienen te geven aan de rechterlijke macht en het Openbaar Ministerie, dat de wetgever bepaalt wat kan en wat niet kan en dat we voor de rest pacifistisch alles aan hen moeten overlaten.
Dat blijkt niet te werken. Hebben wij als mens het fundamentele recht vanuit moreel-ethische gronden het recht in eigen hand te nemen? Ik meen van wel. De vraag is alleen, waar ligt de grens, hoe vermijd je willekeur. Maar dienen wij overgeleverd te zijn aan de grillen van organisaties met gebrekkige beveiliging omdat black hat hackers zich te buiten gaan in wat we dan 'chantage' noemen? En is het juist dat ze de gegevens publiceren als losgeld niet betaald wordt?
Is er een andere keuze? Als men niet publiceert dan is het een wassen neus en komen die bedrijven er alsnog mee weg.
Misschien is het erg voor de getroffen mensen in dat bestand. Maar misschien zouden ze kunnen accepteren dat in principe, in principe de hackers in hun belang en het belang van de samenleving handelden. Want de getroffenen staan niet in alleen die onbeveiligde server maar ook misschien in vele andere. En dus in theorie kunnen ze meermaals getroffen worden door gebrek aan beveiliging.
De situatie zoals die is is niet ideaal. Ik heb geen medelijden met die bedrijven en organisaties. Ze nemen niet de vereiste verantwoordelijkheid en de wetgever loopt achter en de rechterlijke macht al net zo. Als burger heb je het recht jezelf te beschermen en deze hackers zijn wat mij betreft de enigen die verantwoordelijkheid nemen.
en wat zou er met dat robin hood geld gedaan worden? als er dan nog iets nobels mee gedaan zou worden .. mwoah.. ok.. niet geweldig.. maar ok
maar dit ruikt meer naar afpersing voor eigen gewin..
maar dit ruikt meer naar afpersing voor eigen gewin..
Dit zijn crackers en geen hackers...
Dit zijn criminelen en hun hobby is kwalijk!
Stichting BREIN heeft hier niks mee te maken. BREIN publiceerd niet gegevens van andere mensen als een stel terorristen op het internet.
BREIN probeert de piracy te bestreiden, deze jongens doen alles behalve dat.
Beter je huiswerk doen...
BREIN probeert de piracy te bestreiden, deze jongens doen alles behalve dat.
Beter je huiswerk doen...
Piracy, privacy.
Lijkt wel erg veel op elkaar eigenlijk. Ook de middelen die ze gebruiken:
- Ongeoorloofd verzamelen van informatie.
- Opleggen 'losgeld' zodat je met rust gelaten wordt.
- Aangeven dat je strijdt voor een nobel doel (wat vervolgens voorbij gestreefd wordt).
Zelfs het resultaat is bijzonder gelijkwaardig bij beiden:
- Deze club zet gegevens van personen vrij op internet zodat onze privacy beschermd wordt.
- Brein gebruikt geld van mensen die legaal muziek kopen om de vrijheid op internet in te perken. Gevolg is dat normaal denkende mensen niet meer legaal muziek kopen.
Lijkt wel erg veel op elkaar eigenlijk. Ook de middelen die ze gebruiken:
- Ongeoorloofd verzamelen van informatie.
- Opleggen 'losgeld' zodat je met rust gelaten wordt.
- Aangeven dat je strijdt voor een nobel doel (wat vervolgens voorbij gestreefd wordt).
Zelfs het resultaat is bijzonder gelijkwaardig bij beiden:
- Deze club zet gegevens van personen vrij op internet zodat onze privacy beschermd wordt.
- Brein gebruikt geld van mensen die legaal muziek kopen om de vrijheid op internet in te perken. Gevolg is dat normaal denkende mensen niet meer legaal muziek kopen.
Ik vind de vergelijking met Brein wat vergezocht omdat je kunt zeggen van die lui wat je wilt, ze kloppen wel netjes bij de rechter aan.
