Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

De Noord-Ierse politie heeft een vijftienjarige jongen gearresteerd op verdenking van het hacken van telecomprovider TalkTalk. De hack vond vorige week plaats. Mogelijk zijn persoonlijke gegevens waaronder telefoonnummers, e-mailadressen en bankgegevens buitgemaakt.

De politie heeft het huis van de 15-jarige Noord-Ier doorzocht op zoek naar bewijzen. Er zijn verder geen details bekendgemaakt over de arrestatie, schrijft The Guardian. Mogelijk is de verdachte dezelfde persoon die vrijdag contact opnam met TalkTalk, de verantwoordelijkheid voor de hack opeiste en een geldbedrag eiste van de telecomprovider.

Om klanten en geïnteresseerden op de hoogte te houden, speelt TalkTalk open kaart met een webpagina gewijd aan het incident. Het is niet het eerste keer dat de data van het bedrijf en zijn klanten gevaar loopt. Eind 2014 lagen de gegevens door een lek ook al op straat.

Intussen is de directie van TalkTalk opgeroepen om voor het Britse parlement uit te leggen hoe de aanval heeft kunnen plaatsvinden. Niet alle data op de servers van het bedrijf was namelijk versleuteld. De Britse Information Commissioner's Office kan ook een boete van maximaal 700.000 euro opleggen aan de televisie- en internetprovider als blijkt dat de beveiliging van de servers ontoereikend was. Het is nog niet duidelijk hoeveel van de vier miljoen Britse klanten van TalkTalk getroffen zijn door de hack en welke gegevens precies zijn buitgemaakt..

Moderatie-faq Wijzig weergave

Reacties (43)

Misschien krijgt deze 15-jarige Noord-Ier wel een baan aangeboden vanwege zijn uitzonderlijk creatieve manier van solliciteren voor een IT-gerelateerde functie.
Dat is hetzelfde als dat je een baan als slotenmaker, bouwvakker of architect krijgt aangeboden omdat je als inbreker toegang hebt weten te krijgen tot een gebouw. Beetje gek. Een gat vinden is wel even iets moeilijker dan deze te voorkomen. Ik denk dat je het kunt vergelijken met een kabels die altijd in de knoop lijken te zitten als je ze pakt. Het probleem is dat er slechts 1 manier is waarop de kabel niet in de knoop zit en oneindig veel manieren waarop deze dat wel is. Het vinden van een manier om een kabel in de knoop te krijgen (hacken) is vele malen makkelijker dan een manier om de kabel in de knoop te krijgen (beveiligen).
Dat is hetzelfde als dat je een baan als slotenmaker, bouwvakker of architect krijgt aangeboden omdat je als inbreker toegang hebt weten te krijgen tot een gebouw. Beetje gek.
Beetje gek inderdaad. Misschien heb ik de volgende artikelen verkeerd gelezen:
Een gat vinden is wel even iets moeilijker dan deze te voorkomen.
De 15-jarige Noord-Ier in het artikel heeft zo'n gat in de beveiliging gevonden. Juist daarom zou hij beloond moeten worden. Aan de andere kant moet hij wel bestraft worden voor het misbruiken van de data.
Er is (nog) geen sprake van misbruik van de data.

Er is wel sprake van afdreiging (dat is afpersing maar zonder dreiging van geweld).
In Nederland kun je daar tot 4 jaar cel voor krijgen (9 jaar voor afpersing).
Er is (nog) geen sprake van misbruik van de data.
Een kleine selectie van de data was toch eerder al gepubliceerd op pastebin.org of zo toch? Als mijn data openlijk zou worden gepubliceerd, dan vind ik dat dat valt onder misbruik.
Er is wel sprake van afdreiging (dat is afpersing maar zonder dreiging van geweld).
Het is niet zeker dat het om die 15-jarige Noord-Ier gaat die heeft afgeperst want er staat dit in het artikel:
Mogelijk is de verdachte dezelfde persoon die vrijdag contact opnam met TalkTalk, de verantwoordelijkheid voor de hack opeiste en een geldbedrag eiste van de telecomprovider.
Ik kan het wel met je eens zijn, maar ik ga iemand die bij mij een raam ingooit, mijn dure spulletjes jat, en deze op marktplaats verkoopt, toch echt niet een baan aanbieden om betere ramen te installeren. Het was nog steeds inbraak. Het moet toch niet een free-for-all worden zonder consequenties?
Dat is geen geldige vergelijking. De vereiste skillset is totaal anders. Daarom zijn er veel meer inbrekers dan mensen die dit kunnen. Ook de fysieke aanwezigheid van een ongewenst persoon in je huis is even wat beangstigender en heeft een vaak een grotere impact op de slachtoffers dan een hacker die een systeem hackt, helemaal als er ook nog geweld gebruikt word.

