Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 49, views: 29.757 •

De hacker die gegevens stal van meer dan honderdduizend iPad-eigenaren is door de rechter veroordeeld tot 41 maanden celstraf. Hij stal in 2010 met een collega de gegevens door een beveiligingslek op de servers van de Amerikaanse telecomprovider AT&T.

Het gaat om de hacker Andrew Auernheimer die in november vorig jaar al veroordeeld werd vanwege zijn betrokkenheid bij de 'iPad-hack'. Nu is ook de straf bekend: de Amerikaan krijgt drie jaar en vijf maanden celstraf opgelegd. Na de gevangenistermijn staat Auernheimer echter ook nog drie jaar onder observatie. De hacker heeft al aangegeven tegen de beslissing in beroep te gaan: volgens Auernheimer was de server van AT&T, waaruit de iPad-gegevens zijn bemachtigd, slecht beveiligd; dit zou volgens de Amerikaan diefstal van gegevens uitlokken.

Door de hack bij telecomprovider AT&T slaagde Auernheimer en medeplichtige Daniel Spitler erin om de gegevens van ongeveer 120.000 iPad-gebruikers te stelen. Daarbij bemachtigden zij de e-mailadressen behorend bij een icc-id, een identificatienummer dat gebruikt wordt om een iPad bij de Amerikaanse telco te registreren. De hackers schreven een script dat ervoor zorgde dat de user agent-string van de iPad en een random icc-id werd verstuurd, waarna de website het bijbehorende e-mailadres opgaf.

Reacties (49)

Ik mag er toch vanuit gaan dat zijn argument voor het hoger beroep als klinkklare onzin word gezien. Om maar de vergelijking met een open deur van een huis wederom aan te halen.

41 maanden celstraf vind ik in dit geval ook zeker terecht. Mocht je dan toch een lek vinden, dan meld je dat natuurlijk netjes i.p.v. deze gegevens stelen (en eventueel misbruiken).
Ik moet zeggen dat dat ook redelijk eenzijdig is, ik stel me het zo voor:
  1. Eerst zie je dat je gegevens vooringevuld zijn als je een pagina vanaf je ipad opent en verrast bent hoe dat kan.
  2. Je vogelt uit dat het op basis van de user agent string word gedaan
  3. Je probeert die icc-id een paar keer te veranderen en plots zie je gegevens van een andere gebruiker en denkt: WOW, dit is slecht :O
  4. Je denkt: dit kan nooit, waarschijnlijk limiteren ze het aantal requests wat je doet, eens proberen en schrijft een scriptje om random icc-id's te genereren.
En dan pas komt het echt cruciale moment:
  • Verkocht hij de gegevens dan verdient hij zonder tweede gedachte 2 of meer jaar straf
  • Publiceerde hij de gegevens online openlijk beschikbaar dan verdient hij straf, maar lijkt me zelfs een langere taakstraf voldoende
  • Publiceerde hij de gegevens achter een "check whether your email was hacked" form zoals sommige hackers doen of publiceerde hij het uberhaupt niet (behalve dat het hem was gelukt in algemene zin), dan zou ik zeggen: laat het lekker oncomfortable onderzocht worden, maar als echt blijkt dat het bovenstaande niet van toepassing was, straf hem dan ook echt serieus niet (en mogelijk zelfs belonen, wat afhangt of hij het eerst over schreef of het eerst aangaf bij A&T).
Maja, dat zijn alleen mijn ideeen erachter, maar iets in deze trend lijkt me redelijk rechtvaardig. Zeker rechtvaardiger dan de ideeen die vantheman er op nou houd in alle eerlijkheid.

[Reactie gewijzigd door David Mulder op 18 maart 2013 20:19]

Aan de ene kant zie ik ook wel dat je heel makkelijk van zo'n ontdekking in een situatie rolt dat je 's morgens op staat en je script 's nachts 120.000 emailadressen blijkt te hebben gevonden, maar aan de andere kant is het wel een onnodige stap geweest om er zo veel van te gaan achterhalen. Als je het principe eenmaal bewezen hebt dan zou ik andere stappen nemen of niks doen, en niet een database van emailadressen op gaan bouwen. Wat heb je daar aan als je niet kwade wil hebt? Als AT&T weigert iets aan de security te doen dan kun je dat alsnog gaan doen om ze wat meer angst aan te jagen, maar ik weet niet hoe het nu gelopen is.
Uiteraard, daar heb je een punt David. Alleen vraag ik mij toch af waarom er direct gegevens van 120.000 Ipad-gebruikers "gestolen" moet worden, zoals Jeroen ook aangeeft.

Daarnaast, wat ik als conclusie uit dit nieuwsartikel kan trekken, is dat deze persoon naar de media is gegaan i.p.v. naar AT&T. Hij zocht dus doelbewust de publiciteit op met zijn opgebouwde bestand.

Mocht hij in eerste instantie de security lek hebben gemeld aan AT&T, welke er vervolgens niks mee hebben gedaan, herzie ik gedeeltelijk mijn mening. Want dan was hij in eerste instantie van goede wil.

Blijft wel het feit dat hij willens wetens gegevens van 120.000 ipad-gebruikers heeft ontvreemd, wat bij 2 ook al meer dan zat was om het lek bloot te stellen.

Tegenwoordig blijven dit soort berichten telkens terugkomen. Echter stel ik mijzelf wel steeds meer de vraag: Moet een hacker van goede wil Łberhaupt er aan wagen om een systeem/website te hacken. En moeten deze praktijken nou beloond worden of bestraft. Het blijft namelijk ongevraagd een systeem en/of website binnendringen. Is het een hacker met goede bedoelingen? Dat is alleen maar mooi meegenomen.

Maar daar komen we weer met het voorbeeld van een openstaand huis/kantoor. Je dringt een kantoor (bijv. zonder alarm) ook niet binnen om daarna op je gemak alle klantgegevens uit te printen en naar de media te stappen. Ten eerste word dit gezien als inbreken. En tweede; Waarom in godsnaam meer dan 1 'klantgegeven' inzien...
Ik moet zeggen dat dat ook redelijk eenzijdig is, ik stel me het zo voor:


En dan pas komt het echt cruciale moment:
Nee dat moment was bij punt 2 al aangebroken toen je de lek ontdekte, al zeker bij punt 4 gaat al veel te ver en ben je al echt systeem aan binnendringen, gegevensstelen en manipuleren, foute doel dus. Heb je niks te zoeken ook niet als zogenaamde white hacker, eenmaal lek gevonden zit je taak erop als white hacker en ga je het melden. Punt, is toch heel duidelijke en staat zwart op wit, elke handeling daarna kan strafbaar zijn en dat is niet voor niks, gewoon duidelijk harde grens die zo duidelijk is als wat, ga je daar overheen ben je strafbaar.

[Reactie gewijzigd door mad_max234 op 19 maart 2013 03:47]

Uit persoonlijke ervaring kan ik vertellen: als je zo iets ontdekt, wil je graag weten in hoeverre deze slechte beveiliging slecht is. En ga je dus al snel een scriptje schrijven. Je denkt niet altijd na bij de mogelijke gevolgen.
Als die persoon helemaal niks misdaan heeft met die adressen, dan is die straf extreem hoog. Maar opnieuw uit persoonlijke ervaring: ook als de beveiliging zo slecht is en je maakt er 'misbruik' van. Zal de rechter u straffen... (In BelgiŽ dan toch)
Dus als ik jouw administratie uit jouw huis haal omdat de deur openstaat vind je het geen probleem zolang ik er maar niks mee doe?
Dat is een kromme vergelijking, omdat het geen particulier is maar een bedrijf.

Bekijk het eerder als, als ik de administratie van de stad <jouwstad> kopiŽer om te bekijken omdat de administratie dossiers beschikbaar stelt op bsn nr. , mag de stad dan kwaad zijn, en zoja, op wie? zichzelf of jou?
Ik vind dit niet echt hacken om eerlijk te zijn. Als je zo suf bent om je data vrij te geven via een simpel serienummer in een header vraag je om problemen.

Dit is hetzelfde als je naar tweakers.net/userid/12345 zou gaan en het email adres kan zien van die gebruiker, en vervolgens naar 12346. Dat is geen hacken naar mijn mening.

Uiteraard moet hij het melden. Dat lijkt me duidelijk... Als hij dat ook had gedaan was er helemaal niets aan de hand geweest.

[Reactie gewijzigd door itsgreen op 18 maart 2013 20:00]

Tsja als je zo dom bent om de deur van je huis open te laten geeft dat de inbreken niet het recht om alles wat in jouw huis staat te kopieŽren. Dan noem je het toch ook nog steeds inbreken.
Heeft er iemand een idee wat de twee met de gegevens hebben gedaan? Want naar mijn weten hebben ze niets gepubliceerd. Mochten ze de gegevens verkocht hebben dan vind ik die 41 maanden eigenlijk nog weinig, alhoewel zijn er natuurlijk ook misdadigers die voor moord minder krijgen.

Ik geloof dat de twee ook nog 73000 dollar moeten betalen. Volgens mij is daaruit op te maken dat ze de gegevens niet hebben verkocht, of in ieder geval dat dat niet is opgenomen in het besluit van de rechters. 73.000 dollar lijkt me dan namelijk betrekkelijk weinig voor 120.000 AT&T-iPadgebruikers

Ik vind trouwens dat de titel van dit bericht zou moeten zijn dat de personen de servers van AT&T hackten, niet de iPad, dat kan gemakkelijk verkeerde ideeŽn opwekken lijkt me.
de verzekering denkt daar toch iets anders over. als jij je deur open laat staan...............
Als je achterdeur (in de tuin) niet op slot doet, wordt het gedekt.

Ik spreek uit ervaring...


Als ik het goed heb: Als je je voordeur niet op slot hebt, heb je volgens mij wel een probleem...
Als je achterdeur (in de tuin) niet op slot doet, wordt het gedekt.
zonder braaksporen dekt mijn verzekering het in ieder geval niet. (daarom was ik blij dat alles op slot zat en er braaksporen waren die 2 keer dat er bij mij werd ingebroken)
de verzekering denkt daar toch iets anders over. als jij je deur open laat staan...............
Wat de verzekering denkt heb je strafrechterlijk gezien niks mee te maken. Dat is een privaatrechtelijke afspraak tussen jou en je verzekering. Die afspraak is dat jij belooft goed op je spullen te passen en als er dan toch iets van 'kwijtraakt' betaalt de verzekering de schade.
Die keert niet uit, maar het blijft feitelijk wel een inbraak.
de verzekering denkt daar toch iets anders over. als jij je deur open laat staan...............
Maar dat maakt inbreken nog niet legaal of aanvaardbaar! Dat is iets met jou en de verzekering gaat buiten het feit om dat inbreken niet aanvaardbaar is als staat de beur open moeten gewoon wegbleven op plekken waar ze niks te zoeken hebben.

Deze gastjes kosten ons miljarden, en staan er ook nog van die malloten achter dit soort hackers staan en nog proberen goed te praten en slachtoffers van inbraak(ook bedrijven zijn slachtoffer in mijn ogen) de schuld geven ook nog, lekker slim hoor zulke opmerkingen, kunnen we koren van kaft herkennen. :D

En nalatigheid kan je het noemen, Apple doet veel aan veiligheid, is gewoon domme fout, had niet gemogen, maar fouten worden nu eenmaal gemaakt, daarom strotten er ook nog vliegtuigen neer door foute beslissingen en ontwerpfouten, en dan gaat het wel om iets belangrijker dan gegevens, gaat het om mensenlevens. ;)
Dat maakt inbraak nog niet legaal....
Hacken is naar mijn mening het gebruiken van software (of zelfs hardware) op een manier waar het niet voor bedoelt is, in dit geval (het hacken van sites, software etc) het gebruik maken van de tekortkomingen van een systeem.

Of je daar nu uren codes voor in zit te voeren, een simpel programmaatje download, het is niet de mate van moeilijkheid die bepaald of het hacken is lijkt me.

Tevens lijkt me dat het probleem hier bij de telco lag en niet bij de personen zelf. Dus niet helemaal vergelijkbaar met tweakers/email voorbeeld.

Maar ze hadden het inderdaad sowieso moeten melden, al denk ik dat ze dat nooit van plan zijn geweest. Maar dan vraag ik me weer af, wat kan je met deze gegevens?
wat is je argument? De heren waren verkeerd bezig, en zijn daarvoor veroordeeld. jouw definitie, en hoe moeilijk of makkelijk het is, staat daar totaal los van, evenals dat het los staat van de gerechtelijke uitspraak.

Fout = fout -> straf. Einde verhaal. Mag je gerust tegen in hoger beroep gaan natuurlijk. Dat recht heb je dan gelukkig wel. Maar je hebt zeker niet het recht om een strafbaar feit te plegen omdat AT&T iets slecht heeft geÔmplementeerd of omdat het nou zo makkelijk is. (dan hadden 2 inbrekers die bij mij hebben ingebroken ook lekker makkelijk weg kunnen komen met de opmerking: ja maar dat hout van zijn kozijnen is zo slap, hij vraaaaaagt er gewoon om edelachtbare!)
Ik zie het hele verhaal ook niet als een huis waar iemand in inbreekt.

Als iets op een website staat komt het bij meer over alsof je iemand zijn spullen in je voortuin zet, waar je hek de firewall is, de grond waarop je de spullen hebt gezet het framework, de port om in je tuin te komen de openstaande port en het huis de database.

Iedereen kan zien wat er in de tuin staat omdat de port voor iedereen open staat. En als het modder is waar jij de spullen in hebt neergezet is het gewoon slecht op gezet ipv een mooie grasmat.

Al met al, had hij het moeten melden bij AT&T dat er onkruid in de tuin stond en dat er maar eens een goeie grasmat ingelegd mag worden.

Maar goed, dat is mijn mening.
Je zou ook kunnen zeggen dat als je je huis open laat staan met veel waardevolle spulletjes voor de ramen en je zelf een paar weken naar zuid Frankrijk gaat ... je misschien kan worden verweten een "inbraak" uit te lokken /understatement.
HET grote probleem is hier echter dat ze niet hun eigen 'waardevolle spulletjes' voor de ramen hebben gezet, maar de 'waardevolle spulletjes' van hun klanten. Voor AT&T maakt het (los van slechte publiciteit) helemaal niet uit als de spulletjes meegenomen worden, zij hebben er geen last van, de klant wel.

De beveiliging van AT&T was hier dusdanig slecht dat de 'hack' vergelijkbaar is met een lijstje met klantgegevens dat bij de kassa van een winkel hangt overschrijven. 41 maanden cel + 3 jaar 'observatie' is een ridicuul hoge straf voor zoiets.
Dat de beveiliging niet op orde was is geen onderdeel van de discussie. Dat is een feit.

Wat ook een feit is, is dat je dan niet die slechte beveiliging mag gaan penetreren, en de gegevens gaan stelen. Dan stap je over een juridische lijn waarvan je - zeker in de USA - weet dat hij je duur kan komen te staan.

Ga je dan toch door? Dan ben je of ongelofelijk dom, of je je neemt bewust dat risico en verdient dus gewoon straf volgens de daar geldende wetgeving. En je maakt mij niet wijs dat deze 2 dom zijn.
Dus als ik het goed begrijp heeft deze man heeft de email adressen gestolen van deze mensen en hij kan er dus de bijhorende ipad aan linken?
Wat kan hij daar nu mee doen? Wat spam rond sturen, zoals we allemaal al dagelijks in onze digitale brievenbus krijgen... Natuurlijk had hij het netjes moeten aangeven aan AT&t maar om hem daar nu 41 maanden voor achter de tralies te steken! Hebben ze geen ergere criminelen in de VSA om op te sluiten?

edit: typo

[Reactie gewijzigd door sam57 op 18 maart 2013 20:36]

"Hebben ze geen ergere criminelen in de VSA om op te sluiten?"

Hebben ze wel, maar die zijn aangesteld om 'boeven' te vangen ;)

On-topic: een flinke straf, ze hadden beter gekopieerde DVD's kunnen verkopen.
Laat jij je deur dan even open vanavond. Dan kom ik wat spullen halen die je toch niet direct nodig hebt. Er zijn toch ergere criminelen die moeten worden opgepakt. Vind je vast niet erg.
Dat is de risico van het vak "Hacken", je weet dat kan gebeuren en toch doe je het. Als je kan gepakt wordt dan is eigenschuld dikken bult.

[Reactie gewijzigd door Xieoxer op 18 maart 2013 23:39]

dit is niets meer als de amerikaanse manier van beveiligen, de hackers zoveel angst aanjagen dat ze niet eens durven te scannen naar lekken en fouten in systemen, voor je het weet word je van school getrapt, ontslagen of vastgezet.
dit is natuurlijk een veel betere oplossing als het oplossen van een lek.

dat werkt met alles zo in "the land of the free": word er illegaal gedownload omdat er geen goede alternatieven zijn ?
dat word een boete van 1750,- per mp3tje, veel beter als een alternatieve methode bedenken om zo je inkomsten te genereren.

alles met angst onder controle houden, angst voor terroristen, angst voor pedofielen, angst voor hackers. alles voor totale controle over de massa.
met zulke vrienden heb je geen vijanden meer nodig...
jammer dat die mentaliteit ook steeds duidelijker in europa naar voren komt en het volk zich ook angst laat aanjagen door een stel grijze mannetjes met een te grote rekening (die ondanks dat alle banken een voor een omvallen toch altijd hun geld wel veilig gesteld hebben)
Niet 100% on-topic maar desalniettemin chapeau voor de mooie samenvatting van de huidige stand van onze samenleving. Als er maar meer mensen er een degelijk idee op na houden gaat het wellicht zowaar nog eens de goede kant op!

En die dude heeft groot gelijk, het zo op straat leggen van de data is gewoon uitlokken om het op te rapen. De vergelijking met een open deur gaat volledig scheef, dit is meer een gevalletje van een portomonee op straat leggen met een touwtje (het gerechelijk instituut) eraan. Naar mijn idee zou AT&T een dikke boete moeten krijgen omdat zů oneerbieding met klantgegeven omgaan en daarmee het consumenten vertrouwen in de hele industrie schaden.

[Reactie gewijzigd door -Elmer- op 18 maart 2013 23:41]

Naar mijn idee zou AT&T een dikke boete moeten krijgen omdat zů oneerbieding met klantgegeven omgaan en daarmee het consumenten vertrouwen in de hele industrie schaden.
Dat ben ik met je eens. Maar de hackers in kwestie verdienen ook straf, want die hebben ook niet netjes gehandeld.
Het bericht op nu.nl is wat uitgebreider. Hieruit wordt duidelijk dat Andrew het lek gewoon netjes gemeld heeft aan AT&T en AT&T vervolgens als antwoord gaf dat het "working as designed" was. Daarna heeft Andrew pas dat script geschreven om aan te tonen dat het een serieus lek was en is ermee naar de media gestapt. Dat schept in mijn ogen een heel ander beeld op deze zaak. Dat deze jongen uberhaupt veroordeeld is, is een groffe schande en de strafmaat is helemaal buiten elke proportie. Het is niet voor niets dat de EFF zich met deze zaak bemoeit en gebruikt als voorbeeld dat de Amerikaanse wet op dit gebied totaal verouderd en onrechtvaardig is.

Edit:
ventheman, het staat er inderdaad niet letterlijk, maar uit deze zin:
"Door een configuratiefout was het mogelijk met het ingeven van informatie van een simkaart het e-mailadres van de betreffende klant bloot te leggen. Dit was een standaard functionaliteit volgens AT&T." maak ik wel op dat AT&T hiervan op de hoogte is gesteld en niets wilde doen. Ik ben het met je eens dat in het document van de rechtbank dit niet terug te vinden is en dat uit de chat transcript blijkt dat Auernheimer er wel over heeft gedacht hoe hij hier geld aan kon verdienen.

[Reactie gewijzigd door martdj op 19 maart 2013 09:20]

Ik lees in het artikel van nu.nl niet dat hij naar AT&T is gestapt. Hier nog een interessant document van de rechtbank:

https://www.eff.org/sites...uperseding_indictment.pdf

Ziet er naar uit dat hij direct naar de media is gestapt zonder AT&T in te lichten. Daarnaast, een reactie van Auernheimer op een chatkanaal: "This could be like, a future massive phising operation serious like this is valuable data we have a list a potential complete list of AT&T iphone subscriber emails."

Dat ze daarna hebben besloten om de data weer te verwijderen, hartstikke aardig van ze. Maar ik zie hier in eerste instantie zeker wel opzet.
Mensen die fout willen en kunnen heb wel in de gaten dat zo'n post op chatkanaal gebruikt kan worden. Het lijkt mij daarom ook meer een opmerking in de trant van het zou kunnen maar ik doe het niet.
In de VS lijkt men ook nog steeds te menen dat een goede computerbeveiliging bestaat uit een serie advocaten die een potentiŽle hacker graag willen aanklagen. De echte hacker die weet wat hij†doet en onzichtbaar kan blijven krijgt zo dus vrij spel. In de VS hebben ze wel vaker een cultuur van achteraf de schade opruimen. Erg laks. Met mensenlevens speelt ook exact hetzelfde. Bijna niemand die iets wil doen aan de schietpartijen die steeds vaker lijken voort te komen. Preventie daar doet men niet aan, alleen aan achteraf reageren op individuele gebeurtenissen. Achter de feiten aanlopen is iets waar men daar erg goed in is.
Ik vraag me eigenlijk af waarom je tablet bij de telco geregistreerd moet worden. Je duwt er gewoon een SIM-kaart in, en gaan met die banaan. Wat moet er nog meer gebeuren? Je kunt die SIM-kaart toch in alles duwen waar het maar in past?

Hoe *weet* de iPad eigenlijk dat ie een registratie moet uitvoeren bij AT&T? Doen onze iPads dat ook ofzo?
Als je de SIM in de iPad stopt moet het netwerk weten dat het een iPad account betreft zodat er geen voice profielen worden aangemaakt in het netwerk. Doe je dat niet dan worden de doorschakelnummers in de HLR gezet, krijg je een voicemailbox, misschien proberen ze zelfs OTA SMS-jes te sturen. En dat lijkt me niet de bedoeling.
En als ik nou langs 120k huizen ga en een lijst maak van de naambordjes en het bijbehorende adres, krijg ik dan dezelfde straf?

Zolang hij de gegevens niet heeft verkocht of heeft gebruikt om bijv. een spamrun te doen denk ik dat straf ongepast is, zeker zo'n hoge. Maar goed, ik ken alle ins en outs van de zaak niet.

[Reactie gewijzigd door dfader op 19 maart 2013 06:28]

Nee, maar wel als je daarvoor eerst in de gang moet kijken hoe die mensen heten.
En om het wat meer IT te houden: als jij met je mobiele telefoon SSID's bekijkt en opschrijft mag dat. Maar je mag niet inloggen op die netwerken om te kijken hoe de PC's die er op zijn aangesloten heten.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013