Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 38, views: 11.150 •

Een lid van hackersgroepering LulzSec is in de Amerikaanse staat CaliforniŽ veroordeeld tot een jaar cel omdat hij medeplichtig was aan de aanvallen op de website van Sony Pictures in juni 2011. Hij werd enkele maanden na de aanval opgepakt door de FBI.

De nu 24-jarige Cody Kretsinger ging online schuil achter de naam 'recursion'. Hij werd in september 2011 opgepakt en legde in april vorig jaar een bekentenis af, daarin gaf hij toe medeplichtig te zijn aan de hacks. Verschillende LulzSec-leden gaven eerder ook al toe schuldig te zijn aan de aanvallen. Kretsinger is ook veroordeeld tot huisarrest die volgt op zijn celstraf en een taakstraf van duizend uur.

De LulzSec-hackers wisten zich via een sql-injectie toegang te verschaffen tot de database van Sony Pictures. In totaal werden 75.000 muziekcodes en 3,5 miljoen muziekbonnen buitgemaakt. Daarnaast bemachtigden de hackers informatie over meer dan een miljoen accounts, zoals wachtwoorden, mailadressen en huisadressen.

Het was de tweede keer in korte tijd dat de hackersgroepering Sony aanviel, ook bleek er wederom geen encryptie op de data te zijn toegepast. Dit bracht Sony in grote verlegenheid omdat het bedrijf na de eerste hack had aangegeven maatregelen te treffen.

Reacties (38)

Ergens lijkt mij de strafmaat nog mee te vallen gezien de strafmaten in andere dergelijke zaken in de US.
Mogelijk omdat hij schuld heeft bekend en dat die onderdeel van een deal is.
Maar omdat hij in 2011 al is opgepakt heb ik het vermoeden dat hij alleen nog zijn huisarrest en taakstraf (1000 uur -> 6 mnd) hoeft uit te zitten.
Duidelijk lijkt alleen niet te zijn hoelang die huisarrest duurt.
Ik weet dat mensen gewoon van andermans spullen moeten afblijven en dat de LulSec-leden de gegevens online hebben geplubiceerd, als ik me niet vergis.
Maar het feit dat Sony gegevens onbeveiligd opslaat en het mogelijk is om via een "simpele" SQL-injectie gegevens op te vragen. Moet Sony ook niet een soort van boete krijgen? Als bedrijf zijnde moet je voldoende maatregelen nemen om je klanten te beveiligen. Iets wat Sony niet gedaan heeft. Als ze dat gedaan hadden, had het hele PS-netwerk er ook niet uit gelegen voor een maand, uit extreme (en terechte) voorzorgmaatregel.

IMHO is het meer een speelse uitdaging voor deze hackers en hebben ze geen deel uitgemaakt van een criminele organisatie die uit was op geld of terreur.
Klein detail is dat hij ook nog 605.000$ dollar moet betalen en 1000 uur community services moet verrichten.
The 25-year-old will also be required to perform 1,000 hours of community service and pay $605,663 in restitution.
bron

Ik neem aan dat ie met zo een schuld bankroet kan aanvragen.
http://en.wikipedia.org/w...le_11,_United_States_Code

[Reactie gewijzigd door DRaakje op 19 april 2013 14:47]

1 jaar gevangenisstraf + huisarest + 600k schade vergoeding + 1000 uur schoffelen. Dan wordt het wel een heel serieuze straf.
En terecht, er is ook niet sprake van een lichtzinnig vergrijp:
De LulzSec-hackers wisten zich via een sql-injectie toegang te verschaffen tot de database van Sony Pictures. In totaal werden 75.000 muziekcodes en 3,5 miljoen muziekbonnen buitgemaakt. Daarnaast bemachtigden de hackers informatie over meer dan een miljoen accounts, zoals wachtwoorden, mailadressen en huisadressen.
M.i. valt het economische delict redelijk mee. Wanneer Sony op de hoogte komt van de ontvreemde muziekcodes en -bonnen, kunnen ze deze 'simpelweg' blokkeren neem ik aan? Dat valt m.i. nog onder een economisch delict waarbij enige reŽele financiŽle compensatie wat mij betreft geoorloofd is. Maar bij voorkeur niet de extraorbitante bedragen welke we zo nu en dan voorbij zien komen in de USA