[Reactie gewijzigd door dezwarteziel op 28 oktober 2015 01:15]

Ja en nee, het hangt van de schaal af. De gegevens die gestolen zijn kunnen tevens misbruikt worden, en fysiek geweld komt ook niet met een inbraak voor altijd, helemaal niet als meeste inbraken gebeuren als men niet thuis is. Een bedrijf kan aardig wat financiele schade hebben toch. Prima, ik ben het met je argument over skills eens.. maar jouw argumenten nou het antwoord is voor elk bedrijf waar digitaal misbruik plaats vindt, weet ik niet .. ik kan me niet voorstellen dat jij vind dat men zonder consequenties bij iedereen misbruik van bugs/security mag maken en bedrijven (financiele) schade mag toerichten.
Absoluut niet, ben het met je eens inbreken blijft inbreken. Een hacker die 50000 records met klantgegevens uit een database steelt brengt misschien wel meer schade toe dan de dieven die een waardekast leeg stelen.
De manier van denken is goed, hoe hij in het systeem is gekomen. Een geldsom opeisen is dan weer niet zo goed...
Het is niet omdat je goed bent in het vinden van gaten, of omdat je geluk hebt gehad dat je ook goed bent in het voorkomen van zulke gaten. Dit is zeker geen creatieve solicitatie van deze jongen (die trouwens te jong is om een job te zoeken) en het kan goed zijn dat hij er nog jaren de gevolgen van zal dragen.
Als een 15 jarige jongen hier al in kan hacken is het imo een te zwakke beveiliging geweest.
Ook al heb je het over een wonderkid...

Al hoop ik voor hem dat het hem geen hele zware gevolgen zal hebben.
Al hoop ik voor hem dat het hem geen hele zware gevolgen zal hebben.
Dit is allemaal buit gemaakt tijdens de hack:
Names
Addresses
Dates of birth
Email addresses
Telephone numbers
TalkTalk account information
Credit and debit card details and/or bank details
Ondanks dat de credit en debit card details gedeeltelijk zijn gemasked is dit niet informatie die je op straat wilt zien liggen. Daarnaast kost het een hoop geld aan onderzoek en andere ongein. Zoiets moet gewoon goed bestraft worden en ik hoop dan ook dat dit niet alleen maar uitdraait op een paar uur werkstraf.
Ik vraag me af wat, bijvoorbeeld, mijn inboedelverzekeraar of de politie zegt als ik mijn voordeur op een kier laat staan, en een 15-jarige snotneus langsloopt en naar binnenloopt om wat mee te nemen dat open en bloot op tafel ligt. Denk dat in dat geval je niet eens serieus wordt genomen.

Dus, ja, wat die jongen heeft gedaan is niet netjes. Straf? Zeker!
Je hebt het hier alleen niet over een professional, of een organisatie die erachter zit. Gewoon een scriptkiddie met teveel vrije tijd.

De echte vraag is dus, aan wie moet de zwaarste straf worden toegekend. De jongen omdat hij de informatie buit maakt, of het bedrijf waar een 15 (vijftien!!) jarige binnen weet te komen EN welke de informatie dan ook niet eens fatsoenlijk opgeborgen heeft?
Degene met letterlijk miljoenen aan budget en tig mensen in dienst, of iemand met een bijbaantje naast school?

Vooral als je je dan ook bedenkt, dat dit bedrijf al eerder ervaring heeft opgedaan en dus beter zou moeten weten, vraag ik me af of het in dit geval het bedrijf niet zwaarder gestraft moet worden dan die jongen.

