Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 102, views: 11.618 •

Henk Krol, fractievoorzitter van 50Plus, wordt vervolgd voor computervredebreuk. Hij downloadde begin dit jaar medische dossiers nadat hij erachter kwam dat patiŽntgegevens eenvoudig in te zien waren. Krol zegt uit maatschappelijk oogpunt gehandeld te hebben.

Fractievoorzitter Krol is nog niet gedagvaard maar heeft wel een brief gekregen van het Openbaar Ministerie met de melding dat hij voor de rechter moet verschijnen wegens computervredebreuk. Half april werd er aangifte gedaan van diefstal van gegevens door medisch onderzoekscentrum Diagnostiek voor U uit Eindhoven, waarbij het centrum naar medewerkers van 50Plus verwees. Een lid van de partij ontdekte dat patiëntgegevens eenvoudig in te zien waren via Cyberlab, een site voor medische professionals: de vijfcijferige inlognaam voor artsen zou hetzelfde zijn geweest als het wachtwoord.

Krol verifieerde de claim van zijn partijgenoot en wilde de zwakke beveiliging aankaarten bij Diagnostiek voor U. "Ik kreeg te horen dat ik dit maar schriftelijk moest melden", zegt hij tegen Nu.nl. Daarop stapte hij naar Omroep Brabant. Hij downloadde als bewijs enkele dossiers. Volgens het centrum werden in totaal zeventien medische dossiers ingezien. Diagnostiek Voor U biedt diensten aan voor ziekenhuizen, huisartsen en bloedbanken. Krol kon onder andere inzien welke medicijnen mensen gebruikten en of ze alcoholverslaafd waren.

Ook de man die Krol tipte over de gebrekkige beveiliging zal vervolgd worden. Onbekend is hoe deze aan de inlognaam van de arts kwam. Naast de twee zou verder niemand zich zonder toestemming toegang verschaft hebben tot de medische database van Diagnostiek voor U.

Reacties (102)

Reactiefilter:-1102090+159+210+31
Wel een labiel figuur die een wachtwoord doorspeelt, verder nogal stom van de organisatie om de rest zo knullig te beveiligen dat Krol er in kan. Nu vind ik het verkeerd dat Krol de schuld krijgt. De schuld ligt bij degene die het wachtwoord beschikbaar heeft gesteld en bij de organisatie die de zaak niet goed beveiligd heeft. Verder vind ik het totaal overbodig dat het OM zich daar over gaat buigen. Blaas de boel niet zo op. Straks gaat het weer een paar ton kosten om een onderzoek in te stellen terwijl de zaak al lang duidelijk is. Dit ligt op het niveau van bankpasje samen met de pincode in je portemonnaie voor de deur leggen en dan een klacht indienen bij koningin Beatrix dat het geld van de rekening is gehaald.
"Nu vind ik het verkeerd dat Krol de schuld krijgt."

Huh? Krol had nooit van dat wachtwoord gebruik mogen maken.
Als ik jou vertel dat een school in de fik kan en je een paar lucifers en een sloot benziene meegeef dan ben je nog steeds zelf erantwoordelijk voor het wel of niet in de hens steken van een school. Althans, als je toerekeningsvatbaar bent.

Dus er ligt zeker ook verantwoordelijkheid bij Krol.
Wat een onzin! De heer Krol heeft duidelijk geprobeerd als klokkeluider te fungeren en misstanden aan te kaarten. Ik weet niet of je dat weet, maar het is toch echt de bedoeling van een kamerlidmaatschap. Jouw vergelijking met benzine, lucifer en brandstichting raakt kant nog wal en kan worden verwezen naar het rijk van de onzin. Nu krijgt de boodschapper van het slechte nieuws het op zijn brood: een totaal omgekeerde wereld!
Het ligt niet helemaal zo simpel. Hoewel het artikel suggereert dat Henk Krol een klokkenluider is waarbij hij zich beroept op 'handelen vanuit maatschappelijk oogpunt', zijn er nog een paar vragen waar we hier geen antwoord op krijgen.

Heeft meneer Krol bijvoorbeeld informatie ingezien van vrienden, kennissen, bekenden of andere mensen waarbij deze inbraak (wellicht dus met hoger doel) diende om de nieuwsgierige Henkie van informatie te voorzien waar hij helemaal niks mee te maken heeft. Of met wie heeft hij de informatie gedeeld? Hoe is de precieze volgorde van correspondentie met Diagnostiek voor U verlopen?

Hoewel het tot nu toe uitblijven van een dagvaarding aangeeft dat het OM ook neigt naar het standpunt van klokkenluiderij wil dat op basis van deze informatie dus nog niet zeggen dat het per definitie ook direct waar is.

[Reactie gewijzigd door Gracus op 4 december 2012 17:46]

Meneer Krol heeft een wachtwoord en gebruikersnaam gekregen. Dan is er geen sprake meer van aankaarten van gebrekkige beveiliging, maar van computervredebreuk.

Gebrekkige beveiliging is wanneer je zonder inloggen die gegevens kunt zien. Gebrekkige beveiliging is wanneer je met een simpele sql injectie in kan loggen. Gebrekkige beveiliging is wanneer je met 'Admin' en 'Wachtwoord' kan inloggen.

Hier is allemaal geen sprake van. Krol heeft gewoon wat inloggegevens gekregen en claimt daarmee dat er gebrekkige beveiliging is.

Het verbaast mij dat heel veel mensen dit goed proberen te praten. Probeer je het ook goed te praten als iemand je huis binnenloopt om te zeggen dat je voordeur niet op slot zit, en vervolgens wegloopt met je laptop?
Dus jij vindt het goede beveiliging om de username en password gelijk te laten zijn? Wil je svp even je echte naam vermelden zodat we allemaal weten jou nooit aan te nemen voor een functie van enig belang?
Wat er niet vermeld wordt is of de username en password bij alle artsen het zelfde zijn of dat dit alleen zo was bij de arts waar er nu misbruik van gemaakt is.

Dus ligt het aan het systeem of aan de gebruiker. De zwakste schakel bij de meeste beveiligings systemen is de gebruiker die in de regel te voor de hand liggende wachtwoorden kiest of deze slecht bewaard.
Het systeem zou niet mogen toestaan dat een passwoord gelijk is aan de username.
Elk programma heeft de mogelijkheid om voorwaarden te stellen aan een te gebruiken password. Zo doet Windows het ook al jaren, als je domein beheerder dat heeft ingesteld.

In dat opzicht heeft dit bedrijf zeker een steek laten vallen. En aangezien het om data van derden gaat lijkt mij dat zeer kwalijk.
hoe had hij anders kunnen bevestigen dat het systeem zo lek als een zeef was?

iemand anders de opdracht geven en die de pineut laten zijn.

een kamerlid moet toch echt bevestiging zoeken als iets gemeld word en kan niet zomaar van de toren gaan scheeuwen zoals veel kamerleden tegenwoordig doen.
met als resultaat dat ze later woorden moeten terugnemen of moeten toegeven dat ze de feten niet hadden.

als je info krijgt controleer je die en dan pas trek je je scheur open en dus is het verantwoord wat mij betreft.
als hij het immers niet gedaan had hadden ze nooit zeker geweten dat het zo makkelijk was.

het is dan ook gewoon ziek dat fouten als dit gewoon weggewuift worden door de rijke stinketds in deze maatschappij en het gewoon doorgaat volgens plan en dat de burger of degene die het probeerd te veranderen verantwoordelijk word gehouden.
gewoon de omgekeerde wereld hier.
Meneer Krol was ten tijde van zijn actie nog geen kamerlid !
Op dat moment was hij nog altijd journalist, of op zijn minst onderzoeker.

Maar in gťťn van de gevallen had hij het rechtom met de inlogcodes van een derde te neuzen in een systeem.

De inlogcode van betreffende arts is wat anders dan de dossiers die pas DAN slecht beveiligd waren.
Het systeem zelf klopt niet, maar zolang de betreffende arts niet zijn code aan de wereld schonk, viel het mee.
(correct is anders, maar het standpunt 'slecht beveiligd' valt ook wel weer mee)

[Reactie gewijzigd door FreshMaker op 5 december 2012 09:33]

In dit geval hoort de kamerlid helemaal niet vervolgd te worden.
Mijn inziens heeft hij gedaan wat hij had moeten doen, constateren en het probleem aan de kaak stellen. Niks doen was helemaal geen optie.

Dat de instantie slordig met zijn beveiliging om is gegaan treft meer blaam.

Ik zeg: "pleit hem vrij"
Henk Krol een hacker???

Die man is van de bejaardenpartij...
Hahahaha jah dat viel me ook al op :+ , waarschijnlijk heeft zijn 'Tipper' op de pc van Henk Krol die gegevens gedownload en zijn ze dus op die manier erachter gekomen 8-)
De gemiddelde 50+er heeft een betere conditie dan de gemiddelde jeugd ...
En dit berust natuurlijk op een zeer uitgebreid onderzoek....
Ik had graag uitgekeken naar een toekomst waar 50ers als bejaarde beschouwd worden. Ik ga waarschijnlijk 20 jaar als 'bejaarde' kunnen werken nu.
Mooi is dat.

Hoe kun je anders bewijzen dat iets lek is, anders dan door, uiteraard illegaal, toegang te nemen??
Het is algemeen bekend hoe er in NL met klokkeluiders om wordt gegaan. Dit bericht verrast mij in elk geval niet.
Er achter komen dat het systeem onveilig was zou al bekend zijn zodra het userid en wachtwoord waren ingevoerd en hij toegang had. Als dan direct de eigenaar/website waren ingelicht betwijfel ik ten zeerste dat er ook maar iemand vervolgt zou worden. Maar hij is gaan spitten in de gegevens en daadwerkelijk dossiers gaan downloaden.

Als ik mijn voordeur niet op slot zou hebben gedaan of de keypad op de deur staat per ongeluk nog op 0000 dan is voldoende om de deur even open te doen en naar binnen te roepen of een briefje achter te laten. Het is niet netjes en ongewenst om naar binnen te gaan, door mijn papieren te snuffelen en en eventueel kopieŽn te maken.

Het is leuk dat mensen interesse tonen in de beveiliging van systemen, maar dat geeft nog niet het recht om in te breken op die systemen. Of wil jij een baksteen door je raam zien vliegen met een briefje er aan vast "Uw huis is niet veilig, wellicht dat u sterkere ramen nodig heeft..."? Of 's nachts naar de WC gaan en een enge vent in de gang tegen komen die tegen je begint "Euh... Volgens mij heeft u betere sloten nodig...".
als ik toegang had zou ik ook kijken inhoevere de toegang is, oftewel, wat kan je met de toegang, hoe ernstig is het lek... dat je daarbij dan wat download kan prima, en toont maar weer eens aan hoe lek het zelfs in de medische wereld is (laatst ook al aangetoond)

de mensen die de beveiliging niet op zaken hebben en de hogen pieten die zo min mogelijk geld ervoor uit willen geven moeten eens een flinke straf krijgen ipv de mensen die een lek vinden

[Reactie gewijzigd door Remmes_NT op 4 december 2012 15:00]

Het kan zijn dat je nog meer zwakheden wil blootleggen en gaat kijken of je bv root toegang kan krijgen. Echter, het lijkt mij vrij logisch dat als je inlogt als arts je toegang hebt tot de patiŽnt gegevens van die arts. Aantonen dat je, eenmaal ingelogd als arts, dus inderdaad bij persoonlijke gegevens kan lijkt me geen toegevoegde waarde hebben.

Ook is er weinig bekend over het echte beveiligingsprobleem. Was het enkel deze arts die een dom wachtwoord gekozen had of waren het alle artsen. Was het wijzigen van het wachtwoord mogelijk? Hoewel er geen goede beveiliging lijkt te zijn geweest is het nog maar de vraag of dat ook daadwerkelijk zo was. Als ik jou pin code achterhaal en je pinpas "leen" kan ik ook je bankrekening leegtrekken. Dat wil niet zeggen dat de beveiliging van alle pinpassen niet op orde is. Enkel dat jij (of hier de arts) wel wat zorgvuldiger met je spullen moet om gaan.

Een simpel wachtwoord kiezen als gebruiker is een fout van die individuele gebruiker, een simpel wachtwoord verplichten is een beveiligingsprobleem. Volgens dit artikel is er een wachtwoord uitgelekt en is aangetoond dat met dat wachtwoord valt in te loggen. Niet dat je hetzelfde trucje ook op alle andere accounts kan toepassen. In mijn ogen is vervolging (wat niet automatisch ook een veroordeling betekent) dan ook terecht. Inloggen op een account waarvan je een wachtwoord weet is namelijk niet automatisch hetzelfde als het aantonen van een beveiligingslek. Integendeel, de meeste mensen die op andermans accounts inloggen doen dat om informatie te verkrijgen die men anders niet zou hebben.

Welk motief hier speelt en of er een beveiligingsprobleem was laat ik in het midden. Maar dat dit onderzocht wordt door justitie kan ik alleen maar toejuichen. Beter wel onderzoeken en concluderen dat er niets aan de hand is dan maar op voorhand aannemen dat er niets aan de hand kan zijn omdat het zo'n lieve oude man is. De "buitgemaakte" gegevens zijn tenslotte belangrijk en het moet duidelijk zijn dat misbruik van die gegevens een ernstige zaak is.
Als ik mijn voordeur niet op slot zou hebben gedaan of de keypad op de deur staat per ongeluk nog op 0000 dan is voldoende om de deur even open te doen en naar binnen te roepen of een briefje achter te laten.
Je bent dan strafbaar omdat je gelegenheid geeft tot diefstal.

De politie had nog niet zo heel lang geleden een campagne waarbij woningen die niet goed afgesloten waren binnen werden gegaan en nam daarbij zaken mee.
Bewoners die aangifte kwamen doen van inbraak en/of diefstal kregen daarop een standje.

edit: zinsbouw

[Reactie gewijzigd door guapper op 4 december 2012 15:18]

@Quote guapper: "De politie had nog niet zo heel lang geleden een campagne waarbij woningen die niet goed afgesloten waren binnen werden gegaan en nam daarbij zaken mee.
Bewoners die aangifte kwamen doen van inbraak en/of diefstal kregen daarop een standje."

Euh...! Ik twijfel ten zeerste of de actie van de politie hierbij legitiem is geweest.

[Reactie gewijzigd door BUR op 4 december 2012 15:50]

Je bent dan strafbaar omdat je gelegenheid geeft tot diefstal.
Onzin, je deur niet op slot doen is niet strafbaar in Nederland. Denk nu toch even na voor je iets post tweakers.
[...]


Onzin, je deur niet op slot doen is niet strafbaar in Nederland. Denk nu toch even na voor je iets post tweakers.
Je bent dan niet strafbaar, wel dom natuurlijk. Als er dan wat wordt gejat zal de politie je alleen maar uitlachen als je aangifte doet.

Als je je fiets ergens laat slingeren moet je je ook niet verwonderen als iemand hem meeneemt. Is het dan diefstal? Zat toch geen naamkaartje op? Niet op slot? Volgens mij is ie dan gewoon eerlijk gevonden en heb je als 'rechtmatige eigenaar' pech.

Ik zie niet in waarom dat nu ineens met data anders zou moeten zijn.
Er is niet zoiets als "gelegenheid geven tot diefstal", wel zoiets als "uitlokking tot diefstal" en daarbij dient er opzet te zijn, dus geen ongelukjes.

Als ik de sleutels in de auto laat zitten en de deur open dan is de auto meenemen nog steeds diefstal, dat geld ook met een fiets of je voordeur. Bezit is niet 9/10e van de wet!

Natuurlijk is de verzekering niet de wet en die hebben aanvullende richtlijnen die te maken hebben met de beveiliging van je goederen. Die heb je ook bij bedrijfsverzekeringen.

In dit geval is het trouwens geen issue van de beveiligende partij, maar van de gebruiker. Of denk je soms dat het in software standaard gebeurt om te kijken of het wachtwoord gelijk is aan het userid?
@Cergorach ik zou hopen dat een dusdanig confidentieel en belangrijk systeem inderdaad dit soort onzin niet toestaat en direct een foutmelding teruggeeft bij een niet lang/complex genoeg wachtwoord. Als ik me wil aanmelden op een willekeurige fansite krijg ik dat immers ook dus het lijkt me niet echt complexe codeklopperij ;)
als jij je deur niet op slot doet kan jij fluiten naar je centen van de verzekering, dus strafbaar nee, maar wel stom want weg geld
[...]

Je bent dan strafbaar omdat je gelegenheid geeft tot diefstal.

De politie had nog niet zo heel lang geleden een campagne waarbij woningen die niet goed afgesloten waren binnen werden gegaan en nam daarbij zaken mee.
Bewoners die aangifte kwamen doen van inbraak en/of diefstal kregen daarop een standje.
Ja, dan zou mijn vervolgactie zijn aangifte bij de officier van justitie.
NIEMAND heeft het recht zich wederechterlijk toegang te verschaffen tot mijn woning.

Ook een agent van politie niet.
Dat is strafbaar, sterker, uit hoofde van de functie zelfs zwaarder.

Dit heet diefstal, en zal de betreffende agenten niet licht aangerekend worden.
Orders zijn orders, en die BS zullen niet helpen.
Een briefje in de auto, over niet op slot zijn en veiligheid is het randje van acceptabel, maar daadwerkejk spullen ontvreemden EN dan een standje krijgen ?
Wat, zijn we kleuters ?l
Dat is leuk maar die tip gever word dus ook vervolgd terwijl er niet staat dat hij dingen heeft gedownload of uberhaupt heeft ingezien :). Die tipgever heeft dus een zwakheid gevonden, samen met iemand gemeld en te horen gekregen dat hij het maar schriftelijk moet melden. Nu word die vervolgt omdat die andere persoon daarna stug die dossiers ging downloaden >.> .
Wellicht is je interpretatie van
Krol verifieerde de claim van zijn partijgenoot en wilde de zwakke beveiliging aankaarten bij Diagnostiek voor U. "Ik kreeg te horen dat ik dit maar schriftelijk moest melden", zegt hij tegen Nu.nl. Daarop stapte hij naar Omroep Brabant. Hij downloadde als bewijs enkele dossiers.
anders dan de mijne, maar ik interpreteer het als dat hij ze pas downloade NAdat hij het had aangekaart en het schriftelijk moest doen.
Ja dus het is niet duidelijk of die partijgenoot ook heeft gedownload of niet. Als die alleen de zwakke beveiliging aankaarte en nu dus ook word vervolgd is dat een beetje krom.
inloggen wil nog niet altijd betekenen dat je toegang heb.
Als ik mijn voordeur niet op slot zou hebben gedaan of de keypad op de deur staat per ongeluk nog op 0000 dan is voldoende om de deur even open te doen en naar binnen te roepen of een briefje achter te laten. Het is niet netjes en ongewenst om naar binnen te gaan, door mijn papieren te snuffelen en en eventueel kopieŽn te maken
Deze vergelijking loopt mank.Het is niet de artsen hun eigen huis met hun eigen spullen erin, maar zij krijgen toegang tot een kluisje met spullen van ons allemaal erin.Daar zijn zij voor verantwoordelijk.Vervolgens blijkt het deurtje heel makkelijk open te gaan.Als iemand daar iets van zegt wordt daar niet naar geluisterd.Dat is ook nog eens een politicus, wiens taak het is om voor onze belangen op te komen.Niks mis mee imho.
Dat hij dit vervolgens beter op een andere manier aanhangig had kunnen maken ben ik met je eens :)

[Reactie gewijzigd door blobber op 4 december 2012 23:23]

Hij had natuurlijk ook alleen zijn eigen dossier kunnen downloaden. Dan toon je ook het lek aan. Waarom hij gegevens van 17 personen heeft binnengehaald is natuurlijk niet netjes.
Nee, Als je inlogt heb je sowieso toegang tot je eigen dossier.
De grap was (voorzover ik weet) dat je de pincode in de URL even aanpaste, en dan de gegevens van een ander voor je kiezen kreeg.
lezen mensen de berichten nog wel eens?
Een lid van de partij ontdekte dat patiŽntgegevens eenvoudig in te zien waren via Cyberlab, een site voor medische professionals: de vijfcijferige inlognaam voor artsen zou hetzelfde zijn geweest als het wachtwoord.
misschien heeft ie wel dossiers uitgezocht waar in niets te zien was zodat er in iedergeval niets op straat komt te liggen.
Je kunt het ook gewoon melden nadat iemand dit aan je verteld heeft.
Verifieren is nergens voor nodig.
melden en dan 3 maanden wachten... want zo gaat dat altijd wanneer er maar een enkeling van afweet, pas zodra het publiekelijk word gemaakt dan wilt men opeens wel dingen gaan patchen en natuurlijk aanklagen, want inbreken/hacken mag niet :+ slecht beveiligen is natuurlijk prima
Het vervolgen van dit soort mensen is toch achterlijk. Als ze nu eens die idoten die dit soort gegevens op straat gooien bestraffen...
Je kan ze erop wijzen, jezelf daar uitnodigen, instanties ervan op de hoogte brengen die erover gaan. Je breekt ook niet bij iemand in om te laten zien dat het makkelijk kan, en steelt vervolgens iets als "bewijs". Mensen denken dat het bij het internet opeens allemaal mag en kan.

Het is gewoon stom van die Meneer. Rare aanpak. Stel hij had het in de tweede kamer gebruikt dan was het misschien iets anders, maar om er vervolgens mee naar de publieke omroep te lopen? Het is gewoon allemaal slecht doordacht. Ik geloof echt niet dat hij kwaad in de zin had, maar het is gewoon een domme actie van hem. Jammer, volgende keer beter :) Leren van je fouten.,.
Bijna correcte vergelijking.

Er is echter helemaal niets 'gestolen'.

Gekopieerd, jazeker, maar om het te vergelijken met inbraak en diefstal is niet helemaal correct.
Voor inbraak is geen diefstal nodig, dus die vergelijking gaat wel gewoon op.
er is data gestolen.. Dat noemen we datadiefstal. Is een helaas normale vorm van diefstal.
Daarnaast is er een bestaande beveiliging bewust geforceerd/misbruikt= Computervredebreuk.
jawel hij heeft kennis gestolen die hij anders niet had.
stelen is niet altijd hier - en daar +
jawel hij heeft kennis gestolen die hij anders niet had.
stelen is niet altijd hier - en daar +
Dan heet het kopiŽren, niet stelen. Als ik door jouw raam met de televisie meekijk dan steel ik toch ook niet je kabelabonnement?
Ohh da's een nieuwe ....
Chapeau !
[...]


Dan heet het kopiŽren, niet stelen. Als ik door jouw raam met de televisie meekijk dan steel ik toch ook niet je kabelabonnement?
Dat is meekijken en dit is dus een verkeerde vergelijking. In dit geval staat er iemand door jouw raam jouw televisie te filmen. Hij kan het dan zo vaak terug zien en verspreiden als hij wil, zeker wel diefstal dus.
Hij heeft gewoon dom gehandeld. In plaats van ervoor te kiezen schriftelijk melding te maken zoals verzocht, stap je naar de publieke omroep? Dan moet je toch op je klompen aanvoelen dat je niet juist handelt.

Daarnaast door dit soort zaken openbaar te stellen geef je gemakkelijker toegang tot kwaadwillenden om ook de dossiers weg te plukken, maar in dat geval ervoor te kiezen om deze verder te verspreiden of op andere wijzen misbruiken.

Ik vind het vervolgen van dit soort mensen dan ook zeer zeker niet zozeer achterlijk. Niet zozeer wegens het feit dat ze de systemen binnenkwamen en hier melding van wilde maken, maar juist wegens het feit dat ze het lek eigenlijk direct op eigen initiatief openbaren zonder met het desbetreffende bedrijf eraan te willen werken het probleem op te lossen.

Veel dingen kun je namelijk niet even aan de telefoon afhandelen, gezien de secretaresse welk je aan de lijn krijgt je nu niet 1, 2, 3 verder kan helpen met het oplossen van een probleem als dit. En ook al krijg je iemand hoger dan de secretaresse te spreken, ze vaak ook 1, 2, 3 niet bevoegd voldoende zijn om alleen dit soort besluiten te kunnen maken.

@Standeman: Echter is in dit geval niet eens getracht de melding te maken op gevraagde wijze. Daardoor is het slechts gissen of dit bedrijf er niets mee gedaan zal hebben. Dan alsnog zijn er andere manieren te bedenken waarop dit aangepakt zou kunnen worden als je bemerkt dat er onjuist verkregen toegang mogelijk is tot medische dossiers. Geeft een instantie geen gehoor? Probeer het bijv. eens bij de inspectie voor gezondheidszorg om te kijken hoe zij dit soort problemen afhandelen.

Of in geval van kamerlid.... probeer het eens met kamervragen?

[Reactie gewijzigd door psychodude op 4 december 2012 16:06]

Probleem is wel dat er vaak niets gebeurd naar zo'n melding. Vaak ook niet na de tweede of de derde. Veel bedrijven / personen hebben een sterkere prikkel nodig om in actie te komen.

Zelf ben ik ook wel eens achter een beveiligingslek gekomen. Ik heb de dus de beheerder een e-mail gestuurd dat er een gat in de dienst zat die nog wel eens nare gevolgen voor hun zou kunnen hebben.

Ik kreeg een mail terug dat ik me er niet mee moest bemoeien :/
"Naast de twee zou verder niemand zich zonder toestemming toegang verschaft hebben tot de medische database van Diagnostiek voor U."
Naast dat deze kamerlid in de verste verte geen "hacker" is lijkt het mij toch echt lastig om met zo'n knullig systeem (zoals uit de nieuws artikelen schijnt in ieder geval) te kunnen stellen dat alleen zij twee toegang hebben gehad.

Ook staat mij iets bij van een uitspraak van het gerecht dat een slechte beveiliging (zoals dit) kan worden beschouwd als open deur bij een inbraak. (dan zou het dus gevalletje eigen schuld van beheerder zijn.)

Verder wel goed dat het OM er iets mee doet natuurlijk, maar heeft wel iets weg van handelen om te lijken iets te doen,i.p.v. echt dingen aanpakken. (tenminste dat is mijn mening).

Edit: inbraak stukje toegevoegd.

[Reactie gewijzigd door Sysosmaster op 4 december 2012 14:50]

Het zou goed zijn als het OM Krol zou serieus nemen i.p.v. hem te vervolgen.
De kamerlid vervolgen kost onnodig tijd, compleet zinloos.

Wat had meneer Krol moeten doen? verzwijgen? negeren? ... of domweg een melding maken zonder vorm van constatering? Of zou hij misschien toch juist gehandeld hebben alleen is er met zijn melding gewoon laconiek omgegaan, niet serieus genomen en compleet genegeerd.

En de vervolging kost ons alleen maar onterecht belasting centjes, misschien moet men eens gaan handelen met wijsheid.
Ze zouden Cyberlab moeten vervolgen en niet deze oude man, kom op "inlognaam voor artsen zou hetzelfde zijn geweest als het wachtwoord" dat mag niet eens mogelijk zijn vanuit een standpunt van veiligheid qua IT.
In plaats van dat wij dit soort 'klokkenluiders' huldigen gaan we iemand strafrechtelijk vervolgen. Aan de ene kant snap ik dat leden van de Tweede Kamer een voorbeeldfunctie hebben en zich daarom zeker aan de wet moeten houden.

Aan de andere kant gaan we dan weer geld verspillen door het onderzoeken en strafrechtelijk vervolgen van personen die zulke belangrijke dingen aan de kaak stellen. Dit bedrijf had de beveiliging gewoon op orde moeten hebben.

Dat er onderzoek wordt gedaan kan ik nog enigszins begrijpen, aangezien niet helemaal duidelijk is hoe het partijlid van 50 Plus aan de username en het wachtwoord is gekomen.

[Reactie gewijzigd door oohh op 4 december 2012 14:49]

Hij heeft gewoon zijn plicht gedaan maar tegenwoordig is dat strafbaar.
Ah, krijgen we deze weer. Als bedrijf hebben we belabberde security (in dit geval een rampzalige password policy), maar als iemand het aan de kaak stelt dan gaan we gewoon procederen tot we erbij neervallen uit pure rancune.

Op zich wel goed hoor, want zo voorkom je dat er misbruik van de situatie gemaakt wordt, maar ik vind dat er op het moment dat dan volgens de rechter bewezen is dat het puur was om de boel aan de kaak te stellen dat er wel een bepaalde straf de andere kant op mag gaan. Daar hoeft de klokkenluider niet beter van te worden, maar het zorgt er wellicht voor dat iemand die een dergelijk probleem aan de kaak stelt op een manier die wel effect sorteert (ipv een mailtje naar een ict-afdeling die te arrogant is om er wat aan te doen, danwel er geen tijd/budget voor krijgt) een bedankje krijgt en dat alleen de mensen die er misbruik van proberen te maken worden aangepakt.
Dit is geen hack, dit is oneigenlijk gebruik maken van iemands inlognaam en wachtwoord. Sowieso ronduit slordig dat dit bij een ander bekend is geworden en de verantwoordelijke arts mag wat mij betreft ook een onderzoek aan zijn broek krijgen maar van hacken is hier geen enkele sprake.

Terecht dus dat het OM besluit tot vervolging over te gaan.
Ik sanp die "dus" niet in jouw conclusie.

Het is te gek voor woorden dat het password hetzelfde is als de inlognaam. Die laatste is namelijk niet geheim, en daarmee is je gehele security aan diggelen.

En het lijkt me overduidelijk dat dit oneigenlijk gebruik niet voor eigen, of criminele doeleinden is gebruikt, maar puur en alleen om een misstand aan te tonen.
Dat mag het onderzoek aantonen. En natuurlijk is het te gek voor woorden dat die combinatie hetzelfde is, echter die gegevens dienen toch ook geheim te zijn? Die combinatie mag natuurlijk nooit, echt een faal van het systeem maar het kan net zo goed zijn dat de arts zijn/haar wachtwoord had moeten wijzigen en dit nooit gedaan heeft of om het makkelijk te maken voor zichzelf deze gegevens gelijk aan elkaar gemaakt heeft.

Daarnaast zijn er nu dus bewust zeer persoonlijke gegevens gedownload en heeft deze man de gegevens aan omroep brabant laten zien. Dit is hartstikke strafbaar. hoe zou jij het vinden als jouw dossier ter voorbeeld werd gebruikt voor zoiets?

Nogmaals in mijn inziens compleet terecht dat deze man vervolgd wordt.
Dus jij vindt het prima om prive gegevens op straat te flikkeren onder het motto van journalistiek?

Deze man heeft niks gehacked he, hij heeft misbruik gemaakt van de gebruikersnaam/wachtwoord combinatie. Dat deze uitermate zwak was doet verder niet ter zake. Maar goed als hij het hierbij had gehouden was het nog klaar en had ik het ook zeker gemeld.

Deze man heeft de grove fout gemaakt om ter bewijzvoering die gegevens ook daadwerkelijk te downloaden en te laten zien. Hier gaat hij te ver in. Ik zeg ook niet dat hij een zware straf moet krijgen, gezien zijn positie is het zelfs aannemelijk dat het hier ging om maatschappelijk belang. Echter is het vervolgens aan de rechter om hier een oordeel over te vellen, het OM heeft de taak om voor deze daad tot vervolging over te gaan, zo werkt het nou eenmaal. De wet is overtreden dus er wordt tot vervolging overgegaan, of hier een straf uit rolt is aan de rechter.
Er zijn geen privť gegevens op straat geflikkerd.

Hij moet voor de rechter verschijnen voor hacken.

Hij verdient een lintje i.p.v. een straf.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013