OM eist twee maanden cel voor vinden lek en aanbod dat voor geld te dichten

Het Openbaar Ministerie eist twee maanden cel tegen een 29-jarige verdachte uit Tiel die een kwetsbaarheid in de website van een huisartsenpraktijk vond en aanbood deze voor maximaal 23.000 euro te verhelpen.

De officier van justitie vond dat er bij het feit waar de Tielenaar van verdacht wordt, geen sprake is van ethisch hacken. De man beschouwde zichzelf wel als een zogenoemde white hat hacker. Voor ethisch hacken gelden strikte voorwaarden en die waren niet aanwezig volgens het OM, onder andere omdat de man niet voorafgaand overlegd had met de huisartsenpost; hij bracht het lek op eigen initiatief aan het licht. Bovendien haalde de man gevoelige informatie binnen, luidt de claim. Ook rekent het OM de man aan dat hij vervolgens geld vroeg om het lek te dichten.

De 29-jarige man wordt ervan verdacht in augustus 2017 ingebroken te hebben in de site van een huisartsenpraktijk in Den Haag. De man nam contact op met de praktijk en meldde dat een kwetsbaarheid toegang bood tot de persoonlijke gegevens van artsen, waaronder e-mailadressen, gebruikersnamen, wachtwoorden en bankrekeningnummers. Vervolgens stuurde hij een offerte met het aanbod om voor 16.500 tot 23.000 euro de kwetsbaarheid te verhelpen. In die offerte stond volgens het OM een 'dreigende mededeling': "Er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal een flinke reputatieschade plaatsvinden."

Het OM schrijft dat de politie na onderzoek constateerde dat op de laptop van de man de gevoelige persoonsgegevens stonden en dat zijn ip-adres te relateren was aan de inbraak. Op zijn telefoon zouden screenshots van de gebruikte inbraakmethode aangetroffen zijn. De uitspraak is over twee weken.

Het OM hanteert strikte regels over wat wel en niet mag bij het zoeken naar bugs, lekken en andere kwetsbaarheden in ict-systemen. Voor ethisch hacken is vereist dat de eigenaar van het systeem uitdrukkelijk toestemming heeft gegeven. Voor het op eigen gelegenheid zoeken naar lekken geldt dat geen juridische stappen te verwachten zijn als een hacker zich aan een geldend beleid voor coordinated vulnerability disclosure van organisaties houdt.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 29-05-2020 11:26 225

29-05-2020 • 11:26

225

Lees meer

Politiek en recht Datalek Hackers Nederland

Reacties (225)

-Moderatie-faq
225
214
69
10
0
84
Wijzig sortering

Sorteer op:

Weergave:
Geim 29 mei 2020 11:34
Quote:"Voor het op eigen gelegenheid zoeken naar lekken geldt dat geen juridische stappen te verwachten zijn als een hacker zich aan een geldend beleid voor responsible disclosure van organisaties houdt."
Het heet al een tijdje :"Coordinated Vulnerability Disclosure" Zie: https://www.ncsc.nl/aan-d...ability-disclosure-beleid
MMaI @Geim29 mei 2020 11:42
dat vereist dus wel dat de betreffende organisaties een responsible disclosure beleid publiceren. Wat duidelijk is uit de uitspraak en berichtgeving is dat de betreffende hacker waarschijnlijk goede intenties had maar het nogal klungelig heeft aangepakt.

Wat normaal voor white-hat hackers duidelijk is, is dat je geen prijsopgaaf meelevert in je initiele disclosure maar aangeeft dat ze voor een oplossing contact op kunnen nemen.
Gomez12 @MMaI29 mei 2020 12:03
Wat normaal voor white-hat hackers duidelijk is, is dat je geen prijsopgaaf meelevert in je initiele disclosure maar aangeeft dat ze voor een oplossing contact op kunnen nemen.
En als ze dan contact opnemen, dan stuur je ze alsnog een prijsopgaaf.
Oftewel deze manier is efficienter dan de standaard manier, maar om hem daarom illegaal te noemen?
timmiej93 @Gomez1229 mei 2020 12:38
Ik denk dat het illegale deel vooral bestaat uit "Er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal een flinke reputatieschade plaatsvinden.". Aangezien er weinig mensen zijn die deze info aan het licht kunnen brengen, insinueert de man hiermee dat als ze zijn aanbod niet accepteren, hij degene is die die informatie naar buiten brengt. Dan geef je een bedrijf de keuze tussen betalen of schade, wat bijna de definitie is van chantage. Misschien is het onbewust onhandig geschreven, misschien is het best onhandig geschreven, om dat als verdediging te kunnen gebruiken. Op basis van wat wij hier weten zou ik zeggen dat een boete terecht is, een celstraf niet. Als dit al vaker voorgekomen is bij die persoon, dan absoluut een celstraf.
GertMenkel
@timmiej9329 mei 2020 13:15
Ik zou het niet per se als dreiging opvatten als ik zo'n mail zou ontvangen. Uit eigen ervaring weet ik dat bedrijven nogal makkelijk zijn in het bagatelliseren van informatielekken als deze. Door de risico's voor het bedrijf aan te duiden, kan men de ernst van de zaak ook bij de bovenlagen van het bedrijf door laten dringen.

Dat het bij een prijsopgaaf stond, was natuurlijk dom, maar het statement zelf zou ik niet als bedreiging of afpersing zien, tenzij de man daadwerkelijk van plan was de informatie openbaar te maken.
RJG-223 @GertMenkel29 mei 2020 14:29
Dat het bij een prijsopgaaf stond, was natuurlijk dom, maar het statement zelf zou ik niet als bedreiging of afpersing zien, tenzij de man daadwerkelijk van plan was de informatie openbaar te maken.
Je kunt natuurlijk niet 100% zeker zeggen dat hij van plan was het openbaar te maken, maar geen enkel mens zou soort formuleringen anders zien dan als een verkapt dreigement. Zeker in combinatie met die belachelijke hoge prijsopgaaf.

Als er iemand jou een mailtje stuurt met de mededeling dat jouw PC/laptop/NAS/telefoon kwetsbaar is, dat er pikante foto's op staan, en dat publicatie van die foto's jou behoorlijk in verlegenheid zouden brengen bij collega's/vrienden/familie, met het aanbod om voor € 2500,- jouw apparaat te voorzien van beveiliging, dan interpreteer je dat ook niet anders dan als een poging tot afpersing.

Nog een ander vergelijk: de mafia zegt ook niet: 'geef ons x bedrag per week, of we slaan je in elkaar'. Ze bieden gewoon niet nader gespecificeerde 'bescherming' aan voor x bedrag per week, en ze adviseren je dat het héél onverstandig zou zijn om geen bescherming te hebben. Ieder normaal mens weet dan wat daarmee bedoeld wordt.

