Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 34, views: 13.381 •

Een 26-jarige Amerikaan is veroordeeld voor het verkrijgen van toegang tot een computer zonder toestemming en identiteitsdiefstal. In de zomer 2010 wist de man via een lek in de website van provider AT&T de e-mailadressen van ongeveer 120.000 iPad-gebruikers te bemachtigen.

Andrew Auernheier kan voor de misdrijven maximaal 10 jaar cel of een boete van 500.000 dollar opgelegd krijgen. Direct na de uitspraak twitterde hij dat het oordeel te verwachten was en dat hij in hoger beroep zal gaan. Collega-hacker Daniel Spitler bekende al in 2011 schuld maar kreeg nog geen straf opgelegd.

De twee hackers ontdekten in 2010 een lek op de website die AT&T gebruikte voor de activatie van nieuwe iPads. Via het lek kon een e-mailadres worden opgevraagd dat gekoppeld was aan een specifiek icc-id. De hackers schreven samen een script dat het lek automatisch kon exploiteren. Dit script meldde zich op de pagina aan met de user agent-string van de iPad en een random icc-id waarna de website het bijbehorende e-mailadres opgaf. In totaal wisten de twee hackers de gegevens van 120.000 iPad-gebruikers te bemachtigen die zij vervolgens publiceerden.

Auernheimer en Spitler werden in januari 2011 opgepakt op verdenking van de hack. Auernheimer werd kort na de hack ook al opgepakt voor het bezit van drugs. De twee hackers maken deel uit van de hackersgroupering Goatse Security. Zowel Goatse Security als Auernheimer zelf hebben nooit ontkend verantwoordelijk te zijn voor de hack, zij hebben echter wel altijd volgehouden dat ze geen criminele bedoelingen hadden. Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie.

Reacties (34)

"Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie."

hadden ze beter een mailtje kunnen sturen naar AT&T ipv alles publiceren
Staat nergens bij dat ze het niet hebben gedaan. Ik denk dat bij veel grote bedrijven dat soort mails naar /dev/null verdwijnen en je gewoon geen antwoord krijgt.

Ik vind 10 jaar en 500k wel erg extreem en denk (hoop) ook niet dat ze het krijgen. Sterker nog, denk ik dat ze op dit moment al genoeg gestraft zijn als je bedenkt dat hun leven al compleet overhoop ligt.

Ik snap dan ook niet dat die jongens worden gestraft en AT&T vrij uit gaat. Ook zij hebben die e-mail adressen gewoon gepubliceerd op het grote boze internet. Het was niet zo makkelijk als een URL intikken, maar wel gewoon publiek toegankelijk (als je goed kan zoeken).
Het is niet zo dat de 'hackers' enige vorm van beveiliging hebben doorbroken, want die was gewoon afwezig.

[Reactie gewijzigd door Standeman op 21 november 2012 12:00]

Ik ben het daar niet mee eens. Hoewel 10 jaar wat stevig is, dient deze heer een behoorlijke straf te krijgen. Het doelbewust inbreken en het vervolgens publiceren van de adressen is een stap te ver. Omdat je het allemaal vanaf je luie stoel kan doen maakt het er niet minder erg om. En de heren hebben hun zelf hun leven kapot gemaakt en hopelijk zullen ook toekomstige 'Hackers' even achter hun oren krabben. Natuurlijk dient er ook een onderzoek naar AT&T te worden gedaan of daar verwijtbare handelingen zijn vericht.
Juist het inbreken vind ik een heel erg groot woord.. Ze hebben aan het artikel te zien geen enkele beveiliging doorbroken, maar functionalteit ge(mis)bruikt dat door AT&T zelf online is gezet. De site van AT&T was gewoon harstikke leuk en zij konden met een simpel truukje de gegevens uit de db halen.

Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?

