OM vervolgt man voor computervredebreuk na ontdekking datalek

Het OM vervolgt een 45-jarige man voor computervredebreuk nadat hij een datalek had ontdekt in een site van het Centraal Bureau voor Genealogie. De organisatie deed vervolgens aangifte. De man had het lek via PubLeaks gemeld, waarna Tweakers erover publiceerde.

De man doet zijn verhaal tegenover het AD, nadat het Openbaar Ministerie donderdag bekendgemaakt heeft dat het een taakstraf van 120 uur eist tegen een man die een database van een website voor familiegeschiedenis ontdekte. De helft van die straf is voorwaardelijk. Volgens het AD gaat het bij de aanklacht om computervredebreuk, omdat de man de gegevens uit de database met behulp van een script had opgeslagen. Een beroep op responsible disclosure zou niet slagen, omdat er geen dergelijk beleid door het Centraal Bureau voor Genealogie was opgesteld en omdat het lek niet aan de organisatie zelf was gemeld.

Hij meldde het lek in 2015 via PubLeaks, waarna Tweakers het CBG benaderde en erover publiceerde nadat het lek was verholpen. Het ging om een database met de gegevens van ongeveer 80.000 'vrienden van het CBG', die eenvoudig te raadplegen was. De it'er zegt tegen het AD dat hij alleen maar wilde helpen. "In plaats daarvan stonden op een ochtend, terwijl de kinderen thuis waren, vijf rechercheurs in mijn huis, ze doorzochten alles en namen bijna alle computers, ook de werkcomputer van mijn vrouw, mee. Daarna was papa weg, ik zat een nacht in de cel", zegt hij tegen de krant.

De officier van justitie denkt dat het mogelijk is dat de man 'minder nobele motieven had dan hij wil voorwenden'. "Uit het dossier blijkt dat verdachte en de getroffen website in dezelfde markt opereren en dus concurrenten zijn", aldus de officier. "Niet dat ik uitsluit dat hij daadwerkelijk vond dat sprake was van een misstand die beëindigd moest worden, maar ook dan heeft hij de verkeerde keuzes gemaakt."

De man had niet verwacht dat het CBG aangifte zou doen. De politie was in staat om op basis van het gebruikte ip-adres zijn identiteit te achterhalen, meldt het AD. Het CBG zou bovendien een bedrag van 20.000 euro claimen voor het verrichten van onderzoek en het dichten van het lek. Een ander gevolg van de zaak zou zijn dat hij niet meer voor opdrachtgevers kan werken die een VOG vragen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-08-2018 20:46
150 • submitter: MSteverink

17-08-2018 • 20:46

150

Submitter: MSteverink

Lees meer

OM: houd logbestand bij ethisch hacken bij
OM: houd logbestand bij ethisch hacken bij Nieuws van 18 oktober 2018
OM eist drie jaar cel tegen man die Ziggo-modems kloonde voor gratis internet
OM eist drie jaar cel tegen man die Ziggo-modems kloonde voor gratis internet Nieuws van 25 september 2018
Rechter legt geen straf op aan it'er die werd vervolgd na melden van datalek
Rechter legt geen straf op aan it'er die werd vervolgd na melden van datalek Nieuws van 31 augustus 2018
UWV laat privégegevens 2400 cliënten uitlekken door verkeerd gestuurde bijlage
UWV laat privégegevens 2400 cliënten uitlekken door verkeerd gestuurde bijlage Nieuws van 15 augustus 2018
Hacker kreeg toegang tot Reddit-database uit 2007 en recente mails met usernames
Hacker kreeg toegang tot Reddit-database uit 2007 en recente mails met usernames Nieuws van 1 augustus 2018
Dixons Carphone stelt aantal door datalek getroffen personen bij naar 10 miljoen
Dixons Carphone stelt aantal door datalek getroffen personen bij naar 10 miljoen Nieuws van 31 juli 2018
Have I Been Pwned voegt oude database met 340.000 League of Legends-accounts toe
Have I Been Pwned voegt oude database met 340.000 League of Legends-accounts toe Nieuws van 30 juli 2018
Gegevens van autofabrikanten waren vrij toegankelijk door onbeschermde back-up
Gegevens van autofabrikanten waren vrij toegankelijk door onbeschermde back-up Nieuws van 21 juli 2018
Lek gaf toegang tot gegevens 80.000 'vrienden' Centraal Bureau voor Genealogie
Lek gaf toegang tot gegevens 80.000 'vrienden' Centraal Bureau voor Genealogie Nieuws van 4 november 2015
Meer producten en artikelen
Politiek en recht Datalek Rechtszaak

Reacties (150)

-Moderatie-faq
150
149
103
7
0
28
Wijzig sortering
i-chat 17 augustus 2018 21:02
OK WACHT!

Dus je bouwt een brakke website, en iemand vind een lek, maar omdat het lek door een 'mogelijke concurent' is gevonden, claim jij dat je 20.000 euro schade hebt geleden omdat je het lek hebt moeten opzoeken en moeten dicht.

Probeer je hier nu te zeggen dat je vind dat je deze kosten niet had hoeven maken als hij het lek niet had gevonden?

Ok Autoriteit Persoonsgegevens kom er maar in, dit is duidelijk een gevalletje opzettelijke nalatigheid: Doe die boete van x procent van de omzet maar (met een minimum van 10.000 graag! Dank U!

Over de rest kan ik weinig zeggen. Het niet melden van een lek bij de eigenaar/beheerder is natuurlijk niet erg netjes. of misschien zelfs ronduit asociaal Publeaks is wel echt een 2e stap in de keten (bijv wanneer er niet op je toenaderingspoging wordt gereageerd). Maar om dat strafrechtelijk te vervolgen MET een belachelijke nevenvordering is 'bizar' misschien is een kleine schade vergoeding wegens het niet eerst melden op zijn plaats, of mogelijk is dit een soort van (civielrechtelijke) laster waarvoor een schadevergoeding op zijn plaats is. Maar strafrechtelijk hoort deze OvJ zijn werk te doen en echte boeven aan te pakken.
zelfs als deze meneer niet al te netjes is omgegaan met dit datalek,

Er is immers geen data verkocht of gestolen, er is niemand afgeperst, er is hoogstens iets te makkelijk via de pers gespeeld dat er een datalek was waardoor hij wellicht 3 klanten heeft kunnen afpikken. WOW wat een gruweldaad zeg!
sprankel @i-chat18 augustus 2018 00:56
De reden dat het OM hem vervolgt en terecht overigens:
"omdat de man de gegevens uit de database met behulp van een script had opgeslagen"

Er is geen enkele reden waarom je dit zou doen om een lek te melden, je geeft aan waar het lek zit, je bouwt een proof of concept & je haalt een paar gegevens op uit die database om aan te tonen dat er echt een probleem is. Vervolgens meld je netjes dat het mogelijk zou zijn een script te bouwen die heel de databank leeg trekt maar dat je dit niet gedaan hebt. (been there done that)

"omdat het lek niet aan de organisatie zelf was gemeld."
Zeer eigenaardig, normaal meld je het lek allereerst aan de organisatie zelf.

"Hij meldde het lek in 2015 via PubLeaks, waarna Tweakers het CBG benaderde"
De organisatie zelf weet van niets, hij heeft heel hun databank leeg getrokken en gooit vervolgens doodleuk op het internet dat de boel lek is. Het was nota bena Tweakers zelf die de organisatie moest gaan inlichten dat er een probleem was. Ondertussen kon heel het internet meelezen terwijl het lek nog wagenwijd openstond voor nieuw misbruik.

"De politie was in staat om op basis van het gebruikte ip-adres zijn identiteit te achterhalen,"
& "Uit het dossier blijkt dat verdachte en de getroffen website in dezelfde markt opereren en dus concurrenten zijn"

Hij wilde duidelijk niet dat iemand wist dat hij dat lek gevonden had en als ze dan hem gevonden hebben blijkt hij een concurrent te zijn.

Neem jij het OM het dan kwalijk dat zij de piste volgen dat hij actief achter een lek zocht bij zijn concurrent met het oog op het stelen van bedrijfsgegevens. Dat hij dit ook gedaan heeft en vervolgens het lek anoniem het internet opgegooid heeft met het oog op niets anders dan de concurrentie in een kwaad daglicht te stellen? Zijn uitleg dat hij 'alleen maar wilde helpen' strookt niet echt met hoe dit verhaal gelopen is.

Dat de getroffen organisatie niet gelukkig is en tracht een fikse schadevergoeding te claimen lijkt mij dan ook niet zo raar. Dat zij ook in de fout zijn gegaan door een brakke website te bouwen moet je hier los van zien, daarvoor moet inderdaad Autoriteit Persoonsgegevens een onderzoek instellen maar dat is een andere zaak, namelijk of zij nalatig zijn geweest en daar verantwoordelijk voor gesteld kunnen worden. Dit gaat over iemand die een lek vind en dat misbruikt.
De kosten die men claimt zullen voornamelijk slagen op het onderzoeken wie dat lek gebruikt had en welke gegevens er juist buit gemaakt waren. Mogelijks is deze claim buiten proportioneel of niet goed onderbouwd maar dat zal de rechter moeten beslissen.
BarôZZa @sprankel18 augustus 2018 03:42
is geen enkele reden waarom je dit zou doen om een lek te melden, je geeft aan waar het lek zit, je bouwt een proof of concept & je haalt een paar gegevens op uit die database om aan te tonen dat er echt een probleem is. Vervolgens meld je netjes dat het mogelijk zou zijn een script te bouwen die heel de databank leeg trekt maar dat je dit niet gedaan hebt. (been there done that)
Er is wel degelijk een reden en dat is de omvang van het lek bepalen. Dat kan ook steekproefsgewijs, maar dat is minder precies. Als vinder van een lek heb je minder verantwoordelijkheid naar de organisatie(de dader) en meer naar de lui van wie de gegevens zijn gelekt(de daadwerkelijke slachtoffer!)
"omdat het lek niet aan de organisatie zelf was gemeld."
Zeer eigenaardig, normaal meld je het lek allereerst aan de organisatie zelf.
Ik weet niet waar je dat vandaan hebt maar dat is absoluut niet de slimste methode. Het probleem is dat in het beste geval je een bedankje krijgt, ze het lek dichten en de gedupeerden inlichten. Dat zijn de uitzonderingen.

In veel andere gevallen loop je het risico dat de organisatie het lek dicht, het geheim houdt en vervolgens aangifte tegen je doet. Publiceren is niet meer mogelijk omdat de pers het niet kan verifiëren.

Zoiets als Publeaks zorgt ervoor dat er eerst kans is om het lek te dichten en er daarna pas over wordt gepubliceerd. Publiek te werk gaan dwingt normaal gesproken organisaties om een stuk nederiger te werk moeten gaan en daardoor geen aangifte doen om meer reputatieschade te voorkomen. Het geeft ook aan dat de vinder van het lek geen kwaad in de zin had, want anders had diegene wel gewoon alle gegevens verkocht of gelekt in plaats van de publiciteit te zoeken. Deze man heeft enorme pech dat er nog zoveel onkunde is. Het zuurste voor hem is nog wel dat als hij gewoon anoniem op het darknet die data had gedumpt, hij er waarschijnlijk beter vanaf was gekomen. Nu heeft hij het juiste proberen te doen en krijgt hij dit.

[Reactie gewijzigd door BarôZZa op 25 juli 2024 20:50]

Darkstriker @BarôZZa18 augustus 2018 08:39
Er is wel degelijk een reden en dat is de omvang van het lek bepalen. Dat kan ook steekproefsgewijs, maar dat is minder precies. Als vinder van een lek heb je minder verantwoordelijkheid naar de organisatie(de dader) en meer naar de lui van wie de gegevens zijn gelekt(de daadwerkelijke slachtoffer!)
Wat in godsnaam hebben de slachtoffers eraan dat hij het vervolgens zonder de organisatie in te lichten publiceert op een site waar de meeste bedrijven niet dag en nacht op kijken en vervolgens ervoor zorgt dat nog meer mensen misbruik ervan kunnen maken (criminelen zullen sites als PubLeaks wel degelijk in de gaten houden voor dit soort acties).