Edit: en als ie toch te goeder trouw was, dan heeft ie het op een oerdomme manier aangepakt. Als je een beetje verstand van zaken hebt, dan wéét je dat je opereert op de grens van het wettelijke. Dus moet je zeer zorgvuldig zijn in wat je doet en zegt. En het is echt geen geheim wat aan voor soort stappen je moet denken als je zorgvuldig wilt zijn.

[Reactie gewijzigd door RJG-223 op 23 juli 2024 17:13]

GertMenkel
@RJG-22329 mei 2020 15:47
Ik ben het met je eens, maar de exacte verwoording vind ik zelf niet echt grond om het bedreiging te noemen.

Ik zou het gooien op een inschattingsfout bij het schrijven van het bericht. Hij zou niet de eerste IT-er zijn met de people skills van een broodrooster.
Ayporos @RJG-22329 mei 2020 17:05
"belachelijke hoge prijsopgaaf."

Dát vind ik nogal kort door de bocht.
Ben jij white-hat hacker en weet jij toevallig de gangbare tarieven voor het vinden/verhelpen van kwetsbaarheden?..

Volgens mij wordt een IT security expert best prima betaald.. sowieso is er een enorm te kort aan IT professionals of dat nou programmeurs of netwerk specialisten of security experts zijn...

23k veel geld? voor veiligheid en privacy waarborging?.. ja voor een klein familie bedrijfje wellicht wel ja.. maar een bedrijf met honderden of duizenden werknemers?.. Kijk daar ga je al, het is allemaal relatief natuurlijk. ;)

Ik ben het met iemand hierboven eens dat een boete prima volstaat als een soort van 'tik op de vingers' mits hij niet vaker dit soort geintjes heeft uitgehaald.

Laten we vooral in dit geval even van het beste uitgaan, en niet onnodig potentiële white-hat hackers afschrikken. black-hat hackers zijn er genoeg, white-hat hackers kunnen we altijd meer gebruiken! Door deze beste kerel keihard af te straffen terwijl het niet 100% zeker is dat het een poging tot chantage betrof produceer je érg negatieve publiciteit voor het beroep van legale hacker.

[Reactie gewijzigd door Ayporos op 23 juli 2024 17:13]

arjandijk162 @Ayporos29 mei 2020 17:43
Op zijn laptop is de gelekte informatie terug te vinden. Ook is het IP-adres dat tijdens de hack is gebruikt, te koppelen aan zijn laptop. Verder blijkt met de telefoon van zijn vriendin de praktijk gebeld te zijn en op zijn telefoon zijn screenshots van de gebruikte hackmethode gevonden.

Oftewel, de man heeft zich niet bekend gemaakt en heeft een aantal handelingen gedaan om anoniem te blijven (maar wel een offerte sturen). Klinkt niet echt als de beste intenties....
sebastienbo @RJG-22330 mei 2020 00:06
Zo hoog is die prijs niet hoor.Je moet maar eens een security bedrijf binnen laten komen voor security leaks te vinden en ze dan ook nog eens corrigeren, je zal veel armer zijn dan die 16.000 euro en die hebben meer dan een maand tijd nodig.
Bij ons werken de security mensen aan een tarief van 120 euro per uur zonder btw
Dat zou dus neer komen op 110 werkuren of dus 2,5 weken werk

[Reactie gewijzigd door sebastienbo op 23 juli 2024 17:13]

Tikkels @GertMenkel29 mei 2020 15:09
Hij zou het iets anders kunnen formuleren om het minder bedreigend te doen laten klinken: Ik kan dit zelf fixen voor 16.500 tot 23.000, of jullie moeten een ander persoon of bedrijf vinden om dit te doen, maar het moet absoluut aangepakt worden, want er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal bovendien een flinke reputatieschade kunnen plaatsvinden.

Dan zou die laatste zin over openbaring en reputatieschade i.c.m. de offerte minder snel als chantage gezien worden, omdat er een 'alternatief' wordt aangegeven. In deze vorm is het duidelijk dat de persoon in kwestie niet direct uit is om ze af te persen, maar om het lek te verhelpen; of hij het nu doet of een ander.
sebastienbo @Tikkels30 mei 2020 00:09
Hdelemaal mee eens, hij kan toch moeilijk gratis nog meer tijd er in gaan steken.
Hij is al vriendelijk genoeg om het gemeld te hebben en geduid hebben op het feit dat ze een boete riskeren als ze dit niet vlug reparen. Hij heeft er een factuur bij gezet, ja, maar nergens stond dat ze het bij hem de dienst moesten afnemen, daar heeft hij niet over gedreigd ofzo. Hij heeft gewoon laten weten wat zijn tarief is indien ze het willen fixen. Hij heeft ook niet gedreigd dat hij hen anders zou aangeven.
Gomez12 @timmiej9329 mei 2020 13:12
Ik denk dat het illegale deel vooral bestaat uit "Er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal een flinke reputatieschade plaatsvinden.". Aangezien er weinig mensen zijn die deze info aan het licht kunnen brengen, insinueert de man hiermee dat als ze zijn aanbod niet accepteren, hij degene is die die informatie naar buiten brengt.
Ehm, onder de AVG ben je verplicht deze info naar buiten te brengen. En ja, daar hangt vanuit de AVG mogelijk een boete aan vast en zeker reputatieschade.

Sinds de AVG mag je dit niet meer onder het matje schuiven...
Als de huisarts het niet zelf naar buiten brengt, dan vraag ik me eerlijk gezegd af of de hacker het niet zelf bij de AVG mag neergooien, aangezien het een wetsovertreding is om het niet te melden en de hacker anders kennis heeft van een wetsovertreding.

Dus of dat nou het illegale gedeelte is...
GrooV @Gomez1229 mei 2020 13:50
Nee hoor, je hoeft alleen de Autoriteit persoonsgegevens en de betrokken personen in te lichten.

Wat je daarna zegt over "bij de AVG neergooien" en wetsovetredingen kan ik je niet helemaal volgen maar ik neem aan dat je de Autoriteit persoonsgegevens bedoelt en dat je anders in overtreding bent
Gomez12 @GrooV29 mei 2020 14:19
Nee hoor, je hoeft alleen de Autoriteit persoonsgegevens en de betrokken personen in te lichten.
Wat dus alle huisarts patienten zijn, wat dus je reputatie schade gaat opleveren etc.
CJ_Latitude @Gomez1229 mei 2020 15:00
Het artikel heeft het enkel over artsen (medewerkers van de praktijk?).
Neoldian @Gomez1229 mei 2020 15:10
Hmm... wil je me die even wijzen in de AVG?

