Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Brit bekent inbraak bij netwerk Microsoft met testversies Windows 10

Een 24-jarige Brit heeft een voorwaardelijke celstraf opgelegd gekregen voor het inbreken in een netwerk van Microsoft waar hij toegang had tot pre-release versies van Windows 10. Hij gaf anderen ook toegang en brak daarna nog in bij Nintendo's netwerken.

De man wist volgens The Verge in januari 2017 toegang te krijgen tot Microsofts interne servers via een buitgemaakte gebruikersnaam met wachtwoord. Via een webshell wist hij van afstand drie weken lang toegang te behouden en gedurende deze periode maakte hij onder andere nog niet uitgebrachte versies van Windows buit. In totaal stal de Brit 43.000 bestanden van de servers.

Via een irc-chatroom gaf hij bovendien anderen toegang tot de servers, waaronder de beheerder van BuildFeed, een tracker van Windows-builds die bekendheid kreeg door de accurate informatie over komende versies van het OS. De site is inmiddels gesloten. Volgens de beheerder komt dat door druk van Microsoft die er niet geweest zou zijn 'als ik geen fouten gemaakt zou hebben'.

Toen de dader van de initiële inbraak malware begon te uploaden naar Microsofts server, in juni 2017, werd hij opgepakt. Het bleek om een medewerker van Malwarebytes te gaan die eerder een rol had gespeeld bij de inbraak bij VTech-servers, waarbij hij de persoonlijke gegevens van meer dan vijf miljoen klanten van dat bedrijf had gestolen.

De Brit werd op borgtocht vrijgelaten maar ging in maart 2018 al weer in de fout. Hij brak in bij servers van Nintendo waar het gamebedrijf software stalt voor nog te verschijnen games. Bij deze inbraak verkreeg de dader 2365 gebruikersnamen en wachtwoorden. In mei 2018 ontdekte Nintendo de kraak. Het Japanse gamebedrijf schat dat de schade tussen 1,06 en 1,63 miljoen euro ligt.

De dader kreeg donderdag een celstraf van 15 maanden en 18 maanden voorwaardelijk opgelegd. Dat betekent dat hij niet meer wordt vastgezet, waarschijnlijk vanwege de tijd die hij al in bewaring heeft doorgebracht. De straf viel laag uit vanwege persoonlijke omstandigheden. De man heeft autisme en gezichtsblindheid waardoor hij bij een tijd in de gevangenis volgens de rechter 'disproportioneel zou lijden'. De rechter woog ook mee dat de zaak een grote impact op de familie van de man heeft. Zo heeft de moeder haar baan opgegeven om ervoor te zorgen dat haar zoon zijn leven betert.

Door Olaf van Miltenburg

Nieuwscoördinator

29-03-2019 • 09:22

69 Linkedin Google+

Submitter: nickurt

Reacties (69)

Wijzig sortering
Zou het niet gepast zijn om deze persoon een job aan te bieden als “white hat” security expert. Dan kan hij op de werkvloer zijn karakter bijschaven en de schade die er is ontstaan vergoeden.
Nee, dat zou zeer ongepast zijn.

Iemand die doodleuk malware op je netwerk introduceert heeft daarmee aangetoond de verantwoordelijkheid simpelweg niet aan te kunnen.

Zo iemand wil je dus absoluut niet op je netwerk hebben, met toegang tot belangrijke gegevens.

Nog even los van dat je op deze manier criminaliteit en misdrijven (want laten we wel zijn, dat is wat deze persoon gedaan heeft) zou gaan belonen. Dat lijkt me een verkeerd signaal af te geven, namelijk dat misdaad loont (pleeg een misdrijf, en je krijgt als beloning een baan!). Maatschappelijk niet wenselijk, to put it mildly.

En sinds wanneer ben je een "security expert" als je een buitgemaakte usercode/password in kunt kloppen op een website?

[Reactie gewijzigd door wildhagen op 29 maart 2019 09:59]

Dit, ik zie de opmerking regelmatig "kunnen ze hem dan geen baan geven", 9 van de 10 keer gaat hem om scriptkiddies die simpelweg software toepassen of gebruik maken van social engineering om aan een username/password te komen, of anderzijds dat soort informatie misbruiken.