Alleen al door de concurrentie-positie heeft het OM genoeg aanleiding om zijn bedoeling te achtervragen toen zijn de servers van de concurrent aan het onderzoeken was.

Hij klaagt erover dat er rechercheurs naar zijn huis kwamen, maar wat zou het nut zijn als ze toeslaan op een moment dat hij niet thuis is (dan ontbreekt zijn laptop en wordt hij misschien gewaarschuwd en heeft tijd om belastend materiaal te verwijderen) of het van te voren aan te kondigen. Dat hij dan een nacht in een cel moest doorbrengen is ook niet gek omdat hij anders misschien de kans had om de belastende informatie alsnog te verwijderen.

En als je als hacker echt bezorgd bent dat je door de organisatie die jij help genaaid te worden kun je natuurlijk ook het lek eerst melden en laten verifiëren door de AP en vervolgens het bedrijf inlichten. PubLeaks is gewoon het verspreiden van het lek aan nog meer potentiele aanvallers. Daardoor veroorzaak je meer schade voor zowel het bedrijf als ook de slachtoffers. Het is dus volstrekt onzin dat als je het niet aan het bedrijf zelf wilt melden je maar meteen de hele wereld moet informeren. Sterker nog, je kunt waarschijnlijk ook het informeren dan aan de AP overlaten.

[Reactie gewijzigd door Darkstriker op 25 juli 2024 20:50]

BarôZZa @Darkstriker18 augustus 2018 11:01
Waar heb je het over? Publeaks is een meldpunt om anoniem lekken te melden aan de media(waaronder Tweakers). De meldingen zijn helemaal niet publiek zichtbaar.
De media onderzoeken het, nemen contact op met het bedrijf zodat ze het eerst kunnen fixen en publiceren erna erover.
Hij heeft helemaal niet de hele wereld eerst geïnformeerd. Je zit er volledig naast en roept maar wat.
Anoniem: 408411 @sprankel18 augustus 2018 09:12
De reden dat het OM hem vervolgt en terecht overigens:
"omdat de man de gegevens uit de database met behulp van een script had opgeslagen"
Ho ho wacht even. Waarom zou dat niet mogen?

Google (en yahoo, baidu, bing, ...) doet niets anders dan "het web" afstruinen en lukraak vanalles opslaan "met behulp van een script". Waarom zouden zij dat wel mogen en een individu niet?

Want wat is een script? Iets waarmee je niet zelf "klikt"? Dus valt wget (of fetch, curl, of wat dan ook) er ook onder? Wat van "ctrl-s" in je browser? Een macro die "ctrl-s" in je browser aanroept? Wat?

Dit is enorm glad ijs. Voor je het weet vereist de jurisprudentie dat je alleen nog maar achter een webkiosk zonder opslagmogelijkheid mag zitten en met de hand klikken (en dus ook geen browser-extensies mag installeren!), want anders "script" je en dat mag niehiet! En dat is toch wel vrij extreme consumerisatie van "het web", alsof het een TV is. Niets opslaan hoor!

Niettegenstaande dat het verdere handelen al dan niet laakbaar mag zijn, deze redenering verdient het om afgeschoten te worden.
bunnybugs_007 @Anoniem: 40841118 augustus 2018 10:35
De wet/jurisprudentie is volgens mij iets specifieker dan 'een script'.

Want anders zou je inderdaad helemaal gelijk hebben.

Wat betreft het crawlen van zoekmachines: daar kunnen we de nodige discussie over voeren, maar ik denk dat dit een van de minst kwalijke data-mining activiteiten is die men voert.

Rest mij nog te zeggen: white hat hacken bestaat voor de wet niet. Inbreken, losstaand van je intenties, op een computersysteem van een ander zonder zijn toestemming is computervredebreuk. (zie het zo: als iemand ongevraagd de beveiliging van je huis komt testen en binnenkomt, dan is het toch ook gewoon een inbreker?)
Superstoned @bunnybugs_00721 augustus 2018 00:20
Rest mij nog te zeggen: white hat hacken bestaat voor de wet niet. Inbreken, losstaand van je intenties, op een computersysteem van een ander zonder zijn toestemming is computervredebreuk. (zie het zo: als iemand ongevraagd de beveiliging van je huis komt testen en binnenkomt, dan is het toch ook gewoon een inbreker?)
Ja, dat er vanalles mis is met de wet en wetgeving is geen nieuws, maar dat veranderd niets aan de feiten. Wat legaal is is niet altijd goed, wat illegaal is niet altijd slecht. (Hitler deed niets illegaals, de mensen die Anne Frank verborgen wel)
ythehunter @Anoniem: 40841118 augustus 2018 20:04
Het probleem zit hem niet in het script gedeelte van de zin, maar dat hij (veel) gegevens heeft buitgemaakt en opgeslagen. Je kan ook gewoon controleren dat je een script zou kunnen draaien en het daarna niet doen en enkel een paar voorbeelden pakken om te bewijzen dat het kan.
Origin64 @Anoniem: 40841118 augustus 2018 12:05
De context van dat argument is belangrijk: hij heeft het lek niet bij de organisatie gemeld, wel op het internet gezet dat het lek was, en de hele db leeggetrokken. Dan kun je gaan twijfelen aan de man zijn intenties. Als hij het bij de organisatie had gemeld, en die een redelijke termijn had gegeven om het op te lossen, alvorens het online te gooien en aan tweakers te melden, dan was het al veel minder erg geweest dat hij die db had gedownload 'om te kijken of het kon', ook al is dat alsnog een dom idee waarmee je vraagt om een rechtszaak.
jeanj @Origin6418 augustus 2018 17:19
Klopt dat het niet handig is geweest wat hij heeft gedaan, maar hij heeft het tenminste gemeld. Als hij kwaad in de zin had, dan had hij het zeker niet gemeld.

Dat het bedrijf kosten wil verhalen om een gat te dichten waar ze op worden gewezen (door tweakers) op gewezen is te zot voor woorden, zij hebben zelf fouten gemaakt en mogen dus zelf opdraaien om een veilig website te maken....
Indentical @Origin6420 augustus 2018 09:42
Publeaks is geenforum of iets dergelijks. Ik kan niet naar PubLeaks gaan en kijken welke lekken er zijn. Publeaks is opgezet voor transparantie. Deze bestanden upload je naar publeaks zodat media als Tweakers er onderzoek naar kan doen. en er zo enige transparantie ontstaant en normaal gana hier bedrijven wat nederigere me om, tenslotte ze hebben wel aan een Imago te denken. Het gebeurd vaak dat bedrijven deze lekken krijgen en het vervolgens in dichten en in de doofpot stoppen en een bedankje opsturen en vervolgens overgaan op aan klagen.

Hij had 1 bestandje kunnen downloaden maar dat bewijst niks. Juist door het groter aan te pakken kan je laten zien hoe brak het is. Hij had de lek ook op het dark web kunnen gooien op een hacker forum en het verder geheim houden.

Dit was de betere manier voor hem. Als ze hem nu al aan klagen hadden ze dat evengoed wel gedaan. Je moet wel kunnen bewijzen dat het mogelijk is anders kan je nog niks.
Xtuv @sprankel18 augustus 2018 12:51
Ondertussen kon heel het internet meelezen terwijl het lek nog wagenwijd openstond voor nieuw misbruik.
Nee, zeker niet. De publicatie is pas gedaan nadat het lek is gedicht. Dat is wel een belangrijke nuance.
sylvester79 @sprankel18 augustus 2018 16:52
De reden dat het OM hem vervolgt en terecht overigens:
"omdat de man de gegevens uit de database met behulp van een script had opgeslagen"
Als je naar het oorspronkelijke artikel gaat kun je lezen dat het geen bug o.i.d. betrof, de database met personen stond gewoon plain tekst zonder enige beveiliging online en was zonder enige hack/scripts gewoon in te lezen. Het betreft dus geen database o.i.d. maar gewoon een tekst bestandje, met een script zal hij dit mogelijk zelf ingelezen hebben. Verhaal is dus niet zo simpel dat je kunt stellen "Terecht".

De locatie van het bestand stond zelfs gepubliceerd in de robots.txt met daarbij een omschrijving wat het was. Dommer kan gewoon niet.

Het OM zou niet deze meneer moet vervolgen maar de organisatie die gewoon plain tekst zonder enige beveiliging dergelijke gegevens online zet.

Ik vraag me ook af waar de aanklacht "computervredebreuk" op is gebaseerd, immers was er geen vredebreuk de bestanden stonden zonder enige vorm van beveiliging online.
WhatsappHack
@i-chat18 augustus 2018 03:14
Toch even advocaat van de duivel spelen.
Blijkbaar heeft hij dus het bedrijf niet ingelicht maar heeft hij gewoon online gezet dat er een lek zit (met allerlei data erbij?). Tweakers is dan zo verantwoordelijk geweest wél netjes te wachten met publicatie tot het bedrijf een oplossing had.

Als dat de manier van werken is geweest kan ik me nog ergens voorstellen waarom ze een schadeclaim indienen; immers moeten ze dan opeens als extreem noodgeval als de wiedeweerga de boel laten doorlichten en dichttimmeren; en waar haast is rolt geld. ;) Dat zou ook verklaren waarom het 20K heeft gekost: het moest opeens heel snel opgelost worden. Anders zijn ze redelijk opgelicht heb ik 't idee, lol.
(En ja, natuurlijk moet het sowieso opgelost worden, maar dat kan ook zónder publicatie en ze bijvoorbeeld even 30 dagen de tijd geven zodat het goed doorgelicht en opgepakt kan worden zonder extra kosten voor consultants.)

Nu ik er over nadenk vraag ik me dus ook af of ze 20K claimen voor het oplossen van het lek in het algemeen, of dat ze 20K eisen omdat ze door (mogelijk onrechtmatige) publicatie opeens in een noodsituatie zijn beland; terwijl als ze netjes waren ingelicht het voor veel minder geld had gekund. Dan zou je kunnen stellen dat ze *extra* schade hebben geleden door de extra uitgaven die ze anders niet hadden gehad. Als dat de claim is dan kan ik me er nog iets bij voorstellen... Claimen ze kosten voor het programmeerwerk, of claimen ze extra schade door die (mogelijk onrechtmatige) publicatie van gevoelige data (zonder eerst de kans te hebben gehad het lek te dichten)?

Als ze puur 20K eisen voor kosten die ze anders ook hadden moeten maken, dan is het een belachelijke eis - helemaal mee eens. Dat zou nooit toegekend moeten worden.
Als ze echter 20K eisen omdat een (onrechtmatige) publicatie (van hun data) er toe leidde dat ze een veel groter probleem hadden (omdat door die publicatie mogelijk ook andere mensen zouden gaan proberen in te breken (op dezelfde manier)) en er dus onredelijke haast ontstond én dat ze extra kosten hebben moeten maken om te achterhalen WIE hun gehackt had (om aangifte te kunnen doen): dan vrees ik dat deze meneer best kans heeft dat die schadevergoeding (deels) wordt toegekend. Zeker omdat hij de schijn al een beetje tegen heeft door te publiceren zonder te melden terwijl het een concurrent is. Als hij gewoon had gemeld dat er een lek is zonder het meteen in PubLeaks te dumpen (als concurrent), dan was het waarschijnlijk een heel andere zaak.