Je bent verplicht om maatregelen te nemen dat onbevoegden geen toegang hebben tot de persoonsgegevens die je gerechtigd bent te verwerken. Dus een bekend beveiligingsprobleem niet oplossen is beboetbaar door de AP.

Je hoeft echter niet wereldkundig te maken dat je een issue hebt, tenzij er daadwerkelijk onbevoegden toegang tot data hebben gehad (dan is het pas een datalek).

En zelfs bij een datalek (waar hier wel sprake van is op basis van wat in het artikel staat) hoef je het niet wereldkundig te maken (Groov geeft dat ook terecht aan), al kan dat soms wel een goede zet zijn als je verwacht dat je niet alle betrokkenen in beeld hebt, die kunnen zich dan melden.

Daarbij zal de AP niet snel tot direct beboeten overgaan, dan moet men echt wel aan kunnen tonen dat je zeer nalatig bent geweest. In dit geval zal de AP je een sommeren tot het nemen van passende maatregelen en dit opvolgen met een controle. Is het daarna in orde, dan is het prima, is het nog niet helemaal op orde, maar heb je wel laten zien het aan te pakken, dan krijg je veelal nog wat extra tijd (hier wordt al sneller gekeken naar soort organisatie, expertise, etc). En als je dan nog niet de zaken op order hebt, dan volgt de boete.

De 'hacker' mag deze informatie ook gewoon bij de AP kenbaar maken, dat mag namelijk iedereen die denkt dat er sprake is van overtredingen van de AVG.
De 'hacker' heeft ook geen aangifteplicht voor deze overtreding. Zover ik weet bestaat er slechts voor enkele zeer ernstige misdrijven een aangifteplicht (moord, doodslag en gevangenzetting). Hem (of haar) kan hiervoor dus niets ten laste gelegd worden als hij (zij) het niet meldt.
sebastienbo @Neoldian29 mei 2020 15:48
Als de white hat hacker aangetoont heeft dat hij prive gegevens kon bemachtigen , dan moet het bedrijf dit wel openbaar maken volgens de GDPR regels en alle klanten/patienten verwittigen.

Ik vind het straf dat je als klokkenluider voor het gerecht gebracht word. Hebben ze liever en black hacker afwachten die ernstige zaken doet met die gegevens? Je ben geen slechte hacker als je hun niet eerst contacteerd. Als je een vulnerability ontdekt dan vraag je je af of dit ook bij andere mensen het geval is, dus zoek je op google dezelfde pagina op. ALs je dan andere websites vind zoals deze van de huisartsen praktijk, ben je dan in fout om hun niet eerst gecontacteerd te hebben? Wat een onzin dan om er dan van uit te gaan dat dit een bewijs van kwaadwilligheid. Het strafste is dat die huisartsen zich concetreren op de klokkenluider in de plaats van hun vulerability snel te laten oplossen. De huisartsen van deze praktijk hebben daardoor minder snel gereageerd dan dat ze zouden moeten om dit probleem op te lossen. En hebben zo de patient gegevens nog langer blootgesteld aan het internet dan dat het eigenlijk moest zijn.

Dokters kunnen dus toch ook dom zijn, gewoon omdat hun imago geschaad zou kunnen worden.
Nochtans zou het terecht zijn dat hun imago geschaad mag worden, ze zijn in fout gegaan.

[Reactie gewijzigd door sebastienbo op 23 juli 2024 17:13]

Neoldian @sebastienbo29 mei 2020 17:32
Melden bij de AP en het informeren van de betrokken, is niet hetzelfde als openbaar maken. Het eerste moet je inderdaad van de AVG/GDPR het tweede niet.

Of in dit geval patienten geinformeerd moeten worden, is maar de vraag. Het artikel spreekt van toegang tot de persoonlijke gegevens van de huisartsen. Dat zijn geen patiëntgegevens, dus is er ook geen noodzaak tot het informeren van de patienten (wel de artsen in dit geval).

Moreel gezien heb ik ook wel mijn vraagtekens bij de verder gang van zaken, al heeft het wel de schijn van chantage zoals het in het artikel is omschreven, maar kan lompigheid zijn. Gevoelige gegevens op je laptop hebben helpt daar niet echt bij.

Desalniettemin zijn de regels nu eenmaal anders en ziet het OM reden voor vervolging. De rechter zal vervolgens een uitspraak moeten doen of dat ook terecht is.

Je aannames dat de huisartspraktijk nu niets doet en zich op de hacker richt, zijn niet meer dan dat: aannames. Er staat nergens in het stuk dat er niets gedaan is/wordt aan de kwetsbaarheid. Misschien hebben ze dat ook opgepakt, parallel aan de aangifte, dat is dan mijn aanname.
En zo niet, dan lopen ze inderdaad fors risico op een boete van de AP.

Dat huisartsen ook dom kunnen zijn, is zeker waar, het zijn namelijk ook gewoon mensen :)
KSU4reqY @sebastienbo29 mei 2020 19:46
Ernstige zaken zoals chantage? Want daar zit hij ook maar een zinsformuleringsfout vandaan.
sebastienbo @KSU4reqY30 mei 2020 00:02
Voor chantage te kunnen plegen moet je iemand bedreigd hebben met iets. In dit geval heeft de white hat hacker niet gezegd dat hij het ging openbaren indien ze niet ingingen op zijn aanbod. Dat zou wel chantage geweesd zijn.

Uiteraard het gaan melden bij de authoriteiten valt nooit onder chantage, dat is aangifte van een strafbare feit. Dat moet normaal elke burger doen als hij iets ziet dat niet conform met de wetgeving is.(anders kan je medeplichtig zijn)

Het doet me allemaal veel denken aan het walibi incident van een paar maanden geleden.

[Reactie gewijzigd door sebastienbo op 23 juli 2024 17:13]

Groningerkoek @sebastienbo30 mei 2020 13:34
Het gaat om het impliceren. Puur letterlijk gezien is het ook geen chantage als je tegen een restauranthouder zegt dat je graag 5.000,- van hem zou krijgen en hoe jammer het zou zijn als zijn geweldig mooi restaurant af zou branden. En toch in de gehele context bezien kan het als chantage worden aangemerkt.

En je argument dat het geen chantage kan zijn als het gaat om het dreigen met het aangifte doen van een strafbaar feit, natuurlijk kan dat wel onder chantage vallen. En elke burger heeft helemaal geen aangifteplicht, ook dat is onzin. Een aangifte/meldingsplicht is alleen opgelegd aan bepaalde situaties voor bepaalde vakgroepen (Denk aan een huisarts die seksueel misbruik bij een kind vaststelt)
Verwijderd @timmiej9329 mei 2020 13:23
>Aangezien er weinig mensen zijn die deze info aan het licht kunnen brengen, insinueert de man hiermee dat als ze zijn aanbod niet accepteren, hij degene is die die informatie naar buiten brengt.

Geheel terecht. Dit moet ook naar buiten gebracht worden en dit soort rechtspersonen verdienen absoluut elke repuptatieschade. Hopelijk wordt de naam van de huisartsenpraktijk in kwestie snel openbaar gemaakt.
jabwd @Verwijderd29 mei 2020 13:50
het is gewoon niet zo heel slim van de 'white hat' hacker. Ik ga er meer vanuit dat het een script kiddo was want als je een echte white hat hacker bent weet je echt wel iets beter dat je niet zomaar de systemen zonder toestemming gaat doorsnuffelen. Andere optie is dat als er een responsible disclosure policy aanwezig is dat je nog aan de gang kan, maar daar lijkt het hier niet het geval op te zijn.
Juist om dit soort situaties dus te vermijden is daar tegenwoordig een soort standaard voor zoals te vinden op: https://securitytxt.org.

Of hij een straf verdiend, persoonlijk denk ik van niet. Denk wel dat hij het gewoon best knullig aangepakt heeft.
this @jabwd29 mei 2020 15:23
Je kan best script kid en white hat hacker zijn. Het ene sluit het andere niet uit.
sebastienbo @jabwd30 mei 2020 00:11
Soms gebeurd het vanzelf hoor.
Je bent bezig met iets en ontdekt een groot lek.
Nadien denk je, zouden er veel andere mensen zijn die ook zoiets op internet hebben dat lek is?
Dus zoek je op google en vind een paar resultaten , je test het probleem uit voor te zien of dat inderdaad ook lek is zoals bij jou, en voila je zit in de nesten zonder het te beseffen.
mcDavid @Gomez1229 mei 2020 14:08
maar om hem daarom illegaal te noemen?
Absoluut.

Basisregel voor een responsible disclosure is wel dat je bij de éérste kennisgeving direct aangeeft welke systemen er kwetsbaar zijn en hoe de exploit te reproduceren is.

Als je die informatie niet direct en belangeloos deelt, is het eigenlijk per definitie al chantage.

Het meedenken- of aandragen van een oplossing valt daar overigens wel buiten. Het is aan de organisatie zelf om het probleem op te lossen en daar evt. de benodigde expertise voor in te huren. Maar als de organisatie je daar al voor vraagt, lijkt het me niet meer nodig om dreigende taal uit te slaan.
FrankoNL @mcDavid29 mei 2020 14:55
Dat is lastig. Het hoeft namelijk strafrechtelijk geen chantage te zijn, als je vraagt het lek te dichten voor geld.

Het is pas chantage als je ergens mee dreigt, denk aan het openbaar maken van het lek / de informatie bijvoorbeeld. In deze casus zit het denk ik op het randje.
mcDavid @FrankoNL29 mei 2020 15:00
Als je opzettelijk informatie over het lek achterhoudt en tegelijk aanbiedt tegen betaling het lek te dichten, dan is dat absoluut wel chantage. Op die manier maak je het de organisatie onmogelijk op eigen gelegenheid het lek te dichten.
FrankoNL @mcDavid29 mei 2020 15:12
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het tenietdoen van een inschuld, hetzij tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vijfde categorie.

Neen. Voor chantage / afdreiging is nodig dat iemand dreigt iets te doen, zoals openbaarmaking van de gegevens. Enkel de gegevens over het lek en hoe dit te dichten achterhouden, is niet voldoende.

[Reactie gewijzigd door FrankoNL op 23 juli 2024 17:13]

Verwijderd @FrankoNL29 mei 2020 17:04
Een dreigement hoeft niet uitgesproken te worden, anders werden de handige afpersers wel altijd vrijgesproken.
Een suggestie wekken samen met een strafbaar feit(diefstal van gegevens), lijkt mij prima in aanmerking komen voor chantage/afpersing.
Neemt niet weg dat deze verdachte of oliedom is of daadwerkelijk dacht dat dit een prima verdien model zou zijn.
Gezien het bellen met eigen nummer, niet verbergen eigen ip, geen encryptie op zijn schijven, hack gedocumenteerd en inzichtelijk op zijn telefoon.
FrankoNL @Verwijderd29 mei 2020 18:02
Jou misschien wel, maar de rechter niet. Sla de jurisprudentie er maar op na. Opzet is namelijk vereist. Dit zal door het OM moeten worden bewezen. Een vage suggestie is daar onvoldoende voor.

[Reactie gewijzigd door FrankoNL op 23 juli 2024 17:13]

Verwijderd @FrankoNL29 mei 2020 18:24
Maar bedreigingen zijn toch vrijwel altijd vage suggesties?
-Dan zouden investeerders zich wel eens terug kunnen trekken.
-Poe je kinderen fietsen wel elke dag over een gevaarlijke weg
-Ik heb gehoord dat er veel panden in vlammen opgaan in deze regio

En een nota sturen met de melding dat je anders bedrijfsschade op zou kunnen lopen nadat je de bedrijfsgegevens hebt gestolen? Waarom zou dat niet als opzet aangetoond kunnen worden?

Denk zelf dat die diefstal hem gaat opbreken, die was namelijk niet noodzakelijk wanneer het geen afpersing is. Of waarom zou het logisch zijn dat hij screenshots en de gestolen data bewaard?
KSU4reqY @FrankoNL29 mei 2020 20:36
Opzet is niet zo heel moelijk te bewijzen in dit geval. Als hij bijvoorbeeld gezegd zou hebben dat hij hackt in de hoop er geld/werk uit te krijgen, ben je al een heel eind.

Dat zal het OM hem wel een paar keer gevraagd hebben, en zijn advocaat zal hem wel goed getrained hebben wat vooral niet te zeggen. We zullen het nooit weten.
FrankoNL @KSU4reqY29 mei 2020 21:30
Dat maakt het nog steeds geen chantage. Dan zou hij enkel om geld vragen voor de informatie.
Geim @MMaI29 mei 2020 12:35
dat vereist dus wel dat de betreffende organisaties een responsible disclosure beleid publiceren.
Eens, zonder dat loop je (als ethisch hacker) gewoon het risico van aangifte.

Zie ook: https://www.meijerscanata...hacken-en-het-strafrecht/
lezzmeister @Geim30 mei 2020 07:34
Met andere woorden: Als je zoiets vindt, houd je bek dicht of anders de bak in, laat maar lekker open die gaten in de beveiliging.
Geim @lezzmeister30 mei 2020 14:52
Nee, met andere woorden, als er geen beleid is, ga je niet zoeken.
SpiceWorm @MMaI29 mei 2020 13:48
Zeer onhandig aangepakt idd.

Maar, ik neem aan oprecht een white-hat want anders zou hij het nooit vanaf zijn eigen IP adres hebben gedaan.

En ook: de gegevens van medewerkers hebben een andere gevoeligheid dan patiënteninformatie (en hun gezondheidsgegevens).

Denk dat dit wel jurisprudentie gaat opleveren.
D.Demirel 31 mei 2020 13:34
Beetje oneerlijk voor de meneer... hij had ook zijn mond dicht kunnen houden.
Het blijft een gevoelig onderwerp natuurlijk... maar om iedereen als een hacker met slechte bedoelingen te zien gaat mij te ver. Er is helemaal niets mis met geld vragen om een lek te dichten. Je hebt het lek ontdekt, dus weet ongeveer waar het aan kan liggen, of weet dit tot op het puntje.
ari3 @D.Demirel2 juni 2020 21:10
Als iemand kan inbreken kun je ook gaten installeren. Daar zit een verdienmodel. Of gewoon niet alles in één keer melden. Gewoon vergoeding voor eerste melding opstrijken, en dan zeggen: "Oh ja, ik vond dit lek ook, mag ik even vangen?" En een maand later gewoon weer doen... Je kunt als ethisch hacker wel de schijn tegen krijgen...
D.Demirel @ari34 juni 2020 02:32
Zelfde geldt, als jij het lek ontdekt, en de programmeurs hebben er totaal geen idee over, vind ik dat je alle recht hebt om daar een vergoeding voor te vragen.

Gaten installeren is wat anders, dan ben je per definitie al geen white hat hacker meer....
P_Tingen 29 mei 2020 11:33
Er zijn wel eens van dit soort berichten waarbij ik me op mijn achterhoofd krab en denk dat er wat overdreven heksenjacht gemaakt wordt op de 'hacker' in kwestie, maar dit lijkt hier overduidelijk een sukkel aan het werk te zijn; niet de eigenaar informeren, het lek publiceren, bangmakerij, hoge bedragen.

Het feit dat de man er geld voor vroeg om het te repareren zie ik dan niet direct als probleem. Wel in combinatie met de andere gedragingen, maar stel dat ik bij toeval achter een lek kom op de site van de huisarts. Ik check dat met mijn eigen data, stel de huisartsenpraktijk op de hoogte en als ik de vaardigheden heb om het te repareren, mag ik daar toch best een netjes geformuleerd aanbod bij doen om het tegen betaling te repareren?
Arnoud Engelfriet
@P_Tingen29 mei 2020 11:44
Nou ja, nee, eigenlijk niet. Het staat op zijn zachts héél gek dat je ongevraagd aanbiedt om een probleem te repareren. Als ik jou ongevraagd ga mailen dat er een fout in je algemene voorwaarden zit en ik dat als jurist gráág even verhelp voordat je klanten je aansprakelijk stellen, dan is dat toch ook een rare mail? (En volgens mij verboden emailspam want het is reclame, maar dat terzijde.)

Verder gaat het niet perse om in het algemeen mensen mailen "u heeft een probleem ik heb de oplossing" maar specifiek dit probleem waarbij deze meneer déze oplossing gaf, inclusief dreigend klinkende taal.
Skit3000 @Arnoud Engelfriet29 mei 2020 12:23
Ik heb eens uit eigen beweging een onderzoek naar de beveiliging van 20 openbare persoonsregisters gedaan. Bij (bijna) allemaal was iets mis, tot en met eentje waarbij de persoonsgegevens plus volledige arbeidshistorie van alle in Nederland werkende zorgverleners op straat lagen. Het was onoverkomelijk om hierbij ook gegevens in te zien, al ben ik niet verder gegaan dan strikt noodzakelijk. Ik heb de registers allemaal mijn bevindingen laten weten en daarbij aangeboden verder te willen helpen het probleem op te lossen. Niemand ging hier op in, zelfs terwijl ik niks over een beloning heb genoemd en dit zelfs helemaal niet van plan was om te vragen.

Van meerdere registers kreeg ik een antwoord in de trant van "we gaan de politie inschakelen", op zo'n manier geformuleerd dat het op mij gericht leek (al had het ook zo kunnen zijn dat ze de politie onderzoek wilden laten doen naar mogelijk misbruik door anderen).

Hoe ongelukkig ook geformuleerd door de man uit Tiel, ik krijg er niet uit opgemaakt dat dit om afpersing gaat. Als iemand tegen mij zegt dat mijn remlicht kapot is en dat er een boete op staat maar dat hij het voor 500 euro kan repareren, staat het mij toch nog steeds vrij om het door iemand anders op te laten lossen? Daarnaast is nog steeds niet iedereen op de hoogte dat een datalek tot boetes kan resulteren dus mensen hier op wijzen kan ook informatief bedoeld zijn. Zelfs als de persoon niet heeft laten weten hoe de kwetsbaarheid gevonden en uit te buiten is kan ik het niet als dreigement zien; je kunt degene die zegt dat je achterlicht kapot is ook niet dwingen om te zeggen of het om de linker- of rechterzijde ging, en alleen wanneer je heuvel af rijdt.

@Arnoud Engelfriet , had de rechter in dit geval een uitspraak kunnen doen en daarmee duidelijkere richtlijnen af kunnen dwingen waar iemand die ongevraagd een lek vindt aan moet voldoen of is dat aan de politiek? Als het van tevoren om toestemming vragen een vereiste blijft, kan het gevolg van uitspraken als dit zijn dat mensen minder snel bereid zijn om het überhaupt te melden als er een lek is.
GertMenkel
@Skit300029 mei 2020 13:20
Heb je ook een melding gemaakt bij de Autoriteit Persoonsgegevens? Als men niet reageert of besluit de politie in te schakelen, zou ik daarmee aannemen dat ze niet bereid zijn het probleem op te lossen en dan zou ik het de autoriteiten maar laten onderzoeken. Slordig omgaan met persoonsgegevens is verboden.

Ik zou zelf via een journalist proberen te werken om dit soort informatie te communiceren, helemaal gezien de omvang van het informatielek. Als men niet de nodige zorg en competentie kan tonen om met dit soort informatie om te gaan, verdienen deze bedrijven met de billen bloot te gaan.
Skit3000 @GertMenkel29 mei 2020 18:53
Ze hebben uiteindelijk na veel aandringen de problemen verholpen, maar ik weet niet of er ook is gekeken of de data alsnog via anderen is gelekt.
CJ_Latitude @Skit300029 mei 2020 15:11
waarbij de persoonsgegevens plus volledige arbeidshistorie van alle in Nederland werkende zorgverleners op straat lagen
Je bedoelt het BIG-register? Interessantste daarbij was natuurlijk dat er ooit de keuze is gemaakt om de adresgegevens te publiceren... Dan kan je nog zo'n goede beveiliging hebben, als dit nu eenmaal als onderdeel van de dienstverlening wordt gezien...
https://www.gegevensopstraat.nl/
regmaster @Skit300029 mei 2020 17:04
Maar dan ben je toch gewoon crimineel bezig geweest op basis van de wet computercriminaliteit? Je dringt, zonder opdracht, een netwerk binnen, waarvan je redelijkerwijs mag aannemen dat het niet de bedoeling is dat je daar zomaar data mag raadplegen zonder daarvoor geautoriseerd te zijn, want dat was je namelijk niet. Dat de beveiliging wellicht niet op orde was is nog geen vrijbrief om dan maar binnen te dringen en informatie te raadplegen waarvoor je geen autorisatie hebt.
Laten we elkaar geen mietje noemen maar tegen beveiligingsfouten zoals o.a. SQL injecties loop je niet per ongeluk aan als je een website bezoekt, daar moet je namelijk wat voor doen. En die handelingen zijn nu eenmaal strafbaar als je daar geen toestemming voor hebt.
Laten we niets normaal maken wat niet normaal is.
Skit3000 @regmaster29 mei 2020 18:58
Als ik de voordeur van de buren open zie staan terwijl ze niet thuis zijn, doe ik die ook dicht. Als ik dan merk dat het slot niet goed werkt, bel ik ze op om dat te zeggen en dat ik er wel even een druppeltje olie voor ze in wil doen. Zo iemand noem je dan een goede buur en geen crimineel. Haal ik eerst het halve huis leeg, dan verandert dat maar ik kan uit dit artikel niet lezen dat de verdachte dit heeft gedaan.
Wim-Bart @regmaster31 mei 2020 22:52
Als burger heb je volgens mij gewoon het recht om te controleren of je gegevens goed beveiligd zijn. En persoonlijk vind ik het een fijne gedachte dat er mensen zijn die gaten hierin proberen te achterhalen.

Stel je loopt langs een pand van een zorgverzekeraar. Je ziet aan de zijkant een deur open staan. Je hebt twee opties:
  • Negeren
  • Melding maken nadat je hebt gekeken waar het naar toe gaat.
Nu de casus dat je gewoon uit hobby alle alle deuren probeert van alle panden op een industrie terrein. En je vind er 1 die open gaat. De deur bevond zich aan de stoep. Ben je dan ook strafbaar? En moet je het melden?
WhatsappHack
@Skit300029 mei 2020 13:53
Het ligt eraan hoe ie ‘t geformuleerd heeft. “Als u niets doet dan maak ik het op datum x publiek” is een standaard zin bij responsible disclosure tactieken. Maar als ie ‘t zo formuleert dat ie het publiceert als ze zijn offerte niet accepteren, dan snap ik wel dat dat opgevat kan worden als chantage... Ook als ie ‘t zo eigenlijk niet bedoeld had. Eg: “Als u niets doet dan maak ik het op datum x publiek. U loopt dan het risico op een boete en veel reputatieschade, maar als u mij €21.000 betaald dan voorkomt u dat.”: mjaaaaa. Dát is toch wel een dreigende zin en ruikt naar chantage.

Het valt en staat met de manier van verwoorden. Als hij inderdaad iets heeft gezegd als “Dit kan als het publiek wordt tot boetes en reputatieschade lijden. Eventueel wil ik het voor u oplossen, zie offerte.”, dan is het maar net hoe je ‘t leest: maar van een direct dreigement/afpersing is dan inderdaad geen sprake, want precies zoals je zegt: ze kunnen ook een ander aannemen om het te doen. Een timeframe geven waarbinnen dat moet gebeuren vóór disclosure is echter vrij standaard... Alleen een grijs gebied, want de situatie rond beveiligingschecks door derden is nog altijd vaag en fragiel.
kftnl @Skit300030 mei 2020 11:30
Er is een juridisch verschil tussen het zien van informatie en het downloaden. Overigens is dit niet echt vergelijkbaar met een remlicht, eerder met dat u gebouwen probeert binnen te komen, dat dat lukt, en dat u dan zegt tegen de eigenaar: ik kon zo uw gebouw binnenkomen en zien wat er in de kluis zat. Wellicht goed bedoeld (en dat zal een rechter ook meenemen), maar volstrekt illegaal.
bluegoaindian @Skit300029 mei 2020 12:31
Rechter moet er ook nog over beslissen!
OM kan van alles willen maar er is nog geen uitspraak dus eigenlijk non news.
n4m3l355 @Arnoud Engelfriet29 mei 2020 12:00
Echter als jurist hoevaak zie je niet (grove) fouten in officieel materiaal staan? Dien je hier niets van te zeggen, of op z'n minst een berichtje te sturen naar diegene die dit opgesteld heeft cq verspreid?

Ik bevind me zelf in een werkgebied waar licensing zeer complex is en veelal overtreden wordt. Ik geef altijd aan partners door wanneer ik zie dat zij in de fout zijn. Mogelijkerwijs zijn ze er niet van bewust, maar daarnaast is onredelijk gedrag van sommige partijen voor hun een voordeel om goedkoper te kunnen zijn. Dus voor mij is het rede te meer om iedereen hier van op de hoogte te brengen.

In specifiek dit geval weten we niet precies wat er aan de hand is, echter stel dat men zwaar bezuinigt heeft op IT en dus extra geld hiermee bespaard vergelijken met andere praktijken, is het onredelijk om dit (openbaar) kenbaar te maken en graag op te lossen? In Nederland is dit niet zo gangbaar, maar wederom waar ik me bevind zijn er groepen die zich bezig houden met het vinden van dergelijke zwakheden en hier via wettelijke drang misbruik van maken.
lasharor @Arnoud Engelfriet29 mei 2020 11:56
Het is alsof iemand met een emmer water je een aanbieding doet om je vieze autoruit te wassen terwijl jij stil staat bij het stoplicht.

Kan toch? Aanbieder zoekt bewust mensen met een vieze autoruit, kan eventueel nog zeggen dat een vieze autoruit écht niet slim is want het kan voor ongelukken zorgen en bied een oplossing aan maar wel nadat jij 1 euro betaald.
YopY @lasharor29 mei 2020 12:12
Eerder dat je in iemands auto inbreekt om te kijken of 'ie van binnen wel schoon is.
Barryke @YopY29 mei 2020 12:29
Eerder dat je in iemands auto inbreekt om te kijken of 'ie van binnen wel schoon is.
Interessante analogie wel..

Maar dat zie je door het raam en dat had hij ook door, waarna hij besloot eens nader (ongevraagd en zonder overleg vooraf) IN die auto te neuzen.

Dat laatste is het probleem hier waarschijnlijk.. benieuwd of hij bij die partij ook al strafbaar was als hij melde dat er "mogelijk" een kwetsbaarheid is. Dan werd hij juist genegeerd vrees ik.

[Reactie gewijzigd door Barryke op 23 juli 2024 17:13]

SoLongAgo @Barryke29 mei 2020 13:53
Leuke analogie, als je auto niet op slot staat moet je niet verbaast opkijken als je in de ochtend er een zwerver in aantreft die er in heeft geslapen. (Goed of fout hangt dan sterk af van de omstandigheden, bij vies koud weer kan als verweer de eigen veiligheid opgevoerd worden. Denk niet dat het vragen van 30k gezien kan worden als kunnen voorzien in de eigen noodzakelijkheden trouwens, dat zijn wel heel veel broden.)

Veranderen we die auto in een fiets dan wordt het nog leuker. Die stond niet op slot en iemand (die zelfde zwerver?) heeft zich over deze zwerf-fiets ontfermt en voor een redelijke prijs doorverkocht. Wat in dit geval zou beteken dat iemand eigenaar is geworden van de data die in het betreffende systeem stond.

Zowel de eigenaar van de auto als de fiets is nalatigheid aan te merken.

Als ik met één van die twee voertuigen rondrijdt en er is technisch wat op aan te merken (als in verlichting is stuk) en ik wordt aangehouden door meneer agent dan kan ik of een waarschuwing krijgen of een boete (dit is al de derde keer deze maand dat ik er op gewezen wordt.)
Nu is het bij een voertuig meestal duidelijk genoeg wanneer die niet meer veilig is wat tot leuke tv kan leiden met programma's als "Gevaar op de weg". Maar niet altijd, waarvoor de apk is bedacht.

Maar dit is software gebruikt door een huisarts. Bij software is het heel vaak niet zo duidelijk dat er iets niet goed beveiligd is (en nee, een miljoen keer iemands gebruikersnaam en wachtwoord raden waarna je een authenticatie code onderschept reken ik daar niet onder.) Noch kan je van een huisarts zelf verwachten dat die technisch genoeg onderlegd is dat die zo'n lek snel zelf gespot heeft, laat staan kan fixen. Wat ik wel van een huisarts mag verwachten is dat die in staat is om aan de leverancier te vragen of het product veilig is en blijft en wat de leverancier doet om dat te waarborgen.

Mocht de betreffende meneer die nu in het beklaagden bankje zit werkelijk zich geroepen voelen om de veiligheid van een huisartsen systeem op kwetsbaarheden na te lopen om zo zijn veiligheid en die van anderen te belichten dan is dit toch echt niet de route om te bewandelen. En dat dit zit hem dan met name in het bewaren van de aangetroffen gegevens in plaats het terug overhandigen (in dit geval is de eigenaar bekend).
SinergyX @lasharor29 mei 2020 12:05
Met het verschil dat jij zelf zorgt voor dat ongeluk en dan voorstelt je raam te willen schoonmaken.
sarcast @SinergyX29 mei 2020 18:50
Je vergelijking klopt niet in deze situatie.
Dat gat zat er al, dat heeft die ‘hacker’ niet gemaakt.
Vermoed dat hij de AVG ook niet bedacht heeft wbt. ‘dreigende taal’.

Het begint er nogal op te lijken dat je in de ene branch meer kan zeggen en doen dan in de andere.
Links is het de normaalste gang van zaken, rechts heb je het OM aan je broek.
uiltje @lasharor29 mei 2020 12:23
"Zou u zo vriendelijk willen zijn om deze mail te beantwoorden? Dan kan ik vragen over dit lek beantwoorden en kunnen we eventueel verdere afspraken maken. Ik help u graag om het gevonden beveiligingsprobleem te verhelpen, dit wel tegen een gangbaar tarief."

Kijk, zo moeilijk is dat toch niet? Nou zijn sommige hackers sociaal niet al te handig, en ik denk dat dit wel een goed voorbeeld daarvan is. Dreigementen zijn natuurlijk nooit goed te praten.
Olaf van der Spek @Arnoud Engelfriet29 mei 2020 12:05
Als ik jou ongevraagd ga mailen dat er een fout in je algemene voorwaarden zit en ik dat als jurist gráág even verhelp voordat je klanten je aansprakelijk stellen, dan is dat toch ook een rare mail?
Als ik langs een voordeur loop waar de sleutels nog in het slot zitten bel ik ook ongevraagd aan..
Mirved @Olaf van der Spek29 mei 2020 12:33
Ga je dan ook eerst naar binnen, even kijken wat er te halen valt en dan zeggen: Hey die tv is het wel waard om te stelen. Tegen een vergoeding zorg ik dat niemand te weten komt dat jij die tv hebt. Zodat die tv niet gestolen wordt.
bluegoaindian @Olaf van der Spek29 mei 2020 12:29
[...]

Als ik langs een voordeur loop waar de sleutels nog in het slot zitten bel ik ook ongevraagd aan..
precies , daar is dit beter mee te verglijken!
OxWax @Arnoud Engelfriet29 mei 2020 11:51
Ik krijg hopen reclamezooi in mijn brievenbus, waarom zou een gerichte mail over een specifiek item verboden emailspam zijn?
YopY @OxWax29 mei 2020 12:14
Omdat deze persoon eerst ingebroken heeft en gevoelige informatie opgehaald heeft voordat hij met het aanbod kwam, en vervolgens een dreiging uitsprak over reputatieschade en boete. Reclame zoals jij het benoemt is ongericht, en niemand heeft eerst in je huis ingebroken om te kijken wat je nodig zou moeten hebben, om vervolgens met een brief te komen waarin ze dreigen naar de politie te gaan.
OxWax @YopY29 mei 2020 13:49
Opletten waar ik juist op reageer wat Arnoud schrijft ;)
"Als ik jou ongevraagd ga mailen dat er een fout in je algemene voorwaarden zit en ik dat als jurist gráág even verhelp voordat je klanten je aansprakelijk stellen, dan is dat toch ook een rare mail?
TheDutchChief @YopY29 mei 2020 17:58
https://hetccv.nl/onderwe...tte-voetjes/lampjesactie/
sarcast @TheDutchChief29 mei 2020 18:48
Lijkt me prachtig systeem als je als politievent een pand in wil zonder huiszoekingsbevel.
Stapel witte flyers in de vorm van een voet onder je arm en klaar ben je.
lezzmeister @sarcast30 mei 2020 07:37
"Ik dacht teken te zien van brand/overstroming." Dat kun je ook niet laten gaan natuurlijk.
WouterL @OxWax29 mei 2020 12:00
Omdat Voor ongevraagde commerciële berichten versturen onder de telecommunicatiewet een opt in vereist is.
xoniq @OxWax29 mei 2020 12:06
Daar kan je ook tegenin gaan met een NEE-NEE sticker. E-mail spam is evengoed verboden als het niet honoreren van de NEE-NEE sticker. En als een glazenwasbedrijfje met z’n 06-nummer en Hotmail adres een flyer bij mij in de brievenbus gooit, en een week later (waarschijnlijk) z’n neer met een vergelijkbare flyer, dan gaat daar ook een belletje heen om te stoppen met spammen in m’n brievenbus. Als ze dan doorgaan, kan je daar ook stappen in ondernemen.
Splitinfinitive @xoniq29 mei 2020 12:11
Daar kan die dan wel weer omheen door een geadresseerde brief te sturen. Zoals de loterijen dat doen
xoniq @Splitinfinitive29 mei 2020 18:58
Maar die zullen zich moeten houden aan een AVG verzoek tot vergetelheid.
bluegoaindian @Arnoud Engelfriet29 mei 2020 12:05
Nou ja, nee, eigenlijk niet. Het staat op zijn zachts héél gek dat je ongevraagd aanbiedt om een probleem te repareren. Als ik jou ongevraagd ga mailen dat er een fout in je algemene voorwaarden zit en ik dat als jurist gráág even verhelp voordat je klanten je aansprakelijk stellen, dan is dat toch ook een rare mail? (En volgens mij verboden emailspam want het is reclame, maar dat terzijde.)

