Hacker maakt persoonsgegevens van Russisch consulaat in Nederland buit

Een hacker die opereert onder de naam Kapustkiy zegt persoonsgegevens in handen te hebben van een database van het Russische consulaat in Nederland. Het zou gaan om gegevens van zesduizend mensen, waaronder paspoortnummers.

Op Twitter zegt Kapustkiy dat de database in totaal gegevens van dertigduizend mensen bevat en dat hij gegevens van zesduizend mensen heeft buitgemaakt. Inmiddels heeft hij die data ook weer verwijderd, nadat het consulaat heeft toegezegd te gaan kijken naar de beveiliging van de gegevens.

De hacker heeft de gegevens getoond aan Motherboard en die website heeft contact opgenomen met een aantal mensen om de data te verifiëren. Die mensen bevestigen dat hun persoonsgegevens zijn buitgemaakt door de hacker. De hacker stelt dat hij met zijn inbraak aan wil kaarten dat de gegevens niet goed beveiligd zijn. Dat zou bij meerdere consulaten wereldwijd het geval zijn. Volgens Hackread heeft dezelfde hacker in november persoonsgegevens van Indiase ambassades in verschillende landen buitgemaakt en gepubliceerd.

Kapustkiy wist de gegevens te bemachtigen op Ambru.nl, een website van de consulaire afdeling van de Russische ambassade in Nederland, waar mensen een visum kunnen aanvragen. De gegevens bestaan uit e-mail- en ip-adressen en paspoort- en telefoonnummers. In een bestand op Pastebin heeft de hacker gegevens van 129 personen gepubliceerd. Daarbij meldt hij dat hij gebruik heeft gemaakt van een blind injection-kwetsbaarheid op de website om bij de data te komen.

Hackread toont een screenshot waarop te zien is dat Kapustkiy een mail heeft gestuurd aan het Nationaal Cyber Security Centrum. Het NCSC meldt dat de website niet onder de jurisdictie van de Nederlandse overheid valt, maar zegt de zaak te hebben doorgespeeld aan de verantwoordelijke partij. Ook betreurt het NCSC dat de hacker data heeft gepubliceerd, omdat dit niet in lijn is met het responsible disclosure-beleid.

Reacties (62)

Anoniem: 854341 13 december 2016 20:43

Tja eerst wat opheldering: NL authoriteiten kunnen hier niets mee; een ambassade of consulaat word gezien als het grondgebied van het land waarvoor ze dienen, dit geld ook voor bijhorende auto's, koffers, servers etc.etc. Kortom: Kaputsky heeft 6000 entries uit een database getrokken op Russisch grondgebied waarvan hij/zij er in eerste instantie 500 heeft gepubliceerd wat hij na mails heeft terug gebracht tot 129 en daarna geheel verwijderd waarbij hij zich dus niet aan white hat richtlijnen hield... White hat is anderen niet schaden, black hat is zonder zorgen over mogelijke schade (tot het moetwillig kwaad willen doen van personen); het is een intentie die je toont met je handelen...

Het publiceren van data voordat je het lek meld is altijd af te keuren TENZIJ het om informatie van algemeen belang gaat (denk aan begin wikileaks, Snowden of Panama gate; allen brachten/brengen internationale verandering op gang waarbij frauduleuze handelingen werden ingeperkt). Persoonsdata doe je als white hacker eigenlijk niet; pas als er echt niet geluisterd word (terwijl hier meerdere partijen vrij snel de actie oppakken). Als je data deelt doe dit dan ter verificatie van het lek bij een betrouwbare partij

Wettelijk gaat hij/zij dus de grens over als het puur NL betreft maar in deze zaak gaat het om Russische wetgeving...
...
Ook al gaat het niet om BSN nummers de combinatie naam, adres, paspoortnummer geeft je wel de kans een vals paspoort te maken (douane zoekt op document nummer en controleren nier altijd alle gegevens; een niet correct BSN nummer op een paspoort kan er doorheen glippen), het gaat om data van Russen op vakantie, woonachtig of met zakelijk belang in NL (die mensen hebben contact met consulaat en/of ambassade); of ik van mogelijke schade aan hen wakker lig weet ik niet maar in principe verdienen de Russen net zo goed hun privacy als ieder ander; de wet heeft zijn kaders, white hat heeft zijn kaders...