ALS dit inderdaad is wat er gebeurd is, dan vind ik een schadevergoeding denk ik niet eens onterecht.
Zelfs als er wel een Responsible Disclosure beleid was geweest zou je er niet aan voldoen door zo te werk te gaan... Het is ook uiterst onverantwoordelijk om over een lek te publiceren zonder ook maar iets te melden aan het getroffen bedrijf.
Ik praat het niet goed dat er een lek zit (we weten niet eens wat het lek was trouwens, misschien was het niet voor de hand liggend en dus geen lek dat voortkwam uit nalatigheid; niet elk lek is je eigen schuld.), dat moet gewoon opgelost worden en een melding bij AP krijgen. Maar wat deze man gedaan heeft als dit de gang van zaken is geweest lijkt ook niet bepaald zuiver te zijn en zou zelfs met het meest liberale Responsible Disclosure-beleid nog gezeik hebben opgeleverd. ;)

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 20:50]

emnich @WhatsappHack18 augustus 2018 08:58
Ze moesten het snel maken omdat er anders misbruik van gemaakt zou kunnen worden wat een veel grotere schade op zou leveren. Helaas is die schade vooral voor de mensen die in hun bestand staan maar toch.

Het is een beetje hetzelfde dat je de melder van een lekkage verantwoordelijk stelt dat ie het op zondag gemeld heeft en de loodgieter een hoger tarief moest vragen.

Een (data)lek moet je gewoon zo snel mogelijk maken. Het wordt tijd dat de AP er eens echt werk van gaat maken of dat 'slachtoffers' schade mogen claimen bij de organisatie die slordig met hun gegevens om gaat.
jeanj @WhatsappHack18 augustus 2018 17:31
Het ging om een bestand of bestanden die ze volgens de robot.txt er willens en weten in plain text op hun site hebben gezet. De manier om het lek te dichten is verplaats die files naar een locatie buiten de webroot, een klusje van 5 min. Ze hebben zelf de gegevens gepubliceerd, zonder beveiliging, ja het bordje robots.txt, indexeer dit niet, als je of iets op een billboard zet, met daaronder veboden te lezen.

Verder wordt hierboven al aangegeven dat hij het lek via puleaks heeft aangemeld, waarbij die melding niet voor iedereen toegankelijk is, maar alleen voor media, die dan met de organisatie contact openemen.

Nee dit is zware onkunde van hun website beheerder, daar moet je de eventuele kosten verhalen.....
mmjjb @i-chat17 augustus 2018 22:33
Helaas heeft het OM regelmatig geen enkel verstand van ICT..

Ik kan aangifte tegen jou doen.. van iets wat complete onzin is.. dat juridisch geen poot heeft om om te staan.. maar door een gebrek aan ICT kennis kan het resulteren in een zaak die jaren speelt.. |:(

Heb helaas de incompetentie eens meegemaakt. Uiteindelijk goed afgelopen. Nadat je behandeld bent als een crimineel.. veel stres en gezeik.. advocaat.. etc.. Sinds dat moment kijk je met andere ogen naar het OM en de politie. Natuurlijk doen ze soms ook goed werk.
Skit3000 17 augustus 2018 20:51
Ik heb de data die ik bij een onderzoek dat gepubliceerd is door Tweakers tegen kwam niet online geplaatst, maar in veel van de gevallen was het openen van één link genoeg om letterlijk van tien- tot honderdduizenden mensen de gegevens terug te krijgen. Ik moest praten als brugman om die partijen aan te sporen ook maar íets te doen om dit op te lossen. Als één van hen naar het OM was gestapt, zat ik nu misschien onterecht in hetzelfde bootje als deze man, aangezien het online zetten van de data zelf schijnbaar niet hetgene is waar hij voor wordt vervolgd?

Edit; ik las niet goed dat het gaat om Publeaks en dat de data dus überhaupt niet online is gezet door deze man (behalve de kopie ervan die is opgestuurd aan Tweakers).

[Reactie gewijzigd door Skit3000 op 25 juli 2024 20:50]

m8ZBm1Si @Skit300017 augustus 2018 20:59
Het belangrijkste is dat je moet weten dat er grenzen zijn bij responsible disclosure. Deze man heeft na het ontdekken van het lek actief de data verzameld, en dat was niet meer nodig voor zijn 'onderzoek'. De man heeft ook eerst de pers opgezocht in plaats van contact op te nemen met de eigenaar. Verder is dit dus een concurrent van de man.

De man had duidelijk geen volledig goede intenties en zou belang hebben bij een slecht imago van deze website. Zijn doel was niet het dichten van het lek, maar het bekend maken.
flossed @m8ZBm1Si18 augustus 2018 10:30
Als iemand geen goede intenties heeft, dan gaat hij het ook niet aan de grote klok hangen. Het is een vader van kinderen, lijkt me eerder dat hij geen plan had om in de bak te belanden, en te simpel heeft gedacht over de consequenties van zijn handelen. De ICT rechercheurs daarentegen zijn van topklasse, die lezen tenminste tweakers. De strafmaat is om een voorbeeld te stellen, jammer dat ze daar een hiusvader voor kiezen, wel veilig.

Mijnsinziens is dat hij gemakkelijk de hele database had kunnen leegtrekken zonder iets te melden en dan had niemand daar iets over gezegd , of wellicht zelfs ontdekt. Vanuit dat perspectief bekeken vindt ik de strafmaat te fors. Het bedrijf heeft overduidelijk steken laten vallen in de beveiliging van haar data. En deze persoon heeft zonder al te veel moeite die data kunnen bemachtigen. De 'slachtoffer'in dit verhaal kan minimaal verweten worden van nalatigheid, en of uitlokking.
straf maat in deze lijkt me niet correct. De maximale boeten die op dit soort 'datalekken' staat voor data beherende organisaties, is ongelooflijk hoog.
https://www.solv.nl/weblog/boetes-bij-datalekken/21358 120k tot wel 820 K.
Mijnsinziens is de strafmaat incorrect, en moet onderzocht worden of het bedrijf dat de data beheert niet strafbaar is. Overigens is iemand van een strafblad voorzien voor zo een actie echt een brug te ver.
m8ZBm1Si @flossed18 augustus 2018 15:48
Als iemand geen goede intenties heeft, dan gaat hij het ook niet aan de grote klok hangen.
Deze twee dingen hebben geen relatie. Er zijn genoeg verhalen van hackers die gepakt zijn omdat ze begonnen op te scheppen, zoals hier.
Het is een vader van kinderen, lijkt me eerder dat hij geen plan had om in de bak te belanden, en te simpel heeft gedacht over de consequenties van zijn handelen.
Helemaal mee eens, maar dat is natuurlijk geen excuus.
De ICT rechercheurs daarentegen zijn van topklasse, die lezen tenminste tweakers. De strafmaat is om een voorbeeld te stellen, jammer dat ze daar een hiusvader voor kiezen, wel veilig.
Lijkt mij vrij raar als iemand met een gezin minder straf krijgt voor zijn handelen dan iemand zonder kinderen. Ik heb geen kinderen, verdien ik daardoor een hogere straf als ik iets doe? Natuurlijk niet.
Mijnsinziens is dat hij gemakkelijk de hele database had kunnen leegtrekken zonder iets te melden en dan had niemand daar iets over gezegd , of wellicht zelfs ontdekt. Vanuit dat perspectief bekeken vindt ik de strafmaat te fors.
Het probleem is, als hij alleen de database had leeggetrokken had hij daar zelf vrij weinig aan gehad. Juist door naar de media te stappen zou er imagoschade komen voor een concurrent van hem. Daar profiteert hij zelf natuurlijk van.
Het bedrijf heeft overduidelijk steken laten vallen in de beveiliging van haar data. En deze persoon heeft zonder al te veel moeite die data kunnen bemachtigen. De 'slachtoffer'in dit verhaal kan minimaal verweten worden van nalatigheid, en of uitlokking.
Nalatigheid qua beveiliging moet zeker worden bestraft, maar gebrekkige beveiliging is nooit uitlokking.
straf maat in deze lijkt me niet correct. De maximale boeten die op dit soort 'datalekken' staat voor data beherende organisaties, is ongelooflijk hoog.
https://www.solv.nl/weblog/boetes-bij-datalekken/21358 120k tot wel 820 K.
De straf voor de organisatie staat los van de straf voor de dader. Ik zou het ermee eens zijn als deze organisatie ook gestraft wordt hiervoor.
Mijnsinziens is de strafmaat incorrect, en moet onderzocht worden of het bedrijf dat de data beheert niet strafbaar is. Overigens is iemand van een strafblad voorzien voor zo een actie echt een brug te ver.
De organisatie moet inderdaad gestraft worden. Maar data stelen en proberen het imago van een organisatie te schaden verdient ook een straf.
mae-t.net @m8ZBm1Si18 augustus 2018 16:00
De strafmaat hangt natuurlijk niet direct af van het aantal kinderen dat je hebt, maar de rechter kijkt wel degelijk naar de omstandigheden! Een straf is maar voor een klein stukje als vergelding bedoeld. Het grootste deel is om de kans op herhaling te verkleinen en anderen duidelijk te maken dat je zulke dingen niet ook moet flikken.

Voor iemand die verantwoording heeft over een gezin, kan een kleine straf al hetzelfde effect hebben wat betreft de vergelding en de kans op herhaling, als een wat langere straf voor iemand die toch weinig te verliezen heeft.
flossed @m8ZBm1Si18 augustus 2018 19:35
Ik probeer met mijn betoog aan te geven dat ik het niet eens ben met jouw redenering. waarbij jij het volgende claimed
"De man had duidelijk geen volledig goede intenties en zou belang hebben bij een slecht imago van deze website.`
Dat vind ik een ongefundeerde uitspraak. vandaar mijn reactie. En ik blijf die mening toegedaan. Hij concurreert namelijk niet met de CBG, want dat dat kan een individu niet t.o.v. is een stichting die als sinds 1947 bestaat, en bovendien de de-facto standaard voor onderzoek naar genealogie in Nederland is. Ergo hij kan geen belang hebben bij een slechte imago van de website van CBG. Hij kan daar ook niet van profiteren, althans niet door dezelfde diensten als het CBG aan te bieden.

Dat was , als ik het AD artikel correct leest ook niet zijn bedoeling. Ik denk dat het zijn bedoeling was om 'beveiligingsdiensten' te verkopen aan soortgelijke sites, maar dat is gissen. Ik heb nergens gezegd dat een vader van een gezin minder straf moet krijgen dan iemand zonder. Wat ik wil beweren is dat er een verschil is tussen een criminele bedoeling, en een stomme actie van een individu. En dit beschouw in als een stomme actie, ongeacht dat het een vader van kinderen is of niet, gezien ik zelf vader ben, denk ik wel 10 keer na voordat ik stomme acties doe, dat ben ik,wellicht denk ik verkeerd dat andere vaders dat ook zouden doen.

Tis inderdaad geen uitlokking, daar zal het CBG ook niet actief mee aan de slag gaan. Echter als je gegevens vrijwel vrij beschikbaar stelt via internet, dan kan ik het ook geen computervredebreuk noemen, het wel alsof je een pellet met goud op je stoep zet, en verbaasd bent dat er mensen zijn die daar aanzitten.

Tja straf. Daar hebben we rechters voor om dat te bepalen. met wat er in het artikel staat en wat ik op het AD kan lezen, en mijn kennis van het straf recht ben ik niet geschikt om daar een correcte uitspraak over te doen. Deze sukkelaar met zijn acties meer heeft verloren dan dat hij ooit heeft geanticipeerd, en ik vraag me af of hij ooit uit is geweest om er financieel beter op te worden. Maar in mijn opinie valt hij in de categorie 'Don Quichote' ipv 'Al Capone', en wellicht op zoek was naar een leuk verhaal voor bij de barbecue of verjaardagskoffie, en dat is het zeker geworden.
ajolla @flossed18 augustus 2018 13:34
Precies.
Het strafrecht is gebaseerd op 'nooit meer doen'. Als ze deze man met een berisping naar huis sturen zal hij dit heus nooit meer zo doen.
Skit3000 @m8ZBm1Si17 augustus 2018 21:16
Aan de andere kant heeft Tweakers het lek wel gemeld en moet deze man hebben geweten dat zij dat zouden doen, wat dus neer komt op zelf melden. Zeker als je een concurrent bent kan ik wel bedenken dat je niet uit eigen naam dit wilt melden, dan weet je concurrent immers dat je op hen let.