Het ontvreemde van (persoonlijke) informatie over meer dan een miljoen accounts, hoeft niet al te lichtzinnig over geoordeeld te worden. Als 24-jarige kun je redelijkerwijs inschatten wat de gevolgen van het handelen zijn, en deze konden in dit specifieke geval erg ver gaan. Hij heeft dit risico op de koop toegenomen om miljoenen persoonsgegevens op straat te laten belanden zonder enige vorm van rechtvaardiging. Wat mij betreft is hij er nog vrij goed vanaf gekomen met een jaar cel en ~ 25 weken taakstraf.
Vergeet niet dat alle werkzaamheden door diverse personen binnen Sony ook worden meegeteld in de schade. Met alleen de muziekbonnen ongeldig maken ben je er niet. Persvoorlichting, management meetings, etc. kom je al snel snel aan tonnen werkuren die anders aan iets nuttigs besteed hadden kunnen worden.
Om nog te zwijgen van de gevolgschade omdat mensen (wellicht) door dit incident geen gebruik meer willen maken van deze dienst. Plus de tijd dat de dienst offline was om het lek te dichten en Sony dus inkomsten mis is gelopen.
Ari3, klopt vast, maar wat eerder werd gesteld: waarom wordt Sony niet aangepakt?
geen 600k en ev. Nog een boete eroverheen lijkt me een prima maatregel.

Edit: ben even kwijt of de hacker uit was op geldelijk gewin, soja, dan moet dat natuurlijk wel bestraft worden....

[Reactie gewijzigd door GMJansen op 21 april 2013 01:18]

Nou even in vergelijk een bende valse bedrijven en individuen in Belgie hebben bijna 10 jaar valse C4 en overheidsdocumenten vervalst om valse uitkeringen te bekomen en anderen tegen betaling te helpen om steun bij het OCMW achterover te drukken krijgen een fop-stafje van een 3-tal jaar en een paar duizend euro schade vergoeding.

Dat lijkt me toch niet echt in verhouding staan in de schade aan de belastingbetaler.
Volgens mij gaat je vergelijking nogal scheef. Allereerst heb je het over BelgiŽ; dit speelt zich af in de Verenigde Staten: ander regels, andere mentaliteit. Vervolgens gaat jou verhaal over valsheid in geschrifte met het oogmerk om economisch gewin te behalen, dat was bij de Sony-hack niet helemaal het geval ;).

De strafmaat bepalen is nooit eenvoudig. Om zelf nu maar even geheel off-topic te gaan: doodslag? Moet de straf gericht zijn op het genoegdoening voor het aangedane leed? Moet het gericht zijn op de resocialisatie van de dader? Moet de straf het doel hebben om potentiŽle daders af te schrikken? En ga maar door.

Ik vind de straf terecht, omdat de hacker in kwestie wist waar hij mee bezig was. Hij heeft de gevolgen kunnen overzien en deze risico’s doelbewust geaccepteerd. De economische schade vind ik in dit geval zelfs nog minder problematisch. Duidelijk is de aanval op Sony zorgvuldig en gezamenlijk gecoŲrdineerd.

De straf staat totaal niet in verhouding tot de gemaakte schade. Of je zover moet gaan; ik vind van niet. Een straf moet m.i. vooral een corrigerende functie hebben. Het toevoegen van leed (de punitieve karakter) ben ik persoonlijk nooit een groot voorstander van geweest.
Hoe wilt hij 600k betalen? Dat kan niet zo 1,2,3 via de legale weg, dat word hacken of andere verkeerde circuits.
Dat word als hij een goede baan krijgt een hele hoge hypotheek waar hij heel wat jaren (tot aan zijn pensioen?) aan vast zit...
Kan sony hem niet aannemen om hun team aan te sterken, en op die manier de schulden aflost?

Ik denk ook niet dat deze straf juist is, maar dat ze deze jongen misbruiken om andere mensen af te schrikken.
Ik blijf me ook verbazen dat sinds de economische crisis, overal toren hoge boetes worden opgelegd.

[Reactie gewijzigd door JeroenC op 20 april 2013 08:06]

Ik heb dat ook gezien op oa. arstechnica.
Hoe dat hun daar nu weer bij komen is mij ook niet duidelijk.
Als ik op hun bronartikel klik (reuters) staat daarvan niks in het artikel.
Dat is inderdaad niet niks, ik vraag me af hoe de veroordeelde dat bedrag gaat ophoeste.

Verder valt mij de celstraf dan weer heel erg mee.
Zou het hebben meegewogen dat sony de 2e keer nog geen encryptie had?

[Reactie gewijzigd door GeKo op 19 april 2013 14:50]

Bankroet aanvragen kan hij niet aangezien het een ddor de rechter opgelegde boete/schadevergoeding is. Wat wel mogelijk is in de VS is dat de rechter de geldboete om kan zetten in gevangenisstraf wanneer niet voldoende van de boete/schadevergoeding binnen een pebaalde termijn betaald wordt.
In Nederland is het in ieder geval zo dat de schuldsaneringsregeling niet op staat voor schulden welke 'te kwader trouw' zijn ontstaan. Boetes vallen hier ook onder. Het zou me niet verbazen als dit in de Verenigde Staten weinig anders is, anders zou een faillissement wel een erg makkelijke manier zijn om onder een straf uit te komen.

Niet dat liquidatie van al je bezittingen 'erg makkelijk' is. Maar voor de schuld die er tegenover staat is het relatief makkelijk.
Nu vraag ik mij af: Waar moet ie $605k vandaan halen, en waarom zo'n grote geldboete? Heeft hij die muziekcodes & muziekbonnen verkocht / gebruikt dan?

In feite is heel zijn leven financieel geruÔneerd en kan hij onmogelijk een eigen bestaan opbouwen. Dit is eigenlijk veel schadelijker dan een gevangenisstraf van een x aantal jaar.

Aaron (Hillel) Swartz is een goed voorbeeld van hoe zo'n veroordeling kan eindigen.
Nee. Boetes ontstaan uit rechtszaken kun je in bijna geen enkele staat kwijtgescholden krijgen, en van een federale rechtbank al helemaal niet. Hij zit eraan vast tot hij heeft betaald. En dat pakken ze recht van je loonstrook als je niet snel betaald of genoeg van je loon afgeeft. En als dat 40 of 50 jaar duurt, dan is dat zo.

Emigreren is zijn enige echte optie, maar ze zijn bezig met iets als het LBIO, maar dan voor bepaalde schulden innen. En dan kun je er de donder op zeggen dat hij ook voor de bijl gaat. Dus emigreren, maar naar een select aantal landen die niet uitleveren of geld gaan halen bij hem.

http://bankruptcy.lawyers...charge-in-Bankruptcy.html
http://www.uscourts.gov/F...ischargeInBankruptcy.aspx
http://www.bankrate.com/f...bts-wiped-bankruptcy.aspx
Even voor de goede orde: het gaat bij die 600.000 dollar om restitution (soort schadevergoeding) en niet om een boete. Voor een faillisement maakt dat verder weinig uit, zeker niet als de schadevergoeding gepaard gaat met een strafrechtelijke veroordeling. Dat bedrag komt trouwens overeen met de schade die Sony claimt geleden te hebben.

De pagina waar de eerste link naar verwijst noemt 'restitution' wel als uitzondering bij chapter 13 (soort WSNP?) en niet bij chapter 7 (faillisement) maar dat lijkt me niet helemaal correct. De oorzaak van de schuld is namelijk het criterium om te bepalen of die wel of niet uitgesloten is. Schulden ontstaan door fraude en criminele activiteiten zijn uitgesloten. Van chapter 13 kan er in dit geval overigens geen sprake zijn omdat daarvoor de limiet ligt bij 300.000 dollar.

Verder is het natuurlijk de vraag of Sony het daadwerkelijk zover zal laten komen. Ze zijn op zich wel gebaat bij deze uitspraak en alle publiciteit daar omheen maar ze zullen er denk ik weinig belang bij hebben om deze hacker tot in het graf te vervolgen in een poging om hun schadevergoeding te krijgen.
ooh dat zal niet zomaar gebeuren... Die gozer zal echt heel goed in de gaten gehouden worden, mag waarschijnlijk ook niet zomaar meer bij een computer, en bij elke kleine hack naar Sony toe zal hij gelijk als verdachte naar voren komen.

Tevens is lulzsec helemaal niet zo "gevaarlijk"... Hij gebruikte bij letterlijk bijna elke hack gebruik van bijzonder simpele "standaard" hack methodes (SQL injectie is bijvoorbeeld niet zo ingewikkeld en letterlijk op het niveau van een scriptkiddie: http://www.securiteam.com/securityreviews/5DP0N1P76E.html).

Althans, hij zal wel heel dom moeten zijn om nog eens een keertje iets of iemand te proberen te gaan hacken... Ik denk dat hij nu pas in de gevangenis zal gaan inzien hoeveel schade hij een bedrijf daadwerkelijk heeft aangedaan, en hoeveel sancties er staan op zo een daad... Hij zal het niet snel een tweede keer doen tenzij hij echt niet het gezonde verstand heeft om te beseffen waar hij allemaal mee bezig is.
Uhhm waarom dat dan als ik vragen mag?

Deze hacker heeft niet alleen Sony gehackt maar nog heel veel andere bedrijven... Dus zijn straf zal nog flink verder oplopen zodra alle andere claims ook nog behandeld gaan worden.
Lees je anders eventjes in: http://en.wikipedia.org/wiki/LulzSec

Ik vind die 650k boete nog niks in verhouding van de daadwerkelijke schade wat Sony is opgelopen: In totaal werden 75.000 muziekcodes en 3,5 miljoen muziekbonnen buitgemaakt. Daarnaast bemachtigden de hackers informatie over meer dan een miljoen accounts, zoals wachtwoorden, mailadressen en huisadressen.

Dit is letterlijk miljoenen schade wat Sony is opgelopen, zonder enige verantwoording waarom de hacker daadwerkelijk Sony Music gehackt heeft... (Althans je gaat toch niet een compleet andere SBU van Sony hacken wanneer ze een grudge hebben tegen Sony Entertainment om de Geohotz rechtzaak wat al compleet een domme reden was).
rootkits mee installeren, belachelijke prijzen vragen voor hun muziek/diensten, en niks doen voor de privacy van hun betalende klanten.... Daar hadden van mij ook wel wat sancties tegenover mogen staan.

Maar nee, iedereen heeft zo veel medelijden met dat bedrijf van 100 miljard, dat ze een hackertje maar even 6 ton schade vergoeding opleggen... Want tja, sony had met hun schatkist natuurlijk nooit de privacy van hun klanten kunnen beschermen, dat buget was al op gegaan on de ontwikkeling van rootkits.

Naar mijn inziens was de hacker al genoeg gestraft met de 1000 uur taakstraf en huisarest.

Celstraf?! waarom, is er iemand door dood gegaan? Laatste keer dat ik het controleerde niet. Dit geeft dus ook weer eens heel mooi aan hoe amerika grote corporaties het hand boven het hoofd houd. Dit hoort gewoon een civiele zaak geweest te zijn...

Word het een beetje spugzat met dat:"Things are being loved and humans are getting used", word tijd de we de boel weer omdraaien, het balans en de verhoudingen zijn namelijk ver te zoeken tegenwoordig!
Het heeft niets te maken met medelijden. Je kunt dit soort vergrijpen gelijk stellen met het inbreken op het hoofdkantoor van Sony en daar alles meenemen. Dan vinden mensen het gevoelsmatig opeens wel terecht, dat er een forse straf wordt opgelegd. Maar als iemand dit digitaal uitvoert, dan moeten we coulant zijn tegenover de digitale inbrekers?