Maar goed nu de kant van Kaputsky die al langer actief is in strijd voor privacy online; die ziet dag in dag uit de fouten van die systeembeheerders (die idd wellicht beter ontslagen kunnen worden). Ik kom in een heel ander perspectief al jaren "domme" fouten van anderen tegen die derden kunnen schaden en ik kan me een dag indenken dat je het ff teveel word en uit wanhoop door vele fouten op een dag een keer doet voordat je denkt; in die zin heeft hij/zij wel een relatief clean track record waarop meer staat dan de 2 hier benoemde/besproken hacks; toen hij/zij op de fout van publicatie gewezen werd kwam er ook direct actie (al is dat online, zeker met bekendheid al snel te laat (Ik maak van webpagina's ook PDF printjes zodat ik zeker weet dat de info voor mij beschikbaar blijft (zal ik niet met dit soort zaken doen als privacy gegevens; het feit dat het echter wel een gewoonte is bij mij zegt mij dat er vast ook een andere "verzamel" idioot is die wel dit soort databases opslaat (van hebberigheid tot economisch gewin)

https://twitter.com/kapustkiy?lang=en
http://securityaffairs.co...-interview-kapustkiy.html
http://securityaffairs.co...ach/kapustkiy-hacker.html
http://securityaffairs.co...ministry-of-industry.html
http://securityaffairs.co...enezuela-army-hacked.html
http://securityaffairs.co...ly-of-ecuador-hacked.html
http://securityaffairs.co...tkiy-italian-website.html
https://www.databreaches....-human-rights-foundation/

[Reactie gewijzigd door Anoniem: 854341 op 23 juli 2024 17:21]

Anoniem: 51637 @Anoniem: 854341 • 14 december 2016 10:40

een ambassade of consulaat word gezien als het grondgebied van het land waarvoor ze dienen, dit geld ook voor bijhorende auto's, koffers, servers etc.etc. [...] in deze zaak gaat het om Russische wetgeving...

Kleine nuance: een ambassade blijft het grondgebied van het gastland, het geniet alleen diplomatieke onschendbaarheid. Dat betekent dat de autoriteiten van het gastland het ambassadeterrein alleen mogen betreden met toestemming, maar de wetgeving die op het terrein geldt is die van het gastland. Qua wetgeving is hier dus het Nederlands recht van toepassing.

Anoniem: 854341 @Anoniem: 51637 • 14 december 2016 15:30

akkoord, dit kwam puur voort uit interpretatie van de onschendbaarheid icm het feit dat de Russen onderzoek doen hiernaar (net als bij de ambassades van India; India deed onderzoek, de gastlanden hebben allen meldingen doorgespeeld naar India, net als wat er nu hier gebeurd richting Rusland...

Herinterpretatie: Gastlanden hebben dus jurisdictie echter spelen ze het uit diplomatieke gronden naar het land waarvan deze data is.

Maar goed dat is als iemand Kaputskiy vindt om te berechten, hij/zij heeft zich goed afgeschermd (incl emaildienst met hoge privacy etc) en is gezien eerdere communicatie en voorbeeld hier duidelijk geen NL-er (Cyberzeist waarmee hij heeft gewerkt heeft toch iets in de naam waarvan ik anders vermoed;)

Uiteindelijk blijft het in dit soort gevallen lastig, de eindvraag is wie hem gaat berechten, NL voor de hack op NL grondgebied of Rusland voor het lekken van diplomatieke info, denk dat ook wellicht op zwaarte van het misdrijf dan de zaak naar Rusland gaat, maar nogmaals dat speelt pas als je hem/haar te pakken krijgt en zoals bij India heeft hij ook geadviseerd in de oplossing.

ben iig blij dat ik me hier niet echt druk om hoef te maken, want is idd wel juridisch erg ingewikkeld (zal ook vast na deze her-conclussie nog een en ander te nuanceren zijn...