Of er wel of niet gepubliceerd wordt over een lek lijkt me raar om een verschil te laten maken in de strafmaat, want er is niks feitelijks onjuist geschreven. Had Tweakers dit lek met eigen onderzoek ontdekt, dan was precies hetzelfde artikel geschreven en was de schade voor het CBG net zo groot.
kodak
@Skit300017 augustus 2018 22:20
Het melden via journalisten gaat veelal onder de bescherming van journalistieke vertrouwelijkheid om anoniem te blijven. Ook dit lek lijkt onder anonimiteit gemeld te zijn. Dan kan de intentie wel geweest zijn om het via een andere partij te melden, maar dan is die anonimiteit weer opvallend als lijkt dat de melder meer heeft gedaan dan nodig was.
Zyppora @kodak17 augustus 2018 23:59
Juist om bovenstaand verhaal te voorkomen zou je anonimiteit willen behouden in dit soort zaken. Anders krijg je een toko als CBG die 'geen dergelijk beleid' voor responsible disclosure opstelt. Vervolgens wordt papa wel in het bijzijn van de kleintjes door maar liefst vijf rechercheurs opgepakt en wordt zo'n beetje alle apparatuur waar een CPU in zit geconfisceerd.

En dan dit:
Het CBG zou bovendien een bedrag van 20.000 euro claimen voor het verrichten van onderzoek en het dichten van het lek.
De schurken zijn de wereld nog niet uit lees ik. Zoals @i-chat hierboven al terecht opmerkt: het CBG zet een website op die zo lek is als een mandje, hier wordt op gewezen, en vervolgens worden de kosten van het dichten van deze lekken bij de vinder van het lek gelegd?
kodak
@Zyppora18 augustus 2018 02:05
Dus jou lijkt het prima dat iemand anoniem kan blijven als die niet alleen goede bedoelingen had? Want de klacht waardoor de ontdekker voor de rechter moet komen is niet dat hij op onderzoek uit is gegaan en iets heeft ontdekt maar omdat deze waarschijnlijk geen goede bedoelingen had met het vinden van het lek of in ieder geval na het vinden van het lek. Het zal niet de eerste keer zijn dat een persoon die in eerste instantie foute bedoelingen heeft gehad of niet alleen goede bedoelingen had zich probeert te onttrekken van vervolking door anoniem te blijven.

Wat betreft het verhalen van de kosten om het dek te dichten: er is niet duidelijk wat er onder het lek wordt verstaan. Het kan bijvoorbeeld zijn dat de verdachte zelf wat middelen heeft geplaatst die daarna gedicht moesten worden en niets met het oorspronkelijke lek te maken hadden. De kosten voor het oorspronkelijk lek dichten lijken mij inderdaad niet houdbaar ,maar als er extra lekken zijn gemaakt zoals het plaatsen van malware dan lijkt dat prima te verhalen op de verdachte.
Skit3000 @kodak18 augustus 2018 05:48
Het lek bestond uit het downloaden van een lijst met bestanden uit een openstaande map op een webserver waar het CBG zelf een verwijzing naar had gemaakt in een robots.txt bestand, waarvan het de bedoeling is robots te wijzen op wat zij niet mogen indexeren maar wat mensen wel mogen bekijken. Het is dus niet "de voordeur open laten staan" maar "al je huisraad langs de weg zetten" met een bordje er bij "neem mee wat je wilt meenemen".
kodak
@Skit300018 augustus 2018 12:40
Lees de klacht van het OM, daar staat dat waarom ze de straf eisen. En dat is niet omdat de verdachte via een robots.txt bij gegevens kon.
ajolla @Zyppora18 augustus 2018 01:46
Ik kan geen betere manier bedenken om van je concurrent af te komen. Ongelooflijk dat het OM hieraan meewerkt. Waarschijnlijk zit daar iemand die graag even wil opvallen.
mae-t.net @kodak18 augustus 2018 15:56
Maar wie bepaalt wat meer is dan nodig om inzicht in een lek te krijgen? Als je 1 record downloadt kan het toeval zijn dat het lukt. Als je er 100 downloadt dan is het erg waarschijnlijk dat er echt geen bijkomstige beveiligingsmaatregelen zijn getroffen. Maar die 100 is zomaar een arbitrair getal. En als je geen losse records maar bijvoorbeeld alleen een databasebestand kunt downloaden, dan heb je met 1 handeling alle records.
kodak
@mae-t.net18 augustus 2018 17:41
Als het tot een rechtzaak komt de rechtbanken. Als er mogelijk sprake is van een strafbaar feit het OM. Als iemand vermoed dat aangifte nodig is een persoon die een belang meent te hebben. Het heeft verder weinig zin te gaan speculeren over hele specifieke gevallen waarvan we niet weten of dat van toepassing is.
Zer0 @Skit300018 augustus 2018 00:10
Zeker als je een concurrent bent kan ik wel bedenken dat je niet uit eigen naam dit wilt melden, dan weet je concurrent immers dat je op hen let.
Het lijkt me meer dan normaal dat een ondernemen op de concurrentie let, maar hier is meer sprake van de concurrentie moedwillig saboteren. Dus ik kan me inderdaad voorstellen dat hij het niet onder zijn eigen naam wou melden.
i-chat @Zer018 augustus 2018 00:28
maar zelfs als er dan sprake is van kwaadsprekerij.
1. in hoeverre is dat strafbaar, aangezien het waar is,
2. heeft de media geen eigen verantwoordelijkheid voor hoor en wederhoor.
3. welk kwaad is erger, een beetje via de media (die uiteindelijk toch wel zijn eigen mening publiceert, iemands prulwerk afkraken. OF en hele groep mensen (niet zomaar een stuk of 10 of 100) hun gegevens te grabbel gooien in een prulwebsite met een pruldatabase.

Waarom gaat het OM daar niet achteraan. zou ik tweakers hacken en al jullie gegevens jatten ga ik voor jaren de bak in, maar zou tweakers het zelf doen door een (fout) waarvan we allemaal weten dat het gewoon opzettelijke slordigheid (om geld te besparen) wat, gaan ze vrijuit?
ajolla @i-chat18 augustus 2018 01:52
Ja, da's net zoiets als iemand vermoorden. Huur je er iemand voor in, is de wereld te klein.
Doe je het 'per ongeluk' met je auto, is er bijna niets aan de hand.
mae-t.net @Zer018 augustus 2018 15:57
Saboteren is het beletten van de goede werking van het systeem. Heeft hij dat gedaan?
wiseger @m8ZBm1Si18 augustus 2018 01:24
We zullen af moeten wachten wat de rechter ervan vind. De grenzen zijn momenteel vrij vaag.

Maar het in rekening brengen van kosten voor onderzoek en het dichten van het bestaande lek komt op mij wel raar over, de organisatie had toch zelf zijn IT niet in orde? De ontdekker is toch niet de veroorzaker van de fouten in de beveiliging?

Overigens is het toch niet verboden om aan de pers te melden dat een bepaald zijn bedrijf zijn IT beveiliging niet in orde heeft als dit de waarheid is? De vermeende dader heeft toch niet zelf de beveiliging van de website stuk gemaakt maar een bestaand probleem gebruikt om toegang te krijgen. Dit probleem bestond dus gewoon en bracht de privacy van de gebruikers van deze website in gevaar. Ik zie niet in wat er dan fout aan is dit publiekelijk te maken zodat de gebruikers ervan op de hoogte zijn dat hun gegevens niet veilig zijn op die site?
ajolla @wiseger18 augustus 2018 01:54
Ja, maar hij is aangegeven voor computervredebreuk omdat hij per script een deel van de gegevens heeft gedownload. Ik kan me ook voorstellen dat 'ie bewijs wilde verzamelen.
wica @ajolla18 augustus 2018 08:07
Ja, maar ik maak ook scripts om lekken aan te tonen.
Soms ontkom je er niet aan en blijft de partij beweren dat er niets aan de hand is.
Je heb een GET param als guid=F4148BC0A72497EC3060.
Deze string is een combi van geboortedatum van het kind + dag en tijd dat de foto gemaakt is, met een interval van 15 min.

Hoe moet ik zonder script, aantonen dat dit een lek is?

Ja, ik ben altijd nieuwsgierig naar leuke strings :)
ajolla @wica18 augustus 2018 13:28
Misschien kan de getuige-deskundige dit aan de rechter uitleggen.

[Reactie gewijzigd door ajolla op 25 juli 2024 20:50]

Bor Coördinator Frontpage Admins / FP Powermod @ajolla18 augustus 2018 10:01
Het gaat niet alleen om het feit dat er een script is gebruikt. Het euvel zit hierin:
omdat het lek niet aan de organisatie zelf was gemeld.
Gewoon dom dus!
Daar ga je sowieso direct nat. Je roept verdenking over jezelf af en lekt op deze manier inderdaad opzettelijk data. Dat zal de rechter ook zien. Ik verwacht dat een zaak een grote kans van slagen heeft. Je beroepen op responsible disclosure kan niet in alle gevallen. Daar zijn ook grenzen.
SuperDre
@Skit300018 augustus 2018 17:10
Hij had het dus niet eerst netjes gemeldt aan de site, maar meteen op publeaks gezet. Wat mij betreft mag je dan rustig vervolgd worden, immers moet je eerst de site uberhaupt de kans geven om het probleem te fixen, als ze dan niets doen, tja, dan wordt het een ander verhaal. Maar dan moet je het dus bij de daarvoor bestemde instanties melden, en niet naar de media stappen voor je '15 minutes of fame'. Doet de instantie dan niets, tja DAN kun je eens naar de media stappen. Mensen moeten eens stoppen met sensatiebeluste media dit soort informatie te geven voordat dus de bestemde instanties hebben kunnen optreden.
anboni 17 augustus 2018 20:53
Een beroep op responsible disclosure zou niet slagen, omdat er geen dergelijk beleid door het Centraal Bureau voor Genealogie was opgesteld
Dat vind ik vreemd. Waarom zou ik schuldig kunnen zijn als ik een lek vind en dat op een correcte manier aan de organisatie meldt, maar deze organisatie geen responsible disclosure beleid heeft? (ik snap dat deze man alsnog fout was door het niet aan de organisatie te melden, maar zoals het er nu staat, was 'ie alsnog fout geweest)
Anoniem: 156876 @anboni17 augustus 2018 21:01
Een lek vinden is niet strafbaar, gebruik maken van een lek wel. Als je ziet dat ik een bagger slot op m'n deur hebt, houdt niemand je tegen om aan te bellen en me daar op te wijzen. Als je echter het slot openbreekt en m'n halve huis leeghaalt, gaat dat natuurlijk niet op.

Gebrekkige beveiliging betekent niet dat je jezelf maar toegang mag geven. :N
WhatsappHack
@Anoniem: 15687617 augustus 2018 21:31
Het is best lastig. Aan de ene kant kan je stellen dat als je bekende lekken/backdoors gebruikt of het dan niet meer t zelfde is al een zetje tegen jou deur geven om te kijken of ie van t slot is (ik ga niet naar binnen maar zie wel je hal) dan dat ik er een stel pennen in rag (pentest, ha... sorry.) om hem open te breken. Vanuit een ander oogpunt is t wel hetzelfde omdat het niet altijd zonder een (extra) zetje (eg: buffer overflow, om maar iets te noemen) kan; en dan is t wellicht wel hetzelfde als het slot openbreken; ook al test je enkel of het lek aanwezig is of niet.

Misschien zou het wettelijk verplicht moeten worden om een RD-beleid te hebben als bedrijf (hoeft natuurlijk niet perse een vergoeding tegenover te staan), maar dat is ook weer lastig omdat, als we weer even terug gaan naar de huizen vergelijking, je het ook niet kan verplichten dat willekeurige mensen mogen komen kijken of de sloten op je gebouw wel goed zijn. (Al zal er weinig gebeuren als je dat doet maar je gaat niet naar binnen, tenzij je ook niet op t terein mag zijn.) Waarom zou dat digitaal dan wel moeten...