Het is allicht laakbaar dat Sony zijn bronbestanden niet netjes beveiligd heeft. Maar daar staat tegenover, dat Sony hierdoor imagoschade in de media mee oploopt. Dat kan je als boetedoening zien. Die imago schade wordt niet verhaald op de hackers voor zover ik lees.

De hackers hadden natuurlijk ook ervoor kunnen kiezen om slechts een paar bestanden te downloaden en dit netjes te melden bij Sony, zodat Sony de nodige maatregelen zou moeten treffen om publiekelijk niet af te gaan. Ze hebben echter zeer veel buitgemaakt, met kwalijke intenties. Dat weegt zwaar mee in zo'n proces. Ik vind de straf zelf ook fors, maar wel correct.
Misschien moet jij je eens realiseren dat Sony gewoon een commercieel bedrijf is en dus kan en mag vragen wat ze willen, ben je het er niet mee eens, dan moet je het gewoon niet kopen (maar ga dan ook niet als een achterlijke debiel 'jatten'), immers is het nog steeds een luxe product en geen eerste levensbehoefte..

En privacy van klanten, tja, security is natuurlijk een groot probleem, want wanneer is iets beveiligd en wanneer niet? SQL-injectie is iets dat veel developers nu wel weten, maar tot een paar jaar geleden was dat allemaal nog niet zo duidelijk. En wat vandaag een goede beveiliging mag lijken (zoals encrypted opslaan), kan best zijn dat het morgen gelijk staat aan gewoonweg niet encrypted opslaan..

Die hacker heeft willens en wetens ingebroken bij Sony, en dat moet gewoon hard aangepakt worden.. Dat heeft niets te maken met corporaties elkaar de hand boven het hoofd houden, dat heeft gewoon te maken met strafrecht, want het is immers strafbaar.. Dat jij het misschien minder erg vindt dat een hacker bij een bedrijf inbreekt is een hele andere zaak.
Lees even anders de laatste alinea.
leuke discussie hierboven maar voor mij betekende het maar een ding, na een dag werken, kids verzorgen, huishouden doen, vrouw tevreden houden wilde ik lekker doelloos trollen knallen maar dat kon niet want de heren vonden dat Sony als groot machtig bedrijf maar gestraft moest worden.
Een 24 jarig jochie een onbetaalbare boete opleggen, ja dat heeft zin (voor welke partij dan ook)..............

Denk dat hij die taakstraf een stuk harder gaat voelen dan dat nietszeggende bedrag. Bovendien, als het -zoals hier in de comments gezegd wordt- om een _boete_ van 600.000 gaat dan is het helemaal niet te rechtvaardigen. Een boete gaat naar de staat, anders dan een schadevergoeding. De rechtstaat (rechtvaardigheids!staat) maakt zo de komende tig decennia van iemands leven kapot die een _bedrijf_ wat imagoschade heeft toegebracht en een beetje op kosten heeft gejaagd. Veel kosten? Dat is ook wel te overzien, als je het relativeert naar de omvang van SONY.

Maakt dat het dan minder erg? In zeker zin wel, de jongen heeft er zelf immers geen geld aan verdiend.

Mooi is dat je daar voor fraude veel mindere straffen krijgt, terwijl je dan _wel_ persoonlijk gewin in de vorm van dollars hebt, die ze vaak niet terugvinden. Mooie balans zoals wel vaker..

[Reactie gewijzigd door rotterdams op 19 april 2013 16:02]

Mensen die fraude plegen hebben (daardoor) flink geld voor een goede advocaat. En sorry maar van 6 ton schuld gaat je leven echt niet kapot, vraag maar aan huiseigenaren.
Een lening aangaan omdat je iets KOOPT kan je natuurlijk in de verste verten niet vergelijken met een schuld die door een BOETE hebt. Het ťťn is een investering, het ander is letterlijk weggegooid geld (voor de lastdrager).
Blijft triest dat hij 6 ton moet afdragen........ hier leer je namelijk NIETS van.
van een taakstraf + zitten leer je echter ZAT.

maarja, als Amerikaan weet je ook dat de straffen niet mals zijn.
En al helemaal als je Sony probeerd te belazeren weet je van te voren eigenlijk al waar je mee bezig bent ...