Anoniem: 138895 @Anoniem: 854341 • 16 december 2016 15:36

Sowieso is er iets goed mis met de Russische ambassade, want het krijgen van een Russische toeristenvisum is zo lastig wegens achtelijke eisen:

- Naast de hotelboeking bij een "geregistreerd" russisch hotel, ook nog 2 documenten van het hotel zelf:
1) een kopie van de registratiepapieren van het hotel zelf
2) een officiele uitnodiging van het hotel

- Een uitnodiging van de lokale vreemdelingenpolitie van de stad die je wilt bezoeken. Wil je een tour langs 3 steden, dan moet je dus 3 uitnodigingen hebben.

Gezien het onmogelijk is om een uitnodiging te krijgen van een lokale authoriteit terwijl je nog in Nederland bent, heb je geen andere keus dan gebruik te maken van een commercieel russisch bedrijf die zelf mannetjes hebben en zelfs business visa's kunnen regelen met zelf-geproduceerde uitnodigingen, van vage bedrijven of eigen bedrijven.

Voor die commerciele bedrijven MOET je bovendien je paspoort PER POST versturen, wat tegen de Nederlandse wet is, want je mag je paspoort niet zomaar per post uit handen geven aan commerciele bedrijven. Het blijft eigendom van de Nederlandse staat.

Die commerciele bedrijven vragen voor een visum van 40 euro tot wel 250 euro of zo om ze binnen 4 dagen te regelen. Een spontaan weekendje moskou is er dus niet bij.

Maar het ergste van alles is nog dat de Russische Consulaat zelf het commerciele bedrijf op hun website adviseert als de makkelijkste weg naar een visum. Ik heb ze gezien, dan komt het bedrijf binnenlopen met een doos met tientallen paspoorten die dan met voorrang worden behandeld door het consulaat.

Als ze zo pragmatisch en onzorgvuldig omgaan met paspoorten en eventuele belangenverstrengeling, verbaast mij de onzorgvuldigheid met persoonsgegevens op hun website dus ook niet.

Overigens vind ik het "innemen" van paspoorten, wat veel landen doen, eigenlijk al erg onjuist. Ze zouden slechts de gegevens moeten kontroleren, paspoort teruggeven, en bij het ophalen vna het visum, deze in het paspoort moeten plakken, maar noot het paspoort vasthouden. Ook kan ik begrijpen dat ze een kopie maken en doorsturen naar het land, maar eigenlijk zou dat ook niet nodig moeten zijn. Alleen de paspoortnummers zouden voldoende moeten zijn om naam en nummer te controleren bij binnenkomst en koppeling met het visumnummer en echtheid. Door paspoort in te nemen voor uren of dagen lang, kunnen ze lekker goede kopien maken en dit doorspelen aan instanties en criminelen die er identiteitsdiefstal mee kunnen plegen, zoals spionage en valse paspoorten. Maar dat kun je evengoed van de VS zeggen. Die maken zelfs nog een extra foto en nemen vingerdruk af bij binnenkomst in het land, zonder verantwoording en duidelijkheid te geven over hoe lang ze dat bewaren (ik denk onbepaalde tijd) en waar ze het nu en in de toekomst allemaal voor gaan gebruiken.

Op het vlak van bescherming van prive gegevens is er nog heel veel mis.

kakanox @Anoniem: 138895 • 6 januari 2017 13:42

Ik weet niet wat voor papieren jij allemaal nodig hebt, maar ik kon vanaf hier probleemloos een visum krijgen. Enige wat me nog steeds niet aan staat (maar dat geldt voor alle landen waar je visa voor nodig hebt) is het feit dat mijn paspoort daar een week moet liggen.

Wat betreft het bedrijf dat met tientallen paspoorten binnen komt wandelen: Rusland is niet Nederland, en die ambassade is Russisch grondgebied. Laat ik het zo zeggen: ik heb zowel flink te maken gehad met de Russische als de Nederlandse autoriteiten, en ik heb nu een voorkeur voor de Russische manier van werken.

In Rusland kan je onder bepaalde omstandigheden namelijk voorrang/spoed en extra mogelijkheden kopen. In Nederland vertellen ze je vrolijk dat iets niet mogelijk is en daarna kan je in de stront zakken, niemand weet hoe het precies werkt en dingen die toch echt mogelijk moeten zijn kunnen eigenlijk toch niet, omdat men bij de ene instantie 85 regels bedacht hebben die compleet tegenstrijdig zijn aan de 68 regels van de andere. Dra-ma.