Die bepaalt uiteindelijk en niet Brein zelf.
In dit geval is de hackgroep dader (!), rechter en beul tegelijk. Ze hoeven helemaal nergens verantwoording af te leggen en hebben direct persoonlijk gewin.
Die bepaalt uiteindelijk en niet Brein zelf.
In dit geval is de hackgroep dader (!), rechter en beul tegelijk. Ze hoeven helemaal nergens verantwoording af te leggen en hebben direct persoonlijk gewin.
Supertheiz, lees dat nu nog eens zonder in lachen uit te barsten...- Deze club zet gegevens van personen vrij op internet zodat onze privacy beschermd
Leuke discussie gaat dit opleveren...Bank rommelt maar aan en hebben de hele wereld economie aan duigen geslagen, maken van vertrouwlijke gegevens een zooitje en zijn opeens "de goeien". Niet leuk dat de gegevens op straat liggen maar men vergeet snel klaarblijkelijk. Misschien herrinneren mensen alleen al het hen overkomt!!
En de échte discussie, namelijk over IT projecten die gisteren af moeten zijn, waar geen budget voor is, waar vanwege kostenreductie stagiaires zonder begeleiding op worden gezet, waar testen ondergeschikt is aan de opleverdatum....daar wordt natuurlijk niet over gesproken. Het zijn die duivelse hackers, rekels zijn het!
Samengevat:
Baasje bank weet niets van IT.
Businesscase online verkopen van leningen: Geld verdienen.
Businesscase goede beveiliging: Geld uitgeven.
Baasje bank: Doe maar alleen optie 1.
Baasje bank weet niets van IT.
Businesscase online verkopen van leningen: Geld verdienen.
Businesscase goede beveiliging: Geld uitgeven.
Baasje bank: Doe maar alleen optie 1.
Of Credipret wel of niet 'de goeie' is, of haar ICT projecten 'niet goed doet', staat volgens mij volledig los van het feit dat die 'Rex Mundi' een clubje criminelen is, dat geld wil verdienen met afpersing.
Laten we hier geen Robin Hoods van maken. Dat de ene boef de andere boef pakt is tot daar aan toe, maar niet over de rug van de klanten.
Laten we hier geen Robin Hoods van maken. Dat de ene boef de andere boef pakt is tot daar aan toe, maar niet over de rug van de klanten.
Heb je wel idee wat hackers veroorzaken aan schade en dat het jou en mij gewoon geld kost? Daar staat je dus achter zo te horen? 
Het zijn niet eens hackers meer maar gewoon criminelen, afpersers, moet je je ver van distantiëren als je slim bent! En als ik iets wil openlaten dan behoord niemand daar aan te komen, snap dat dat de ideale wereld is, maar zo hoort het wel, en die daar niet aan houd moeten gestraft worden en schade betalen die ze veroorzaakt hebben met hun criminelen gedrag! Kaal plukken voor rest van hun leven of tot ze het terug betaald hebben!
We kunnen wel alles gaan beveiligen en er miljarden tegenaan gooien elke maand en alles in bunkers zetten! Maar vind dat we dan overgeven aan hackers, we moeten juist niet bang ingraven maar middelen beschikbaar maken zodat dat soort groepen gewoon snel gepakt kunnen worden en schade terug gevorderd kan worden! We hebben ons al bang genoeg laten maken door val allerlei groepering, tijd dat we vuist maken en terug slaan!
Vergeet niet dat dit soort hackersgroepjes ons Nederlanders miljoenen aan belastinggeld kost en bedrijven kost het nog veel meer Bij elkaar(virussen, hackers, etc) veroorzaken ze miljarden schaden per jaar in vorm van extra kosten voor beveiliging, herstel, schadeloosheid stellen, etc.
Het zijn niet eens hackers meer maar gewoon criminelen, afpersers, moet je je ver van distantiëren als je slim bent! En als ik iets wil openlaten dan behoord niemand daar aan te komen, snap dat dat de ideale wereld is, maar zo hoort het wel, en die daar niet aan houd moeten gestraft worden en schade betalen die ze veroorzaakt hebben met hun criminelen gedrag! Kaal plukken voor rest van hun leven of tot ze het terug betaald hebben!
We kunnen wel alles gaan beveiligen en er miljarden tegenaan gooien elke maand en alles in bunkers zetten! Maar vind dat we dan overgeven aan hackers, we moeten juist niet bang ingraven maar middelen beschikbaar maken zodat dat soort groepen gewoon snel gepakt kunnen worden en schade terug gevorderd kan worden! We hebben ons al bang genoeg laten maken door val allerlei groepering, tijd dat we vuist maken en terug slaan!
Vergeet niet dat dit soort hackersgroepjes ons Nederlanders miljoenen aan belastinggeld kost en bedrijven kost het nog veel meer Bij elkaar(virussen, hackers, etc) veroorzaken ze miljarden schaden per jaar in vorm van extra kosten voor beveiliging, herstel, schadeloosheid stellen, etc.
[Reactie gewijzigd door mad_max234 op maandag 27 augustus 2012 16:42]
Wat een onzin. Zal ik vanaf nu ook de regen de schuld geven van het feit dat ik nat word? Of had ik beter een paraplu meegenomen en een dak op mijn huis gezet?
Een financiële instantie bezit nu eenmaal waardevolle data. Als je dat open laat staan, dan ben je als bedrijf gewoon schuldig (of minstens medeplichtig aan plichtsverzuim en laakbaar handelen). Het gaat er immers niet om wat wel en wat niet mag (criminelen houden zich per definitie niet aan de wet of aan enig moreel besef), het gaat erom wat kan. Een slecht beveiligd systeem ís makkelijk te compromitteren, zonder het te vragen. Dus of iets al dan niet mag is compleet irrelevant: als jij je deur niet goed sluit ben je op een slechte dag je boedel kwijt. Welcome to the real world. Face it, hou er rekening mee en neem preventieve maatregelen.
Daarbij, zoals ik al in een eerdere comment aanhaal, de enige reden dat we nu deze discussie hebben, is dat de hackers het publiek hebben gemaakt. Hoeveel van jouw gegevens zijn op dit moment al in verkeerde handen zonder dat jij en/of het bedrijf waar je gegevens stonden er weet van hebben? Alleen daarom al moet je aan security doen. En security hoeft helemaal niet duurder te zijn, als er maar vanaf het eerste systeemontwerp rekening mee wordt gehouden. Achteraf inbouwen in inderdaad erg lastig.
Een financiële instantie bezit nu eenmaal waardevolle data. Als je dat open laat staan, dan ben je als bedrijf gewoon schuldig (of minstens medeplichtig aan plichtsverzuim en laakbaar handelen). Het gaat er immers niet om wat wel en wat niet mag (criminelen houden zich per definitie niet aan de wet of aan enig moreel besef), het gaat erom wat kan. Een slecht beveiligd systeem ís makkelijk te compromitteren, zonder het te vragen. Dus of iets al dan niet mag is compleet irrelevant: als jij je deur niet goed sluit ben je op een slechte dag je boedel kwijt. Welcome to the real world. Face it, hou er rekening mee en neem preventieve maatregelen.
Daarbij, zoals ik al in een eerdere comment aanhaal, de enige reden dat we nu deze discussie hebben, is dat de hackers het publiek hebben gemaakt. Hoeveel van jouw gegevens zijn op dit moment al in verkeerde handen zonder dat jij en/of het bedrijf waar je gegevens stonden er weet van hebben? Alleen daarom al moet je aan security doen. En security hoeft helemaal niet duurder te zijn, als er maar vanaf het eerste systeemontwerp rekening mee wordt gehouden. Achteraf inbouwen in inderdaad erg lastig.
[Reactie gewijzigd door Rick2910 op maandag 27 augustus 2012 16:49]
Dus als ik je een knal voor je kop geef is dat je eigen schuld omdat je geen intergraal helm draagt? Jammer dat je in het ziekenhuis ligt met een steekwond, had je maar op tijd opzij moeten gaan? Tja, neergeschoten... had je maar moeten bukken voor die kogel?
Natuurlijk moet je rekening houden met het feit dat niet iedereen goede bedoelingen heeft, maar dat neemt absoluut geen schuld weg bij degene die de wet overtreed.
Natuurlijk moet je rekening houden met het feit dat niet iedereen goede bedoelingen heeft, maar dat neemt absoluut geen schuld weg bij degene die de wet overtreed.
Verschil in dit geval is, dat deze creditverstrekker gegevens van klanten onveilig op een server zet. Die klanten vragen daar niet om, maar ze worden, zeg maar, figuurlijk meegenomen naar een ongure kroeg. DAN mag je verwachten dat het bedrijf maatregelen neemt om te voorkomen dat ze op hun bek geslagen worden.
niet echt on-topic maar je hebt hier wellicht een kleinpuntje?
dat Rex Mundi gerelateerd is aan Anonymous is onzin.
deze twee zullen misschien bij toeval een paar dezelfde hackers hebben maar Anonymous zal nooit om losgeld vragen van bedrijven.
Anonymous is een hackersgroepering die zich inzet voor idealen.
ik prijs hier Anonymous niet de hemel in want ook in deze groep heb je rotte appels.
maar de meeste leden van Anonymous zetten zich in voor de vrijheid van meningsuiting, een open internet en het aanleveren van echte criminelen aan de politie (gegevens aan de politie uit leveren van mensen die zich bezig houden met kinderporno).
deze twee zullen misschien bij toeval een paar dezelfde hackers hebben maar Anonymous zal nooit om losgeld vragen van bedrijven.
Anonymous is een hackersgroepering die zich inzet voor idealen.
ik prijs hier Anonymous niet de hemel in want ook in deze groep heb je rotte appels.
maar de meeste leden van Anonymous zetten zich in voor de vrijheid van meningsuiting, een open internet en het aanleveren van echte criminelen aan de politie (gegevens aan de politie uit leveren van mensen die zich bezig houden met kinderporno).
Rare aanname inderdaad, of zou dat op basis van alleen de naam van het twitter account van die Rex Mundi_anon zijn geweest? Dan is het nog een vreemde actie om het meteen aan anonymous te koppelen, maar ja... Het moet allemaal niet te onoverzichtelijk worden natuurlijk dus maar alles aan anonymous ophangen. Kan immers iedereen zijn....
Zeer sneu voor de klanten van deze firma. Ik betwijfel ook ten zeerste of deze hackersgroep nobele intenties had voor het geëiste geld. Vind het overigens wel schandalig van Credipret als de informatie daadwerkelijk onbeveiligd opgeslagen stond.
de hackersgroep Rex Mundi, die wellicht gelieerd is aan het losvaste hackersverband Anonymous,
Sleep toch niet steeds dat Anonymous erbij! Door dat te doen woerdt het een zelfverwijzende referentie. Een volgende keer schrijf je dan dat in een eerder bericht Anonymous werd genoemd en het er dus misschien mee te maken heeft.
Sleep toch niet steeds dat Anonymous erbij! Door dat te doen woerdt het een zelfverwijzende referentie. Een volgende keer schrijf je dan dat in een eerder bericht Anonymous werd genoemd en het er dus misschien mee te maken heeft.
Helemaal mee eens. Bovendien vraagt anonymous doorgaans geen losgeld. Afpersen gebeurt misschien wel een beetje, maar niet om geld. Het gaat dan om mensenrechten, misstanden of Assange.
Gelukkig is er geen losgeld betaald. Dit zou alleen maar bevestigen dat het plegen van inbraken in computersystemen loont. Daarnaast speelt dan de discussie op: hoeveel losgeld is 'verantwoord' ? 10.000 euro? 100.000? 10.000.000? Elke euro losgeld zou een verkeerd signaal afgeven.
Hoewel het vreselijk is voor de klanten, is het goed dat een bedrijf imagoverlies lijdt bij een dergelijke inbraak. Dit bevestigt alleen maar voor andere bedrijven dat het investeren in goede beveiliging cruciaal kan zijn voor het voortbestaan van het bedrijf.
Hoewel het vreselijk is voor de klanten, is het goed dat een bedrijf imagoverlies lijdt bij een dergelijke inbraak. Dit bevestigt alleen maar voor andere bedrijven dat het investeren in goede beveiliging cruciaal kan zijn voor het voortbestaan van het bedrijf.
Reken maar dat het loont. De meeste bedrijven zouden meteen betalen. 20.000 euro is peanuts voor zulke bedrijven, dat betalen ze al aan een invalkracht telefoniste via een uitzendbureau in twee maanden.
De oplossing voor dit soort ongewilde hackers praktijken lijkt mij simpel:
Maak een zo onafhankelijk mogelijke partij die een soort veiligheidskeurmerk voor online websites/diensten mogen verstrekken (als die persoonsgegevens willen opslaan). Aangezien het hier om persoonsgegevens gaat lijkt mij de overheid de aangewezen partij maar dat even terzijde.
Deze partij looft beloningen uit voor hackers die kunnen aantonen dat ze een beveiligingslek hebben gevonden bij bedrijf X, en ook direct vertellen hoe het gat gedicht kan worden. Als blijkt dat na x tijd de gegevens niet (aantoonbaar door hen) openbaar zijn gemaakt (op b.v. pastebin) dan krijgt die hackersgroep een beloning die vervolgens door de onafhankelijke partij weer wordt verhaald op het bedrijf waar de gegevens van zijn gestolen. Heeft het bedrijf dan geen zin om te betalen of blijkt na een audit dat de gegevens nog steeds niet veilig zijn dan wordt het keurmerk ingetrokken en mag bedrijf x geen persoonsgegevens meer opslaan.
Hackers kunnen dan kiezen voor de eerlijke weg hierboven of anders is hun schuld voor afpersing praktisch bewezen.
Maak een zo onafhankelijk mogelijke partij die een soort veiligheidskeurmerk voor online websites/diensten mogen verstrekken (als die persoonsgegevens willen opslaan). Aangezien het hier om persoonsgegevens gaat lijkt mij de overheid de aangewezen partij maar dat even terzijde.
Deze partij looft beloningen uit voor hackers die kunnen aantonen dat ze een beveiligingslek hebben gevonden bij bedrijf X, en ook direct vertellen hoe het gat gedicht kan worden. Als blijkt dat na x tijd de gegevens niet (aantoonbaar door hen) openbaar zijn gemaakt (op b.v. pastebin) dan krijgt die hackersgroep een beloning die vervolgens door de onafhankelijke partij weer wordt verhaald op het bedrijf waar de gegevens van zijn gestolen. Heeft het bedrijf dan geen zin om te betalen of blijkt na een audit dat de gegevens nog steeds niet veilig zijn dan wordt het keurmerk ingetrokken en mag bedrijf x geen persoonsgegevens meer opslaan.
Hackers kunnen dan kiezen voor de eerlijke weg hierboven of anders is hun schuld voor afpersing praktisch bewezen.
[Reactie gewijzigd door Elmo_nl op maandag 27 augustus 2012 17:32]
Afpersing is niet goed te praten maar een bedrijf van die omvang heeft een enorm bord voor zijn kop als het voor ¤ 20.000 zoveel reputatieschade voor zijn rekening wil nemen. Dit staat over 10 jaar nog op internet! Als ze één flinke hypotheek verkopen, hebben ze het al terugverdiend.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
