Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties

De Britse politie heeft een 21-jarige man gearresteerd die ervan wordt verdacht de systemen van speelgoedmaker VTech binnengedrongen te zijn. De man zou met zijn hack de Britse Computer Misuse Act 1990 overtreden hebben.

De 21-jarige man werd opgepakt in het Engelse Bracknell door de South East Regional Organised Crime Unit. Bij de inval zijn meerdere elektronische apparaten in beslag genomen door de Cyber Crime eForensics Unit van de politiedienst. De arrestatie is onderdeel van het onderzoek naar de hack bij VTech en de man wordt ervan verdacht ongeoorloofd computers binnengedrongen te zijn en ongeautoriseerd toegang tot data veroorzaakt te hebben. Hiermee zou hij de Computer Misuse Act 1990 overtreden hebben, waardoor hem een gevangenisstraf van maximaal twaalf maanden boven het hoofd hangt.

Eind november werd bekend dat VTech slachtoffer was van een omvangrijke hack. De dader maakte bekend toegang te hebben gehad tot een database met namen, e-mailadressen, versleutelde wachtwoorden, ip-adressen, postadressen en geheime vragen met antwoorden. Het bleek te gaan om profielen van in totaal 6,4 miljoen kinderen, waaronder 133.179 profielen van Belgische en 124.730 profielen van Nederlandse kinderen. Ook foto's en chatlogs waren te benaderen. Voor zover bekend heeft de hacker de gegevens niet misbruikt, wel heeft hij delen verstrekt aan de site Motherboard van Vice News, om zijn hackclaims te bewijzen.

VTech 80-145004

Moderatie-faq Wijzig weergave

Reacties (84)

Wetten die er voor zorgen dat hackers die op verantwoorde wijze de klok luiden in de gevangenis belanden, zorgen er juist voor dat hacks juist misbruikt zullen worden.

De maatschappij moet het vieren dat er hackers zijn die misstanden aan de kaak stellen, en niet beperken. Uiteindelijk zorgt deze jongen ervoor dat Vtech iets aan de beveiliging moet doen, dat is tenslotte in belang van het collectief.
Wetten die er voor zorgen dat hackers die op verantwoorde wijze de klok luiden in de gevangenis belanden, zorgen er juist voor dat hacks juist misbruikt zullen worden.

De maatschappij moet het vieren dat er hackers zijn die misstanden aan de kaak stellen, en niet beperken. Uiteindelijk zorgt deze jongen ervoor dat Vtech iets aan de beveiliging moet doen, dat is tenslotte in belang van het collectief.
Ik zie nergens dat hij op verantwoorde wijze de klok luide. Ik heb nergens gevonden dat hij ooi contact met Vtech opgenomen heeft.

Ik vind het in dit geval wel terecht dat deze man aangepakt wordt. Hij is IMO op een onverantwoorde manier met data en toegang van kinderen omgegaan. Kinderen zijn een van de meest kwetsbare mensen.

Als het data van volwassenen was geweest had ik er minder problemen mee gehad.

Van mij mag hij flink brommen met de opmerking dat hij onverantwoord met data van kinderen omgegaan is.
Tevens heeft hij helemaal geen recht om foto's te downloaden en de publiceren.
Zoals in dit artikel te lezen is: "de man wordt ervan verdacht ongeoorloofd computers binnengedrongen te zijn en ongeautoriseerd toegang tot data veroorzaakt te hebben. Hiermee zou hij de Computer Misuse Act 1990 overtreden hebben".

De hack an sich is dus al een overtreding. Vandaar mijn kritiek op deze wet. Zoals ik begrijp uit het artikel betekent het dus dat dit het melden van een hack bemoeilijkt. Daarom: straf niet de ethische hacker, maar het bedrijf dat onverantwoord omgaat met gegevens van haar gebruikers.

De foto's zijn onherkenbaar gepubliceerd om aandacht te vragen, kun je zien op Vice. Verder de beweegredenen van deze hacker:
"Dat was het moment waarop hij contact met me opnam. Hij besloot direct naar een journalist te stappen, omdat hij dacht dat VTech “nooit zou gaan luisteren,” of het beveiligingslek geheim zou willen houden. En gezien de slechte beveiliging van de servers van VTech was hij bang dat anderen ook bij de gegevens zouden kunnen. Als dat al niet gebeurd was.

“Al het bewijs wijst erop dat ik niet de enige ben die bij de data zou kunnen,” zegt hij.

Hoe dan ook wilde de hacker de data nooit gaan publiceren of verkopen. Hij vind dat “immoreel.”


Het is dus inderdaad immoreel om niet eerst Vtech in te lichten, maar meteen naar Vice te gaan. Ik vermoed dat de 21-jarige hacker zich echt ADMIN voelde, en voor de aandacht ging. Maar goed, volgens mij zijn er wel meer mensen die op hun 21e domme fouten hebben gemaakt. Het relativeringsvermogen van een 21-jarige speelt wellicht een rol.

Check het volledige artikel van Vice hier: http://motherboard.vice.c...t-uit-waarom-hij-dat-deed
Zoals in dit artikel te lezen is: "de man wordt ervan verdacht ongeoorloofd computers binnengedrongen te zijn en ongeautoriseerd toegang tot data veroorzaakt te hebben. Hiermee zou hij de Computer Misuse Act 1990 overtreden hebben".

De hack an sich is dus al een overtreding. Vandaar mijn kritiek op deze wet. Zoals ik begrijp uit het artikel betekent het dus dat dit het melden van een hack bemoeilijkt. Daarom: straf niet de ethische hacker, maar het bedrijf dat onverantwoord omgaat met gegevens van haar gebruikers.
Het is maar de vraag of Vtech onverantwoord met de data van hun klanten omgegaan is, de hacker heeft zoals je zelf aangeeft Vtech helemaal geen kans gegeven.
Fouten maken is menselijk, er niets mee doen is IMO in dit geval crimineel.

Als er iemand aantoonbaar onverantwoord omgegaan is met de data van gebruikers is IMO de unethical hacker.

Het moet ook niet zo zijn dat een hacker als mag nadat hij een bedrijf gehackt heeft. Hij zou dit IMO in eerste instantie via het bedrijf en daarna de autoriteiten af moeten handelen.
De foto's zijn onherkenbaar gepubliceerd om aandacht te vragen, kun je zien op Vice. Verder de beweegredenen van deze hacker:
"Dat was het moment waarop hij contact met me opnam. Hij besloot direct naar een journalist te stappen, omdat hij dacht dat VTech “nooit zou gaan luisteren,” of het beveiligingslek geheim zou willen houden. En gezien de slechte beveiliging van de servers van VTech was hij bang dat anderen ook bij de gegevens zouden kunnen. Als dat al niet gebeurd was.

“Al het bewijs wijst erop dat ik niet de enige ben die bij de data zou kunnen,” zegt hij.

Hoe dan ook wilde de hacker de data nooit gaan publiceren of verkopen. Hij vind dat “immoreel.”


Het is dus inderdaad immoreel om niet eerst Vtech in te lichten, maar meteen naar Vice te gaan. Ik vermoed dat de 21-jarige hacker zich echt ADMIN voelde, en voor de aandacht ging. Maar goed, volgens mij zijn er wel meer mensen die op hun 21e domme fouten hebben gemaakt. Het relativeringsvermogen van een 21-jarige speelt wellicht een rol.
Inderdaad.
Heel leuk het is niet aan hem om dit te denken.
Hij moet de fabrikant in eerste instantie het voordeel van de twijfel geven.
Als hij dara geen gehoor krijgt naar de privacy organisaties van landen gaan.
En als het daarna niet helpt naar de media en zaken publiceren. En hoe dan ook foto's van kinderen kan en mag niet.

Ik heb helemaal geen respect voor deze "hacker".
Check het volledige artikel van Vice hier: http://motherboard.vice.c...t-uit-waarom-hij-dat-deed

[Reactie gewijzigd door worldcitizen op 15 december 2015 15:39]

De hack an sich is dus al een overtreding. Vandaar mijn kritiek op deze wet.
Volgens diezelfde redenering vind je het ook verkeerd om een huis of een bank binnen te breken?
Alleen was hier sowieso weinig 'verantwoorde wijze' van toepassing... De man heeft ook gewoon data gepubliceerd.. dan mag je wat mij betreft gewoon regelrecht de gevangenis in.

Als een hacker misstanden aan de kaak wil stellen dan moet die zijn bevindingen maar overleggen aan de correcte instantie, en niet zomaar gaan publiceren waarbij een hoop mensen er de pineut van zijn..

De jongen had niet data moeten publiceren (het jatten ervan is al te ver gegaan), en had dit gewoon aan VTech moeten melden..
Als ik het goed heb heeft hij nog geen 5% van de data gepubliceerd, enkel om de fabrikant te dwingen hier iets aan te doen. Tot nu toe is voor zover ik weet de rest van de data nog niet opgedoken, dus dat pleit wel voor deze hacker.
Als ik het goed heb heeft hij nog geen 5% van de data gepubliceerd, enkel om de fabrikant te dwingen hier iets aan te doen. Tot nu toe is voor zover ik weet de rest van de data nog niet opgedoken, dus dat pleit wel voor deze hacker.
Hij publiceert ook foto's die de kinderen gemaakt hebben, wat IMO echt niet kan. Dat is IMO een goede reden om hem flink te laten brommen.
Tevens heeft hij volgens mij geen enkel bewijs aangeleverd dat hij ooit de fabrikant gecommuniceerd heeft. Dit is iets dat hij had moeten publiceren, zeker als hij 0 op zijn rekest kreeg.
Maakt niet uit hoeveel %, elke % is teveel..
Maar het is moeilijk te zeggen hoeveel informatie een hacker uit het systeem heeft weten te trekken. Daarom zie je het verschil tussen deze 2 hackers niet.
Is deze man niet een "etische haker"? Waarom in hemelsnaam, een good-guy arresteren? Laten we het vooral wegstoppen in de illegaliteit, daar wordt het vast veiliger van...
Is hij een ethische hacker? Heeft hij dit lek correct gemeld bij V-tech? Heeft hij hen voldoende kans gegeven om het lek te dichten? Of is hij direct de aandacht gaan opzoeken?
Heeft hij geen misbruik gemaakt van de gegevens, geen wist behaald aan de hack, de getroffene hebben geen schade door zijn hack. Hij is inderdaad direct naar vice gegaan, doch verdient deze man een pluim om niet direct Silk Road 3.0 op te zoeken.
Een ethische hacker gaat niet voor zijn 15 minutes of fame, maar meld gewoon aan het betrokken bedrijf: ik heb een lek gevonden. Gelieve dit op te lossen. Het is niet omdat je er geen munt gaat uitslaan, dat je geen andere beweegredenen kunt hebben die niet ethisch zijn. En de getroffene hebben door zijn doen wel degelijk schade geleden.

In pirncipe gaat een ethisch hacker ook alleen maar aan de slag nadat hij/zij goedkeuring heeft gekregen van de eigenaar van de systemen waarop hij/zij zal proberen in te breken. Maar dat wil ik nog door de vingers zien zolang er met de resultaten maar correct word omgesprongen.

[Reactie gewijzigd door Blokker_1999 op 15 december 2015 12:57]

Bij dit soort berichten richting het gehackte bedrijf word eigenlijk altijd een deadline gegeven, reden is omdat de bedrijven in kwestie anders super laks zijn in het oplossen van het probleem, dit is in het verleden al veel te vaak gebleken.
Wat blokker zegt.... ook niet vergeten dat deze man SPEELGOED van KINDEREN STUK MAAKT!

Daarna heeft hij zijn hack op dusdanige manier bekend gemaakt dat VTECH niets anders kon dan alles stop te zetten, waardoor al deze kinderen niet meer konden spelen met hun vtech speeltjes.

p.s. Mijn dochter kreeg op sinterklaas (van oma) een VTECH speeltje, ik mocht haar die avond uitleggen waarom :S
Nee, het zijn de fabrikanten die defect speelgoed afleveren. Het zijn de fabrikanten die niet voorzichtig met deze gegevens omspringen.. Waarom moet een vtech deze gegevens hebben?

Waarom zou je als ouder je kind blootstellen aan dit soort gevaren?

Nu schijnt deze hacker nog netjes met de gegevens zijn omgegaan. Maar vrees dat hij niet de enigste hacker was, die bij deze data kon.

Dus wie heeft deze gegevens nog meer? En wat zouden ze kunnen met deze gegevens?

Gelukkig is de WiFi Cloud Barbie wel veilig,.. o wacht is ook al gehacked.

En om in te haken op Blokker_1999, gelukkig was deze persoon niet zo'n ethische hacker. Dat die zich bezig hield met de reputatie van het bedrijf, maar dat hij het in de media gebracht heeft.

Mijn ervaring met ethische hacken is, dat je voornamelijk bezich bent met reputatie schade beperken van een bedrijf. Ipv het informeren van de eventuele slachtoffers en toekomstige kopers/gebruikers van het product.
Ik ben blij dat de meerderheid van deze democratie anders heeft besloten en dergelijke acties als een misdaad ziet, ongeacht wat jij hier persoonlijk van vindt. Je verder redenatie mist enige fundering, dus daar reageer ik niet op.

Persoonlijk vindt ik trouwens ook dat vtech zijn spullen beter moet beveiligen, maar dat maakt het verkrijgen van niet voor jou bedoelde informatie middels hacken en (beperkt) delen van deze illegaal verkregen informatie niet juist.

jou ervaring met etisch hacken en dat je hierdoor voornamelijk bezig bent met schade beperken van een bedrijf? i.t.t. het inhoudelijk hacken? wat probeer je te zeggen hier, het gros van het werk blijft hetzelfde hoor, alleen de laatste 5 minuten zijn anders.

Hacken en dit aangeven bij de fabrikant had ik nog wel begrepen, de media opzoeken als de fabrikant niet tijdig reageert kan daarna nog.

p.s. mijn vorige opmerking krijgt een 0? omdat ik ontopic ben? omdat ik reallife ervaring deel met dit product?
Persoonlijk vindt ik trouwens ook dat vtech zijn spullen beter moet beveiligen, maar dat maakt het verkrijgen van niet voor jou bedoelde informatie middels hacken en (beperkt) delen van deze illegaal verkregen informatie niet juist.
Zal het anders formulieren, zonder deze hacker, was de lek bij vtech nu nog niet bekent geworden en was het voor iemand anders mogelijk om bij het foto's / filmpjes van je dochter te komen. Laten we maar hopen dat ze niet via het zelfde systeem ook met je dochter konden chatten of videochatten.
jou ervaring met etisch hacken en dat je hierdoor voornamelijk bezig bent met schade beperken van een bedrijf? i.t.t. het inhoudelijk hacken? wat probeer je te zeggen hier, het gros van het werk blijft hetzelfde hoor, alleen de laatste 5 minuten zijn anders.
Sommige bedrijven zijn binnen 5min te hacken en vervolgens ben je als ethische hacken ruim 8 maanden bezig om het bedrijf te bewegen tot een oplossing en mag je nog niets naar buiten brengen.
Was ik niet netjes geweest, had het bedrijf de volgende dag vol in de media gestaan. Het systeem waarschijnlijk binnen een paar dagen platgelegt door het betreffende bedrijf en alle klanten waren ingelicht.

Nu stond het lek ruim 8 maanden open, klanten zijn niet ingelicht en het bedrijf kan doen als of er nooit iets gebeurd is.
Hacken en dit aangeven bij de fabrikant had ik nog wel begrepen, de media opzoeken als de fabrikant niet tijdig reageert kan daarna nog.
Nee, de media als nog inlichten gaat niet, want dan volg je niet de spelregels en kan je bezoek verwachten.


[q]p.s. mijn vorige opmerking krijgt een 0? omdat ik ontopic ben? omdat ik reallife ervaring deel met dit product? [/q]
Dit is een eeuwig probleem, waar tweakers nog geen goede oplossing voor gevonden heeft.
.
Zal het anders formulieren, zonder deze hacker, was de lek bij vtech nu nog niet bekent geworden en was het voor iemand anders mogelijk om bij het foto's / filmpjes van je dochter te komen. Laten we maar hopen dat ze niet via het zelfde systeem ook met je dochter konden chatten of videochatten.
Ik begrijp dat zonder deze hacker 'het gat' nog zou bestaan. Het Probleem dat ik hiermee heb ik dat hier op tweakers door iedereen goed gepraat wordt dat iemand even indringt op andermans computer systeem. In dit geval van een bedrijf en ook nog eens op media van kinderen, kinderen benadelen is voor mij van een geheel andere orde dan volwassenen, ik weet dat het juridisch hetzelfde is, maar zelfs in de gevangenis met de zwaarste boeven ondervindt de boef dat een kind iets aan doet de nodige... eh... ongemakken. Hier op tweakers lijken we nog lagere maatstaven te hebben dan in een gevangenis met als excuus de meest idiote logische redenaties. Met dit laatste bedoel ik jou reactie trouwens niet.
Sommige bedrijven zijn binnen 5min te hacken en vervolgens ben je als ethische hacken ruim 8 maanden bezig om het bedrijf te bewegen tot een oplossing en mag je nog niets naar buiten brengen.
Was ik niet netjes geweest, had het bedrijf de volgende dag vol in de media gestaan. Het systeem waarschijnlijk binnen een paar dagen platgelegt door het betreffende bedrijf en alle klanten waren ingelicht.
Toegegeven het lijkt wel alsof de meeste tweakers hier niet beseffen dat hun computer voorzien van alleen standaard beveiligingsmaatregelen of die nu voorzien is van de laatste windows 10 versie met alle updates, gestripte services, etc, ik ook zo maar even op hun computer mag rond neuzen om daarna te zeggen dat dit is t.b.v. beveiliging verbetering. Eerlijk is eerlijk, op een gemiddelde windows computer toegang verkrijgen is niet eens een skill te noemen als je weet waar je de laatste exploits kunt lezen (hetzelfde is ook waar voor de andere bekende OS en, die zijn echt niet zoveel beter als sommigen beweren). Zoals einstein zei, creativiteit is weten hoe je bronnen te verbergen ;).

Als ethische hacker heb je inderdaad wat sociale vaardigheden nodig om het bedrijf te laten bewegen, maar neemt een hacker deze moeite niet, dan zie ik zo'n hacker zeker niet als illegale ethische hacker, maar gewoon als een eikel dat het leuk vindt te laten zien dat hij kan indringen op andermans systemen, dat is gewoon zelfbevrediging, niets meer.
Nee, de media als nog inlichten gaat niet, want dan volg je niet de spelregels en kan je bezoek verwachten.
Datzelfde bezoek kun je altijd verwachten, tenzij je echte tegenmaatregelen neemt. Ben je skillloos zoals deze hacker, dan zouden ze op hun minst hun gezond verstand moeten gebruiken voor het initiatiepunt in hun tijdspad.

p.s. niemand die bij de spullen van mijn dochter kan, omdat ze het apparaat nog niet heeft kunnen gebruiken (hij kon niet geactiveerd worden omdat de dienst al voor sinterklaas avond gehacked was). Anders was mijn dochter ook de sjaak geweest trouwens, zet dit soort spullen vaak op het gast netwerk en kijk er niet naar om, besef nu dat ik hier anders naar moet kijken. Hij gaat terug naar de winkel en ik regel wel dat sinterklaas een kinder tablet geeft met parent control en synchonisatie met de local NAS (sinterklaas heeft gelukkig ook nerd pieten achter gelaten in nederland).
Dat hij speelgoed van kinderen stuk maakt doet verder niet ter zake. Kinderen zijn altijd wel leuk voor de emoties maar het was hetzelfde geweest als het zeg een ene of andere smartwach voor volwassenen geweest was.

Het positieve aan deze hack is dat het jou nu laat zien dat je de volgende keer beter kijkt wat je voor je kind koopt en hoe veilig dat is. Schijnbaar heeft Vtech haar zaakjes dus niet goed voor elkaar.
blijkbaar denken wij anders, het hacken van kinderspeelgoed vraag om een veel ethischer aanpak dan spullen van volwassenen. Blijkbaar zijn kinderen en volwassenen voor jou hetzelfde (ik trek jouw redenatie hier even door).

het positieve wat je benoemd is belachelijk, vooral omdat ik aangaf dit speelgoed niet zelf te hebben gekocht :S. Hoe ik dan ander speelgoed had moeten kopen is mij werkelijk een raadsel.

Mijn standpunt blijft dat vtech beter moet beveiligen en dat hacken van kinderspeelgoed niet tof is en terecht bestraft wordt.
Dat het bestraf moet worden staat als een paal boven water. Ethisch hacken is hier geen sprake van en wat mij betreft ethisch hacken is ethisch hacken kinderspeelgoed of niet. Hier wil iemand gewoon laten zien wat hij kan.

Terug naar de winkel met het speelgoed, werkt het niet door de hack, geld terug, laat vtech dat probleem maar oplossen.
Geen schade? Ik denk dat V-tech toch een flinke imago schade heeft opgelopen.
heeft vtech zichzelf aangedaan door geen goede security te bezigen.
Security blijft altijd een kat-muis spel. Dat ze de waarschuwingen niet hebben opgevolgd is ze wel te verwijten.
Ja, hij heeft dit gemeld bij VTech, en pas toen hij daar lange tijd geen gehoor kreeg is hij naar verschillende nieuws sites gestapt. Hij heeft ook al aangegeven niets van plan te zijn (geweest) met de data.
Als je het helemaal legaal zou bekijken dan is een ethical hacker, een hacker die alleen met goedkeuring van de eigenaar van de systemen de systemen probeert te hacken. Dat is in dit geval niet gebeurt, ik weet natuurlijk niet of hij er per ongeluk op is gestuit en of hij het aan vtech heeft doorgegeven of meteen naar Vice news is gegaan. Maar zonder contract tussen hem en vtech is hij geen ethische hacker.

[Reactie gewijzigd door Rutix op 15 december 2015 12:02]

Ik ben niet zelf echt een hacker maar als bedrijf niet ingaat op de hacker(s) waarschuwing dat er in gat in hun beveiliging zit en niet reageren en het gaat hierom een kwetsbare doelgroep.
Vind het raar nadat gehackt zijn de man arresteren als het mij lag had ik kwetsbaarheid verkocht.

Omdat bedrijven van tegenwoordig dom zijn of eigenwijs als je ze ergens op aanwijst dat iets niet klopt ze sturen zo wouten aan je deur omdat je ze op iets wil aanwijzen

[Reactie gewijzigd door DarklordLelouch op 15 december 2015 15:37]

Wat weten helemaal niet of hij vtech heeft gewaarschuwd of niet. Hij had ze ook kunnen waarschuwen zonder die hele database te downloaden.. Hij heeft gewoon inbreuk gepleegt en data gesloten en dat is strafbaar. Als je een bank kluis zonder toestemming kraakt en de inhoud mee neemt en dat thuis bewaard dan zeg je toch ook niet "Ja maar ik heb een kwetsbaar gevonden! Dus je moet me maar niet veroordelen hoor!"
Kort verhaal: Nee dat is hij niet.

Lang verhaal:
Een ethische hacker is iemand die in opdracht van het bedrijf gaat kijken naar beveiligingslekken. Deze persoon tekent hiervoor een contract waar onder andere in staat wat hij wel en niet mag doen. Of in dit geval de informatie die hij wel en niet mag proberen te bereiken.

Daarnaast krijgt hij toestemming om de infrastructuur te belasten wanneer hij zoekt naar beveiligingslekken. Sommige hacks kunnen een behoorlijk grote inpak hebben op de bedrijfsuitvoering.

Als jij dus aan komt lopen als hacker en je hackt het bedrijf zonder toestemming, maar gaat vervolgens wel naar hem toe om te zeggen: hey kijk, je systeem staat open, kan je vervolgt worden omdat je hier helemaal geen toestemming voor hebt en dus strafbaar bent.

Of dit nu uit goede wil gebeurt of niet staat los van het feit dat je de wet overtreedt door toegang te krijgen tot informatie waar je geen recht op hebt.
Grappig, ik zou juist zeggen dat Vtech de wet overtreden heeft door de gegevens die het heeft van kinderen (!!) niet goed genoeg te beveiligen.

Ik denk niet dat Vtech heel veel zin had om geld te gaan uitgeven aan hun beveiliging. Ik denk ook dat bijna alle bedrijven daar geen zin in hebben.
Wat mij betreft hebben we deze "hackers" gewoon nodig, anders gebeurt er niets.

Of we moeten ook een wet maken die bedrijven bestraft als ze hun beveiliging niet goed op orde hebben.
De man heeft ook data gepubliceerd, en dan val je IMHO al compleet af als 'etische hacker'..
In de tekst staat alleen op Vice news om zn claim te staven. Misschien alleen dingen gepubliceerd waar niemand wat mee kan?
Wat mij betreft dan nog steeds een ethische hacker. Eigenlijk altijd als de hacker er geen persoonlijk voordeel uit haalt, maar goed, das mn mening.
Dat was geen hack... vtech's beveiliging leek meer op een open-deur...

(oa, sql statements werden standaard in teruggestuurd en waren in web-console te bekijken, wachtwoorden enkel in md5 gehashed, zonder salt..)
het is de wereld op zijn kop, degenen die opgepakt moeten worden zijn hen die verantwoordelijk zijn geweest voor de slechte beveiliging, zij die te kort door de bocht zijn geweest en teveel op de centen hebben gelet ipv op de beveiliging van de gegevens van minderjarigen. Flinke boete voor V-Tech zou op zijn plaats zijn.
Dus als ik morgen mijn voordeur vergeet dicht te doen als ik naar het werk vertrek dan moet ik opgepakt worden ipv de inbreker die mijn huis heeft leeggeroofd omdat ik mijn huis onvoldoende beveiligd heb? Dat is pas de wereld op zijn kop. In een ideale wereld zou beveiliging zelfs niet nodig moeten zijn.
Maar als jij je huis beschikbaar hebt gesteld aan anderen om hun spullen in op te slaan en die worden vervolgens gestolen wordt het al een ander verhaal.

Stel dat Shurgard of een andere opslagbox-verhuurder 's nachts vergeet hun pand af te sluiten en de spullen die je daar had staan worden gejat, stel je hun toch ook verantwoordelijk?
Maar de inbreker is net zo schuldig. Het is niet of-of hier.
Het ligt er maar net aan wat de intenties waren.

Als ik vertrek zonder de deur dicht te trekken en iemand gaat vervolgens naar binnen, pakt een foto van de kast en komt vervolgens bij me om te zeggen dat ik de deur niet afgesloten heb en hij als bewijs die foto aan me overhandigt, ben ik de laatste die zegt dat de persoon in kwestie moet worden vervolgd. Jat ie voor eigen gewin mijn huis leeg dan wordt het een ander verhaal.
Met het subtiele verschil dat je in die situatie een zekere onveiligheid constateert, en bewijst met een enkele foto, en er hier sprake is van het verzamelen van profielen van +/- 5.2 miljoen gebruikers (ouders en kinderen)+ 190GB aan fotomateriaal. Dat is natuurlijk veel meer dan strikt noodzakelijk om te bewijzen dat je inderdaad toegang had tot de database.

[Reactie gewijzigd door the_shadow op 15 december 2015 13:08]

Intenties zijn leuk, maar er is ook nog zoiets als bevoegdheid. Je buurman wijzen op een onveilige situatie is natuurlijk toegestaan. Z'n huis binnenlopen zonder toestemming is echter al snel illegaal, zeker wanneer er geen dringende reden voor is (brand in het huis ernaast o.i.d.).

Inbreken op een site "met de beste intenties" is ook wel erg twijfelachtig. Wanneer dat toegestaan was, kan iedere crimineel wel wat verzinnen aan "goede redenen" wanneer deze gepakt wordt.
Als ik 's nachts per ongeluk mijn achterdeur op een kier laat staan, betekent dat niet dat je zomaar binnen mag treden en spullen mag meenemen.

Ik heb ook wel eens een lek gevonden. Heb dit netjes bij de verantwoordelijke van de site gemeld en die heeft maatregelen genomen. In het ideale geval gaat het zo. Om gegevens te publiceren die je onrechtmatig hebt verkregen mag mijns inziens best een straf(je) op staan. Ook nalatigheid van de beheerder mag m.i. worden bestraft. Als je een lek meld en ze doen er niets mee, dan zijn ze fout bezig, maar dan nog moet je zoiets aan de autoriteiten overlaten en niet zelf informatie gaan lekken.

Meteen een database gaan leegtrekken omdat je er bij kan hoort gewoon niet.

[Reactie gewijzigd door Fairy op 15 december 2015 12:53]

jij hebt altijd nog je eigen opslagruimte met slot tot je beschikking, de eerste barriere is dan mogelijk gebroken, maar met lock picking is een hangslotje van de gamma overdag ook zo open hoor ;) Je kunt shurguard o.i.d. niet verantwoordelijk stellen voor het slopen van je eigen slot. Ga je de flat beheerder ook aansprakelijk stellen als er in jouw flat ingebroken word? Want portiek is van flatbeheerder?
Ja, de flat beheerder is aansprakelijk zodra bijvoorbeeld de portiekdeur geen slot heeft of dat slot van een ondermaatse kwaliteit is. Daar gaat het om, niet om het feit dat er ingebroken wordt, maar het feit dat de beveiliging ondermaats is. Zodra je zaken voor anderen beveiligt, en dat geldt ook voor data, dan mag je zeker een bepaalde verantwoordelijkheid daarvoor dragen.

Ik vind dat met name bij hacks waarbij geen misbruik plaatsvindt, dit zeker een valide punt is en dat dit ook een groot maatschappelijk belang dient. Want het enige alternatief is dat beveiliging pas serieus genomen wordt wanneer het een keer gigantisch is misgegaan - dan is het netto resultaat dat je geen fuck hebt aan al die geweldige wetgeving die je persoonlijke gegevens dient te beschermen. Uiteindelijk draait het bij bedrijven alleen maar om geld, niet om de veiligheid van jouw en mijn data.

[Reactie gewijzigd door Vayra op 15 december 2015 12:57]

Opzich mag je wel verwachten dat een flat of opslagbox voldoende beveiligd is als je dit koopt of huurt. Dat jij de laatste deur bent van beveiliging is logisch, maar een beetje fatsoenlijke beveiliging mag en moet je toch wel verwachten. Het is niet zo dat jij camera's of dergelijke kan ophangen.
Aanleiding geven tot diefstal is in Belgļe ook strafbaar.
Deur niet sluiten is aanleiding geven tot...
Aanleiding geven tot diefstal is in Belgļe ook strafbaar.
Deur niet sluiten is aanleiding geven tot...
Nee. je kan in Belgie geen boet krijgen als je de hond gaat uitlaten en je doet je deur niet op slot.
Boete misschien niet, maar de verzekering trekt zich terug.
Bij inbraak zijn er sporen van braak.
Wanneer je je deur niet sluit is er geen spoor van braak, dus geen verzekering.
precies wat ik dacht, je blijft gewoon van andermans spullen af ongeacht of je het makkelijk kan bereiken of niet |:(
Dat klopt, maar jouw huis zijn alleen jouw spullen.

Stel dat een bank de kluis open laat staan en iedereen zomaar naar binnen kan wandelen. Moet dan de persoon die dit bij de bank aangeeft (en daarvoor als bewijs een foto van de inhoud maakt) dan gestraft worden alsof hij alles heeft meegenomen? Of hoort de bank gestraft te worden omdat ze de spullen van andere mensen niet beschermd hebben?
Wat heb je liever, dat een vriendelijke buurman je op belt dat je voordeur open staat of dat een paar minder lieve mensen de boel leeghalen en al je gegevens op straat liggen?

Helaas leven we in een wereld dat bedrijven niet reageren op beveiligings issue's en zijn hackers bijna verplicht om dit openbaar te maken

[Reactie gewijzigd door GrooV op 15 december 2015 12:08]

Ja, in een ideale wereld zou dat inderdaad zo zijn.

Helaas zijn er ook mensen die wel dol zijn op gelekte fotos en audio files van in dit geval kinderen... Dus vtech gaat, vanwege de enorm slechte beveiling, zeker niet vrijuit in dit geval.

Zeker als verhaal klopt dat de "hacker" heel veel moeite heeft moeten doen om contact te krijgen met vtech.
je vergelijking gaat niet op :)

Wat hier gebeurt is zou (als ik het met wat geweld in je voorbeeld duw) erop neerkomen dat jij vergeet je deur dicht te doen (waarvan je de verplichting hebt die goed af te sluiten). Ik merk het op, loop naar binnen, schrijf iets over wat op een blaadje staat en laat dit daarna aan jou zien, om zo aan te tonen dat je deur open stond. Jij negeert dit en klaagt mij vervolgens aan.

De vraag is dan wie in fout is, als de claims van de hacker kloppen dat Vtech zijn pogingen tot contact negeerde, ben ik geneigd die hacker toch echt wel gelijk te geven en als onschuldig te zien.
Dus als ik morgen mijn voordeur vergeet dicht te doen als ik naar het werk vertrek dan moet ik opgepakt worden ipv de inbreker die mijn huis heeft leeggeroofd omdat ik mijn huis onvoldoende beveiligd heb?
Als jij je geld verdient met (onder andere) mijn spullen opslaan in jouw huis, en ze zijn gejat omdat jij je deur niet op slot hebt gedaan, ben jij wat mij betreft echt wel de sjaak, ja. Of jij je schade dan weer gaat verhalen op die inbreker zoek je zelf maar uit.

Die bedrijven zijn niet bezig met hun eigendom, ze zijn bezig met gegevens van hun klanten, die ze voor hun business niet eens nodig hebben. Dan heb je naar mijn idee te zorgen dat je a. die gegevens uberhaupt niet hebt want je hebt ze niet nodig en b. als je ze dan opslaat, al het redelijke doet om dat ook veilig te houden.

Ik snap niet zo goed waarom alles maar moet mogen als het winstoogmerk heeft. Je weet toch dat er inbrekers bestaan? Daar kun je dan wel geen rekening mee willen houden, maar de werkelijkheid heeft er lak aan waarmee jij wel of geen rekening wenst te houden. Dat jij daar dan zelf de dupe van wordt moet je zelf weten, maar je kunt niet maar zo anderen opzadelen met de gevolgen van dat soort hopeloos naieve incompetentie, die wat mij betreft aardig dicht in de buurt van misdadige nalatigheid komt.

[Reactie gewijzigd door Iknik op 15 december 2015 14:38]

Kennelijk is er wel iets voor te zeggen, want je bent ook niet verzekerd als je je auto vergeet af te sluiten, of je fiets. Of je huis.
Kennelijk is er wel iets voor te zeggen, want je bent ook niet verzekerd als je je auto vergeet af te sluiten, of je fiets. Of je huis.
Maar het artikel gaat over de strafbaarheid, niet over de verzekering. Inbraak blijft inbraak en de dader moet daarvoor boeten. Vind ik prima.
Maar dan zal de verzekering dan toch moeilijk doen e.d.? 8)7
De enige manier om jouw voorstelling analoog te maken aan de huidige situatie is om de cilinder uit de achterdeur te verwijderen. Dan zie je denk ik ook wel in waarom verwijtbaarheid in sommigen op zou komen ;)
In een ideale wereld zou
In een ideale wereld. Tja.. Iedereen heeft te eten, nergens oorlog, geen inbrekers.
Allemaal een bloem in het haar, iedereen heeft haar.

Wat moeten we eigenlijk met een voordeur.?
neen, allebei. als ik mijn deur openlaat van mijn huis, wilt dat niet zeggen dat mensen zomaar even binnenmogen. Maar wilt ook niet zeggen dat ik vrijuit ga.

[Reactie gewijzigd door white modder op 15 december 2015 15:14]

Onzin, natuurlijk ga je dan wel vrijuit. Of denk je dat het strafbaar is om je deur open te laten staan?

Als je dozen vol vertrouwelijke informatie van mensen / kinderen in de gang hebt staan wordt het echter wel een ander verhaal en komt het CBP om de hoek kijken en zal je waarschijnlijk een fikse boete geven.
helemaal geen onzin, het is niet omdat het niet strafbaar is, dat ik vrijuit ga.
Of denk je dat je verzekering zomaar alles terug betaald bij diefstal? om nu maar een voorbeeld te geven. Er moeten meestal sporen van braak zijn, lees je contract maar na. Die clausule (in Belgiė) staat erin. Hetzelfde geld voor de auto enz.

en ik had het sowieso over moraal vrijuit gaan ;-).

[Reactie gewijzigd door white modder op 15 december 2015 15:15]

Wat heeft je verzekering in godsnaam met strafbaarheid te maken? Nergens in het wetboek van strafrecht staat dat ik mijn deur op slot moet doen hoor..

Dat je niet voldoet aan de voorwaarden voor de verzekering is een heel ander verhaal en dus niets met het strafrecht te maken.
ik spreek nergens in mijn reactie over strafrecht, dus maak het er ook niet van. vrijuit gaan heeft meerdere betekenissen in de Nederlandse taal en is geenszins alleen verbonden aan het strafrecht.

enne, deuren op slot doen staat wel in het wetboek. weliswaar alleen over auto's maar het staat erin :). in belgie

[Reactie gewijzigd door white modder op 15 december 2015 17:55]

In het vorige bericht stond inderdaad "Ook zou de hacker niets van plan zijn met de data" nieuws: Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update
wat in mijn ogen dus zonder kwade bedoelingen is. Maar goed, ik heb geen idee of de hacker eerst contact heeft gelegd met vtech of direct de publiciteit heeft gezocht. Maar dan nog zou wat je aangeeft wel terecht zijn. Boete voor V-tech ivm kinderlijke beveiliging.
Flinke boete voor V-Tech zou op zijn plaats zijn.
De EU GDPR (General Data Protection Regulation) is bijna rond en zou als boete voor een Hack -hou je vast- tot 5% van Jaarlijkse OMZET bedragen, met max cap van 100 miljoen euro. Het is momenteel nog een wetsontwerp, maar is zo goed als afgerond (moet enkel nog gestemd worden)

Dus voor vele bedrijven is dat (de boete) nagenoeg een doodsteek, na een reeds erg zware slag (de hack). (Bron: Illias Chantzos (Symantec) tijdens onze eindejaarsevent vorige week)
Dan nog. Als mijn voordeur thuis openstaat en jij loopt naar binnen en grist mijn autosleutels van het dressoir en loopt weer naar buiten, is het nog steeds inbraak en diefstal.
Dat het mijn eigen stomme schuld is en de verzekering niets vergoed omdat ik nalatig was doet er niet toe. Jij bent dan degene die zich niet kan beheersen.
Inbraak niet, inbraak is als de deur dichtzit en jij trapt hem in voordat je de sleutels pakt.

In jouw voorbeeld is het huisvredebreuk en diefstal
Dat is toch echt onzin, insluipen of bijvoorbeeld een babbeltruc is net zo goed inbraak. Het woord 'breken' is niet lijdend voor de definitie van inbraak. Al ga je met de sleutel naar binnen, dan is het nog inbraak.
Show me the money.
Het is niet voor niets dat we verschillende woorden hebben voor verschillende dingen. Voor inbraak heb je toch echt "braak" schade nodig.
Het woord-onderdeel breken -definieerd- het woord zelfs.
Zie ook: https://nl.wikipedia.org/wiki/Inbraak
MD5 |:(

Ergens verbaast het me niet eens meer.
tja, ondanks dat het zo makkelijk binnen te komen was, is en blijft het een hack..
Maar dat neemt dus niet weg dat deze personen zomaar die data moesten gaan jatten..
is het raar dat ik altijd zo mijn twijfels heb bij dit soort arrestaties?
Als je slim genoeg bent om zo'n bedrijf te hacken, en er bewust voor kiest ook nog eens een deel te uploaden naar Vice News dan mag je toch wel verrekte zeker zijn dat je anoniem (VPN's, tunnelen whatever) surft/hackt?

Gebeurd zo vaak dat er binnen korte tijd mensen worden gearresteerd, in het geval van 15 jarige jochies die DDos'en inhuren snap ik volledig dat ze makkelijker terug te vinden zijn. maar een 21 jarige kerel moet toch wel beseffen wat de consequenties zijn als ze je vinden

Het gaat allemaal net wat te makkelijk...
Volgens mij is de praktijk gewoon wat weerbarstiger dan de Hollywoodfilms waar de meesterschurk alles tot in de puntjes voorbereid... En daarnaast: het puberbrein (Wat ook op 21 jarige leeftijd nog lekker meedoet) Is ook lang niet altijd in staat de consequenties van een actie te doorgronden.
[..] tjah dat is bijkomend voordeel van mass-surveillance
Ik weet niet of deze hacker bij vtech zelf heeft aangeklopt maar daar even vanuitgaande. Vind ik het vreemd dat zo iemand gearresteerd word, ik vind persoonlijk eerder dat iemand die hackt zonder het te misbruiken en dit bij de eigenaar meld als er iets niet klopt beloont hoort te worden (nu is dit in mijn ervaring ook soms het geval).
En zoals gewoonlijk komt VTech weg met hun grove nalatigheid.
Bracknell dat is bij mij om de hoek, wel vaag om dat soort dingen zo dicht bij te zien..
Waarom zijn hackers zo intelligent en zo dom tegelijk
De enige schuldige in dit verhaal is de hacker. VTech deed namelijk nuttig werk voor Big Brother. Nu dit alles aan de grote klok is gehangen zullen ouders, hopelijk, voorzichtiger omgaan met elektronische gadgets die met internet communiceren. Voor de verzameling van allerhande persoonlijke data vanaf kind af aan is dit een flinke klap voor massa surveillance door overheden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True