Mocht je nog een visum voor Rusland willen, pb me dan even, dan probeer ik je te helpen met de snelste weg (belangeloos

)

PS: Officieel mag je je paspoort sowieso niet uit handen geven, ook niet aan de ambassade. Toch kan je in Nederland 2 paspoorten krijgen, deels om precies die reden. Lekker krom.

[Reactie gewijzigd door kakanox op 23 juli 2024 17:21]

_Thanatos_ 13 december 2016 17:50

Waarom zijn deze persoonsgegevens beschermd? Het is toch geen geheim wie waar werkt?

Blinkin

@_Thanatos_ • 13 december 2016 17:55

Persoonsgegevens moeten ten alle tijden beschermd worden. Een van de redenen is gevoeligheid voor identiteitsfraude.

_Thanatos_ @Blinkin • 13 december 2016 18:16

Hoe ga je identiteitsfraude plegen met alleen wat namen en nummers?

Dennisdk1 @_Thanatos_ • 13 december 2016 18:21

Laat het net je BSN-nummer zijn, ja.. dan wordt het al redelijk makkelijk...

David Mulder @Dennisdk1 • 13 december 2016 19:09

Paspoort nummers zijn gestolen, niet BSN nummers. BSN nummers mogen volgens mij niet eens wettelijk door hun worden opgeslagen.

[Reactie gewijzigd door David Mulder op 23 juli 2024 17:21]

Juliuth @David Mulder • 13 december 2016 19:38

EDIT:
Omdat er mensen zijn die niet eerst de hele comment train lezen voor dat ze me 'de les lezen'. Verander ik mijn comment maar even.

Ik was in de war met een kopie van je ID/Rijbewijs/Paspoort. Die mag niet zomaar als kopie worden opgeslagen. Niet het BSN specifiek.

[Reactie gewijzigd door Juliuth op 23 juli 2024 17:21]

Luno @Juliuth • 13 december 2016 19:53

KvK slaat ze wel op als eigenaar een natuurlijk persoon is. Anders RSIN ipv BSN

Anoniem: 138895 @Luno • 16 december 2016 15:40

Het is een groot probleem dat BSN nummers bij ZZP'ers af te leiden zijn van het BTW nummer dat op facturen moet komen te staan.

Bij BV's is dat niet zo omdat die een eigen rechtspersoon zijn en eigen BTW nummer krijgen, maar bij ZZP'er ben jij je bedrijf en is je BTW nummer je BSN + B01 erachter. En dat is belachelijk.

Die directe koppeling tussen ZZP'er en zijn bedrijf kan makkelijk binnen het systeem van de belastingdienst worden bijgehouden. Het zou dus geen probleem moeten zijn om ook bij ZZP'ers een uniek nieuw nummer toe te kennen voor het BTW nummer dat niet is afgeleid van het BSN nummer.

Dat moet echt anders vind ik en vele ZZP'ers met mij.

kakanox @Anoniem: 138895 • 6 januari 2017 13:47

Klopt helemaal.
Ik ken een paar ZZP'ers die weigeren BTW-nummer te vermelden op website en facturen, en ze komen er wel mee weg (ook bij controles, tot nu toe).

Ook al Bezet @Juliuth • 13 december 2016 21:30

Dat zou... lastig zijn. Overheden, en bedrijven die voor overheden werken (is vorige week mogelijk nog mis gegaan), slaan wel degelijk BSN nummers op. Daarnaast hebben ook de zorgverzekeraars ze.

Juliuth @Ook al Bezet • 13 december 2016 21:47

Laat maar, was in de war met een kopie van je paspoort

kakanox @Ook al Bezet • 6 januari 2017 13:48

Die hebben daar ook verplichtingen tegenover staan, bijv. WBP.

wjn @Juliuth • 13 december 2016 22:44

Elke ZZP-er moet ze op zijn website zetten, open en bloot.

nullbyte @wjn • 14 december 2016 09:30

Niet echt, het is niet verplicht om een website te hebben als ZZP-er.