Daar hoef je echt geen tech-expert voor te zijn en maakt zo'n persoon nog geen hacker.
Dus wat zou de toegevoegde waarde zijn van zo'n werknemer? Ook hier zie ik niet iets waar van je kan denken "knap dat hem dat is gelukt". Hij heeft nu hooguit een kwetsbaarheid aangetoond, maar ipv het te melden maakt hij er misbruik van voor persoonlijk gewin.

Nee, zo iemand wil je echt niet hebben.
Daarom is hardware 2FA of MFA ook zo belangrijk. Want computer binnendringen is 1 ding dmv password / username maar een key ook nog is jatten maakt het allemaal toch net wat lastiger.
Dit is toch al anders bewezen toch. Echt weer dat Nederlandse mentaliteit ;) ook dat bullshit VOG papiertje..

In de US als je een beetje goed kan hacken of ernstig goed kan hacken inbreken in Nederlandse termen.
Krijg je gewoon ene security baan aangeboden.

Waarom zou je iemand meteen als slecht zien :S

[Reactie gewijzigd door theduke1989 op 29 maart 2019 10:25]

Nou dan ga ik volgende week bij je inbreken én met je auto joyriden. Ik wil namelijk graag een baan als beveiligingsexpert én autocoureur. :P
Nou, als je mijn auto weet te jatten op een manier dat geen ander het kan en dat lukt je herhaaldelijk...dan zie ik wel een kans bij de Defensie voor je liggen...Criminelen worden volop ingezet indien mogelijk. Tja, als de overheid jou voor iets kan gebruiken, dan doen ze dat ook.
Het probleem is dat dit gewoon hetzelfde is als weten waar iemand z'n autosleutels opbergt en die op een goed moment mee weten te pikken. Niks bijzonders aan.

Daarnaast heeft 'ie niet meteen gezegd "hey de manier waarop je met je autosleutels omgaat is niet veilig", maar heeft 'ie de auto gepakt en tegen een boom aan geparkeerd.

Als het echt een goeie hack was geweest en je meldt het bij het bedrijf, zou je kans kunnen hebben op een baan. Dit niet.
Het is toch simpel? Hij heeft meerdere malen bewezen dingen te doen die niet door de beugel kunnen. Om hem dan vervolgens te belonen met toegang tot alles.....
Ik ben het ermee eens dat deze persoon geen lieverd is. Met een computer en internet is klaarblijkelijk geen zee te hoog voor deze gast. Met een mentor en maatregelen zou hij toch wel menig systeem kunnen checken en is hij van de straat. Microsoft is ook niet de eerste de beste om binnen te komen. Er zullen heel wat concurrenten inmiddels interesse hebben in deze “geslaagde” methode. Opsluiten neemt ook een boel geld van de samenleving. De hoofdprijs aan loon zou ook niet voorbeeldig zijn en is een slecht voorbeeld.
Lijkt me dat er toch een 2FA genomen moest worden. Als je die weet te kraken dan ben je best in staat om wiens netwerk dan ook aan de tand te voelen.

De maatschappij kost het een boel geld om zo iemand een bezigheidstherapietherapie te geven. Waarom dan niet iets waar de toch al “goed” in is. Geef deze gast dan geen Porsche cadeau om hem binnen te halen.
Dit valt niet bepaald onder de category etische hacker. Nee dankje.

Een hacker die ik graag zou inhuren is iemand die voor de lol kijkt waar die bij kan, en vervolgens niks "ernstigs doet". Van mijn part wordt de homepage van de systeembeheerder veranderd in een mooie rickroll... Maar je gaat geen malware toevoegen, of dingen blokkeren.
Of software stelen en (informatie erover) uitlekken
Of derden toegang bieden. Dan zijn de mogelijke gevolgen niet meer te overzien.

Volledig eens; dit is geen ethische hacker. Straffen is het enige wat gepast is, niet eerst belonen door een baan aan te bieden in de hoop dat ie zich dan ineens wel gaat gedragen.
Mee eens, maar wel vreemd dat deze man zo "makkelijk" tot twee keer doe bij grote bedrijven kan inbreken. Dat geeft je wel te denken.
Kuch 3 keer.

Vraag mij dan ook af in hoeverre het heel makkelijk was.

De beste persoon heeft wel bij malwarebytes gewerkt en zal dus ook behoorlijk wat van dergelijke software onder ogen gehad hebben
Ik ben het ermee eens dat deze persoon wat gefrustreerd over komt. Hij hoeft ook niet direct een Ferrari te rijden bij binnenkomst.
Nou, en hoeveel hackers kunnen daadwerkelijk het netwerk van Microsoft binnendringen en wekenlang onder de radar blijven? Niet veel in ieder geval...Het is jammer dat deze Brit met kwaadaardige gedachten heeft gehackt, maar hij kan het kenbaar dus wel erg goed. Zo een hacker is prima te gebruiken door de overheid met genoeg sturing. Laat je niet verblinden, de overheid wilt uiteindelijk alleen resultaten zien.
Veel bedrijven vereisen daarvoor een verklaring van goed gedrag... En als je op borgtocht alweer de fout in gaat, denk ik dat weinig bedrijven trek hebben in het bijschaven van zijn karakter.

[Reactie gewijzigd door BCC op 29 maart 2019 09:47]

In Nederland ja, maar in veel landen niet, (misschien een background screening), voor de bijzondere rollen kan er om een certificate of good conduct/character gevraagd worden. Voor de meeste banen in de UK kun je vrij makkelijk aangenomen worden.
De maatschappij wel lijkt me. De bak in neemt ook heel wat centen. Klinkt wat geitenwollensok achting maar het lost een heleboel tegelijk op.

Het is in ieder geval niet netjes om de tent te besmeuren.
Mensen die malware uploaden en toegang weggeven tot andermans systemen moet je niet belonen met een baan.

Blijkbaar was deze jongen al in dienst van een security bedrijf (Malwarebytes). Maar verpest het door dit soort domme dingen uit te halen.

[Reactie gewijzigd door Caayn op 29 maart 2019 09:51]

Malwarebytes is zelf ook leuk bezig:
als je legale lifetime licenties hebt gekocht bij een bedrijf anders dan Malwarebytes zelf worden die zo nietig verklaard en kun je fluiten naar je lifetime licentie maar je wordt wel eventueel gedwongen om een abbo te nemen.

Ook een leuke manier om zo snel mogelijk van je lifetime licenties af te komen.
Hij was al gestraft maar begaat dezelfde fout. Is hij er goed in met een paar simpele tools? Misschien was dat het wel wat deze gast zo frustreerde.

Wasknijpers maken blijft in ieder geval altijd een redmiddel.
Je kan natuurlijk ook zoals nu is gebeurd - hij
hoeft niet meer te zitten - op de vrije markt loslaten, zodat hij benaderd kan worden door minder frisse organisaties, die benieuwd zijn naar wat hij echt kan en hem een goedbetaalde "baan" en "bescherming" aanbieden.
Gaat twee keer in de fout. Niet echt een tweede kans geven ofzo.
Crimineel gedrag belonen met een baan lijkt mij niet gepast, nee. Nog los van het feit dat straks iedereen gaat lopen hacken in de hoop een goede baan te krijgen.
Niet bepaald een topsalaris maar net genoeg om van te leven. Privé geen pc, tablet of datatelefoon. Gewoon een Nokia 3310 om op te kunnen roepen. Onder begeleiding mag hij z’n gemaakte schulden wegwerken.
Mee eens in veel gevallen. Ik spreek uit ervaring als ik zeg twee maal dusdanig fout?... Dit is een karakter eigenschap van hem en zal weer een derde keer in de fout gaan wanneer hij kansen ziet om persoonsgegevens buit te maken. Vertrouwen komt te voet, gaat te paard.
Hoffelijk is hij niet nee en dat zal ook nog wel een tijdje zo blijven. Maar thuis zitten niets doen laat het bloed kruipen waar het niet gaan kan.
“via een buitgemaakte gebruikersnaam met wachtwoord”

Tot zover het echte hacken. Blijft wel vreemd dat hij zo snel opnieuw de fout in ging, heeft zelfs niets echt met geld te maken precies.

Als je gaat lopen malware uploaden ben je natuurlijk wel totaal fout bezig.

[Reactie gewijzigd door florejaen op 29 maart 2019 09:36]

“via een buitgemaakte gebruikersnaam met wachtwoord”

Tot zover het echte hacken.
Voorbarige conclusie. Hoe heeft hij deze gebruikersnaam en wachtwoord buitgemaakt? Dat kan natuurlijk door erover te struikelen, maar mogelijk heeft hij die bemachtigd uit een systeem of met een gerichte aanval.

[Reactie gewijzigd door The Zep Man op 29 maart 2019 10:00]

of via een lijst van email adressen van een microsoft medewerker, die bv zoals dit is opgesteld:
email: klaas@hotmail,com

wachtwoord {voor steam account}
>>Steam_klaas_1234
wachtwoord voor tweakers.net
>>Tweakers_klaas_1234
wachtwoord voor {vul site in}
>>[Sitenaam]_klaas_1234
dan is natuurlijk het WW voor zijn microsoft account:
>>Microsoft_klaas_1234
Als het enkele weken niet is opgevallen dat hij dit deed kan ik mij zo voorstellen dat hij er ook daadwerkelijk over gestruikeld is.
Ligt eraan hoe hij deze heeft verkregen.
Ja, hacken is tegenwoordig wel een term die veel te makkelijk gebruikt wordt. Net als "inbreken" in een huis met de sleutel van het huis.
Het is natuurlijk wel iets meer dan dat neem ik aan. Je mag dan wel de sleutel van het huis hebben, maar dan moet je er alsnog achterkomen wat het adres is van het huis en voor welke deur die sleutel is bedoeld. Misschien valt dat niet helemaal onder "hacken", maar het geeft voor mij wel aan dat er iets meer moeite gedaan is als even snel ergens de deur open maken. (Ook geen idee of dat hier het geval is, misschien had hij deze informatie al, maar in dit artikel staan alleen de logingegevens aangegeven.)
Zolang je zonder toestemming in een huis komt is het inbraak, ook al doe je het met een sleutel of met een koevoet...
@Tourmaline dat heet insluipen.
Ik ben het wel eens met @Archcry er wordt veelvuldig met de term 'hacken' rond gestrooid.
Dat is je reinste onzin. (in)braak is alleen van toepassing bij vernieling, bijvoorbeeld het openbreken van een deur. Binnenkomen zonder vernieling, dus met een sleutel, of gewoon de deur te openen zonder dat de eigenaar dit wil is huisvredebreuk (en dat kan dan zowel insluiping of inklimming zijn).
Ja nou. Dat is dus niet geheel duidelijk. Juristen proberen natuurlijk heel veel semantiek in woorden te stoppen alleen maakt het het soms ook lastig. Inbraak zonder braaksporen is namelijk nog steeds inbraak en niet in. Met een klopsleutel is het kinderlijk eenvoudig een vrij potente deur te openen zonder enige schade whatsoever.
Je beperkt de term inbreken nu tot manier waarop die binnen de juridische bubbel gebruikt wordt. De wereld is iets groter dan dat.
Je kan toch ook met geweld aan de sleutel zijn gekomen.....
Daarom gebruiken juristen ook niet de term inbreken. Da's veel te vaag.

311 Sr lid 1 sub 5

diefstal waarbij de schuldige zich de toegang tot de plaats van het misdrijf heeft verschaft of het weg te nemen goed onder zijn bereik heeft gebracht door middel van braak, verbreking of inklimming, van valse sleutels, van een valse order of een vals kostuum;

Het kerndelict is ook niet de inbraak, maar de diefstal. De definitie van diefstal staat dan weer in 310.

[Reactie gewijzigd door r_bleumer op 8 april 2019 10:10]

inbreken:

"zich wederrechtelijk en met geweld toegang verschaffen, m.n. met het oogmerk te stelen: inbreken in een woning, in een computer"

https://www.vandale.nl/gr...rlands/betekenis/inbraken
Als je deze vergelijking wil maken dan is het simpel. Het is juist de bedoeling om een huis binnen te komen met een sleutel (zo ongemerkt als mogelijk, zonder te veel op te vallen). En het maakt dan niet uit hoe je de sleutel hebt gekregen. Ergens "gestolen", ergens gevonden, van iemand gekregen of nagemaakt.
Hacken is Hacken.
Of het nu technisch of social is. Vaak is Social zelfs eenvoudiger en sneller. Als je maar brutaal genoeg bent.
Vroeger lekte er regelmatig windows (test) versies uit..
Ik kan me nog goed herinneren dat ik vrijwel alle winxp builds heb getest en hetzelfde gelde voor longhorn wat later vista werd..
Was mooi om te zien hoe ze van xp -> vista hebben gemaakt.. niet dat vista een geslaagd besturingssysteem werd ma toch..
Helaas zijn zulke test versies nu bijna niet meer te vinden, zijn genoeg mensen (teminste destijds) die graag voorop willen lopen en test builds willen draaien.
Helaas zijn zulke test versies nu bijna niet meer te vinden, zijn genoeg mensen (teminste destijds) die graag voorop willen lopen en test builds willen draaien.
Daar heb je dus het Windows Insider-programma voor. Kan je meedoen met vroege test-builds in diverse ringen (Slow, Fast, Skip Ahead etc). En geheel legaal. Deelname staat gewoon voor iedereen open.

Vroeger had je idd veel gelekte builds. Maar vergeet niet dat veel van die gelekte builds wel voorzien werden van malware (keyloggers waren zekeer niet ongebruikelijk). Vaak onder de noemer van "key-gen", "key crack", "activation crack" etc.

Waarom zou je je illegaal aan dat soort dubieuze builds willen overleveren, als je geheel legaal via het Windows Insider Program eraan kunt komen?

[Reactie gewijzigd door wildhagen op 29 maart 2019 10:22]

...omdat het tegenwoordig zo goed als nutteloos is en absoluut niet de moeite waard. Met het Windows Insider Program geeft Microsoft nu zelf al vaak 2 builds per week uit. Lekken hebben doorgaans geen toegevoegde waarde. Snap dus niet waarom "helaas", nu zie je het in veel meer detail vanuit officiële bron.
Mmm, een lage straf omdat het anders een grote impact heeft op de familie? Ik snap dat het erg is voor de familie, maar dat dit invloed kan hebben op de hoogte van de straf? En de impact dan op de mensen waarvan de gegevens zijn gestolen? Plus, wat gaat deze man doen als hij weer op vrije voeten is?
Plus, wat gaat deze man doen als hij weer op vrije voeten is?
Hij staat nu onder moederlijk toezicht, letterlijk genomen.
Zo heeft de moeder haar baan opgegeven om ervoor te zorgen dat haar zoon zijn leven betert.
Maar hoe een moeder ervoor gaat zorgen dat hij niet weer stoute dingen doet is mij een raadsel.
Wil ze haar nieuwe vrije tijd gaan besteden aan extra billenkoek uitdelen of hem steeds op de vingers kijken? Moeke geeft hem huisarrest misschien? Of hem verbieden met computers om te gaan?
En tot in welke mate gaat deze 24-jarige veelpleger luisteren? Op een gegeven moment is hij niet meer te redden van de gevangenis en wat dan? De schuld kan dan ook bij de moeder neergelegd worden?
Volgens de beheerder komt dat door druk van Microsoft die er niet geweest zou zijn 'als ik geen fouten gemaakt zou hebben'.
Aparte interpretatie, ik maak er toch iets anders uit op:

The timing of this closure has everything to do with the internal pressures I mentioned and nothing to do with the external pressures such as Microsoft. Were Microsoft not placing any pressure on BuildFeed, I doubt there'd be an issue, but it's also true that had I not made some mistakes in the past, there would be little to no internal pressures and we wouldn't be looking to close either.
Och jeetje hier is niemand blij van geworden. Eindelijk tijd voor betering 😊
Zozo, dat had ik niet verwacht! Ik dacht dat ze wederom Rusland zouden beschuldigen, maar gelukkig is dat dit keer niet gebeurd :)
Waarom zou je zo'n risico willen nemen?

Je kunt ook gewoon een Insider build installeren, dan heb je hetzelfde.
Belachelijk gewoon dat die man geen gevangenisstraf krijgt. Wat hij gedaan heeft gaat toch echt voorbij even simpel hacken voor de fun. Die man hoort minstens 2 jaar in de gevangenis door te brengen zonder toegang tot internet. Hij heeft gewoon bewezen dat zelfs als hij betrapt is gewoon door gaat (bij nintendo).
Heel interessant dat Autisme en zijn blindheid voor gezichten wel een belemmering is voor een langere straf volgens de rechter,. echter vormde het totaal geen belemmering toen hij inbrak in digitale eigendommen van bedrijven....
er zal vást wel érgens op "het autstisch spectrum" iets op de dader slaan.
Nou weet ik niet of deze man ook een officiële diagnose heeft (ik vermoed van wel want ik denk dat een rechter iemand daarin niet op z'n blauwe ogen gelooft), maar dat is niet hoe je een diagnose krijgt, hoor. Dat heeft wel wat meer voeten in aarde.

Daarbij vermoed ik maar zo dat jij én geen expert bent op het gebied van autisme, én deze man niet kent en dus niet weet welke impact dat op hem heeft (dat wordt namelijk structureel schromelijk onderschat door mensen die er geen ervaring mee hebben), dus jouw conclusie dat hij best de bak in kan vind ik wat kort door de bocht :)

Neemt niet weg dat ook - of misschien wel juist, vanwege een vaak sterk ontwikkeld gevoel voor rechtvaardigheid - een autist had moeten inzien dat dit niet door de beugel kan. Maar wellicht ligt het wat ingewikkelder.

[Reactie gewijzigd door Iknik op 29 maart 2019 10:05]

Daarbij vermoed ik maar zo dat jij én geen expert bent op het gebied van autisme, én deze man niet kent en dus niet weet welke impact dat op hem heeft (dat wordt namelijk structureel schromelijk onderschat door mensen die er geen ervaring mee hebben), dus jouw conclusie dat hij best de bak in kan vind ik wat kort door de bocht :)
Hear hear.

Vind de opmerking van hem zelfs behoorlijk beledigend richting een grote groep mensen. Maar ja, wat kan je er aan doen, normies begrijpen er nou eenmaal niks van :Y)
Jouw verwachtingen kloppen niet helemaal ;) heb m'n diagnose al een poosje inmiddels hoor. Ik ben niet bepaald neurotypisch.

Ik heb de molen al uitgebreid ondergaan. Maar ik beschouw mezelf niet 'zielig' en verwacht ook geen voorkeursbehandeling voor wat dan ook. Maar ja, een van mijn kenmerken is dat ik ook absolúút geen middelpunt van de belangstelling wil zijn en te allen tijde wil voorkomen dat de aandacht op mij gevestigd wordt.

[Reactie gewijzigd door DigitalExcorcist op 29 maart 2019 10:31]

Jouw verwachtingen kloppen niet helemaal ;) heb m'n diagnose al een poosje inmiddels hoor. Ik ben niet bepaald neurotypisch.
Ik stel bij deze mijn referentiekader bij :)
Maar ik beschouw mezelf niet 'zielig' en verwacht ook geen voorkeursbehandeling voor wat dan ook.
Nee, akkoord, dat herken ik wel. Maar het is soms best lastig om te blijven functioneren in omstandigheden die niet goed zijn afgestemd op jouw behoeften. En dat blijkt in de gevangenis nog eens dubbel erg te zijn.

Ik vind het prima om iemand te straffen als 'ie iets verkeerd gedaan heeft, autist of niet. Maar het wordt wat anders als je 'm daarmee willens en wetens plaatst in een situatie die voor een autist veel zwaarder is dan voor een niet-autist. Zoals heel veel dingen is het 'standaard' strafsysteem niet ingericht of afgestemd op wat bij autisten werkt, en dat zou dan in dit geval voor een 'dubbele' straf zorgen, dat vind ik dan ook weer niet eerlijk.

[Reactie gewijzigd door Iknik op 29 maart 2019 11:28]


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True