Hacker VS veroordeeld wegens 'stelen' data 120.000 iPad-gebruikers
Een 26-jarige Amerikaan is veroordeeld voor het verkrijgen van toegang tot een computer zonder toestemming en identiteitsdiefstal. In de zomer 2010 wist de man via een lek in de website van provider AT&T de e-mailadressen van ongeveer 120.000 iPad-gebruikers te bemachtigen.
Andrew Auernheier kan voor de misdrijven maximaal 10 jaar cel of een boete van 500.000 dollar opgelegd krijgen. Direct na de uitspraak twitterde hij dat het oordeel te verwachten was en dat hij in hoger beroep zal gaan. Collega-hacker Daniel Spitler bekende al in 2011 schuld maar kreeg nog geen straf opgelegd.
De twee hackers ontdekten in 2010 een lek op de website die AT&T gebruikte voor de activatie van nieuwe iPads. Via het lek kon een e-mailadres worden opgevraagd dat gekoppeld was aan een specifiek icc-id. De hackers schreven samen een script dat het lek automatisch kon exploiteren. Dit script meldde zich op de pagina aan met de user agent-string van de iPad en een random icc-id waarna de website het bijbehorende e-mailadres opgaf. In totaal wisten de twee hackers de gegevens van 120.000 iPad-gebruikers te bemachtigen die zij vervolgens publiceerden.
Auernheimer en Spitler werden in januari 2011 opgepakt op verdenking van de hack. Auernheimer werd kort na de hack ook al opgepakt voor het bezit van drugs. De twee hackers maken deel uit van de hackersgroupering Goatse Security. Zowel Goatse Security als Auernheimer zelf hebben nooit ontkend verantwoordelijk te zijn voor de hack, zij hebben echter wel altijd volgehouden dat ze geen criminele bedoelingen hadden. Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie.
Reacties (34)
"Volgens de twee wilden ze AT&T en zijn klanten waarschuwen met hun actie."
hadden ze beter een mailtje kunnen sturen naar AT&T ipv alles publiceren
hadden ze beter een mailtje kunnen sturen naar AT&T ipv alles publiceren
Staat nergens bij dat ze het niet hebben gedaan. Ik denk dat bij veel grote bedrijven dat soort mails naar /dev/null verdwijnen en je gewoon geen antwoord krijgt.
Ik vind 10 jaar en 500k wel erg extreem en denk (hoop) ook niet dat ze het krijgen. Sterker nog, denk ik dat ze op dit moment al genoeg gestraft zijn als je bedenkt dat hun leven al compleet overhoop ligt.
Ik snap dan ook niet dat die jongens worden gestraft en AT&T vrij uit gaat. Ook zij hebben die e-mail adressen gewoon gepubliceerd op het grote boze internet. Het was niet zo makkelijk als een URL intikken, maar wel gewoon publiek toegankelijk (als je goed kan zoeken).
Het is niet zo dat de 'hackers' enige vorm van beveiliging hebben doorbroken, want die was gewoon afwezig.
Ik vind 10 jaar en 500k wel erg extreem en denk (hoop) ook niet dat ze het krijgen. Sterker nog, denk ik dat ze op dit moment al genoeg gestraft zijn als je bedenkt dat hun leven al compleet overhoop ligt.
Ik snap dan ook niet dat die jongens worden gestraft en AT&T vrij uit gaat. Ook zij hebben die e-mail adressen gewoon gepubliceerd op het grote boze internet. Het was niet zo makkelijk als een URL intikken, maar wel gewoon publiek toegankelijk (als je goed kan zoeken).
Het is niet zo dat de 'hackers' enige vorm van beveiliging hebben doorbroken, want die was gewoon afwezig.
[Reactie gewijzigd door Standeman op 21 november 2012 12:00]
Ik ben het daar niet mee eens. Hoewel 10 jaar wat stevig is, dient deze heer een behoorlijke straf te krijgen. Het doelbewust inbreken en het vervolgens publiceren van de adressen is een stap te ver. Omdat je het allemaal vanaf je luie stoel kan doen maakt het er niet minder erg om. En de heren hebben hun zelf hun leven kapot gemaakt en hopelijk zullen ook toekomstige 'Hackers' even achter hun oren krabben. Natuurlijk dient er ook een onderzoek naar AT&T te worden gedaan of daar verwijtbare handelingen zijn vericht.
Juist het inbreken vind ik een heel erg groot woord.. Ze hebben aan het artikel te zien geen enkele beveiliging doorbroken, maar functionalteit ge(mis)bruikt dat door AT&T zelf online is gezet. De site van AT&T was gewoon harstikke leuk en zij konden met een simpel truukje de gegevens uit de db halen.
Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?
Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?
[Reactie gewijzigd door Standeman op 21 november 2012 13:35]
inbreken is alles wat je zonder autorisatie van de eigenaar doet. Ook dit. Ja, AT&T had de boel beter moeten beveiligen, maar dat geeft niemand het recht om moedwillig in te breken. Het daarna publiceren van die gegevens heeft ze dan ook echt de das om gedaan. Als ze dat niet hadden gedaan had geen rechter ze ooit veroordeeld. Sterker nog, dan was het niet eens voor de rechter gekomen.Tenzij jij een URL aanroepen met een parameter welke door het bedrijf helemaal niet beveiligt is, inbreken wilt noemen?
De Nederlandse wet is hier gelukkig veel duidelijker in, je bent zelf verantwoordelijk dat jij je goed, en dat van anderen waar jij de zorg over hebt goed moet beschermen, afsluiten van die aard. Bijvoorbeeld op straat iets zo maar laat staan, ook niet gek staan kijken dat het pleite is.
URL zonder encryptie of wat dan ook is net als je je spullen zomaar op straat laat staan?
Omdat je in die URL niet elke keer die user wil veranderen hebben ze een script gebruikt.
Dan zouden ze alleen voor publicatie van email adressen zo lang moeten zitten, dat kan je elke internet winkel wel 10 jaar vast zetten voor vrijgeven lijsten met email adress.
Land of the Free
, free my ass, in Texas hangen ze je zo op voor een zakje weed...
URL zonder encryptie of wat dan ook is net als je je spullen zomaar op straat laat staan?
Omdat je in die URL niet elke keer die user wil veranderen hebben ze een script gebruikt.
Dan zouden ze alleen voor publicatie van email adressen zo lang moeten zitten, dat kan je elke internet winkel wel 10 jaar vast zetten voor vrijgeven lijsten met email adress.
Land of the Free
, free my ass, in Texas hangen ze je zo op voor een zakje weed...
Ik ben wel eens vergeten om mijn huis op slot te doen. Als iemand het leeghaalt vind ik het nog steeds diefstal. En natuurlijk ook stom van mij zelf, maar het blijft diefstal.
Ik probeer TNS nipo ook al een week of 2 te bewegen een kritiek gat in hun beveiliging te dichten met mailtjes, op de één of andere manier hebben bedrijven niet zo'n aanwezige motivatie er wat aan te doen, terwijl ik als ik het op mezelf zou betrekken me zou doodschamen dat er er uberhaupt in zit.
Ik kan me best voorstellen dat je Twitter opzoekt op den duur, vooral als het om erg belangrijke data gaat.
Keur het daarmee niet automatisch goed overigens, weet niet wat hier is gebeurd. Maar dat bedrijven mailen dat zal allemaal wel.
Ik kan me best voorstellen dat je Twitter opzoekt op den duur, vooral als het om erg belangrijke data gaat.
Keur het daarmee niet automatisch goed overigens, weet niet wat hier is gebeurd. Maar dat bedrijven mailen dat zal allemaal wel.
[Reactie gewijzigd door Alpha Bootis op 21 november 2012 12:37]
Mailtje sturen naar @Brenno
Artikel op Webwereld werkt wel denk ik
Artikel op Webwereld werkt wel denk ik
Nah, sta wel in contact met ze maar meer ter illustratie hoe dat gaat met het mailen van bedrijven.
Hoe er op gereageerd word dat gaat dus schijnbaar bedroevend traag.
Hoe er op gereageerd word dat gaat dus schijnbaar bedroevend traag.
[Reactie gewijzigd door Alpha Bootis op 21 november 2012 13:36]
Misschien zou er een centraal meldpunt moeten komen voor dit soort dingen. Deze kunnen wat dwingender optreden richting dit soor dove bedrijven,..
Ik denk dat als je 100 ipv 120.000 iPad-gebruikers acounts met e-mail adres had laten zien aan AT&T dat ze dan ook al gelooft hadden dat er een lek was. Maar meteen 120.000 begint dan toch weer verdacht te lijken. En na hoeveel tijd hadden ze dat dan will melden ? Na minder dan een 1/2 dag of een week, dit soort dingen dient toch snel te worden gemeld, ook om geloofwaardig over te komen.
-offtopic-
Goatse komt van Goatse.cx (goat sex) een 'shock website'
Op deze site werd werd als startpagina het plaatje "hello.jpg" getoond waarop de hierboven omschreven man stond.
dit plaatje wordt blijkbaar nog gebruikt door hackers bij het defacen van websites en andere zaken.
bron: http://en.wikipedia.org/wiki/Goatse.cx
Goatse komt van Goatse.cx (goat sex) een 'shock website'
Op deze site werd werd als startpagina het plaatje "hello.jpg" getoond waarop de hierboven omschreven man stond.
dit plaatje wordt blijkbaar nog gebruikt door hackers bij het defacen van websites en andere zaken.
bron: http://en.wikipedia.org/wiki/Goatse.cx
[Reactie gewijzigd door Nounours op 21 november 2012 15:44]
Wat ik dan raar vind is dat "hackers" zo makkelijk te vinden zijn. Je gaat toch niet vanaf je eigen thuis pc even zo'n script laten draaien of ben ik nou gek?
Als ik wat geks wilde doen dan zou ik allereerst NIET mijn eigen machines gebruiken, maar ja ik zal wel ouderwets zijn.
Als ik wat geks wilde doen dan zou ik allereerst NIET mijn eigen machines gebruiken, maar ja ik zal wel ouderwets zijn.
Doen ze ook vast wel, maar er zijn ook mensen in dienst van de overheid of in dienst van AT&T die beschikken over uitstekende hack-vaardigheden, die weten exact hoe ze terug kunnen tracen.
Waarom moet je jezelf verstoppen als je een gat in beveiliging wil aantonen?
Is onze user: "Alpha Bootis" zoals hierboven beschreven nu ook de sjaak omdat hij een lek heeft gevonden en ze nu weten wie hij is? Nee? Pas als hij naar een website als Webwereld stapt en die een artikel plaatsen over wat het lek is, en dus iedereen dat lek kan misbruiken? En dus iedereen bij die gegevens kan?
Kan je net zo goed die gegevens op straat gooien...
Dit gebeurt gewoon omdat er nog geen wetgeving voor is. Overheid moet een Meldpunt maken. En een regel: Gevonden lek, aangeven bij bedrijf + bij dat meldpunt. En als het nog steeds bestaat na X weken = boete voor bedrijf. En op andere manieren van lekken bekend maken (zoals 200.000 adressen of credit card nummers op het net gooien) ook een boete zetten.
Is onze user: "Alpha Bootis" zoals hierboven beschreven nu ook de sjaak omdat hij een lek heeft gevonden en ze nu weten wie hij is? Nee? Pas als hij naar een website als Webwereld stapt en die een artikel plaatsen over wat het lek is, en dus iedereen dat lek kan misbruiken? En dus iedereen bij die gegevens kan?
Kan je net zo goed die gegevens op straat gooien...
Dit gebeurt gewoon omdat er nog geen wetgeving voor is. Overheid moet een Meldpunt maken. En een regel: Gevonden lek, aangeven bij bedrijf + bij dat meldpunt. En als het nog steeds bestaat na X weken = boete voor bedrijf. En op andere manieren van lekken bekend maken (zoals 200.000 adressen of credit card nummers op het net gooien) ook een boete zetten.
Wat ik vreemd vind is dat de man uberhaupt veroordeelt is, het ging hier namelijk helemaal niet om een hack, maar om informatie die met een juiste url publiek beschikbaar was.
Wederom een goed voorbeeld van ondeugdelijke wetgeving, wanneer spreek je over hacken? wanneer is toegang tot een computer of server illigaal?
Ben je een crimineel als data vrij opvraagbaar is en je daarvan een kopie maakt?
http://www.livescience.co...tsec-weev-ipad-trial.html
Wederom een goed voorbeeld van ondeugdelijke wetgeving, wanneer spreek je over hacken? wanneer is toegang tot een computer of server illigaal?
Ben je een crimineel als data vrij opvraagbaar is en je daarvan een kopie maakt?
http://www.livescience.co...tsec-weev-ipad-trial.html
... als ik mijn fiets niet op slot zet mag je hem ook niet zomaar meenemen, of iemand zijn fietsslot openbreken en zeggen dat zijn fiets kan worden gestolen... ik snap dat het net wat anders ligt maar toch een beetje raar dat hier zo anders over wordt gesproken.
en nu snap ik wel dat "goede" hackers er moeten zijn zodat de lekken worden gedicht, maar dan zou je toch zeggen dat ze niet de bestanden online hoeven te zetten (of zoals al gezegd niet alle 120 000) en anders van 50 bestanden de helft ofzo.
desalniettemin vindt ik dit wel een beetje raar dat het zo slecht beveiligd is ... bij een fiets kan je gewoonweg zeggen dat je je sleutel was vergeten maar dat is hier ook niet eens het geval
en nu snap ik wel dat "goede" hackers er moeten zijn zodat de lekken worden gedicht, maar dan zou je toch zeggen dat ze niet de bestanden online hoeven te zetten (of zoals al gezegd niet alle 120 000) en anders van 50 bestanden de helft ofzo.
desalniettemin vindt ik dit wel een beetje raar dat het zo slecht beveiligd is ... bij een fiets kan je gewoonweg zeggen dat je je sleutel was vergeten maar dat is hier ook niet eens het geval
ah, maar het is ook bij wet verboden om iemand te ontnemen van zijn privacy, door de 120 000 bestanden online te zetten is dit dus wel gebeurd.
maar ja ik ben het met je eens dat dit zeer slecht was van AT&T maar toch vind ik dat de daders gestraft moeten worden, misschien niet voor het hacken maar voor het online plaatsen.
eerm als wat duckhamster zegt waar is (geen tijd meer om de link te kijken) dan vindt ik dat wel raar en in zo'n geval zou het inderdaad moeten zijn dat ze vrijuit gaan... de tijd zal het leren toch
(pff at&t geeft 120 000 bestanden weg en ondertussen zeuren dat ik wat torrents aan heb staan
)
maar ja ik ben het met je eens dat dit zeer slecht was van AT&T maar toch vind ik dat de daders gestraft moeten worden, misschien niet voor het hacken maar voor het online plaatsen.
eerm als wat duckhamster zegt waar is (geen tijd meer om de link te kijken) dan vindt ik dat wel raar en in zo'n geval zou het inderdaad moeten zijn dat ze vrijuit gaan... de tijd zal het leren toch
(pff at&t geeft 120 000 bestanden weg en ondertussen zeuren dat ik wat torrents aan heb staan
)
Uit bovenstaande link naar livescience.com:
" Publicizing the breach, but not the data
Goatsec turned to the media-gossip blog Gawker, which broke the story on June 9, 2010 after having received the full list directly from Goatsec. AT&T had already closed the security hole the previous day. Neither GoatSec nor Gawker ever publicly released the sensitive information. Nevertheless, federal prosecutors in January 2011 charged the two GoatSec members"
Blijkbaar is de data niet eens gepubliceerd?
" Publicizing the breach, but not the data
Goatsec turned to the media-gossip blog Gawker, which broke the story on June 9, 2010 after having received the full list directly from Goatsec. AT&T had already closed the security hole the previous day. Neither GoatSec nor Gawker ever publicly released the sensitive information. Nevertheless, federal prosecutors in January 2011 charged the two GoatSec members"
Blijkbaar is de data niet eens gepubliceerd?
op het eerste gelinkte artikel van cnet staat
1e alinea:
has been found guilty of breaking into an AT&T Web site and stealing data of more than 100,000 iPad users.
Laatste alinea[i]
Auernheimer admitted that the hackers had compromised the AT&T 3G iPad customer Web site and released data on 120,000 accounts but said they did so with the intention of warning AT&T and protecting consumers.
Ze zijn dus schuldig gevonden aan het inbreken en stelen van gegevens, niet voor het publiceren of iets dergelijks. Al is het niet echt duidelijk wat er nu met die gegevens geeurt is..
1e alinea:
has been found guilty of breaking into an AT&T Web site and stealing data of more than 100,000 iPad users.
Laatste alinea[i]
Auernheimer admitted that the hackers had compromised the AT&T 3G iPad customer Web site and released data on 120,000 accounts but said they did so with the intention of warning AT&T and protecting consumers.
Ze zijn dus schuldig gevonden aan het inbreken en stelen van gegevens, niet voor het publiceren of iets dergelijks. Al is het niet echt duidelijk wat er nu met die gegevens geeurt is..
Ik las vandaag een blog die hier volgens mij precies de spijker op de kop staat wat dit betreft. Veel mensen die alleen al een PC kunnen bedienen zullen hier wel begrip voor hebben
Bron: http://erratasec.blogspot...ting-crime-right-now.html... what are the limits of implicit authorization? Let’s say you are reading a website that has “articleId=31337” at the end. You wonder what the next article is, so you go to the URL and change it “articleId=31338” and hit return. Have you “exceeded authorized access”? It’s hard to say. If article “31337” is public, why not “31338”?
But in our scenario, let’s say that article “31338” is a press release that is not intended to be published until tomorrow announcing the quarterly corporate earnings. While the article itself is online, a link to it won’t be posted to the home page until tomorrow, so not even Google spiders can find it. Because you’ve gotten early access, you can make a huge profit buying/selling stocks.
Is it your fault for accessing the pre-posted financial results? Or their fault for making them accessible? What does the Computer Fraud and Abuse Act say on this matter?
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