[Reactie gewijzigd door Standeman op 21 november 2012 13:35]

Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?
inbreken is alles wat je zonder autorisatie van de eigenaar doet. Ook dit. Ja, AT&T had de boel beter moeten beveiligen, maar dat geeft niemand het recht om moedwillig in te breken. Het daarna publiceren van die gegevens heeft ze dan ook echt de das om gedaan. Als ze dat niet hadden gedaan had geen rechter ze ooit veroordeeld. Sterker nog, dan was het niet eens voor de rechter gekomen.
De Nederlandse wet is hier gelukkig veel duidelijker in, je bent zelf verantwoordelijk dat jij je goed, en dat van anderen waar jij de zorg over hebt goed moet beschermen, afsluiten van die aard. Bijvoorbeeld op straat iets zo maar laat staan, ook niet gek staan kijken dat het pleite is.

URL zonder encryptie of wat dan ook is net als je je spullen zomaar op straat laat staan?
Omdat je in die URL niet elke keer die user wil veranderen hebben ze een script gebruikt.

Dan zouden ze alleen voor publicatie van email adressen zo lang moeten zitten, dat kan je elke internet winkel wel 10 jaar vast zetten voor vrijgeven lijsten met email adress.

Land of the Free 8)7 , free my ass, in Texas hangen ze je zo op voor een zakje weed...
land of the free whoever told you that is your enemy!
Ik ben wel eens vergeten om mijn huis op slot te doen. Als iemand het leeghaalt vind ik het nog steeds diefstal. En natuurlijk ook stom van mij zelf, maar het blijft diefstal.
Zo lang bank medewerkers ons (volk) voor miljarden op kunnen lichten en alleen hun bonus in hoeven te leveren (als ze al iets in moeten leveren) zouden we het er allemaal over eens moeten zijn dat deze straffen extreem ver buiten proportie liggen.

Om nog maar niet te spreken over Badr Hari's die gewoon vrij rond lopen op dit moment. Want hij is zo zielig en toch bekend enzo...
badr hari zit alweer een week vast ongeveer?
Ik probeer TNS nipo ook al een week of 2 te bewegen een kritiek gat in hun beveiliging te dichten met mailtjes, op de één of andere manier hebben bedrijven niet zo'n aanwezige motivatie er wat aan te doen, terwijl ik als ik het op mezelf zou betrekken me zou doodschamen dat er er uberhaupt in zit.
Ik kan me best voorstellen dat je Twitter opzoekt op den duur, vooral als het om erg belangrijke data gaat.
Keur het daarmee niet automatisch goed overigens, weet niet wat hier is gebeurd. Maar dat bedrijven mailen dat zal allemaal wel.

[Reactie gewijzigd door Alpha Bootis op 21 november 2012 12:37]

Mailtje sturen naar @Brenno

Artikel op Webwereld werkt wel denk ik :)
Nah, sta wel in contact met ze maar meer ter illustratie hoe dat gaat met het mailen van bedrijven.
Hoe er op gereageerd word dat gaat dus schijnbaar bedroevend traag.

[Reactie gewijzigd door Alpha Bootis op 21 november 2012 13:36]

Misschien zou er een centraal meldpunt moeten komen voor dit soort dingen. Deze kunnen wat dwingender optreden richting dit soor dove bedrijven,..
Het probleem is dat zoiets door de overheid opgezet zou moeten worden. En juist daar schort het aan IT kennis.

Het publiceren van vertrouwelijke klanten data is de verkeerde manier om de aandacht op een lek te vestigen. Daarmee schaadt je tenslotte onschuldige klanten in plaats van alleen het bedrijf in het nieuws te brengen.
Om het voorbeeld van de openstaande deur te gebruiken: Wanneer je ziet dat iemand vergeet zijn of haar deur op slot te doen kan je hem of haar proberen te waarschuwen, of je kan de politie bellen zodat zij kunnen gaan kijken en een woordje met de eigenaar kunnen wisselen. Maar het huis binnengaan en de spullen op straat leggen als bewijs dat het niet goed is beveiligd is de verkeerde manier.

Als het om beveiliging gaat wil je dat een meldpunt neutraal is en erg competent. Ze moeten tenslotte hacks en bugs kunnen herkennen en testen, en de desbetreffende bedrijven of instellingen kunnen adviseren. Het moment dat ze niet neutraal zijn heb je weer het risico dat ze een concurrent inlichten in plaats van het bedrijf zelf, of dat ze gewoon niets doen met een melding. Daarom moet het vanuit de overheid geregeld worden, en daarvoor moeten er bij de overheid security experts/(ex-)hackers in dienst worden genomen.
Ik denk dat als je 100 ipv 120.000 iPad-gebruikers acounts met e-mail adres had laten zien aan AT&T dat ze dan ook al gelooft hadden dat er een lek was. Maar meteen 120.000 begint dan toch weer verdacht te lijken. En na hoeveel tijd hadden ze dat dan will melden ? Na minder dan een 1/2 dag of een week, dit soort dingen dient toch snel te worden gemeld, ook om geloofwaardig over te komen.
Goatse security, wat een naam.

Maar dit hadden ze inderdaad veel beter kunnen aanpaken, wat was het doel eigelijk van deze actie ?
Goatse security, wat een naam.
Inderdaad volgens urbandictionairy:
A disgusting picture of a man stretching his anus extremely wide.
Bron: http://www.urbandictionary.com/define.php?term=goatse
-offtopic-
Goatse komt van Goatse.cx (goat sex) een 'shock website'
Op deze site werd werd als startpagina het plaatje "hello.jpg" getoond waarop de hierboven omschreven man stond.

dit plaatje wordt blijkbaar nog gebruikt door hackers bij het defacen van websites en andere zaken.

bron: http://en.wikipedia.org/wiki/Goatse.cx

[Reactie gewijzigd door Nounours op 21 november 2012 15:44]

Wat ik dan raar vind is dat "hackers" zo makkelijk te vinden zijn. Je gaat toch niet vanaf je eigen thuis pc even zo'n script laten draaien of ben ik nou gek?

Als ik wat geks wilde doen dan zou ik allereerst NIET mijn eigen machines gebruiken, maar ja ik zal wel ouderwets zijn.
Doen ze ook vast wel, maar er zijn ook mensen in dienst van de overheid of in dienst van AT&T die beschikken over uitstekende hack-vaardigheden, die weten exact hoe ze terug kunnen tracen.
Waarom moet je jezelf verstoppen als je een gat in beveiliging wil aantonen?

Is onze user: "Alpha Bootis" zoals hierboven beschreven nu ook de sjaak omdat hij een lek heeft gevonden en ze nu weten wie hij is? Nee? Pas als hij naar een website als Webwereld stapt en die een artikel plaatsen over wat het lek is, en dus iedereen dat lek kan misbruiken? En dus iedereen bij die gegevens kan?

Kan je net zo goed die gegevens op straat gooien...

Dit gebeurt gewoon omdat er nog geen wetgeving voor is. Overheid moet een Meldpunt maken. En een regel: Gevonden lek, aangeven bij bedrijf + bij dat meldpunt. En als het nog steeds bestaat na X weken = boete voor bedrijf. En op andere manieren van lekken bekend maken (zoals 200.000 adressen of credit card nummers op het net gooien) ook een boete zetten.
Dan mogen die bedrijven wel fikse boetes krijgen, dus geen miljoen voor AT&T, maar eerder honderd miljoen, anders gaan ze nooit wat investeren in betere beveiliging.
Wat ik vreemd vind is dat de man uberhaupt veroordeelt is, het ging hier namelijk helemaal niet om een hack, maar om informatie die met een juiste url publiek beschikbaar was.

Wederom een goed voorbeeld van ondeugdelijke wetgeving, wanneer spreek je over hacken? wanneer is toegang tot een computer of server illigaal?

Ben je een crimineel als data vrij opvraagbaar is en je daarvan een kopie maakt?

http://www.livescience.co...tsec-weev-ipad-trial.html
Jaja, dus als je auto gestolen wordt, accepteer jij het als de crimineel zegt dat het met de juiste "tools" publiek beschikbaar was...?
... als ik mijn fiets niet op slot zet mag je hem ook niet zomaar meenemen, of iemand zijn fietsslot openbreken en zeggen dat zijn fiets kan worden gestolen... ik snap dat het net wat anders ligt maar toch een beetje raar dat hier zo anders over wordt gesproken.

en nu snap ik wel dat "goede" hackers er moeten zijn zodat de lekken worden gedicht, maar dan zou je toch zeggen dat ze niet de bestanden online hoeven te zetten (of zoals al gezegd niet alle 120 000) en anders van 50 bestanden de helft ofzo.

desalniettemin vindt ik dit wel een beetje raar dat het zo slecht beveiligd is ... bij een fiets kan je gewoonweg zeggen dat je je sleutel was vergeten maar dat is hier ook niet eens het geval :)
Dat ligt wel heel anders ja, als ik je fiets meeneem, ontneem ik je van je eigendom, dat is bij wet verboden.
Maar als je de gehele c drive via een P2P programma deelt, moet je niet gaan klagen als ik de data download.
het gaat uiteindelijk om het volgende, je knalt een gehele database op het net, zonder beveiliging, waarvan men de gegevens met een juiste url gewoon op kan halen...
spreek je dan nog over hacken? of download je data die publiek beschikbaar is?
ah, maar het is ook bij wet verboden om iemand te ontnemen van zijn privacy, door de 120 000 bestanden online te zetten is dit dus wel gebeurd.

maar ja ik ben het met je eens dat dit zeer slecht was van AT&T maar toch vind ik dat de daders gestraft moeten worden, misschien niet voor het hacken maar voor het online plaatsen.
eerm als wat duckhamster zegt waar is (geen tijd meer om de link te kijken) dan vindt ik dat wel raar en in zo'n geval zou het inderdaad moeten zijn dat ze vrijuit gaan... de tijd zal het leren toch

(pff at&t geeft 120 000 bestanden weg en ondertussen zeuren dat ik wat torrents aan heb staan :Y) )
Uit bovenstaande link naar livescience.com:

" Publicizing the breach, but not the data
Goatsec turned to the media-gossip blog Gawker, which broke the story on June 9, 2010  after having received the full list directly from Goatsec. AT&T had already closed the security hole the previous day. Neither GoatSec nor Gawker ever publicly released the sensitive information. Nevertheless, federal prosecutors in January 2011 charged the two GoatSec members"

Blijkbaar is de data niet eens gepubliceerd?
Interessant! In dat geval vind ik de straf veelste zwaar. Publiceren van de gegevens vind ik not-done. Maar in dit geval vind ik dat de hackers er met een waarschuwing vanaf zouden moeten komen...
op het eerste gelinkte artikel van cnet staat
1e alinea:
has been found guilty of breaking into an AT&T Web site and stealing data of more than 100,000 iPad users.

Laatste alinea[i]
Auernheimer admitted that the hackers had compromised the AT&T 3G iPad customer Web site and released data on 120,000 accounts but said they did so with the intention of warning AT&T and protecting consumers.
Ze zijn dus schuldig gevonden aan het inbreken en stelen van gegevens, niet voor het publiceren of iets dergelijks. Al is het niet echt duidelijk wat er nu met die gegevens geeurt is..
Amai, dit is al een zware crimineel: diefstal, junkie, lid van hackersorganisatie. Opsluiten!
Ik las vandaag een blog die hier volgens mij precies de spijker op de kop staat wat dit betreft. Veel mensen die alleen al een PC kunnen bedienen zullen hier wel begrip voor hebben
... what are the limits of implicit authorization? Let’s say you are reading a website that has “articleId=31337” at the end. You wonder what the next article is, so you go to the URL and change it “articleId=31338” and hit return. Have you “exceeded authorized access”? It’s hard to say. If article “31337” is public, why not “31338”?

But in our scenario, let’s say that article “31338” is a press release that is not intended to be published until tomorrow announcing the quarterly corporate earnings. While the article itself is online, a link to it won’t be posted to the home page until tomorrow, so not even Google spiders can find it. Because you’ve gotten early access, you can make a huge profit buying/selling stocks.

Is it your fault for accessing the pre-posted financial results? Or their fault for making them accessible? What does the Computer Fraud and Abuse Act say on this matter?
Bron: http://erratasec.blogspot...ting-crime-right-now.html

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013