Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 34, views: 13.397 •

Een 26-jarige Amerikaan is veroordeeld voor het verkrijgen van toegang tot een computer zonder toestemming en identiteitsdiefstal. In de zomer 2010 wist de man via een lek in de website van provider AT&T de e-mailadressen van ongeveer 120.000 iPad-gebruikers te bemachtigen.

Andrew Auernheier kan voor de misdrijven maximaal 10 jaar cel of een boete van 500.000 dollar opgelegd krijgen. Direct na de uitspraak twitterde hij dat het oordeel te verwachten was en dat hij in hoger beroep zal gaan. Collega-hacker Daniel Spitler bekende al in 2011 schuld maar kreeg nog geen straf opgelegd.

De twee hackers ontdekten in 2010 een lek op de website die AT&T gebruikte voor de activatie van nieuwe iPads. Via het lek kon een e-mailadres worden opgevraagd dat gekoppeld was aan een specifiek icc-id. De hackers schreven samen een script dat het lek automatisch kon exploiteren. Dit script meldde zich op de pagina aan met de user agent-string van de iPad en een random icc-id waarna de website het bijbehorende e-mailadres opgaf. In totaal wisten de twee hackers de gegevens van 120.000 iPad-gebruikers te bemachtigen die zij vervolgens publiceerden.

Auernheimer en Spitler werden in januari 2011 opgepakt op verdenking van de hack. Auernheimer werd kort na de hack ook al opgepakt voor het bezit van drugs. De twee hackers maken deel uit van de hackersgroupering Goatse Security. Zowel Goatse Security als Auernheimer zelf hebben nooit ontkend verantwoordelijk te zijn voor de hack, zij hebben echter wel altijd volgehouden dat ze geen criminele bedoelingen hadden. Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie.

Reacties (34)

En welke straf hangt AT&T boven het hoofd voor nalatigheid? ik hoop toch minstens een vergelijkbare strafmaat..
Ik las vandaag een blog die hier volgens mij precies de spijker op de kop staat wat dit betreft. Veel mensen die alleen al een PC kunnen bedienen zullen hier wel begrip voor hebben
... what are the limits of implicit authorization? Let’s say you are reading a website that has “articleId=31337” at the end. You wonder what the next article is, so you go to the URL and change it “articleId=31338” and hit return. Have you “exceeded authorized access”? It’s hard to say. If article “31337” is public, why not “31338”?

But in our scenario, let’s say that article “31338” is a press release that is not intended to be published until tomorrow announcing the quarterly corporate earnings. While the article itself is online, a link to it won’t be posted to the home page until tomorrow, so not even Google spiders can find it. Because you’ve gotten early access, you can make a huge profit buying/selling stocks.

Is it your fault for accessing the pre-posted financial results? Or their fault for making them accessible? What does the Computer Fraud and Abuse Act say on this matter?
Bron: http://erratasec.blogspot...ting-crime-right-now.html
Amai, dit is al een zware crimineel: diefstal, junkie, lid van hackersorganisatie. Opsluiten!
op het eerste gelinkte artikel van cnet staat
1e alinea:
has been found guilty of breaking into an AT&T Web site and stealing data of more than 100,000 iPad users.

Laatste alinea[i]
Auernheimer admitted that the hackers had compromised the AT&T 3G iPad customer Web site and released data on 120,000 accounts but said they did so with the intention of warning AT&T and protecting consumers.
Ze zijn dus schuldig gevonden aan het inbreken en stelen van gegevens, niet voor het publiceren of iets dergelijks. Al is het niet echt duidelijk wat er nu met die gegevens geeurt is..
Uit bovenstaande link naar livescience.com:

" Publicizing the breach, but not the data
Goatsec turned to the media-gossip blog Gawker, which broke the story on June 9, 2010  after having received the full list directly from Goatsec. AT&T had already closed the security hole the previous day. Neither GoatSec nor Gawker ever publicly released the sensitive information. Nevertheless, federal prosecutors in January 2011 charged the two GoatSec members"

Blijkbaar is de data niet eens gepubliceerd?
Interessant! In dat geval vind ik de straf veelste zwaar. Publiceren van de gegevens vind ik not-done. Maar in dit geval vind ik dat de hackers er met een waarschuwing vanaf zouden moeten komen...
... als ik mijn fiets niet op slot zet mag je hem ook niet zomaar meenemen, of iemand zijn fietsslot openbreken en zeggen dat zijn fiets kan worden gestolen... ik snap dat het net wat anders ligt maar toch een beetje raar dat hier zo anders over wordt gesproken.

en nu snap ik wel dat "goede" hackers er moeten zijn zodat de lekken worden gedicht, maar dan zou je toch zeggen dat ze niet de bestanden online hoeven te zetten (of zoals al gezegd niet alle 120 000) en anders van 50 bestanden de helft ofzo.

desalniettemin vindt ik dit wel een beetje raar dat het zo slecht beveiligd is ... bij een fiets kan je gewoonweg zeggen dat je je sleutel was vergeten maar dat is hier ook niet eens het geval :)
Dat ligt wel heel anders ja, als ik je fiets meeneem, ontneem ik je van je eigendom, dat is bij wet verboden.
Maar als je de gehele c drive via een P2P programma deelt, moet je niet gaan klagen als ik de data download.
het gaat uiteindelijk om het volgende, je knalt een gehele database op het net, zonder beveiliging, waarvan men de gegevens met een juiste url gewoon op kan halen...
spreek je dan nog over hacken? of download je data die publiek beschikbaar is?
ah, maar het is ook bij wet verboden om iemand te ontnemen van zijn privacy, door de 120 000 bestanden online te zetten is dit dus wel gebeurd.

maar ja ik ben het met je eens dat dit zeer slecht was van AT&T maar toch vind ik dat de daders gestraft moeten worden, misschien niet voor het hacken maar voor het online plaatsen.
eerm als wat duckhamster zegt waar is (geen tijd meer om de link te kijken) dan vindt ik dat wel raar en in zo'n geval zou het inderdaad moeten zijn dat ze vrijuit gaan... de tijd zal het leren toch

(pff at&t geeft 120 000 bestanden weg en ondertussen zeuren dat ik wat torrents aan heb staan :Y) )
Wat ik vreemd vind is dat de man uberhaupt veroordeelt is, het ging hier namelijk helemaal niet om een hack, maar om informatie die met een juiste url publiek beschikbaar was.

Wederom een goed voorbeeld van ondeugdelijke wetgeving, wanneer spreek je over hacken? wanneer is toegang tot een computer of server illigaal?

Ben je een crimineel als data vrij opvraagbaar is en je daarvan een kopie maakt?

http://www.livescience.co...tsec-weev-ipad-trial.html
Jaja, dus als je auto gestolen wordt, accepteer jij het als de crimineel zegt dat het met de juiste "tools" publiek beschikbaar was...?
Wat ik dan raar vind is dat "hackers" zo makkelijk te vinden zijn. Je gaat toch niet vanaf je eigen thuis pc even zo'n script laten draaien of ben ik nou gek?

Als ik wat geks wilde doen dan zou ik allereerst NIET mijn eigen machines gebruiken, maar ja ik zal wel ouderwets zijn.
Doen ze ook vast wel, maar er zijn ook mensen in dienst van de overheid of in dienst van AT&T die beschikken over uitstekende hack-vaardigheden, die weten exact hoe ze terug kunnen tracen.
Waarom moet je jezelf verstoppen als je een gat in beveiliging wil aantonen?

Is onze user: "Alpha Bootis" zoals hierboven beschreven nu ook de sjaak omdat hij een lek heeft gevonden en ze nu weten wie hij is? Nee? Pas als hij naar een website als Webwereld stapt en die een artikel plaatsen over wat het lek is, en dus iedereen dat lek kan misbruiken? En dus iedereen bij die gegevens kan?

Kan je net zo goed die gegevens op straat gooien...

Dit gebeurt gewoon omdat er nog geen wetgeving voor is. Overheid moet een Meldpunt maken. En een regel: Gevonden lek, aangeven bij bedrijf + bij dat meldpunt. En als het nog steeds bestaat na X weken = boete voor bedrijf. En op andere manieren van lekken bekend maken (zoals 200.000 adressen of credit card nummers op het net gooien) ook een boete zetten.
Dan mogen die bedrijven wel fikse boetes krijgen, dus geen miljoen voor AT&T, maar eerder honderd miljoen, anders gaan ze nooit wat investeren in betere beveiliging.
Goatse security, wat een naam.

Maar dit hadden ze inderdaad veel beter kunnen aanpaken, wat was het doel eigelijk van deze actie ?
Goatse security, wat een naam.
Inderdaad volgens urbandictionairy:
A disgusting picture of a man stretching his anus extremely wide.
Bron: http://www.urbandictionary.com/define.php?term=goatse
-offtopic-
Goatse komt van Goatse.cx (goat sex) een 'shock website'
Op deze site werd werd als startpagina het plaatje "hello.jpg" getoond waarop de hierboven omschreven man stond.

dit plaatje wordt blijkbaar nog gebruikt door hackers bij het defacen van websites en andere zaken.

bron: http://en.wikipedia.org/wiki/Goatse.cx

[Reactie gewijzigd door Nounours op 21 november 2012 15:44]

Ik denk dat als je 100 ipv 120.000 iPad-gebruikers acounts met e-mail adres had laten zien aan AT&T dat ze dan ook al gelooft hadden dat er een lek was. Maar meteen 120.000 begint dan toch weer verdacht te lijken. En na hoeveel tijd hadden ze dat dan will melden ? Na minder dan een 1/2 dag of een week, dit soort dingen dient toch snel te worden gemeld, ook om geloofwaardig over te komen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013