Anoniem: 138895 @nullbyte • 16 december 2016 15:42

Wel verplicht om je BTW nummer op je factuur te zetten, en volgens mij ook op je website als je die hebt. Maar dat laatste zou ik nooit doen tot iemand er wat van zegt, en dan ga ik de discussie weer aanhalen dat het belachelijk is dat het BTW nummer van je BSN is afgeleid.

nullbyte @Anoniem: 138895 • 17 december 2016 09:43

Alleen als het een webwinkel is http://www.belastingdiens...mer_vermelden_op_website/

Anoniem: 854341 @Juliuth • 13 december 2016 22:07

https://www.rijksoverheid...rvicenummer-bsn-gebruiken

wjn @Anoniem: 854341 • 13 december 2016 22:45

En daar houden criminelen zich netjes aan

nullbyte @Juliuth • 14 december 2016 09:32

Je werkgever en de bank mogen een kopie opslaan. https://www.rijksoverheid...-van-uw-identiteitsbewijs

Alxndr

@David Mulder • 13 december 2016 20:08

vraag me af hoeveel mensen hun BSN afschermen als ze een kopie van een ID maken. Ik ga er niet van uit dat bedrijven de moeite nemen om deze (handmatig) te verwijderen. (als ze al met kopieen werken en het documentnummer niet los is ingevoerd)

dakathefox @Alxndr • 13 december 2016 21:08

Heel weinig. Ik moest pasgeleden nog een ID-document afgeven waar mijn BSN op stond. Liep daarbij tegen heel veel onbegrip aan (U bent de eerste die dit vraagt) maar dat boeit me verder niet veel. Als geen ander weet ik wat onzorgvuldig omgaan met dergelijke documenten voor risico's met zich mee kan brengen, dus ik pas wel op.

wjn @dakathefox • 13 december 2016 22:46

het BSN nummer staat daarom nu op de achterkant, en niet meer bij je persoons-/documentgegevens.

The Zep Man

Privacy
Netwerk en systeembeheer
Nederland
Hackers

@wjn • 13 december 2016 22:54

het BSN nummer staat daarom nu op de achterkant, en niet meer bij je persoons-/documentgegevens.

Het BSN nummer staat gewoon in de bloklettercode onderaan op de hoofdpagina van het paspoort. Afschermen, dus.

dakathefox @wjn • 14 december 2016 00:02

Allicht. Maar als je een wat ouder document hebt, dan staat het niet op de achterkant maar op de voorkant.

[Reactie gewijzigd door dakathefox op 23 juli 2024 17:21]

Blokker_1999

Hackers
Netwerk en systeembeheer
Nederland
Privacy
Rusland

@_Thanatos_ • 13 december 2016 19:16

Waarom zou dat geen geheim kunnen zijn?

Alxndr

@_Thanatos_ • 13 december 2016 20:10

om te weten wie er werkt is een naam toch voldoende? persoongegevens als BSN, adres etc etc gaat niemand wat aan lijkt me

_Thanatos_ @Alxndr • 15 december 2016 11:06

Klopt, maar ik begrijp niet waarom dat dan een geheim moet zijn. Het gaat per slot van rekening wel om een overheids-achtige organisatie. En het volk heeft wel een zeker recht om te weten wat daar zich allemaal afspeelt. En personeel valt daar ook onder.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 17:21]

Alxndr

@_Thanatos_ • 15 december 2016 12:45

mee eens, maar ik blijf er bij dat dan een naam voldoende is, hiermee kun je genoeg relevantie informatie over de persoon te weten komen zoals zijn functie, CV op linkedin etc etc.

prive informatie gaat toch echt niemand wat aan en is fraude gevoelig.

Anoniem: 85014 13 december 2016 17:09

Maarja, hij heeft ook niet alle 6000 gepubliceerd. Enkel een 129tal. Dus echt van slechte wil was hij dan ook niet.

mahsalti @Anoniem: 85014 • 13 december 2016 17:21

Sorry maar das vrij naïef, als je iemand besteelt van 10000 euro of 2000 euro veranderd niet dat het diefstal is. Kan hem geen white hat hacker noemen in ieder geval.

CP3BEST @mahsalti • 13 december 2016 17:25

Dit is behoorlijk 'gray hat', en dan nog is het niet helemaal goed te trekken omdat hij zich niet aan het responsible disclosure-beleid heeft gehouden. Hij heeft wel een de gegevens gestolen maar geen ultimatum gesteld voordat hij deze 129 vrijgaf.

_Thanatos_ @CP3BEST • 13 december 2016 17:49

Hij heeft iig niets gestolen.

Blokker_1999

Hackers
Netwerk en systeembeheer
Nederland
Privacy
Rusland

@_Thanatos_ • 13 december 2016 19:19

Kunnen we aub eens ophouden met altijd maar over die woorddefinities te gaan zeuren? Iedereen begrijpt waarover het gaat wanneer we het hebben over diefstal van data. En als iedereen weet wat de betekenis is kan je niet zeggen dat men het woord niet mag gebruiken.

_Thanatos_ @Blokker_1999 • 15 december 2016 11:03

Iedereen weet dat diefstal betekent dat de orginele eigenaar het ding niet meer heeft. Dus gebruik gewoon het juiste woord. Zo moeilijk is dat niet.

Anoniem: 138895 @_Thanatos_ • 16 december 2016 15:57

Inderdaad.. Pin code afkijken en overschrijven is ook geen diefstal.
Pas als je daarmee geld steelt is het stelen van het geld diefstal.

Hacken is bij wet verboden. Maar onzorgvuldig omgaan met prive-gegevens ook. Althans, zo zou het moeten zijn.

Nederlandse bedrijven mogen geen informatie opslaan die niet strikt noodzakelijk is voor het leveren van de dienst die de klant wenst af te nemen. Daarnaast zou het bedrijf aansprakelijk moeten zijn en blijven voor alle materiele en immateriele schade die jij als burger en consument kan oplopen door misbruik van die informatie die door die bedrijven zijn opgeslagen en zijn gelekt. Kortom, de dief is schuldig maar als ik mijn deur laat openstaan dan ben ik op z'n minst medeschuldig. Zo zou het moeten zijn. En dat zou bedrijven ervan moeten weerhouden om meer informatie op te slaan dan zij strikt nodig hebben, want dat wordt dan ook voor hen een risico die niet opweegt tegen het voordeel dat ze er uit denken te kunnen halen.

Tenslotte zouden wij gewoon ten alle tijde eigenaar moeten blijven van informatie over onszelf. Wij mogen deze delen met instanties die ons in ruil daarvoor diensten leveren, maar enkel in ruil voor die diensten en niets anders. Die bedrijven mogen die informatie dus voor niks anders gebruiken dan die diensten die zij jou leveren. Punt.

Dit is inclusief overheid, want je naam en geboorte certificaat of iets derkelijks kan je geen BSN krijgen en zonder BSN kan je geen woning vinden, werken, bankrekening openen, etc.

Prive gegevens lijken namelijk meer op een creditcard dan geld. Geld is een ruilmiddel maar prive gegevens zijn als een creditkaart die je overhandigt. Dan wil je zeker zijn dat de dienstverlener die kaart alleen maar gebruikt voor de dienst die je afneemt voor een voraf afgesproken bedrag, en niet dat een bedrijf vrij is om die creditkaart keer op keer te blijven gebruiken ook voor andere zaken, en kopien gaat maken en aan anderen geven die dan allemaal kunnen meeprofiteren op jouw kosten. Dat is wel hoe het nu gaat. Je weet niet eens precies hoeveel je betaalt. Je geeft simpelweg je creditcard uit handen om de dienst te gebruiken, maar de werkelijke kosten zijn vele malen hoger en de uitgaven die anderen op je creditcard gaan doen zal voor de rest van je leven door die anderen worden bepaald. Daar heb jij dan geen controle meer over. Op deze manier betalen wij nu voor diensten met onze prive-gegevens. Daar gaan heel veel consumenten in de toekomst een hele grote prijs voor betalen. De vraag is of ze het ooit door gaan hebben dat ze structureel worden opgelicht door bedrijven die een streepje voor hebben in de belangenstrijd die er altijd is tussen koper en verkoper.. en dan heb ik het over je rol als consument. Als burger, verdachte, dissident, vluchteling, politieke activist of wat dan ook kan de prijs nog veeeel hoger uitkomen. En als het besef er dan pas is, is het allang te laat. Die geest krijg je nooit meer terug in de fles en zelfs na je door zullen je nabestaanden de prijs ervoor blijven betalen.

litebyte @_Thanatos_ • 13 december 2016 18:05

Inderdaad, belangrijk als hij ooit nog voor een rechtbank komt.

http://gadgets.ndtv.com/i...ing-out-web-flaws-1626513

Actief mannetje

Dennisdk1 @Anoniem: 85014 • 13 december 2016 17:22

Hij geeft toe niet de tijd hebben te besteed om ze alle 30k te hebben gepakt. Dus wie weet bluft hij wel, want ik vind dat 129 gebruikers een erg raar getal voor uitlekken is. Lijkt mij eerder dat ze zijn ip geblocked hebben of het lek gedicht hebben in de tijd dat hij probeerde alle gegevens op te halen. D:

Anonymoussaurus @Dennisdk1 • 13 december 2016 18:27

Lijkt mij eerder dat ze zijn ip geblocked hebben of het lek gedicht hebben in de tijd dat hij probeerde alle gegevens op te halen. D:

Een beetje hacker verbindt gewoon met een andere VPS zodat hij vanaf een ander IP-adres verder kan gaan

Dennisdk1 @Anonymoussaurus • 13 december 2016 18:36

Aan de manier van zijn 'praten' heb ik niet door dat dat hier het geval is

djwice

@Dennisdk1 • 13 december 2016 22:29

Nah, eerst 500, daarna verminderd naar 128+1.

Als was het er 1, elk lek van informatie uit een ambasade is te veel. Die data kan zeer risicovol zijn.

[Reactie gewijzigd door djwice op 23 juli 2024 17:21]

HetGezegde 13 december 2016 17:10

En waarom maakt hij die data openbaar als hij het direct aangeeft bij NCSC? Dat maakt hem strafbaar. De data is achteraf verwijderd, maar grote kans dat deze toch nog op internet rondzwerft in cache of via een ander die het heeft opgepakt.

ChristopheS @HetGezegde • 13 december 2016 17:29

Fascinerend hoe hij het toch doet en wat hij er uiteindelijk mee doet.
1. Dit was mogelijk en hij slaagt erin.
2. Hij laat een stukje los in de wereld.
3. Hij meldt het bij een dienst.
4. Beweert via Twitter de bestanden te hebben verwijderd.

Ergens lijkt me dat dit een stuk grens was voor hem waar hij overheen moest, ik zou aan nemen dat er dan wat opscheppen bij komt en de data gedeeld is. Dus ja, een grote kans dat het ergens rond zwerft.

Was deze data kostbaar? Kunnen we niet oordelen hier.
Wel spijtig dat dit dan gedeeld/gelekt is op pastebin.

Lexis 13 december 2016 19:11

Nog mazzel dat het consulaat van Rusland niet aan online betalingen met creditcards doet, maar dat er BSN's bij staan is ook al niet fijn voor de benadeelden.

Alxndr

@Lexis • 13 december 2016 20:13

er staat nergens (in het artikel) dat BSN nummers zijn buitgemaakt

[Reactie gewijzigd door Alxndr op 23 juli 2024 17:21]

Lexis @Alxndr • 13 december 2016 22:49

Klopt, Ik las paspoort nummer en dacht BSN

.
BSN vragen ze ook niet op enig formulier. ;-) Ik wist wel beter, een vergissing is menselijk

BUR 13 december 2016 22:49

Ik denk dat de knutselaar Nederlands is, zijn bericht is wel behoorlijk nederlands/engels-isch.

gepebril @Balkenende_IV • 13 december 2016 17:28

Tja, dat soort gepruts met zulke belangrijke data. Die systeembeheerder moet gelijk op straat en mag NOOIT meer een PC aanraken.

ViPER_DMRT @Balkenende_IV • 13 december 2016 18:43

Wat niet ? Een software Bug ?
Zal vast geen backup.sql.gz in een open dir geweest zijn.

SpoekGTi @Balkenende_IV • 13 december 2016 18:06

Inderdaad vooral voor het consulaat en niet voor diegene die de gegevens heeft gestolen.

NotLikeTheOther @SpoekGTi • 13 december 2016 18:44

Die mogen inderdaad ook wel enigszins aansprakelijk gesteld worden. Beveiliging was duidelijk niet goed genoeg. Nu ben ik overigens wel benieuwd of dit een "startschot" is voor andere hackers

Kakhark @NotLikeTheOther • 13 december 2016 19:35

Het betreft een blind sqli die op iedere pagina van ambru.nl sinds 2011 voorkomt. Iedere waarschuwing is door dit consulaat stelselmatig genegeerd. Want: "who cares?"

Het werd tijd dat iemand dit naar buiten brengt. Deze site, samen met andere sites -en ik zeg niet welke russische sites- lekken veel meer van dit soort gegevens.

Anoniem: 854341 @Kakhark • 13 december 2016 21:03

Mee eens MAAR: doe dit dan bijv via een gerenommeerde krant; dan leg je jouw ethische verantwoordelijkheid bij hen neer en deze zijn beter in staat het echt te brengen; dat effect is groter dan deze actie: idd die Russische overheid laat het zo na waarschuwingen, maar hier tref je mogelijk wel onschuldige mensen mee...

Laat the Guardian maar onderzoek doen en dan word er vast meer gevonden dan deze ene .nl site... en ook niet alleen van Rusland & India...

Kakhark @Anoniem: 854341 • 13 december 2016 22:18

Het wordt pas nieuws als er daadwerkelijk persoonsgegevens gelekt worden. Feit dat een site gegevens kan lekken heeft geen enkele nieuwswaarde.

Zo werkt de realiteit.

Anoniem: 854341 @Kakhark • 13 december 2016 22:34

Tja check de linkjes bij mijn langere reactie; je kan het inmiddels makkelijk Ambassee Gate noemen, nog wat ministeries en Universiteiten erbij... Als je al die lekken combineert heeft het wel degelijk nieuwswaarde..

Ik ben het met je eens dat lekken een snelle reactie provoceert, maar dat betreft dan een enkel land/instelling... Om dit echt tegen te gaan ben je er niet met 1 hacker met die aanpak: durf alles wat ik heb te wedden dat er meer dan 10.000.000 sites zijn waar dit kan waarvan zeker 1.000.000 van belangrijke organisaties.

Als je genoeg info voor publicatie verzameld kan je er een echt internationaal punt van maken zodat er overal kamervragen worden gesteld en wetgeving word veranderd; een Internationaal akkoord of een checklist voor instellingen/overheden/bedrijven waarop deze basis SQL fouten vermeld staan (onwetendheid is vaak de basis van fouten), India pakt het op en is direct aan de slag gegaan maar of Rusland dat gaat doen (of de andere eerdere doelwitten).

Op korte termijn ben ik het met je eens maar op lange termijn heeft een lijst met 100 overheidsinstellingen met DEZELFDE fout die vele data entries op "straat" legt meer invloed voor blijvende verbetering (ook bij partijen die -nog- geen doelwit zijn)

Of simpeler gezegd: wij lezen dit nu maar dit is een vele malen kleiner platform dan de NYT of Guardian bijv. Dan komt het niet een keer maar maanden in het nieuws (met updates van nieuwe gevallen), dat zag je ook met de wiki cables of NSA leak

[Reactie gewijzigd door Anoniem: 854341 op 23 juli 2024 17:21]

Kakhark @NotLikeTheOther • 13 december 2016 19:50

In dit geval is er inderdaad geen andere optie: -

De Autoriteit Persoonsgegevens heeft uw tip beoordeeld en vastgesteld dat zij niet bevoegd is om uw tip verder in behandeling te nemen.
De reden waarom de Autoriteit uw klacht niet in behandeling kan nemen is dat de kwestie niet valt binnen het rechtsgebied waarbinnen de Autoriteit Persoonsgegevens toezicht uitoefent.
De Autoriteit Persoonsgegevens heeft u wel tip doorgegeven aan het ministerie van Buitenlandse zaken.

[Reactie gewijzigd door Kakhark op 23 juli 2024 17:21]

Op dit item kan niet meer gereageerd worden.

Hacker maakt persoonsgegevens van Russisch consulaat in Nederland buit

Lees meer

Reacties (62)

Sorteer op:

Weergave: