Politie arresteert vijftienjarige Noord-Ier vanwege hacken TalkTalk

De Noord-Ierse politie heeft een vijftienjarige jongen gearresteerd op verdenking van het hacken van telecomprovider TalkTalk. De hack vond vorige week plaats. Mogelijk zijn persoonlijke gegevens waaronder telefoonnummers, e-mailadressen en bankgegevens buitgemaakt.

De politie heeft het huis van de 15-jarige Noord-Ier doorzocht op zoek naar bewijzen. Er zijn verder geen details bekendgemaakt over de arrestatie, schrijft The Guardian. Mogelijk is de verdachte dezelfde persoon die vrijdag contact opnam met TalkTalk, de verantwoordelijkheid voor de hack opeiste en een geldbedrag eiste van de telecomprovider.

Om klanten en geïnteresseerden op de hoogte te houden, speelt TalkTalk open kaart met een webpagina gewijd aan het incident. Het is niet het eerste keer dat de data van het bedrijf en zijn klanten gevaar loopt. Eind 2014 lagen de gegevens door een lek ook al op straat.

Intussen is de directie van TalkTalk opgeroepen om voor het Britse parlement uit te leggen hoe de aanval heeft kunnen plaatsvinden. Niet alle data op de servers van het bedrijf was namelijk versleuteld. De Britse Information Commissioner's Office kan ook een boete van maximaal 700.000 euro opleggen aan de televisie- en internetprovider als blijkt dat de beveiliging van de servers ontoereikend was. Het is nog niet duidelijk hoeveel van de vier miljoen Britse klanten van TalkTalk getroffen zijn door de hack en welke gegevens precies zijn buitgemaakt..

IT-banen

Reacties (43)

Anoniem: 475099 27 oktober 2015 11:12

Misschien krijgt deze 15-jarige Noord-Ier wel een baan aangeboden vanwege zijn uitzonderlijk creatieve manier van solliciteren voor een IT-gerelateerde functie.

HerrPino @Anoniem: 475099 • 27 oktober 2015 12:11

Dat is hetzelfde als dat je een baan als slotenmaker, bouwvakker of architect krijgt aangeboden omdat je als inbreker toegang hebt weten te krijgen tot een gebouw. Beetje gek. Een gat vinden is wel even iets moeilijker dan deze te voorkomen. Ik denk dat je het kunt vergelijken met een kabels die altijd in de knoop lijken te zitten als je ze pakt. Het probleem is dat er slechts 1 manier is waarop de kabel niet in de knoop zit en oneindig veel manieren waarop deze dat wel is. Het vinden van een manier om een kabel in de knoop te krijgen (hacken) is vele malen makkelijker dan een manier om de kabel in de knoop te krijgen (beveiligen).

Anoniem: 475099 @HerrPino • 27 oktober 2015 13:40

Dat is hetzelfde als dat je een baan als slotenmaker, bouwvakker of architect krijgt aangeboden omdat je als inbreker toegang hebt weten te krijgen tot een gebouw. Beetje gek.

Beetje gek inderdaad. Misschien heb ik de volgende artikelen verkeerd gelezen:

Een gat vinden is wel even iets moeilijker dan deze te voorkomen.

De 15-jarige Noord-Ier in het artikel heeft zo'n gat in de beveiliging gevonden. Juist daarom zou hij beloond moeten worden. Aan de andere kant moet hij wel bestraft worden voor het misbruiken van de data.

Verwijderd @Anoniem: 475099 • 27 oktober 2015 15:59

Er is (nog) geen sprake van misbruik van de data.

Er is wel sprake van afdreiging (dat is afpersing maar zonder dreiging van geweld).
In Nederland kun je daar tot 4 jaar cel voor krijgen (9 jaar voor afpersing).

Anoniem: 475099 @Verwijderd • 27 oktober 2015 16:13

Er is (nog) geen sprake van misbruik van de data.

Een kleine selectie van de data was toch eerder al gepubliceerd op pastebin.org of zo toch? Als mijn data openlijk zou worden gepubliceerd, dan vind ik dat dat valt onder misbruik.

Er is wel sprake van afdreiging (dat is afpersing maar zonder dreiging van geweld).

Het is niet zeker dat het om die 15-jarige Noord-Ier gaat die heeft afgeperst want er staat dit in het artikel:

Mogelijk is de verdachte dezelfde persoon die vrijdag contact opnam met TalkTalk, de verantwoordelijkheid voor de hack opeiste en een geldbedrag eiste van de telecomprovider.

xiphoid @Anoniem: 475099 • 27 oktober 2015 20:10

Ik kan het wel met je eens zijn, maar ik ga iemand die bij mij een raam ingooit, mijn dure spulletjes jat, en deze op marktplaats verkoopt, toch echt niet een baan aanbieden om betere ramen te installeren. Het was nog steeds inbraak. Het moet toch niet een free-for-all worden zonder consequenties?

nullbyte @xiphoid • 28 oktober 2015 01:11

Dat is geen geldige vergelijking. De vereiste skillset is totaal anders. Daarom zijn er veel meer inbrekers dan mensen die dit kunnen. Ook de fysieke aanwezigheid van een ongewenst persoon in je huis is even wat beangstigender en heeft een vaak een grotere impact op de slachtoffers dan een hacker die een systeem hackt, helemaal als er ook nog geweld gebruikt word.

[Reactie gewijzigd door nullbyte op 23 juli 2024 16:15]

xiphoid @nullbyte • 28 oktober 2015 08:00

Ja en nee, het hangt van de schaal af. De gegevens die gestolen zijn kunnen tevens misbruikt worden, en fysiek geweld komt ook niet met een inbraak voor altijd, helemaal niet als meeste inbraken gebeuren als men niet thuis is. Een bedrijf kan aardig wat financiele schade hebben toch. Prima, ik ben het met je argument over skills eens.. maar jouw argumenten nou het antwoord is voor elk bedrijf waar digitaal misbruik plaats vindt, weet ik niet .. ik kan me niet voorstellen dat jij vind dat men zonder consequenties bij iedereen misbruik van bugs/security mag maken en bedrijven (financiele) schade mag toerichten.

nullbyte @xiphoid • 28 oktober 2015 09:05

Absoluut niet, ben het met je eens inbreken blijft inbreken. Een hacker die 50000 records met klantgegevens uit een database steelt brengt misschien wel meer schade toe dan de dieven die een waardekast leeg stelen.

Aasas @HerrPino • 28 oktober 2015 10:18

De manier van denken is goed, hoe hij in het systeem is gekomen. Een geldsom opeisen is dan weer niet zo goed...

Blokker_1999

Internet
Netwerk en systeembeheer

@Anoniem: 475099 • 27 oktober 2015 11:19

Het is niet omdat je goed bent in het vinden van gaten, of omdat je geluk hebt gehad dat je ook goed bent in het voorkomen van zulke gaten. Dit is zeker geen creatieve solicitatie van deze jongen (die trouwens te jong is om een job te zoeken) en het kan goed zijn dat hij er nog jaren de gevolgen van zal dragen.

Iftert @Blokker_1999 • 27 oktober 2015 11:25

Als een 15 jarige jongen hier al in kan hacken is het imo een te zwakke beveiliging geweest.
Ook al heb je het over een wonderkid...

Al hoop ik voor hem dat het hem geen hele zware gevolgen zal hebben.

Phyxion @Iftert • 27 oktober 2015 11:44

Al hoop ik voor hem dat het hem geen hele zware gevolgen zal hebben.

Dit is allemaal buit gemaakt tijdens de hack:

Names
Addresses
Dates of birth
Email addresses
Telephone numbers
TalkTalk account information
Credit and debit card details and/or bank details

Ondanks dat de credit en debit card details gedeeltelijk zijn gemasked is dit niet informatie die je op straat wilt zien liggen. Daarnaast kost het een hoop geld aan onderzoek en andere ongein. Zoiets moet gewoon goed bestraft worden en ik hoop dan ook dat dit niet alleen maar uitdraait op een paar uur werkstraf.

Xanaroth @Phyxion • 27 oktober 2015 12:21

Ik vraag me af wat, bijvoorbeeld, mijn inboedelverzekeraar of de politie zegt als ik mijn voordeur op een kier laat staan, en een 15-jarige snotneus langsloopt en naar binnenloopt om wat mee te nemen dat open en bloot op tafel ligt. Denk dat in dat geval je niet eens serieus wordt genomen.

Dus, ja, wat die jongen heeft gedaan is niet netjes. Straf? Zeker!
Je hebt het hier alleen niet over een professional, of een organisatie die erachter zit. Gewoon een scriptkiddie met teveel vrije tijd.

De echte vraag is dus, aan wie moet de zwaarste straf worden toegekend. De jongen omdat hij de informatie buit maakt, of het bedrijf waar een 15 (vijftien!!) jarige binnen weet te komen EN welke de informatie dan ook niet eens fatsoenlijk opgeborgen heeft?
Degene met letterlijk miljoenen aan budget en tig mensen in dienst, of iemand met een bijbaantje naast school?

Vooral als je je dan ook bedenkt, dat dit bedrijf al eerder ervaring heeft opgedaan en dus beter zou moeten weten, vraag ik me af of het in dit geval het bedrijf niet zwaarder gestraft moet worden dan die jongen.

[Reactie gewijzigd door Xanaroth op 23 juli 2024 16:15]

Anoniem: 678173 @Xanaroth • 27 oktober 2015 14:56

we leven in een tijd waar bedrijven de hoofdrol spelen en een mensenleven gewoon niets meer waard is. Met andere woorden dus denk ik dat er wel degelijk een flinke voorbeeldstraf gegeven wordt. arm jochie. We gaan nog net geen celstraffen geven aan honden die het worstje van je bord af jatten als je ff een toiletpauze houdt tijdens de reclame.

nullbyte @Xanaroth • 28 oktober 2015 01:17

Wie zegt dat het een scriptkiddie is? Wellicht heeft dit ventje echt skills.

HerrPino @Phyxion • 27 oktober 2015 12:26

Ik vind het overigens erg getuigen van knulligheid van de ontwerper als credit card en debit card gegevens buitgemaakt kunnen worden. Zeker met bijbehorende NAW gegevens. Ik als architect zal het echt niet mogelijk maken om credit card gegevens in batch op te halen en daar eenvoudig NAW gegevens bij te mappen. Maar goed, ze zullen bestaan tabellen als: ID, FirstName, LastName, Account, CCV, ValidUntil, Address

Iftert @Phyxion • 27 oktober 2015 12:26

Dan hangt het er wel vanaf wat hij met die data gedaan heeft. Verkoopt hij het door of misbruikt hij het zelf, ja dan mag hij goed worden aangepakt maar heeft hij de hack alleen "voor de kick" gedaan en nog niets met de data gedaan dan mag je hem imo niet (zwaar) straffen.
Ik vind zelfs dat je het bedrijf zelf hard aan moet pakken, dat deze data zo makkelijk te verkrijgen is.

svenslootweg @Phyxion • 27 oktober 2015 12:27

Zoiets moet gewoon goed bestraft worden

Nee, dat moet het dus niet. "Zwaar straffen" wakkert enkel recidive aan, en komt de maatschappij niet ten goede.

Verwijderd @Phyxion • 27 oktober 2015 12:31

Zoiets moet gewoon goed bestraft worden en ik hoop dan ook dat dit niet alleen maar uitdraait op een paar uur werkstraf.

Voor een vijftien jarige zal dat moeizaam zijn, de wet beschouwd tieners nog niet geheel verantwoordelijk voor hun daden. Maar je kan er van uitgaan dat de straf het maximum zal zijn wat mogelijk is. Daarnaast zullen alle kosten verhaalt worden, en die zullen in de tonnen lopen. En de verzekering dekt die niet.

Denken dat dit soort criminelen hierdoor een baan krijgen is ongelofelijk naief en dat moet werkelijk eens uit de wereld. Ik ken jongeren die echt denken dat het zo werkt en niet begrijpen dat je gepakt moet worden om bekend te zijn en als je gepakt word zijn de strafrechtelijke en civiel rechterlijke gevolgen enorm.

Ik neem met regelmaat it's aan. Maar iemand als in de buurt van onze klantgegevens? Nooit.

Mijzelf @Phyxion • 27 oktober 2015 13:25

Dit is allemaal buit gemaakt tijdens de hack:
<snip>
Zoiets moet gewoon goed bestraft worden

Volgens mij gaat het helemaal niet om wat er buitgemaakt is, maar om de intentie en het vervolg.

Je vindt een gat in de beveiliging, en download een database. Da's stoer. Doet de inhoud van de database er iets toe? Kon de hacker dat weten zonder hem te downloaden?

En wat deed hij ermee? Verkopen, of aan TalkTalk melden dat hun systeem lek is?

Neocortex-re @Phyxion • 27 oktober 2015 13:35

Dit zijn tamelijk precies de gegevens die je bij willekeurig welke retailer opgeeft voor een klantenkaart en waar je vervolgens betaalt met je credit card. De werkelijke zwakte is dat semi openbare gegevens vaak voldoende worden geacht voor identificatie. Het wordt tijd dat we daar wat aan doen.

SBTweaker @Iftert • 28 oktober 2015 10:00

Er zijn 15 jarige die beter zijn dan 40 jarige met 25 jaar ervaring. Leeftijd zegt niets vooral niet in de it.

SuperDre @Anoniem: 475099 • 27 oktober 2015 13:34

Ga er maar niet van uit aangezien er dus ook gewoon sprake van afpersing was, en er is geen bedrijf die graag iemand in dienst heeft die aan afpersing doet..

Anoniem: 475099 @SuperDre • 27 oktober 2015 13:44

Ga er maar niet van uit aangezien er dus ook gewoon sprake van afpersing was, en er is geen bedrijf die graag iemand in dienst heeft die aan afpersing doet..

Er is helemaal niet gezegd dat die 15-jarige Noord-Ier aan afpersing heeft gedaan. Er staat:

Mogelijk is de verdachte dezelfde persoon die vrijdag contact opnam met TalkTalk, de verantwoordelijkheid voor de hack opeiste en een geldbedrag eiste van de telecomprovider.

SuperDre @Anoniem: 475099 • 27 oktober 2015 13:47

Klopt, maar de associatie alleen is al genoeg voor veel bedrijven..

mashell @Anoniem: 475099 • 27 oktober 2015 11:14

Zulke dingen zijn in het verleden wel gebeurd. Maar dat geeft meer aan dat het management IT voor iets magisch en ongrijpbaars houdt en denkt een IT tovernaar gevonden te hebben.

YangWenli @Anoniem: 475099 • 27 oktober 2015 16:37

Ja ik denk dat ie wel een aanbod krijgt van MI5/6.

Auredium 27 oktober 2015 11:14

Jammer dat het artikel niet vermeld hoe de hack heeft plaats gevonden. Zelfs als het via een simpele injectie ging zou het iig leuk zijn om het te kunnen lezen. Dingen zoals hoe een hack plaats heeft gevonden en wat er met de gegevens is gedaan zijn belangrijk om het niveau en de intenties van een hacker te kunnen beoordelen en zodoende de goede of slechte moraal te kunnen bepalen.

That said; Noord-Ierland? Dus England. Hij zal het altijd moeten opnemen met de GHCQ en die wint het altijd met data minen van Engelse telefoongebruikers.

XephireUK @Auredium • 27 oktober 2015 11:48

That said; Noord-Ierland? Dus England

Noord-Ierland <> England. Noord-Ierland is zelfs niet Groot Brittannië (het grote eiland "rechts"). Het is onderdeel van het Verenigd Koninkrijk, maar een complete ander eiland (en technisch zelfs een ander land, maar met dezelfde regering als England, Wales en Schotland). Het heeft ook een eigen parlement in Stormont/Belfast.

Dutchredgaming @XephireUK • 27 oktober 2015 11:52

Noord-Ierland is een zelfstandige land die niet wel bij Verenigde Koninkrijk zit
Dat geldt ook voor Engeland

[Reactie gewijzigd door Dutchredgaming op 23 juli 2024 16:15]

Maurits van Baerle @Auredium • 27 oktober 2015 11:45

Er zijn een aantal dingen die we al wel weten. De hack werd voorafgegaan door een DDOS aanval als afleidingsmanouvre zodat het IT personeel daar druk mee bezig was en de hack minder snel zou opmerken.

Verder lijkt het er op dat ze data uit het helpdesk systeem hebben weten te krijgen. Volgens TalkTalk zijn de buitgemaakte (credit/debit) kaartnummers niet volledig. Dat zou er op kunnen wijzen dat ze niet bij Billing zijn binnengekomen (die moeten immers een volledig nummer hebben om een betaling te kunnen afboeken) maar bij de helpdesk die waarschijnlijk alleen toegang heeft tot de laatste vier cijfers ter identificatie etc.

spank_mojoo 27 oktober 2015 11:26

Intussen is de directie van TalkTalk opgeroepen om voor het Britse parlement uit te leggen hoe de aanval heeft kunnen plaatsvinden.

het lijkt me dat ze dit beter aan een zekere 15-jarige uit noord Ierland kunnen vragen.

Inflatable 27 oktober 2015 16:17

Grappig, wel slim genoeg om zo'n hack uit te voeren maar niet slim genoeg om niet gepakt te worden..

Heeft ook een hoop te maken met nativiteit denk ik, zeker bij dit soort jonge gasten..

Superblik 27 oktober 2015 11:42

Als een 15 jarige jongen zon groot platform in zijn eentje kan leegtrekken is de beveiliging gewoon simpelweg dikke ruk. De actie is niet goed te praten echter worden ze misschien nu wel wakker geschud.

Verwijderd @Superblik • 27 oktober 2015 12:33

Als een 15 jarige jongen zon groot platform in zijn eentje kan leegtrekken is de beveiliging gewoon simpelweg dikke ruk. De actie is niet goed te praten echter worden ze misschien nu wel wakker geschud.

Dus jij weet al hoe het gegaan is? Wellicht wel op een geheel nieuwe en geniale wijze. Ik weet het niet en matig me oordeel als 'dikke ruk' over de beveiliigin niet aan.

Verwijderd @Verwijderd • 27 oktober 2015 17:26

Punt is en blijft dat de gegevens na de inbraak invoudig te lezen waren. Gegevens sla je geëncrypteerd op en de beveiliging werk je layered uit. Die knul kon ineens aan alles aan. M.a.w. heeft Superblink gelijk dat de beveiliging gewoon simpelweg dikke ruk was.

De bedrijfsleider die dit heeft toegelaten moeten ze dus zwaar straffen mét inderdaad gevangenisstraffen. Die jongen moeten een paar uurtjes in de hoek zetten of een strafstudie geven op school.