Aan de andere andere andere kant (:P) is het wel zo dat veel ernstige lekke dankzij RD-beleid worden gevonden én gemeld en organisaties er nog altijd te weinig aan lijken te doen, dus zelf ook nog te weinig pentests laten uitvoeren waardoor dit soort shit kan blijven gebeuren. Als er dan echt een kwaadwillende gebruik van maakt kan je een boete krijgen, als een whitehat het doet ga je blijkbaar vrijuit en is de whitehat de spreekwoordelijke lul. Dat is ergens ook wel krom, zeker als er dan de belachelijke eis volgt dat de aanvaller moet betalen voor het dichten van het lek. 8)7 Verdient zo’n bedrijf dan niet juist ook meteen een tik op de vinger voor het niet op orde hebben van de beveiliging? (Tenzij het een zero-day is/hele complexe zaak. Het moet wel redelijk en billijk blijven natuurlijk :) Maar in dit geval klinkt het toch flink als nalatigheid!)

Het is wat mij betreft tricky allemaal, een balans zoeken wat wel en niet wettelijk zou mogen is lastig; maar een set richtlijnen voor RD waarbij een zaak geseponeerd wordt onder bepaalde zeer strenge voorwaarden zou denk ik weinig kwaad doen...

Of dit een goede voorbeeld zaak is durf ik trouwens niet te zeggen vanwege het feit dat het een concurrent is die kennelijk niets aan het bedrijf zelf gemeld heeft (althans, ik zie dat niet in t artikel); dat is wel nogal dubieus.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 20:50]

mmjjb @Anoniem: 15687617 augustus 2018 21:50
Het verschil is.. gebrekkige beveiliging en geen beveiliging. ;)
Tot zijn verrassing komen een naam, adres en gegevens over contributiebetalingen tevoorschijn. ,,Geen enkele beveiliging. Niets.''
In deze situatie is het jammer dat het CBG geen aangifte & boete ontvangt voor het ontbreken van beveiliging. :(

-
Verder is het soms noodzakelijk om gebruik te maken van het lek, zeker binnen de ICT.
Veel mensen zijn namelijk niet bewust van de gevolgen en soms is bewijs vergaren noodzaak.
Zoals @Skit3000 aangaf:
Ik moest praten als brugman om die partijen aan te sporen ook maar íets te doen om dit op te lossen
Verder is het maar de vraag of hij de database heeft "gedownload"... gezien zijn verhaal in het AD lijkt het op een webpagina met parameter in de URL.. downloaden is een twijfelgeval in deze situatie, aangezien er altijd meer data terugkomt dan je nodig hebt..

--
@WhatsappHack Vraag me af of het AP überhaupt iets zal ondernemen

[Reactie gewijzigd door mmjjb op 25 juli 2024 20:50]

WhatsappHack
@mmjjb17 augustus 2018 22:02
Anderzijds is het t risico van het bedrijf om het te negeren, maar niet jou recht om binnen te komen om die foto’s te maken. Mocht er dan iets misgaan dan kan je de autoriteiten er op wijzen dat jij ze al een paar keer had gewaarschuwd; dan hebben ze een groot probleem wegens grove nalatigheid. Het is dan, helaas, met de huidige wetgeving veiliger om dan niet het recht in eigen hand te nemen door toch in te breken om ze te gaan overtuigen; voor je t weet naaien ze je erbij, dus laat ze lekker in hun eigen sop gaar koken. ;) Ik snap heel goed wat je bedoelt en zou ook graag zien dat dit beter geregeld wordt, maar op t moment moet je goed op je passen letten bij dit soort dingen; want je wordt zo als de boeman neergezet.

Sterker nog, je kan meteen al melding maken van een datalek als het bedrijf weigert het op te lossen lijkt me? Dan kan de AP er mooi mee aan de slag of op z’n minst een notitie maken voor als t misgaat.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 20:50]

Skit3000 @WhatsappHack17 augustus 2018 22:07
Je kunt als particulier geen datalek melden bij de AP. Dit kan alleen de organisatie bij welke het datalek plaats heeft gevonden.

Edit: de AP, niet het.

[Reactie gewijzigd door Skit3000 op 25 juli 2024 20:50]

WhatsappHack
@Skit300017 augustus 2018 22:15
Daar hebben ze het tipformulier voor: https://autoriteitpersoon...ntact-met-het-cbp/tip-ons

Sommige mensen vinden dat NSB-erig overigens, maar als het om gevoelige data (bijv. privéinformatie over patiënten) gaat en t bedrijf weigert er iets aan te doen dan vind ik er weinig evil aan om het te melden zodat misschien de AP met een dreigbrief ze wel tot actie kan doen laten overgaan.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 20:50]

Skit3000 @WhatsappHack17 augustus 2018 22:17
Ha, dat wist ik niet.

Grappig trouwens dat de vakjes voor Akkoord en Ik heb dit formulier naar waarheid ingevuld. wel áán te klikken zijn, maar niet uit. Zonder beide kan je waarschijnlijk het formulier niet opsturen, maar het is wel raar dat je iemand verplicht om iets in te vullen en daarna niet de optie geeft om dat ongedaan te maken.
ajolla @WhatsappHack18 augustus 2018 02:07
'NSB'(https://nl.m.wikipedia.or...l-Socialistische_Beweging)?
Weet hier iemand nog wat dat is? ("Dit nooit weer.") 8-)

[Reactie gewijzigd door ajolla op 25 juli 2024 20:50]

Anoniem: 109978 @ajolla18 augustus 2018 10:08
Maak er een informatieve reactie van, en zet het er bij voor de millenials.

Ik heb het zelf niet meegemaakt gelukkig.
ajolla @Anoniem: 10997818 augustus 2018 14:29
gefikst
Wim-Bart @Skit300018 augustus 2018 13:41
Je kunt als particulier geen datalek melden bij de AP. Dit kan alleen de organisatie bij welke het datalek plaats heeft gevonden.

Edit: de AP, niet het.
Jawel hoor, is geen enkel probleem en heb het reeds gedaan over een bedrijf die na melding een lek niet wilde dichten. En de AP is er netjes mee aan de slag gegaan.
kodak
@Anoniem: 15687617 augustus 2018 22:27
Met de stelling Gebrekkige beveiliging betekent niet dat je jezelf maar toegang mag geven. ben ik het eens.

Echter een lek vinden kan ook strafbaar zijn zonder er verder gebruik van te maken. Het hangt van de omstandigheden af. Ik kan me voorstellen dat het OM er meer werk van zal maken als er sprake is van meer feiten die strafbaar lijken. En als het voor komt is het vervolgens is het aan de rechter om per geval te beoordelen of het werkelijk strafbaar is.
jqv @anboni17 augustus 2018 20:59
Inderdaad. Dan was hij alsnog fout geweest.

Maar ik vermoed dat als hij deze organisatie belt en aangeeft van...he. Ik zat op jullie site en kwam via een gat in de beveiliging bij gegevens van jullie. Ik heb niets gedownload, maar misschien een goed idee dit gat te dichten...

Dan was het hoogstwaarschijnlijk anders gelopen.

Het helpt ook niet dat de man in dezelfde business zit...hij is dus een concurrent.
Diamondo25 @jqv17 augustus 2018 21:19
Het is haast onmogelijk om een lek te vinden zonder te downloaden. Alleen in de gevallen van 'je zegt dat je mysql draait dus áls poort 3306 open staat en root heeft geen wachtwoord kan ik bewijzen dat er een lek is', of iets in die richting, is het niet downloaden, en dus legaal?
Ja ik snap het dat je als pentester eerst moet vragen etc etc, maar als ik kan aantonen dat ik meer data krijg onder normale omstandigheden/gebruik, zou ik daarvoor nog steeds niet opgepakt moeten worden.
lebbe02 @Diamondo2517 augustus 2018 21:58
Voor 1 record om iets aan te tonen, is zeker niet het probleem. Maar het kopiëren van onnodig veel gegevens is overbodig en mag dan ook zeker niet.
jqv @Diamondo2518 augustus 2018 00:24
Dan moet je wel opgepakt worden en verhoord worden. Je bent namelijk gegevens aan het stelen van anderen. Wat je bedoeling ook is. Een beetje gezond denkend mens weet dat je niet iets toe moet eigenen dat niet van jezelf is.
Deze man heeft gewoon ingebroken en iets gestolen.
En als.je ook nog eens in dezelfde vijver vist me je bedrijf/organisatie, dan heb je al snel alle schijn tegen. En al helemaal als je naar een andere site communiceert als je "slachtoffer ". Dan krijg je ook nog eens het verwijt dat je dit alleen doet om het andere bedrijf in diskrediet te brengen. Waarom? Die anderen zijn niet goed beveiligd.

Op jouw manier kunnen we alles wel goed praten.
ajolla @jqv18 augustus 2018 05:20
Hij heeft het niet over 'alles', hij heeft het over dit geval.
Als een ander geval zich aandoet dat niet goed te ptraten is, breng dat dan op dàt moment naar voren maar niet nu.
Dit geval heeft niets met andere gevallen te maken.
Wat een drogreden...
kftnl @Diamondo2518 augustus 2018 08:30
Bij wet gaat het downloaden over het opslaan. Als na zo'n melding aangifte tegen je is gedaan is het compleet mogelijk dat ze bij jou een huiszoeking gaan doen, je huis overhoop halen en al jouw harde schijven in beslag nemen, jou om eventuele encryptiewachtwoorden vragen en gaan doorzoeken op of je iets hebt opgeslagen. Als dat het geval is dan telt dat als een veel zwaarder vergrijp. Ter indicatie: de maximale straf (die je niet snel zult krijgen) wordt dan ipv. 1 jaar gevangenisstraf 4 jaar gevangenisstraf. Als je een lek vindt in Nederland zonder toestemming van de eigenaar van het systeem dan heb je een misdrijf gepleegd. Wil je grotere kans hebben om veilig te zijn, dan moet je dat gewoon nergens melden. Niet aan de site zelf, niet aan de AP en niet aan een lekken organisatie.
ajolla @jqv18 augustus 2018 02:03
Moraal van 't verhaal: gewoon netjes zaken doen. Lukt 't zo niet je inkomen te vergaren, kijk dan uit naar iets anders.
Wil je meer, werk dan harder (aan marketing of zoiets--blijkbaar had 'ie tijd over voor deze exercitie).
SuperDre
@anboni18 augustus 2018 17:13
Maar hij heeft het niet op een correcte manier aan de organisatie gemeldt, hij heeft het lek meteen op publeaks geplaatst en de data bewaard. Dat hij in dezelfde sector werkte maakt het natuurlijk ook nog ongeloofwaardiger.
Anoniem: 156876 17 augustus 2018 20:51
Moet hij nou gaan betalen voor het dichten van een lek? Dat is alsof een dief moet betalen voor het plaatsen van een slot op de deur waar hij door naar binnen gewandeld is... _O-
kodak
@Anoniem: 15687617 augustus 2018 22:36
Ik betwijfel of de rechter een schadevergoeding zal toekennen voor het repareren van een lek. Maar er staat ook dat dit een onderdeel van het bedrag is met een claim voor het verrichten van onderzoek. Als dat forensisch onderzoek betreft omdat er meer aan de hand leek dan een goedbedoelde melding dan is het goed mogelijk dat die schade wel (deels) te verhalen valt. Het verder onderzoek naar het mogelijk strafbare was immers niet nodig geweest als er niets strafbaars is gedaan.
ajolla @kodak18 augustus 2018 01:59
Nee, dat additioneel onderzoek komt voor rekening van 't OM.
kodak
@ajolla18 augustus 2018 02:10
Alleen het deel wat het OM doet. Maar niets staat een eigenaar van een systeem in de weg om zelf de schade op te (laten) nemen om te weten of er aangifte mogelijk is en waarvan. Een verzekeraar wil bijvoorbeeld ook weten wat de exacte schade is en of dat gedekt is. Het OM komt er vaak pas bij kijken als er aangifte is gedaan of dat er via een andere weg genoeg aanwijzingen zijn dat er ergens onderzoek naar gewenst is.
ajolla @kodak18 augustus 2018 05:16
Gevolgschde vanwege het lekke systeem. Laat ze maar een civiele procedure starten. Belachelijk dat het OM hieraan meewerkt.
kodak
@ajolla18 augustus 2018 05:26
Er staat nergens dat de claim voor vervolgschade via het OM loopt. Er staat dat er ook een claim van het CBG is. Het OM is een procedure gestart omdat er naast het ontdekken van het lek strafbare feiten lijken te hebben plaatsgevonden.
ajolla @kodak18 augustus 2018 12:30
ok
jqv @kodak18 augustus 2018 00:31
De strafrechter zal dit niet doen.
CBG zal een civiele zaak aan moeten spannen om de kosten te verhalen op de dader.
Iblies @jqv18 augustus 2018 10:10
En dat is de reden waarom ik hier vragen bij stel.

De politie doet niet zomaar een inval, daar is in beginsel een (hulp)officier van justitie voor nodig. De kans dat een strafrechter hier positief over zal oordelen acht ik miniem. Waarom een OvJ überhaupt ja heeft gezegd snap ik dus niet.
Maar je kunt wel via het strafrecht (betere) kansen creëren om via het privaatrecht je gelijk te halen (en dat is dus niet ook je gelijk hebben).


Het is een praktisch een overheids-orgaan is dat zwaar beschaamd is,
https://cbg.nl/documents/...sjaarverslag_CBG_2017.pdf
met in raad van toezicht een professor in privaatrecht 😐
http://www.uva.nl/profiel...nn/j.s.kortmann.html#cv_1 Ik kan helaas die twee niet los van elkaar zien. Ipv dat ze hun zaakjes snel en discreet op orde gaan brengen blijft dit 3 jaar na dato nog spelen.
CBG kan alsnog aanklacht intrekken, en indien OvJ besluit om alsnog te procederen zonder aangifte, kan CBG middels een persbericht aangeven dat ze daar afstand van nemen.
Loggedinasroot @Anoniem: 15687617 augustus 2018 20:57
Maar moest hij een kopie maken van de database?
Anoniem: 156876 @Loggedinasroot17 augustus 2018 20:59
Nee. Een dief hoeft ook niet mijn laptop te pakken. Maar als ie dat wel doet en gepakt wordt, hoeft ie alleen m'n laptop terug te betalen, maar niet de kosten voor een slotenmaker om toch maar eens sloten op m'n deur te zetten. :9
Loggedinasroot @Anoniem: 15687617 augustus 2018 21:03
Maar het is maar een claim van het CBG. Ik denk niet dat dat hij ook maar iets hoeft te betalen voor het dichten van het lek.
Unsocial Pixel @Loggedinasroot17 augustus 2018 22:34
Ik heb zo een vermoeden dat ze kunnen gaan zeggen: omdat persoon x het lek publiekelijk geopenbaard heeft hebben wij met spoed en daarmee dus kosten Y meer moeten uitgeven om dit lek te dichten.

Persoonlijk vind ik het niet netjes dat ie het niet aan het bedrijf heeft gemeld en dat meneer schijnbaar een concurrent van ze is doet ook wel een wenkbrauw fronsen. Voor dat mag die wel een berisping krijgen. Echter de nalatigheid van het bedrijf is voor henzelf en daarmee dus ook de kosten voor het spoedklusje dat bij het maken van de site al voorkomen had kunnen worden.

Daarmee zou ik zeggen het streelt elkaar uit. Bedrijf heeft een leermoment dat ze een RD moeten opstellen en meneer heeft een leermoment dat hij zijn activiteiten enkel bij een bedrijf moet uitvoeren met een RD en zich hier ook aan moet houden. Worden ze voor dezelfde feiten weer gepakt dan mag je ze van mij volledig straffen whatever men in het algemeen redelijk vind om te doen.
ajolla @Unsocial Pixel18 augustus 2018 01:57
Ja, berisping is een goed idee.
Iedere veroordeling, al was het slechts voorwaardelijk, zou 't 'm vrijwel onmogelijk maken z'n beroep nog voort te zetten.
Misschien leuk voor 't CBG, maar onrechtvaardig voor de man (z'n familie).
Bor Coördinator Frontpage Admins / FP Powermod @ajolla18 augustus 2018 10:04
Waarom is dat onrechtvaardig? Uit het nieuwsitem lijkt het alsof de beste man helemaal niet zulke goede bedoelingen had maar vooral de publiciteit wilde opzoeken. Tussen ethisch en onethisch onderzoek zit een erg dunne lijn.
ajolla @Bor18 augustus 2018 14:17
Kijk eens even naar de proportionaliteit van 't gebeuren.
Unsocial Pixel @ajolla18 augustus 2018 17:36
Wie zegt een berisping nu al? Ik zeg juist dat het elkaar opheft. Beide een waarschuwing en done. Volgende keer ander verhaal ofcourse
Anoniem: 156876 @Loggedinasroot17 augustus 2018 21:05
Ah ja, goed punt. :Y
jqv @Anoniem: 15687618 augustus 2018 00:30
Dus een dief vernield jouw sloten omdat het kan...En je voordeur/raam/achterdeur en jij wilt alleen het geld van de laptop?

Als je goed leest heeft hij en ingebroken en data gestolen en een ander bedrijf/site ingelicht...
Ik kan maar 1 ding bedenken...het andere bedrijf moest in diskrediet worden gebracht op deze manier.

Hij heeft namelijk zelf aan bedrijfje in genealogie en CBG heeft nu toevallig dezelfde doelgroep. Precies dezelfde.

Als hij dit niet wilde, dan had hij rechtstreeks contact op kunnen nemen met CBG. Die keus heeft hij niet gedaan.

En nu heeft hij een extra probleem. Hij krijgt geen VOG en kan niet samenwerken met bedrijven/organisaties waar een VOG is vereist. Hij gooit op deze manier zijn (dubbele) glazen zelf in.
Neko Koneko @jqv18 augustus 2018 07:49
Dus een dief vernield jouw sloten omdat het kan...En je voordeur/raam/achterdeur en jij wilt alleen het geld van de laptop?
In dit geval heeft hij de sloten niet vernield, er waren gewoon geen sloten aanwezig en hij kon gewoon naar binnen wandelen.
mae-t.net @Loggedinasroot18 augustus 2018 16:02
Betalen doe je in zo'n geval als boetedoening en als vergoeding voor daadwerkelijk door jou geleden schade. Het lek moest ongeacht zijn handelen gedicht worden, dus dat gedeelte is geen schade die ze door hem hebben opgelopen.
SuperDre
@Anoniem: 15687618 augustus 2018 17:11
Waarom niet eerst netjes melden aan de site zelf? En waarom de data lokaal opslaan en het lek meteen op publeaks publiceren?
Anoniem: 156876 @SuperDre18 augustus 2018 21:23
Ik geloof z’n goede bedoelingen niet, dus vind straf volledig terecht. Maar laten betalen voor dichten van beveiligingslek slaat nergens op.
beantherio 17 augustus 2018 22:03
Zijn er eigenlijk mensen ontslagen bij CBG naar aanleiding van het lek? Als je er zo zwaar aan tilt om diegene die het lek opgespoord heeft te vervolgen dan lijkt het me wel het minste dat degenen die verantwoordelijk zijn voor het lek de laan uitgestuurd worden en ook niet meer aan het werk komen in de IT. Je kunt niet de ene kant zo keihard proberen aan te pakken en vervolgens de andere kant ongemoeid laten.
Anoniem: 998261 @beantherio18 augustus 2018 00:01
Je kunt in Nederland iemand niet om 1 fout ontslaan (gelukkig maar). In dit geval moet de werkgever een dossier gaan samenstellen met fouten, en een verbetertraject in gaan met de medewerker. Mocht de betreffende medewerker niet verbeteren, dan kan de ontslagprocedure op een gegeven moment in gang worden gezet.

Maar goed, ik zie dit soort opmerkingen de laatste tijd vaker langs komen (ontslaan na een fout), dus ik neem aan dat veel mensen het prima vinden om de ontslagbescherming af te gaan schaffen en werknemers vogelvrij te maken.
Heedless @Anoniem: 99826118 augustus 2018 00:13
Natuurlijk kan een enkele fout wel reden zijn voor ontslag, als die fout maar ernstig genoeg is.

Edit:
Een voorbeeld van gisteren. Buschauffeur functioneerde 16 jaar zonder problemen maar veroorzaakte een aanrijding doordat hij met z'n telefoon bezig was. Van de rechter mag hij ontslagen worden (wel met ontslagvergoeding, maar blijft ontslag)
https://nos.nl/artikel/22...ijdens-rit-ontslagen.html

[Reactie gewijzigd door Heedless op 25 juli 2024 20:50]

beantherio @Anoniem: 99826118 augustus 2018 10:50
Van mij hoeft er niemand ontslagen te worden, maar ik mis in deze situatie een sluitend verhaal. Als je hier iemand aan de ene kant keihard aanpakt dan kan het aan de andere kant niet stil blijven. CBG en het OM vinden juist blijkbaar dat zo'n keiharde benadering normaal is, maar ik dus niet.
Chinco @beantherio17 augustus 2018 22:32
Of misschien juist wel weer in de IT aan het werk: zo'n fout maak je waarschijnlijk geen tweede keer. Een baan verliezen hakt er flink in, hoor.
beantherio @Chinco17 augustus 2018 22:39
Een inval van de politie, strafrechtelijke vervolging, een claim van 20.000 euro en een aantekening op je VOG ook wel hoor. Daar zit weinig "leren van fouten" aan vast.
Chinco @beantherio18 augustus 2018 01:22
Hoe bedoel je dat? Ik doelde op de mensen bij CBG. Volgens mij bedoelen we hetzelfde, toch?
beantherio @Chinco18 augustus 2018 10:40
Wat ik bedoel is dat het een tikkeltje cynisch is dat van de bij dit verhaal betrokken partijen sommigen er erg makkelijk mee wegkomen en anderen bizar zwaar aangepakt worden. En tot die eerste partij reken ik dan de mensen van CBG.
Chinco @beantherio18 augustus 2018 13:25
Inderdaad, helemaal mee eens! De verhouding lijkt totaal zoek.

Maar het lijkt me niet dat je de betreffende verzuimende IT-er bij het bedrijf zo moet treffen, maar vooral de laag erboven die zulke belachelijke eisen stelt.

[Reactie gewijzigd door Chinco op 25 juli 2024 20:50]

jeroenathome 17 augustus 2018 20:53
Wat ik mij dan afvraag is waarom hij het lek niet aan CBG heeft gemeld?
Hierdoor wordt het minder aannemelijk dat hij alleen wilde helpen om de site van CBG te verbeteren.

Dat de politie met veel machtsvertoon bij hem thuis is geweest vindt ik niet gek. Ze willen zeker weten dat er geen bewijs wordt vernietigd.
beantherio @jeroenathome17 augustus 2018 21:45
Wat ik mij dan afvraag is waarom hij het lek niet aan CBG heeft gemeld?
Hij heeft het wel aan PubLeaks gemeld, dus je kunt hem hooguit verwijten dat ie niet een gepaste procedure heeft gevolgd. Als ie kwade bedoelingen had dan had ie aan niemand iets gemeld. De gedachte dat ie mogelijk kwade bedoelingen had is moeilijk te volgen.
WhatsappHack
@beantherio17 augustus 2018 22:08
Op PubLeak gooien zodat het in t nieuws komt in plaats van ‘t bedrijf de kans te geven het te herstellen == reputatieschade voor dat bedrijf waardoor eigen bedrijf (concurrent) mogelijk meer klanten binnenhengelt.

Ik vind ‘t niet eens heel vergezocht eigenlijk :P
Zeker als concurrent heb je vaak wel onderlinge contacten (je weet op z’n minst wie je zou kunnen bereiken of hoe), geen contact opnemen maar t meteen publiceren is dan wel ietwat dubieus als je er over nadenkt.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 20:50]

beantherio @WhatsappHack17 augustus 2018 22:31
Voor het voetlicht brengen dat iemand er een potje van maakt op het gebied van beveiliging lijkt me wel wat belangrijker dan reputatieschade. Als je daardoor reputatieschade lijdt dan heb je dat in de eerste plaats aan jezelf te wijten en niet aan degene die het publiek maakt: ook al is dat een concurrent. Het is misschien wel wat opportunistisch dat een concurrent het aan de kaak stelt, maar het is ook publiek belang dat dit soort dingen in het nieuws komen. Als het onder "kwade bedoelingen" gevat zou moeten worden dan zou ik toch wel wat stevigere overtredingen willen zien. Ik ben benieuwd wat een rechter er over gaat zeggen.
jqv @beantherio18 augustus 2018 00:36
Vertel mij eens.
Waarom ga je op zoek naar een lek in de beveiliging van een concurrent,
Waarom download je data en vervolgens deel je op Publeak dat de site lek is.

Waar rook is, is vuur.
En dit vuurtje stinkt erger dan een BBQ.

Als bij de buren het raampje open staat, ga je dan naar binnen. Steelt wat spullen en meldt je dit 5 deuren verder op?
Of bel je aan...he buurvrouw...raampje...maak even dicht voor de veiligheid.

Nee, deze meneer heeft alle schijn tegen.
beantherio @jqv18 augustus 2018 10:44
De vragen die je stelt zou je zelf moeten beantwoorden en er dan vervolgens ook bewijs voor moeten overleggen. Ik heb tot nu toe nog niets gelezen in dit verhaal dat duidelijk maakt dat de persoon kwade bedoelingen had. Het verhaal gaat niet verder dan (wat jij ook met die vragen doet) verdachtmakingen zonder concreet bewijs.
jqv @beantherio18 augustus 2018 13:05
Maar is er concreet bewijs dat de meneer ingebroken heeft in de data van het CBG.
En dat heeft hij zelf toegegeven.
En dat inbreken in de systemen is gewoon niet toegestaan.

Dat jij hier gemakshalve overheen leest verbaasd me.
De it'er zegt tegen het AD dat hij alleen maar wilde helpen
En die vragen stel ik niet voor de antwoorden, maar als overdenking.
beantherio @jqv18 augustus 2018 18:05
Hij heeft niet ingebroken maar een lek ontdekt: da's iets heel anders. En je eerdere vragen zijn insinuaties waarvoor ik het bewijs nog niet gezien heb. Het feit dat hij geen data publiek heeft gemaakt maar het lek slechts bij Publeak heeft gemeld maakt al duidelijk dat hij geen kwade bedoelingen had. Waarom zou je zo'n lek in de media gooien als je ervan zou kunnen profiteren door dat niet te doen? Als het doel misbruik was dan mist er nog heel veel aan het verhaal van het OM en het CBG.

Hoe dan ook: een rechter mag zich er binnenkort over uitspreken en wij niet.
jqv @beantherio18 augustus 2018 20:27
Hij heeft bewust gezocht naar een lek.
Misschien geen inbraak, maar dan tenminste computervredebreuk. Dat is ook de melding van de officier.
En publiek maken of niet. Hij heeft gegevens ontvreemd van het CBG. Zich iets toegeëigend wat niet van hem is.
Dat heeft hij zelf al bekend. De reden daargelaten is dit diefstal.

En sinds wanneer zijn vragen insinuaties? Vragen zijn er om gesteld te worden.
Vinger wijzen zonder bewijs zijn insinuaties.

En waarom meldt hij het lek niet bij de juiste plek? De eigenaar van de site.
Is dit nu ook een insinuatie? Omdat ik een vraag stel.
Hij is ook nog eens IT-er en voor een IT-er moet het helemaal duidelijk zijn waar de melding te maken.

Zoals ik al eerder aangaf is de man een concurrent van CBG. Het is minimaal niet handig van hem. En als het onhandigheid is, dan kan hij schuldig bevonden worden voor computervredebreuk zonder oplegging van een straf.

Maar zoals zo vaak tegenwoordig dulden mensen geen tegenspraak. Dit is het laatste wat ik erover zeg. Succes.
WhatsappHack
@beantherio18 augustus 2018 03:02
Ligt er een beetje aan. Ik kon zo 1,2,3 geen details vinden over het lek. Misschien was het uiterst complex en heeft ie er weken over gedaan. Misschien heeft ie een 0-day gekocht en konden ze het niet eens weten. Of misschien hadden ze gewoon al 5 jaar geen softwareupdates geïnstalleerd en was ie zo binnen. Misschien stond er nog een TeamViewer ID op het scherm :+
Dus dat is wat lastig om over te oordelen I guess.

Maar, dat gezegd hebbende... Ik vind het sowieso nogal onverantwoordelijk om met een lek naar buiten te treden als je het bedrijf niet eerst de kans hebt gegeven om het probleem op te lossen. Veel mensen geven daar toch tenminste zo'n 90 dagen voor, die projecten van Google bijvoorbeeld doen dat ook. Als 't sneller kan is 't mooi natuurlijk, maar bottom line is: redelijkerwijs stel je een periode vast waarin je niet publiceert. Publiceer je direct dan heeft het bedrijf geen kans gekregen en heb je het risico dat anderen het ook meteen gaan proberen, dat is eigenlijk gewoon een naaistreek en dan behartig je niet de belangen van de mensen die daar het meest door geraakt worden: klanten/patiënten bijvoorbeeld.

En tja, als je dat dan ook nog eens als concurrent doet dan vind ik dat wel erg verdacht ja. :P
Misschien had ie wél de beste bedoelingen, maar als dit de manier van werken is geweest (kraken en meteen publiceren) dan kan ik er niets aan doen en ga ik toch ook wel twijfelen aan het motief. ;)
En ik denk dat hij dat zichzelf ook wel had kunnen bedenken dat het wel een beetje verdacht over gaat komen zo.
SuperDre
@beantherio18 augustus 2018 17:15
Meteen op publeaks plaatsen zonder de site eerst ruim van tevoren te melden, zegt mij al genoeg over zojn motieven, verheet ook niet dat het hier om een 'concurrent' ging.
beantherio @SuperDre18 augustus 2018 17:56
Dan nog gaat het slechts om een procedurefout en niet om een misdrijf. Als ie bijv. data had verkocht aan derden of online had gezet had je hem daar met reden van kunnen beschuldigen. Maar dat is niet gebeurd.
SuperDre
@beantherio19 augustus 2018 19:43
Dit is in mijn ogen( en blijkbaar volgens OM dus ook) gewoon misdadig (site geen kans geven om te fixen, niet melden aan de benodigde instantie, en meteen publiekelijk maken waardoor kans op misbruik behoorlijk kan stijgen, en dan ook nog concurrent zijn)..
beantherio @SuperDre20 augustus 2018 20:54
Gelukkig beslist de rechter erover en niet het OM (of jij). Je hebt het trouwens over "meteen publiekelijk maken" maar dat haal ik niet uit dit verhaal: hij heeft het blijkbaar enkel aangemeld bij Publeaks, wat geen kanaal is waarmee je informatie "meteen" publiek maakt. Wat mij betreft klinkt dit verhaal meer en meer als een poging tot wraak nemen omdat men is betrapt op een fout. We zullen zien hoe de rechter erover denkt.
kodak
@jeroenathome17 augustus 2018 22:40
Zoals al werd vermeld heeft het CBG geen responsible disclosure beleid. In dat geval hoeft een melder niet te verwachten dat de melding waarbij de beveiliging getest is als een goedbedoelde daad zal worden opgevat. En gezien de klacht lijkt ook nog mee te spelen dat de melder niet alleen goedbedoelde intenties had tijdens/na het onderzoek. Meerdere redenen dus die argumenten kunnen zijn om het indirect bij het CBG te melden.
polthemol Moderator General Chat @kodak17 augustus 2018 23:40
dat is een vrij belachelijk punt net dat het CBG geen responsible disclosure beleid heeft. Als we terzijde schuiven dat de knakker mogelijk misbruik heeft gemaakt van het lek, als een instantie met persoonsgegevens omgaat, zou het volledig irrelevant moeten zijn of die wel of geen rdb hebben wat ze voeren. Er is een lek, dat lek moet gefixed worden, dat is wat telt.

Nu zou je anders de gekkigheid krijgen dat je een lek ontdekt, je eerst na moet gaan of wel of geen rdb hebben, om dan nog eens af te wegen of je het wel of niet moet gaan aanmelden (al ben je dan in feite al te laat, want je ip zal wel ergens in deze of gene logfile voorkomen) met het risico dat je een rechtzaak aan je broek hebt voor iemand anders op zijn/haar fouten te wijzen.
kodak
@polthemol18 augustus 2018 01:47
Om met het laatste te beginnen: er is geen wet die iemand het recht geeft om ongevraagd onderzoek te doen naar de gebreken in andermans eigendom. Het recht geeft wel de mogelijkheid, maar daar staat tegenover dat eigenaren van dat eigendom rechten (en ook plichten) om zelf te mogen beslissen wat wel of niet gewenst is met hun eigendom. Of het belang van de acties van een persoon zwaar genoeg wegen als een eigenaar of OM meent dat er strafbare feiten zijn gepleegd is aan een rechter. Dat is niet alleen bij ict het geval maar nagenoeg bij alles.

Er is geen wet die een organisatie verplicht om een lek de dichten. Als een organisatie belangrijke taken heeft dan is er eerder een verplichting dat er maatregelen getroffen moeten worden om iets te borgen. Zoals bij persoonsgegevens er voldoende bescherming moet zijn. Je kan daaruit afleiden dat een datalek gedicht moet worden, maar dat kan niet altijd. En als er andere maatregelen zijn om aan de wet te voldoen dan is dat ook mogelijk. Maar dat is tussen de verwerker en de personen die dat aan gaat, niet tussen de verwerker en de ontdekker als die niets met die gegevens te maken heeft. Als een ontdekker geen relatie met de verwerker heeft dan kan die hooguit proberen te verdedigen dat er een belang is om het te melden en mogelijk te verhelpen. Maar of dat belang zwaar genoeg is voor wat de ontdekker heeft gedaan is aan de rechter. Eigenlijk doet het er niets toe wat de mening van een buitenstaander is als derden een recht hebben en een andere derde daar mogelijk niet aan voldoet. Tot de rechter van mening is dat die mening er wel toe doet. Zo werkt wetgeving nu eenmaal. Onderzoekers of ontdekkers zijn nu eenmaal geen rechters om goed of fout te bepalen, zijn ook geen politie of toezichthouder die wettelijke bevoegdheid hebben en zijn ook geen openbaar ministerie die de wettelijke mogelijkheid hebben om te bepalen of vervolging nodig is.

Als een onderzoeker een lek met persoonsgegevens ontdekt kan die daar in ieder geval melding van maken bij de Autoriteit Persoonsgegevens. Dat is uiteindelijk de bevoegde partij om toezicht te houden. Mocht de mening zijn dat dat onvoldoende is dan zijn er ook andere mogelijkheden, maar dat staat los van het wel of niet strafbaar zijn met het onderzoek zelf. Geheel buiten beschouwing laten wat een onderzoeker heeft gedaan is niet van toepassing.
SuperDre
@polthemol18 augustus 2018 17:18
Masrja, als jij de site niet op de hoogte stelt van het lek zodat ze in iedergeval de kans krijgen om het te dichten (en het dan ook niet bij de bestemde overheidsinstanties meldt), maar het lek dus meteen publiekelijk maakt, dan maakt het mij niet meer uit wat zijn motieven waren, de man moet dan gewoon vervolgt worden.
Wim-Bart @kodak18 augustus 2018 13:47
Zoals al werd vermeld heeft het CBG geen responsible disclosure beleid. In dat geval hoeft een melder niet te verwachten dat de melding waarbij de beveiliging getest is als een goedbedoelde daad zal worden opgevat. En gezien de klacht lijkt ook nog mee te spelen dat de melder niet alleen goedbedoelde intenties had tijdens/na het onderzoek. Meerdere redenen dus die argumenten kunnen zijn om het indirect bij het CBG te melden.
Wat jij zegt is dus doordat er geen beleid is, wil je dus anoniem blijven en gebruik je dus een andere weg om dit juist te voorkomen. Op zich is dat een gedachte waar ik in mee kan gaan, maar er zijn meerdere methodieken.

Je kan ook via Tor een wegwerp e-mail adres aanmaken. Daarmee een yahoo, microsoft of gmail account aanmaken. Daar via tor mee communiceren als je anoniem wil blijven. Correspondentie kan je printscreenen en ontdoen van meta data en dat als bewijs gebruiken bij de AP.
D3F 18 augustus 2018 06:17
Naast dat hij niet netjes gehandeld heeft door slechts een Proof of Concept te bouwen en het aan te kaarten bij het bedrijf, is hetgeen wat mij het meeste stoort de slachtofferrol die de man aanneemt.

Je weet dat je fout bezig bent door data op internet te zetten door een ander bedrijf te hacken door data te downloaden die van een ander bedrijf is waarvan je weet dat je er geen toegang toe zou mogen hebben, en wat tegen je werkt is dat je in dezelfde markt werkt.

daarnaast is de geclaimde schade natuurlijk van de zotte, 20.000 euro schade door een eigen fout. Volgende keer als iemand iemand zijn auto tegen de mijne parkeert vraag ik ook of ze mijn boete voor door rood willen betalen :+

[Reactie gewijzigd door D3F op 25 juli 2024 20:50]

Bjorn89 @D3F18 augustus 2018 11:21
Maar heeft hij gehacked, of kwam hij toevallig uit bij het lek.

Krijg niet de indruk dat hij actief hackte.
Anoniem: 159174 @Bjorn8918 augustus 2018 12:20
? Bekijk jij van elke site wat in de robots.txt staat? Los van de grootte van de strafmaat, als je op de site van je concurrent op zoek gaat naar een veiligheidslek, iets vindt, en het publiceert, zou ik toch echt ff tot tien tellen. Dit heeft niets met ethisch hacken of klokluiden te maken. Wind zaaien, storm oogsten.
Wim-Bart @Anoniem: 15917418 augustus 2018 13:55
Achteraf had hij beter zijn mond kunnen houden en de url van de data via Tor kunnen aanmelden bij een aantal Search engines welke de robots.txt negeren.
beantherio @D3F18 augustus 2018 10:56
Je weet dat je fout bezig bent door data op internet te zetten, en wat tegen je werkt is dat je in dezelfde markt werkt.
Hij heeft blijkbaar het lek gemeld bij Publeaks maar ik lees nergens dat hij data op het Internet heeft gezet. En dingen die je op Publeaks meld zijn niet voor iedereen toegankelijk. Er staat dat ie "gegevens uit de database met behulp van een script had opgeslagen" maar daar haal ik niet uit dat die data op bijv. een externe site is gepubliceerd of zo.
_Tobias 17 augustus 2018 20:54
"Het CBG zou bovendien een bedrag van 20.000 euro claimen voor het verrichten van onderzoek en het dichten van het lek."

Staat hier wat ik denk dat er staat? Deze beste man mag volgens het CBG 20.000 gaan neertellen, enkel omdat hij het lek heeft ontdekt? Dat klinkt mij best bizar in de oren en gaat loodrecht in tegen policies die de meeste bedrijven hebben omtrent het vinden van lekken.

Bedenk je eens dat je bij je huisarts binnenloopt en in de wachtkamer staat een ladekast. Je kijkt er eens doorheen en het blijken alle patiëntendossiers te zijn. Dit meld je bij een overkoepelende organisatie. Vervolgens krijg je een claim van de huisartsenpraktijk omdat ze nu de kast moeten verplaatsen, en willen ze dat je een taakstraf krijgt omdat je er doorheen hebt gebladerd!
Finraziel @_Tobias17 augustus 2018 21:01
In je analogie zou je echter wel alle dossiers even door het kopieerapparaat gehaald hebben en deze vervolgens ergens anders afgegeven hebben om het lek te melden, zonder dit ooit bij de huisarts zelf gemeld te hebben.
Afgaande dan op bovenstaand artikel...
Die claim van het CBG is echter nog steeds vreemd, daar ben ik het mee eens (tenzij het hier gewoon raar verwoord staat).
.oisyn Moderator Devschuur® @Finraziel17 augustus 2018 21:45
In je analogie zou je echter wel alle dossiers even door het kopieerapparaat gehaald hebben en deze vervolgens ergens anders afgegeven hebben om het lek te melden, zonder dit ooit bij de huisarts zelf gemeld te hebben.
En? De claim is voor het onderzoeken van het slot en het verplaatsen van die ladekast, dat staat compleet los van of jij de inhoud hebt gekopiëerd of niet. Het is niet alsof ze die kast niet hadden hoeven te verplaatsen als hij de inhoud niet gekopiëerd had.

[Reactie gewijzigd door .oisyn op 25 juli 2024 20:50]

Finraziel @.oisyn17 augustus 2018 23:25
Als je een analogie maakt moet je hem niet bewust (?) af gaan zitten zwakken alleen omdat dat je punt toevallig goed uitkomt... "en willen ze dat je een taakstraf krijgt omdat je er doorheen hebt gebladerd!" bijvoorbeeld... dat klinkt inderdaad absurd, maar vervang dat eens met "omdat je alle bestanden in de kast gekopiëerd hebt!", dan klinkt het een stuk logischer dat ze er straf voor eisen toch?
Ik zeg niet dat het terecht is dat de man straf zou krijgen overigens, ik zeg alleen dat de analogie hier boven slecht is. Of hij straf verdient of niet is moeilijk te zeggen op basis van een kort nieuwsberichtje waarvan je niet weet hoe nauwkeurig het is...
.oisyn Moderator Devschuur® @Finraziel17 augustus 2018 23:58
Als je een analogie maakt moet je hem niet bewust (?) af gaan zitten zwakken alleen omdat dat je punt toevallig goed uitkomt...
Ik heb de analogie niet gemaakt. Het gaat mij hier niet om de taakstraf (die mogelijk terecht is), het gaat specifiek om de €20.000 claim voor het "onderzoeken en dichten van het lek" (het verplaatsen van de kast in de analogie). Dat is gewoon quatsch, het lek was er sowieso geweest, ook al had hij hem niet gevonden, en het is de verantwoordelijkheid van het bedrijf om dat soort lekken te voorkomen.

Maar ik zie nu dat jij het juist hebt over de taakstraf, dat had ik even verkeerd begrepen :)
Finraziel @.oisyn18 augustus 2018 09:23
Ja ik bedoelde 'je' meer in het algemeen, niet in de zin van 'jij' ;)
En het ging me er vooral om dat die analogie de man volledig vrij leek te pleiten... Beide partijen lijken behoorlijk shady afgaand op dit artikel.
David Mulder 17 augustus 2018 20:53
Het meest absurde vind ik nog wel
Het CBG zou bovendien een bedrag van 20.000 euro claimen voor het verrichten van onderzoek en het dichten van het lek.
Zelfs indien de man een anti-CBG agenda had, dan nog is dat gewoon niet te rechtvaardige. Het CBG had blijkbaar een slecht en onveilig systeem, als ze serieus 20.000 euro hebben uitgegeven om een enkel lek te dichten dan is dat enkel een uitting over hoe belachelijk slecht hun systeem was en niks meer en niks minder.

Gezien hij besloot te publiceren via publeaks en gezien hij blijkbaar binnen dezelfde sector werkte bij een concurrent kan ik me nog voorstellen dat hij bewust het CBG onder negatieve media aandacht wou brengen wat niet helemaal okay is... ook al, als je concurrentie onveilig is lijkt het me prima om het publiek daar op te wijzen, maar dan moet je wel open zijn over je affiliatie.

---

Wat wel lastig is, is dat wettelijk gezien alles computervredebreuk is indien je niet mag testen of een organisatie een veilig systeem heeft. Vandaar ook dat het goed zou zijn als bijv. de consumentenbond actief hun ledenbestand zou adviseren geen gebruik te maken van organisaties zonder responsible disclosure policy. Aan de andere kant, als bank bijvoorbeeld kun je beslissen dat je je security liever intern wilt testen door interne white hat hackers, want anders kan iedere black-hat hacker claimen dat hij opereerde onder het responsible disclosure policy net zolang totdat hij een lek vindt waarmee hij miljoenen kan stelen.

Mogelijk zou de beste oplossing zijn indien de overheid flinke boetes zou geven indien een lek wordt misbruikt (dus niet een lek dat wordt gevonden via een responsible disclosure). Dat zou bedrijven motiveren om OF intern hun zaken goed op orde te hebben OF flinke bounties op hun responsible disclosure policy te zetten.

[Reactie gewijzigd door David Mulder op 25 juli 2024 20:50]

WhatsappHack
@David Mulder17 augustus 2018 21:34
“want anders kan iedere black-hat hacker claimen dat hij opereerde onder het responsible disclosure policy net zolang totdat hij een lek vindt waarmee hij miljoenen kan stelen.”

Maar op dat moment is die persoon wél strafbaar. Als de hacker onbekend is dan maakt het niet uit of hij/zij zich eerder wel onder RD-melde. Want ook dan was hij/zij uiteindelijk binnengekomen om dat geld te jatten.

Maakt dat dus in de praktijk een wezenlijk verschil?
David Mulder @WhatsappHack17 augustus 2018 21:51
Ik bedoel dat je dus als black hat hacker van alles probeert, op een bepaald moment weten ze je te pakken (voordat je dus een hack meld via een responsible disclosure) en je claimt dat je bezig was volgens hun responsible disclosure beleid. En op het moment dat je een hack daadwerkelijk vindt bepaal je of hij genoeg geld waard is om te verkopen/misbruiken.
Fijinees 17 augustus 2018 21:10
Wat mij betreft gaat de site op zwart omdat ze onveilig zijn.

En dan hebben ze zo'n geweldige privacy melding op de site staan. Zij zijn verantwoordelijk.

Maar het zijn halve ambtenaren, dus die nemen hun verantwoording nooit.
totaalgeenhard @Fijinees18 augustus 2018 04:19
Is er een site wel veilig dan?

Verantwoordelijk voor wat? Als iemand morgen met een baksteen je ramen inslaat en toegang verschaft, ben jij dan verantwoordelijk voor de inbraak?
Wij worden gesubsidieerd door de Rijksoverheid en verkrijgen inkomsten uit onze producten en dienstverlening.
https://cbg.nl/over-het-cbg/organisatie/
Het heeft niets met overheid te maken.


Waar artikel wel een punt mist is:
Hij meldde het lek in 2015 via PubLeaks, waarna Tweakers het CBG benaderde en erover publiceerde nadat het lek was verholpen
Als het nooit gepubliceerd was geweest, had dit verhaal heel anders verlopen.

Mijn advies NOOIT naar journalisten stappen.

Dat hij veroordeeld is heeft te maken met het feit dat hij een lekker makkelijk zaak vormde. Als hij het zelf had gemeld en niets had gedownload (immers waarom meer dan 1 record downloaden?) was zaak heel anders verlopen en waarschijnlijk zoals vaker geseponeerd.

Met betrekking tot kosten een INFOSEC bedrijf inhuren en aangifte voorbereiden (politie doet dat niet voor je) kost je nu eenmaal tienduizenden euro's, daar ontkom je niet aan als je de expertise niet in huis hebt. Waarom zouden zij de expertise in huis moeten hebben?
ninjazx9r98 @totaalgeenhard18 augustus 2018 11:19
Wie is er veroordeeld dan? Het OM heeft afgelopen donderdag bekend gemaakt wat de eisen zijn, ik zie nergens dat er al een uitspraak geweest is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq