Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgisch OM eist voorwaardelijke celstraf tegen man die Mobistar-website hackte

Door , 67 reacties, submitter: bertware

Het Belgische OM eist een voorwaardelijke celstraf van 18 maanden en een boete van 1500 euro voor de 23-jarige man die de website van Mobistar, tegenwoordig Orange, hackte. Hij kon daardoor zonder te betalen spullen, waaronder iPhones, naar zijn huis of een afhaalpunt laten sturen.

Volgens Datanews hadden de producten een totale waarde van 17.300 euro, zo bleek uit het betoog van het OM. De man wist te achterhalen op welke url de betalingsbevestiging stond en kon zo gratis producten bestellen. In totaal ging het om bijna dertig telefoons en tablets, schrijft de site. Uit een bericht van het Gazet van Antwerpen blijkt dat de man 'sommige iPhones op straat te grabbel gooide'. Hij verklaarde dat hij zijn acties 'voor de kick' uitvoerde en niet nadacht over de gevolgen.

De man uit Mechelen stond al onder toezicht voor oplichting van Brussels Airlines. Hij zou bovendien Lufthansa-vluchten hebben geboekt zonder te betalen en deze vervolgens weer hebben geannuleerd om het geld te innen. Toen hij hierover in 2015 werd verhoord, gaf hij ook toe dat hij de site van Mobistar gehackt te hebben. De man zou zijn bevindingen aan Mobistar hebben gemeld, maar kreeg te horen dat alles in orde was. Daarna ging hij door met zijn acties. De rechter gaf hem het advies om zijn talenten op een andere manier te gebruiken.

Door Sander van Voorst

Nieuwsredacteur

26-09-2017 • 08:35

67 Linkedin Google+

Submitter: bertware

Reacties (67)

Wijzig sortering
Eerlijk is eerlijk, zo'n giga lek vinden voor "slechts" 17.300 is op zich een goede deal
Een lek vinden is geld waard, er misbruik van maken is imo celstraf waard. Ik vind de straf echt behoorlijk mild.
Hij heeft zoals in het artikel staat vermeld zijn bevindingen na een eerdere veroordeling doorgegeven. De provider heeft hier echter niks mee gedaan.

Het is zeker niet terecht dat hij door is gegaan met het frauderen, maar de provider vroeg er natuurlijk ook wel een beetje om met deze handelswijze.
Ik geloof dat dat niet recht praat dat iemand een berg iPhones bestelt met een straatwaarde van 17.000 euro en daarnaast nog gaat lopen frauderen met vliegtuigtickets.

Aantonen van een lek.
Misbruiken van een lek.

Toch wel groot verschil.

Ik snap echt dat het een jongensdroom kan zijn om een groot bedrijf te hacken, maar men zou eens wat langer na moeten denken over de schade voor een bedrijf die daarmee wordt aangericht.
Of dat bedrijf nou te achterlijk is om met een melding iets te doen, of niet.
Ik probeer echt niets goed te praten maar het is ook prettig om zijn kant te snappen. Zulke jongens doen het niet voor het geld maar inderdaad voor die kick. Op het moment dat je het dan wel netjes meld maar je vervolgens wordt afgedaan met "het werkt wel hoor"... tja. Zijn reactie daarop is niet de juiste maar begrijpelijk vind ik het wel.

Het is gewoon benodigd dat hij de hulp krijgt die benodigd is om hier goed mee om te gaan.
Hij had het lek ook openbaar kunnen maken toen de provider niet reageerde. Dan had hij toch aandacht gekregen en de provider had er wel snel iets aan gedaan.
Wel, ervan gebruik maken voor een test (gevolgd door responsible disclosure), is nog OK. Er gebruik van blijven maken daarentegen, dan weet je toch wel dat je fout bezig bent. Wel, behalve misschien in het geval van Mobistar, waar hij het gemeld zou hebben en hij te horen kreeg dat alles OK was 8)7
Die responsible disclosures bevatten vaak het volgende (of vergelijkbaar);
You do not exploit a security issue you discover for any reason.
dus daar kun je je dan niet meer op beroepen...

Je kan het wel "testen" als je ingehuurd bent door het bedrijf om een pentest uit te voeren...maarja das een heel ander verhaal.

Anders lekker melden, deadline geven en dan openbaar maken (na herinnering).
Dus als ik zie dat jouw achterdeur openstaat vind je het normaal dat ik jou eerst ga dreigen met een deadline en als je de deur dan niet op slot hebt gedaan ik het aan de lokale media meldt of zelf op social media publiceer, zodat iedereen er gebruik van kan maken?
Altijd die vergelijking weer... Je kunt een bedrijf niet zomaar vergelijken met een privť huis. In dit geval viel de schade dan nog mee voor de maatschappij, maar in veel gevallen gaat het om privacy gevoelige informatie van andere mensen dan het bedrijf zelf. In dat geval is er dus een maatschappelijk belang om het te melden. Als jouw achterdeur open is dan ben jij de enige die daar potentieel last van heeft. Tenzij je toevallig waardevolle spullen opslaat voor veel mensen in je buurt, dan is het ineens een probleem van al die mensen en ja dan zou ik het volstrekt normaal vinden dat je het in je buurt meldt. In het geval van een groot bedrijf is de groep van potentieel gedupeerden zo groot dat het niet redelijk te doen is om alleen die gedupeerden te informeren, dus doe je dat publiekelijk.
De vergelijking kan op gaan als je het vergelijkt met een postkantoor oid, dat daar de deuren van open staan en je kan zo maar iedereen z'n prive mail, rekeningen, bestellingen etc kan wegjatten zonder al te veel moeite. Zoiets is de moeite waard om mensen van op de hoogte te stellen, als ze het dan nalaten die deur te fixxen de dienst niet te gebruiken of te klagen tot het wel gefixt is.
Dan vind ik het normaal dat je er alles aan doet (in jouw kennen en kunnen) om die deur dicht te krijgen. Dus melden aangezien ik de sleutel niet heb. Doen ze er niets mee, dan dus maar ""dreigen"" zodat er wat meer prioriteit aan gegeven wordt.

In plaats van maar gewoon naar binnen te stappen, een tv onder je arm mee naar huis nemen en dan doodleuk aankloppen; he! Dit is jouw tv he, ja je achterdeur staat open...doe hem even dicht? - doe je de deur niet dicht loop ik volgende keer met je juwelen weg.

[Reactie gewijzigd door eric.1 op 26 september 2017 11:05]

Ja, wat ik eigenlijk bedoel is dat je niet weet of het effectief een lek is, zonder het te testen. Wanneer je dat vervolgens test, constateert dat er inderdaad een lek is, en het dan met een paar variaties opniew test, kan ik daar inkomen.
Wat ik niet zo duidelijk gezegd had is dat het wel de bedoeling is dat je de partij waar de fout zit contacteert, en voldoende tijd moet geven om hun probleem op te lossen. Eventuele goederen/geld die je op die manier ontvangen hebt, kunnen wel eens teruggevraagd worden, dus ja... gewoon teruggeven dan :-)

Een redelijke deadline erop zetten voor je het publiceert, spoort zeker aan om die problemen serieuzer te nemen. Anders gaan bedrijven er vaak wat losjes overheen. Dit geldt zeker in gevallen waar er niet alleen risico's zijn voor het bedrijf dat de fout gemaakt heeft, maar ook voor gebruikers van de site. Aangezien je kan aannemen dat er ook personen met minder goede bedoelingen zijn die diensten proberen te hacken om bijvoorbeeld aan persoonsgegevens te komen, is het afdwingen van een oplossing op een redelijke termijn volgens mij inderdaad opportuun. In dit geval, waar de enige benadeelde de partij met het lek was, is dat minder duidelijk.
18 maanden vind ik geen kattenpis. Okay voorwaardelijk. En daar zit het verschil in, maar je hebt deze straf wel alleen zit je hen niet uit. Tenzij je weer de fout ingaat. Juist netjes van de rechter om deze persoon nog een kans te geven ipv zijn leven helemaal naar de klote na 1,5 jaar in de cel.
Zijn er zat die voor veel meer veel minder de bak ingaan als je het over fraude hebt.
Alle straffen onder de 3 jaar worden toch niet uitgevoerd in BelgiŽ.
Uit het bericht van Tweakers kan ik niet achterhalen dat hij er echt geld voor kreeg na het melden van een hack. Alleen dat ze het "goed vonden"
Geld voor het melden? Volgens mij begrijpen we elkaar verkeerd.
Ik heb het over de 17000 euro schade die hij heeft aangericht, alleen al aan het bestellen van Apple meuk;

"..Hij kon daardoor zonder te betalen spullen, waaronder iPhones, naar zijn huis of een afhaalpunt laten sturen.

Volgens Datanews hadden de producten een totale waarde van 17.300 euro, zo bleek uit het betoog van het OM. De man wist te achterhalen op welke url de betalingsbevestiging stond en kon zo gratis producten bestellen. In totaal ging het om bijna dertig telefoons en tablets, schrijft de site. Uit een bericht van het Gazet van Antwerpen blijkt dat de man 'sommige iPhones op straat te grabbel gooide'. Hij verklaarde dat hij zijn acties 'voor de kick' uitvoerde en niet nadacht over de gevolgen.
.."

[Reactie gewijzigd door sarcast op 26 september 2017 13:50]

Wat ik me steeds afvraag bij zo’n nieuws of deze personen na het vinden van zo’n hack zich onfeilbaar wanen? Je kan toch niet geloven dat ze 17k niet gaan opmerken als dat ineens verdwijnt....
Wat ik me afvraag is dat ze zoiets niet direct zien. Als een bestelling binnenkomt dan controleer je logischer wijze toch eerst of die daadwerkelijk ook betaald is? Helemaal bij producten van honderden tot duizenden euro's?
Welkom in de wondere wereld van procuratie systemen, waar alles gekoppeld is, en toch langs elkaar heen werkt :D
Maar je wilt ook niet dat order pickers de mogelijkheid krijgen of hebben om bij financiŽle klantgegevens te komen. Die hoeven alleen maar te weten wat ze moeten pakken en verzenden.
Klopt.

Waar ik meer op doelde was dat je een inkoop pakket hebt, die gekoppeld is aan je financiele pakket. Die babbelen met elkaar heen en weer (orders worden als journaal posten in je financiele pakket geplaatst). Dan komt er een facturatie pakket aan die automatisch alles inscant en dan wel voedt in je financiele systeem, of voedt aan je inkoop pakket. Die moeten dan weer facturen matchen met je orders en als dat goed gaat wordt er weer een seintje gegeven aan je financiele pakket dat er een verplichting tegenover staat die betaald kan gaan worden. Het gaat maar door en door :D

Een order pikker maakt het verder niet uit, de leverancier krijgt namenlijk de opdracht vanuit het inkoop systeem om een bepaald goed te leveren. Met factuur etc tot gevolg. Het enige wat de "hacker" gedaan heeft, is aangeven in het direct-order systeem dat de klant betaald heeft, en de order dus de procuratie regeling kan overslaan (want "betaald") waardoor vol automatisch de order naar de leverancier is gegaan, die stuurt een factuur en iedereen is blij.

Tot dat de accountant aan het einde van de maand zegt "hey, zoveel gefactureerd, zoveel verkocht, maar dit is de balans. We missen geld". Of iets simpeler een management rapportage die aangeeft dat je een discrepantie hebt tussen wat er binnen is gekomen en wat er is uitgegaan. Maar, dit hoeft pas twee maanden later opgemerkt te worden (afhankelijk van welke betalings termijnen je hanteert). Dus dan duurt het even voor iets opgemerkt wordt.

Afijn, de wondere wereld van procuratie systemen dus ;)
De mensen die die bestellingen verwerken hebben helemaal geen toegang tot de gegevens van de betalingsprovider. Ze zullen het moeten doen met wat hun systeem verteld en door er op te vertrouwen dat de klanten alleen via de betalingsprovider op de juiste URL uitkomen ipv een API call naar de betalingsprovider om de betaling te valideren.
Je hoeft ook helemaal geen betalingsprovider te benaderen. Eigenlijk alleen interne registratie van dat het bedrag bijgeschreven is op de rekening(en) van de verkoper. Dat kan zelfs geheel geautomatiseerd.

Het zou anders zuur zijn als er bv een probleem ontstaat nadat de klant betaalt heeft en hij bv per ongeluk de browser sluit ipv terug naar de site te gaan. Maw. de bevestiging dat een bestelling betaalt is hoort NIET op de computer van de betalende klant te gebeuren (door een url of API aan te roepen).

[Reactie gewijzigd door sanderev66 op 26 september 2017 09:42]

Dat doen ze ook, in hun systeem. Je kan moeilijk iedere verkoper toegang gaan geven tot de rekeningen waar het geld naartoe gaat. Wat er gebeurt is dat het online betalingsplatform een notificatie stuurt naar de servers van Mobistar/Orange dat de transactie gebeurd is. Zo kan je in het interne systeem de bestelling markeren als betaald. Die notificatie is vaak gewoon een simpele HTTP request naar een bepaalde URL met de gegevens van de betaling. Normaalgezien komt hier een cryptografisch element bij kijken zodat je kan garanderen dat de notificatie van de juiste zender komt en intact tot je server is geraakt. Als het goed is maakt het dan niet uit als iemand die bevestigings-URL vindt, want je bent er toch niets mee. Maar dat was dus niet het geval, of toch niet goed genoeg.

Als gevolg kon deze persoon de betaling in het interne systeem bevestigen door gewoon die notificatie te faken. In het interne systeem zal het dus echt wel als betaald gemarkeerd hebben gestaan. Pas wanneer je achteraf je boekhouding doet merk je dan dat er geld mist...
Wanneer een bestelling binnenkomt dan gaat heel de keten er van uit dat de software automatisch de betaling heeft verwerkt en dat de betalingsprovider zijn goedkeuring heeft gegeven en binnenkort de betaling zal uitvoeren. Het duurt nog weken voordat de boekhouding merkt dat er iets niet klopt.

Alles moet zo snel gaan de dag van vandaag dat er geen menselijke controle meer mogelijk is. Als je wil werken met het principe van vandaag besteld, morgen geleverd dan kan je niet wachten totdat de betaling rond is, want dat kan op zich al enkele dagen duren. Daarom dat zoiets vandaag pas opgemerkt wordt wanneer de boekhouding een verschil opmerkt in de balans tussen wat ze zouden moeten ontvangen hebben voor een periode en wat ze effectief ontvangen hebben.
Als hij het slimmer heeft aangepakt was hij sowieso niet opgepakt. Maar goed blijkbaar toch ergens sporen achtergelaten. En het afleveren aan huis ?? |:( Te stom
Voor Mobistar is het in ieder geval ook een passende straf toen ze na de melding van de man geen actie ondernamen. Blijkbaar hebben ze zelfs na de melding niet eens gemerkt dat de hack ook daadwerkelijk werd uitgevoerd. De man moest het zelf melden.
Is Mobistar ook daadwerkelijk op de hoogte gesteld door de "hacker"? Geloven we een oplichter direct op zijn woord?
Er staat niet dat de hacker dat gezegd heeft.

De man zou zijn bevindingen aan Mobistar hebben gemeld, maar kreeg te horen dat alles in orde was.

Dat lijkt me een vaststelling, en dus feitelijk.
Het is anders als er stond 'de man zegt zijn bevindingen aan Mobistar hebben gemeld ...'.


Je hebt gelijk

Bovendien zou het makkelijk aan te tonen zijn middels een mail. Dat terzijde is het een detail.

[Reactie gewijzigd door Aardappel op 26 september 2017 09:59]

De man zou
Dat is geen feit, dan zou er "De man heeft" gestaan hebben.
zul∑len (hulpwerkwoord; van modaliteit)
1 een mogelijkheid, waarschijnlijkheid uitdrukkend: dat zal wel (a) het is waarschijnlijk zo; (b) ik geloof er niets van
2 onzekerheid uitdrukkend: wat zou dat? wat geeft dat?
3 bedreiging uitdrukkend: ik zal je! nl. straffen
Er van uit gaan dat tweakers.net
1) steeds en altijd correct gebruik maakt van hulpwerkwoorden
2) de moeite heeft genomen om te checken of er bewijs is dat de hacker Mobistar heeft gecontacteerd (ipv gewoon het bericht te bewerken dat ook door andere persgroep-media verspreid werd)

Artikel geschreven door de Persgroep. In dataNews wordt overigens gesteld dat hij onder electronisch toezicht komt (=thuis straf uitzitten) wegens een andere zaak.
Er van uit gaan dat tweakers.net
Right. Je kent het gezegde: "Assumption is the mother of all fckups."
Dat is zijn punt ook juist
"De rechter gaf hem het advies om zijn talenten op een andere manier te gebruiken."
Wat ik me af vraag is zitten mensen nog wel op je "talent" te wachten als ze weten dat je meerdere keren bedrijven hebt opgelicht. Ik zelf zou toch echt 5 keer nadenken of ik zo'n iemand wel in mijn bedrijf wil hebben werken.
Het eerste artikel betreft een uitspraak van de advocaat van de verdachte, daar hecht ik niet zoveel waarde aan.
In de andere twee gevallen gaat het om "hackers" die zich netjes gedragen hebben, en de gevonden exploits niet misbruikt hebben. Een totaal andere casus als in dit geval.
Inderdaad, niemand zit toch te wachten op een werknemer die besluit misbruik te maken van het lek dat hij vind? Kan je zo'n persoon wel vertrouwen in de it van je bedrijf? Straks zit er een lek in je administratie en loopt je account leeg aan zo'n grapjurk.

Je moet natuurlijk geen lekken hebben in dat soort belangrijke systemen, maar daar heb je juist zo'n gast voor om het aan je te melden (en als er niet geluisterd wordt, nog eens melden, of goed documenteren, of whatever) niet om er dan ook gelijk misbruik van te maken.
Tja, in principe heeft de man bij Mobistar niks verkeerd gedaan natuurlijk. Hij kreeg immers te horen dat er geen problemen waren, dus was zijn truc gewoon zoals het bedoelt was te werken. Jammer dat het zo niet werkt. Hoewel dat puntje wel terug te zien is in de boete, heb ik 't idee. Iets met katten en spek, of dansende muizen...

[Reactie gewijzigd door Stoelpoot op 26 september 2017 09:04]

Een boete staat los van een terug te betalen schuld.
Correct, de een is strafrechtelijk, en om hun geld terug te krijgen zullen ze civiele zaken moeten openen

mamoman
Tja, in principe heeft de man bij Mobistar niks verkeerd gedaan natuurlijk. Hij kreeg immers te horen dat er geen problemen waren,
Dat hangt er van af aan wie hij het gevraagd/gemeld heeft. Iemand op de verzendafdeling ziet alleen maar dat er "betaald" is en gaat versturen. Vanuit die optiek is er inderdaad geen probleem. Bel je echter met degene die verantwoordelijk is voor de software dan is het een ander verhaal. Maar ik geloof niet dat zo iemand gaat zeggen dat er geen probleem is als je verteld dat je zijn system hebt kunnen omzeilen.
Mja, het artikel geeft aan dat de man zijn bevindingen heeft gemeld. Wat ik daaruit haal is dat hij had aangegeven dat hij niet had betaald. Dat een Mobistar-medewerker dan geen melding maakt omdat het op zijn scherm klopt, tja, dan heb je een probleem in je helpdesk.
Hij heeft inderdaad nooit ingebroken op de servers. Hij heeft enkel de website gebruikt. Daar zat wel een grote bug in, maar volgens Mobistar was alles normaal.

Enkele dagen geleden was in het Belgisch nieuws dat je voor 10 eurocent 4 uren kon parkeren in hartje Brugge dankzij een bug in de parkeerautomaat. Iedereen kon deze bug toepassen door op een bepaalde manier te navigeren doorheen de schermen: https://www.hln.be/bizar/...kzij-dit-trucje~a438ba18/ . Tja, dat lijkt me dan vergelijkbaar.
En dat maakt het dan dus een juridisch probleem, alsin, zou je zelf in kunnen schatten dat dit niet de bedoeling is en je dus bewust misbruik zit te maken? Zoja > straffen, zo nee (alsin, compleet per ongeluk) natuurlijk niet.

Een beetje zoals helen, dat er straks een hele lading iphonex's op marktplaats staan voor 500 euro per stuk, daarvan kan je verwachten dat het niet helemaal fris is en kan je dus ook opgepakt worden voor het kopen van zulke producten.
Aan wie heeft hij het gemeld? Wat heeft hij gemeld? En wat was het exacte antwoord?

Als hij aan de helpdesk meld dat hij een bestelling heeft gedaan en dat er geen betaling is uitgevoerd waarop door de helpdesk een melding komt dat alles in orde is dan is dat iets totaal anders dan wanneer hij met de IT afdeling heeft gemaild en zij hebben vermeld dat zij het probleem niet zien.

En als je dan met IT aan het communiceren bent, dan vertel je hen meestal exact wat je gedaan hebt en help je hen met het reproduceren van het probleem. Je gaat een eventuele melding van "wij zien het niet" niet zomaar aannemen om je dan maar voor 17k aan telefoons toe te eigenen zonder ervoor te betalen want je zou verdomd goed moeten weten dat zoiets nog altijd diefstal is.
De IT afdeling zal je bij grote bedrijven als Mobistar niet zo snel direct bereiken. Dan zal je eerst de helpdesk moeten overtuigen dat het echt fout is gegaan. Maar helpdesks van grote bedrijven zijn in de regel erg star en volgen netjes een boekje, dus ik kan me best indenken dat die man begint met 'Ik kan bestellingen plaatsen zonder dat er geld wordt afgeschreven,' en dat die helpdesk dan vraagt om t ordernummer en dat aan die kant alles goed staat. Dan weet je al dat je zelf ook niet verder komt.
Op je 23e hoor je te weten wat de gevolgen zijn als je al onder toezicht dit soort activiteiten gaat voortzetten. Als je na 1 wake up call het nog steeds niet begrijpt is dit een gepaste straf.
"De man zou zijn bevindingen aan Mobistar hebben gemeld, maar kreeg te horen dat alles in orde was."
Okť, 23 en je wil wat, de essentie mist in dit verhaal : mega bedrijf heeft zijn beveilig compleet niet op orde en luistert niet naar klanten.
Zelf vorig jaar ook een zelfde soort lek gevonden bij een redelijk van de grotere elektronica winkels nederland. Netjes gemeld en kreeg toen nog een leuke tegoed bon ook. Dat had meneer beter kunnen doen :+
Hij heeft dat volgens de tekst gedaan maar is wandelen gestuurd.
Ik begrijp nooit zo waarom ze dergelijke spullen naar hun eigen adres laten sturen. Als ze je pakken hebben ze direct de goede, lekker slim.
En anders laat je t naar een vriend sturen die je verlinkt (tenzij hij voor jou de schuld op zich gaat nemen), of naar een postbus die ook aan jou persoon is gekoppeld?
Tuurlijk niet. Als je echt je best doet om niet gepakt te worden zorg je dat de pakketjes op verschillende afhaalpunten worden bezorgd, probeer je onherkenbaar voor camera's te zijn en heb je een nep ID bij je waar een andere naam op staat zodat ze je het pakketje meegeven. Of je laat het naar een leegstaand adres sturen, gaat daar een beetje in de tuin staan rommelen en pakt het pakketje aan alsof jij daar woont, op de naam van de echte bewoners.

Dat zijn slechts twee voorbeelden, zullen nog zat andere manieren zijn.
De man heeft het druk. Hij moet zich ook nog verantwoorden voor feiten tegen Thalys.
Rechter Erika Colpin maande de man aan zijn "gave op een andere manier aan te wenden." Volgende week moet hij zich in Brussel verantwoorden voor feiten tegen Thalys. Er loopt ook nog een onderzoek naar oplichting van Brussels Airlines waarvoor hij sinds vrijdag onder elektronisch toezicht staat.
bron: http://datanews.knack.be/...rticle-normal-904609.html


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*