Ik snap die hackers niet helemaal want je wordt toch wel een keer gepakt.
Het is altijd baas boven baas en betere hackers van de politie pakken je gewoon

[Reactie gewijzigd door A87 op 19 april 2013 16:37]

Van een boete van 6 ton leer je echt wel, het probleem is dat je er alleen nooit meer bovenop komt en dus weinig kan doen met wat je geleerd hebt.

Maar goed dat is de VS. Het is ook niet voor niets dat er daar procentueel 10x zoveel mensen in de gevangenis zitten als in Nederland, terwijl de criminaliteitscijfers er ook nogeens hoger liggen. In Nederland / Europa weten we gelukkig aardig dat soort rechtse-gekkies-ideeen tegen te houden.
..., en we hebben gewoon te weinig gevangenissen ...
De gevangenis in Tilburg wordt sinds 1 februari 2010 aan BelgiŽ verhuurd. BelgiŽ kampte met een groot tekort aan cellen en Nederland had juist een cellenoverschot.
http://www.nu.nl/binnenla...lburgs-gevang-langer.html

Altijd al geweten dat je een belg was ;)
Ik vraag me af in hoeverre Sony een boete heeft gekregen voor het slecht beveiligen van gegevens. Als zij namelijk hun werk goed hadden gedaan dan waren ze niet binnengekomen met een SQL injectie.
En als ze waren binnengekomen had Sony ervoor moeten zorgen dat de data versleuteld was.
Ik prat het inbreken niet goed maar er is wel zoiets als het beveiligen van iets waardevols met een slot van 1 euro.

In dit geval vind ik dat ze alleen veroordeld zouden moeten worden als ze de gegevens hebben misbruikt door het bijvoorbeeld te verkopen. En als ze dat niet hebben gedaan moeten ze een beloning krijgen voor aantonen dat de beveiliging van Sony niet goed is.
Dus bij jou thuis is alles binnen ook nog eens 'versleuteld' zodat wanneer de inbreker binnen is die niet alsnog de boel mee kan nemen........

Het is zo makkelijk praten, maar veel systemen zijn nog best oud en nog van voor de tijd dat SQL-injections etc al gemeengoed en bekende problemen waren en security nog niet op een hoge prioriteit stond. Ook moet je niet vergeten dat sommige systemen gebouwd worden door mensen die nog niet op de hoogte zijn van de laatste security problemen (als developer kun je immers ook niet alles weten of tijd voor hebben).
En wanneer is iets goed beveiligd? iets wat vandaag nog perfect beveiligd kan zijn, kan goed morgen net zo onveilig zijn als dat je totaal geen beveiliging gebruikt.. kijk bv naar passwords opslaan, voorheen was plaintext voldoende, toen werd het alleen encrypten, daarna encrypten met een simpele salt, en nu is DAT zelfs al lang niet meer voldoende...
bullshit, SQL injecties bestaan heel lang, of systemen nou oud of nieuw zijn doet er niet toe. Encrypties zijn ook niet bepaald baanbrekend.

Elke developper kan met een simpele cursus de security problemen bij spijkeren. Als je niet eens een SQL injectie kan tegengaan mag je naar mijn mening niet eens werken voor een groot multinationalbedrijf of overheid.
Ik vraag me af in hoeverre Sony een boete heeft gekregen voor het slecht beveiligen van gegevens. Als zij namelijk hun werk goed hadden gedaan dan waren ze niet binnengekomen met een SQL injectie.
Sony krijgt geen boete. Zeker niet in de VS waar de rechten van burgers en de plichten van bedrijven niet in verhouding met elkaar staan.

Op dit item kan niet meer gereageerd worden.