Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 34, views: 13.406 •

Een 26-jarige Amerikaan is veroordeeld voor het verkrijgen van toegang tot een computer zonder toestemming en identiteitsdiefstal. In de zomer 2010 wist de man via een lek in de website van provider AT&T de e-mailadressen van ongeveer 120.000 iPad-gebruikers te bemachtigen.

Andrew Auernheier kan voor de misdrijven maximaal 10 jaar cel of een boete van 500.000 dollar opgelegd krijgen. Direct na de uitspraak twitterde hij dat het oordeel te verwachten was en dat hij in hoger beroep zal gaan. Collega-hacker Daniel Spitler bekende al in 2011 schuld maar kreeg nog geen straf opgelegd.

De twee hackers ontdekten in 2010 een lek op de website die AT&T gebruikte voor de activatie van nieuwe iPads. Via het lek kon een e-mailadres worden opgevraagd dat gekoppeld was aan een specifiek icc-id. De hackers schreven samen een script dat het lek automatisch kon exploiteren. Dit script meldde zich op de pagina aan met de user agent-string van de iPad en een random icc-id waarna de website het bijbehorende e-mailadres opgaf. In totaal wisten de twee hackers de gegevens van 120.000 iPad-gebruikers te bemachtigen die zij vervolgens publiceerden.

Auernheimer en Spitler werden in januari 2011 opgepakt op verdenking van de hack. Auernheimer werd kort na de hack ook al opgepakt voor het bezit van drugs. De twee hackers maken deel uit van de hackersgroupering Goatse Security. Zowel Goatse Security als Auernheimer zelf hebben nooit ontkend verantwoordelijk te zijn voor de hack, zij hebben echter wel altijd volgehouden dat ze geen criminele bedoelingen hadden. Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie.

Reacties (34)

"Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie."

hadden ze beter een mailtje kunnen sturen naar AT&T ipv alles publiceren
Ik denk dat als je 100 ipv 120.000 iPad-gebruikers acounts met e-mail adres had laten zien aan AT&T dat ze dan ook al gelooft hadden dat er een lek was. Maar meteen 120.000 begint dan toch weer verdacht te lijken. En na hoeveel tijd hadden ze dat dan will melden ? Na minder dan een 1/2 dag of een week, dit soort dingen dient toch snel te worden gemeld, ook om geloofwaardig over te komen.
Goatse security, wat een naam.

Maar dit hadden ze inderdaad veel beter kunnen aanpaken, wat was het doel eigelijk van deze actie ?
Goatse security, wat een naam.
Inderdaad volgens urbandictionairy:
A disgusting picture of a man stretching his anus extremely wide.
Bron: http://www.urbandictionary.com/define.php?term=goatse
Staat nergens bij dat ze het niet hebben gedaan. Ik denk dat bij veel grote bedrijven dat soort mails naar /dev/null verdwijnen en je gewoon geen antwoord krijgt.

Ik vind 10 jaar en 500k wel erg extreem en denk (hoop) ook niet dat ze het krijgen. Sterker nog, denk ik dat ze op dit moment al genoeg gestraft zijn als je bedenkt dat hun leven al compleet overhoop ligt.

Ik snap dan ook niet dat die jongens worden gestraft en AT&T vrij uit gaat. Ook zij hebben die e-mail adressen gewoon gepubliceerd op het grote boze internet. Het was niet zo makkelijk als een URL intikken, maar wel gewoon publiek toegankelijk (als je goed kan zoeken).
Het is niet zo dat de 'hackers' enige vorm van beveiliging hebben doorbroken, want die was gewoon afwezig.

[Reactie gewijzigd door Standeman op 21 november 2012 12:00]

Wat ik dan raar vind is dat "hackers" zo makkelijk te vinden zijn. Je gaat toch niet vanaf je eigen thuis pc even zo'n script laten draaien of ben ik nou gek?

Als ik wat geks wilde doen dan zou ik allereerst NIET mijn eigen machines gebruiken, maar ja ik zal wel ouderwets zijn.
Doen ze ook vast wel, maar er zijn ook mensen in dienst van de overheid of in dienst van AT&T die beschikken over uitstekende hack-vaardigheden, die weten exact hoe ze terug kunnen tracen.
Ik probeer TNS nipo ook al een week of 2 te bewegen een kritiek gat in hun beveiliging te dichten met mailtjes, op de één of andere manier hebben bedrijven niet zo'n aanwezige motivatie er wat aan te doen, terwijl ik als ik het op mezelf zou betrekken me zou doodschamen dat er er uberhaupt in zit.
Ik kan me best voorstellen dat je Twitter opzoekt op den duur, vooral als het om erg belangrijke data gaat.
Keur het daarmee niet automatisch goed overigens, weet niet wat hier is gebeurd. Maar dat bedrijven mailen dat zal allemaal wel.

[Reactie gewijzigd door Alpha Bootis op 21 november 2012 12:37]

Mailtje sturen naar @Brenno

Artikel op Webwereld werkt wel denk ik :)
Nah, sta wel in contact met ze maar meer ter illustratie hoe dat gaat met het mailen van bedrijven.
Hoe er op gereageerd word dat gaat dus schijnbaar bedroevend traag.

[Reactie gewijzigd door Alpha Bootis op 21 november 2012 13:36]

Wat ik vreemd vind is dat de man uberhaupt veroordeelt is, het ging hier namelijk helemaal niet om een hack, maar om informatie die met een juiste url publiek beschikbaar was.

Wederom een goed voorbeeld van ondeugdelijke wetgeving, wanneer spreek je over hacken? wanneer is toegang tot een computer of server illigaal?

Ben je een crimineel als data vrij opvraagbaar is en je daarvan een kopie maakt?

http://www.livescience.co...tsec-weev-ipad-trial.html
Ik ben het daar niet mee eens. Hoewel 10 jaar wat stevig is, dient deze heer een behoorlijke straf te krijgen. Het doelbewust inbreken en het vervolgens publiceren van de adressen is een stap te ver. Omdat je het allemaal vanaf je luie stoel kan doen maakt het er niet minder erg om. En de heren hebben hun zelf hun leven kapot gemaakt en hopelijk zullen ook toekomstige 'Hackers' even achter hun oren krabben. Natuurlijk dient er ook een onderzoek naar AT&T te worden gedaan of daar verwijtbare handelingen zijn vericht.
Misschien zou er een centraal meldpunt moeten komen voor dit soort dingen. Deze kunnen wat dwingender optreden richting dit soor dove bedrijven,..
Juist het inbreken vind ik een heel erg groot woord.. Ze hebben aan het artikel te zien geen enkele beveiliging doorbroken, maar functionalteit ge(mis)bruikt dat door AT&T zelf online is gezet. De site van AT&T was gewoon harstikke leuk en zij konden met een simpel truukje de gegevens uit de db halen.

Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?

[Reactie gewijzigd door Standeman op 21 november 2012 13:35]

... als ik mijn fiets niet op slot zet mag je hem ook niet zomaar meenemen, of iemand zijn fietsslot openbreken en zeggen dat zijn fiets kan worden gestolen... ik snap dat het net wat anders ligt maar toch een beetje raar dat hier zo anders over wordt gesproken.

en nu snap ik wel dat "goede" hackers er moeten zijn zodat de lekken worden gedicht, maar dan zou je toch zeggen dat ze niet de bestanden online hoeven te zetten (of zoals al gezegd niet alle 120 000) en anders van 50 bestanden de helft ofzo.

desalniettemin vindt ik dit wel een beetje raar dat het zo slecht beveiligd is ... bij een fiets kan je gewoonweg zeggen dat je je sleutel was vergeten maar dat is hier ook niet eens het geval :)
Uit bovenstaande link naar livescience.com:

" Publicizing the breach, but not the data
Goatsec turned to the media-gossip blog Gawker, which broke the story on June 9, 2010  after having received the full list directly from Goatsec. AT&T had already closed the security hole the previous day. Neither GoatSec nor Gawker ever publicly released the sensitive information. Nevertheless, federal prosecutors in January 2011 charged the two GoatSec members"

Blijkbaar is de data niet eens gepubliceerd?
Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?
inbreken is alles wat je zonder autorisatie van de eigenaar doet. Ook dit. Ja, AT&T had de boel beter moeten beveiligen, maar dat geeft niemand het recht om moedwillig in te breken. Het daarna publiceren van die gegevens heeft ze dan ook echt de das om gedaan. Als ze dat niet hadden gedaan had geen rechter ze ooit veroordeeld. Sterker nog, dan was het niet eens voor de rechter gekomen.
Zo lang bank medewerkers ons (volk) voor miljarden op kunnen lichten en alleen hun bonus in hoeven te leveren (als ze al iets in moeten leveren) zouden we het er allemaal over eens moeten zijn dat deze straffen extreem ver buiten proportie liggen.

Om nog maar niet te spreken over Badr Hari's die gewoon vrij rond lopen op dit moment. Want hij is zo zielig en toch bekend enzo...
De Nederlandse wet is hier gelukkig veel duidelijker in, je bent zelf verantwoordelijk dat jij je goed, en dat van anderen waar jij de zorg over hebt goed moet beschermen, afsluiten van die aard. Bijvoorbeeld op straat iets zo maar laat staan, ook niet gek staan kijken dat het pleite is.

URL zonder encryptie of wat dan ook is net als je je spullen zomaar op straat laat staan?
Omdat je in die URL niet elke keer die user wil veranderen hebben ze een script gebruikt.

Dan zouden ze alleen voor publicatie van email adressen zo lang moeten zitten, dat kan je elke internet winkel wel 10 jaar vast zetten voor vrijgeven lijsten met email adress.

Land of the Free 8)7 , free my ass, in Texas hangen ze je zo op voor een zakje weed...
land of the free whoever told you that is your enemy!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBLG

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013