[Reactie gewijzigd door Xanaroth op 27 oktober 2015 12:27]

we leven in een tijd waar bedrijven de hoofdrol spelen en een mensenleven gewoon niets meer waard is. Met andere woorden dus denk ik dat er wel degelijk een flinke voorbeeldstraf gegeven wordt. arm jochie. We gaan nog net geen celstraffen geven aan honden die het worstje van je bord af jatten als je ff een toiletpauze houdt tijdens de reclame.
Wie zegt dat het een scriptkiddie is? Wellicht heeft dit ventje echt skills.
Ik vind het overigens erg getuigen van knulligheid van de ontwerper als credit card en debit card gegevens buitgemaakt kunnen worden. Zeker met bijbehorende NAW gegevens. Ik als architect zal het echt niet mogelijk maken om credit card gegevens in batch op te halen en daar eenvoudig NAW gegevens bij te mappen. Maar goed, ze zullen bestaan tabellen als: ID, FirstName, LastName, Account, CCV, ValidUntil, Address
Dan hangt het er wel vanaf wat hij met die data gedaan heeft. Verkoopt hij het door of misbruikt hij het zelf, ja dan mag hij goed worden aangepakt maar heeft hij de hack alleen "voor de kick" gedaan en nog niets met de data gedaan dan mag je hem imo niet (zwaar) straffen.
Ik vind zelfs dat je het bedrijf zelf hard aan moet pakken, dat deze data zo makkelijk te verkrijgen is.
Zoiets moet gewoon goed bestraft worden
Nee, dat moet het dus niet. "Zwaar straffen" wakkert enkel recidive aan, en komt de maatschappij niet ten goede.
Zoiets moet gewoon goed bestraft worden en ik hoop dan ook dat dit niet alleen maar uitdraait op een paar uur werkstraf.
Voor een vijftien jarige zal dat moeizaam zijn, de wet beschouwd tieners nog niet geheel verantwoordelijk voor hun daden. Maar je kan er van uitgaan dat de straf het maximum zal zijn wat mogelijk is. Daarnaast zullen alle kosten verhaalt worden, en die zullen in de tonnen lopen. En de verzekering dekt die niet.

Denken dat dit soort criminelen hierdoor een baan krijgen is ongelofelijk naief en dat moet werkelijk eens uit de wereld. Ik ken jongeren die echt denken dat het zo werkt en niet begrijpen dat je gepakt moet worden om bekend te zijn en als je gepakt word zijn de strafrechtelijke en civiel rechterlijke gevolgen enorm.

Ik neem met regelmaat it's aan. Maar iemand als in de buurt van onze klantgegevens? Nooit.
Dit is allemaal buit gemaakt tijdens de hack:
<snip>
Zoiets moet gewoon goed bestraft worden
Volgens mij gaat het helemaal niet om wat er buitgemaakt is, maar om de intentie en het vervolg.

Je vindt een gat in de beveiliging, en download een database. Da's stoer. Doet de inhoud van de database er iets toe? Kon de hacker dat weten zonder hem te downloaden?

En wat deed hij ermee? Verkopen, of aan TalkTalk melden dat hun systeem lek is?
Dit zijn tamelijk precies de gegevens die je bij willekeurig welke retailer opgeeft voor een klantenkaart en waar je vervolgens betaalt met je credit card. De werkelijke zwakte is dat semi openbare gegevens vaak voldoende worden geacht voor identificatie. Het wordt tijd dat we daar wat aan doen.
Er zijn 15 jarige die beter zijn dan 40 jarige met 25 jaar ervaring. Leeftijd zegt niets vooral niet in de it.
Ga er maar niet van uit aangezien er dus ook gewoon sprake van afpersing was, en er is geen bedrijf die graag iemand in dienst heeft die aan afpersing doet..
Ga er maar niet van uit aangezien er dus ook gewoon sprake van afpersing was, en er is geen bedrijf die graag iemand in dienst heeft die aan afpersing doet..
Er is helemaal niet gezegd dat die 15-jarige Noord-Ier aan afpersing heeft gedaan. Er staat:
Mogelijk is de verdachte dezelfde persoon die vrijdag contact opnam met TalkTalk, de verantwoordelijkheid voor de hack opeiste en een geldbedrag eiste van de telecomprovider.
Klopt, maar de associatie alleen is al genoeg voor veel bedrijven..
Zulke dingen zijn in het verleden wel gebeurd. Maar dat geeft meer aan dat het management IT voor iets magisch en ongrijpbaars houdt en denkt een IT tovernaar gevonden te hebben.
Ja ik denk dat ie wel een aanbod krijgt van MI5/6.
Jammer dat het artikel niet vermeld hoe de hack heeft plaats gevonden. Zelfs als het via een simpele injectie ging zou het iig leuk zijn om het te kunnen lezen. Dingen zoals hoe een hack plaats heeft gevonden en wat er met de gegevens is gedaan zijn belangrijk om het niveau en de intenties van een hacker te kunnen beoordelen en zodoende de goede of slechte moraal te kunnen bepalen.

That said; Noord-Ierland? Dus England. Hij zal het altijd moeten opnemen met de GHCQ en die wint het altijd met data minen van Engelse telefoongebruikers. :+
That said; Noord-Ierland? Dus England

Noord-Ierland <> England. Noord-Ierland is zelfs niet Groot BrittanniŽ (het grote eiland "rechts"). Het is onderdeel van het Verenigd Koninkrijk, maar een complete ander eiland (en technisch zelfs een ander land, maar met dezelfde regering als England, Wales en Schotland). Het heeft ook een eigen parlement in Stormont/Belfast.
Noord-Ierland is een zelfstandige land die niet wel bij Verenigde Koninkrijk zit
Dat geldt ook voor Engeland

[Reactie gewijzigd door Dutchredgaming op 27 oktober 2015 11:53]

Er zijn een aantal dingen die we al wel weten. De hack werd voorafgegaan door een DDOS aanval als afleidingsmanouvre zodat het IT personeel daar druk mee bezig was en de hack minder snel zou opmerken.

Verder lijkt het er op dat ze data uit het helpdesk systeem hebben weten te krijgen. Volgens TalkTalk zijn de buitgemaakte (credit/debit) kaartnummers niet volledig. Dat zou er op kunnen wijzen dat ze niet bij Billing zijn binnengekomen (die moeten immers een volledig nummer hebben om een betaling te kunnen afboeken) maar bij de helpdesk die waarschijnlijk alleen toegang heeft tot de laatste vier cijfers ter identificatie etc.
Intussen is de directie van TalkTalk opgeroepen om voor het Britse parlement uit te leggen hoe de aanval heeft kunnen plaatsvinden.
het lijkt me dat ze dit beter aan een zekere 15-jarige uit noord Ierland kunnen vragen.
Grappig, wel slim genoeg om zo'n hack uit te voeren maar niet slim genoeg om niet gepakt te worden..

Heeft ook een hoop te maken met nativiteit denk ik, zeker bij dit soort jonge gasten..
Als een 15 jarige jongen zon groot platform in zijn eentje kan leegtrekken is de beveiliging gewoon simpelweg dikke ruk. De actie is niet goed te praten echter worden ze misschien nu wel wakker geschud.
Als een 15 jarige jongen zon groot platform in zijn eentje kan leegtrekken is de beveiliging gewoon simpelweg dikke ruk. De actie is niet goed te praten echter worden ze misschien nu wel wakker geschud.
Dus jij weet al hoe het gegaan is? Wellicht wel op een geheel nieuwe en geniale wijze. Ik weet het niet en matig me oordeel als 'dikke ruk' over de beveiliigin niet aan.
Punt is en blijft dat de gegevens na de inbraak invoudig te lezen waren. Gegevens sla je geŽncrypteerd op en de beveiliging werk je layered uit. Die knul kon ineens aan alles aan. M.a.w. heeft Superblink gelijk dat de beveiliging gewoon simpelweg dikke ruk was.

De bedrijfsleider die dit heeft toegelaten moeten ze dus zwaar straffen mťt inderdaad gevangenisstraffen. Die jongen moeten een paar uurtjes in de hoek zetten of een strafstudie geven op school.
Het is niet het eerste keer dat de data van het bedrijf en zijn klanten gevaar loopt. Eind 2014 lagen de gegevens door een lek ook al op straat.
Such a shame...
Er zullen door dit soort incidenten, wel klanten weg gaan. Het vertrouwen wordt er namelijk niet beter op.
Life is what you make it. ;)
Heb je een bron van ook maar iets dat je hier zegt? Ik ben wel benieuwd namelijk.

[Reactie gewijzigd door Greveldinges op 27 oktober 2015 11:52]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True