Verder gaat het niet perse om in het algemeen mensen mailen "u heeft een probleem ik heb de oplossing" maar specifiek dit probleem waarbij deze meneer déze oplossing gaf, inclusief dreigend klinkende taal.
Das vreemd want dan kan je dus geen melding meer maken.
en kun je beter je lek verkopen aan een zero day handelaar..
dit is dud een redelijk perverse prikkel.
om de zaak NIET te fixen. en t gat te laten zitten.
met alle gevolgen van dien.
zero days mag je verhandelem is legaal , maar de persoon/instantie waarschuwen blijkbaar niet.
dat is erg pervers en gevaarlijk.
mjtdevries @bluegoaindian29 mei 2020 12:24
Das vreemd want dan kan je dus geen melding meer maken.
Nu trek je de opmerking van Arnoud volledig uit zijn verband.

Je kunt wel degelijk een melding maken.
Maar niet in combinatie met dreigende taal en hoog bedrag om het te repareren. Want dat lijkt dan meer op afpersing.

Dat jij daaruit dan de conclusie trekt dat je geen melding meer kunt maken vind ik nou pervers.
bluegoaindian @mjtdevries29 mei 2020 12:27
[...]

Nu trek je de opmerking van Arnoud volledig uit zijn verband.

Je kunt wel degelijk een melding maken.
Maar niet in combinatie met dreigende taal en hoog bedrag om het te repareren. Want dat lijkt dan meer op afpersing.

Dat jij daaruit dan de conclusie trekt dat je geen melding meer kunt maken vind ik nou pervers.
Driegende taal snap ik , das niet handig.
maar er is noig geen uitspraak het OM VIND ... daar moet dus nog een RECHTER een te pas komen!
grote kans dat dat gewoon vrijspraak word,

[Reactie gewijzigd door bluegoaindian op 23 juli 2024 17:13]

mjtdevries @bluegoaindian29 mei 2020 12:31
grote kans dat dat gewoon vrijspraak word,
Leuk dat je dat vind. Ik denk dat er grote kans is dat dat gewoon een veroordeling word.

als je nou eens zou beginnen met argumentatie waarom je vrijspraak verwacht? Dan is je reactie wat nuttiger.
Er zijn richtlijnen gemaakt voor ethisch hacken. Daar heeft ie zich niet aan gehouden. Waarom verwacht je dan vrijspraak?
bluegoaindian @mjtdevries29 mei 2020 12:59
Nee omdat je het gat mag vinden , OM gaat wel vaker de mist in.
mjtdevries @bluegoaindian29 mei 2020 18:54
De aanklacht gaat niet over het vinden van het gat. Het gaat over het vervolgens aanbieden te fixen voor veel geld en daar nog dreigementen overheen te gooien.
Dat word ook door het OM zeer duidelijk gemaakt. Waarom negeer je dat?
Mirved @bluegoaindian29 mei 2020 12:35
Veranderd niks aan het feit dat je dus wel degelijk een melding kunt maken zonder vervolgd te worden als je dat gewoon op een normale manier doet. Iets wat je eerder claimde dat niet meer mogelijk was en pervers is.
Verwijderd @Arnoud Engelfriet29 mei 2020 11:49
Heet een “cold call” en is heel normaal in sommige sectoren.
Verwijderd @Verwijderd29 mei 2020 11:55
In hacking is het niet normaal. Elke ethische hacker weet dat je niet zomaar aan de slag gaat zonder een overeenkomst (of een duidelijke responsible disclosure zoals in het artikel aangegeven).
WoutervOorschot @Arnoud Engelfriet29 mei 2020 14:43
Ik vind dat niet heel gek, je kan als kind toch ook langsgaan om een stoep te vegen als er sneeuw ligt? Echt het simpelste voorbeeld, maar je constateert een probleem en vraagt de persoon of je kunt helpen het op te lossen voor een klein beetje geld. Als je daar dan bij noemt dat je zou kunnen uitglijden oid over de sneeuw dan is dat toch geen dreigement?
Arnoud Engelfriet
@WoutervOorschot29 mei 2020 14:56
Daarbij is niet de impliciete boodschap dat jij mensen gaat laten uitglijden. Ik lees hier tussen de regels door dat de verdachte dan wel even die publiciteit zou gaan regelen.
RJG-223 @Arnoud Engelfriet29 mei 2020 15:00
Als ik jou ongevraagd ga mailen dat er een fout in je algemene voorwaarden zit en ik dat als jurist gráág even verhelp voordat je klanten je aansprakelijk stellen, dan is dat toch ook een rare mail?
Zeker als je daar (aan een dokterspraktijk !) dan € 20.000,- voor vraagt...
Wim-Bart @Arnoud Engelfriet31 mei 2020 18:03
Het hele principe van melden en handhaven, is gewoon fout. Nu heb ik het idee dat bedrijven wegkomen met alle fouten en lekken. En wanneer het ze niet zint spannen ze ook nog een rechtzaak aan tegen de vinder. De hele regelgeving moet gewoon veranderd worden.
  • Er moet een openbaar register komen waar lekken gemeld kunnen worden.
  • Mensen welke hier bugs melden moeten vrijgesteld zijn van vervolging wanneer ze geen misbruik maken van lek (dus meer doen dan nodig is voor bewijsvoering)
  • Bij melden moet bedrijf gelijk op de hoogte gebracht worden
  • Wanneer een bedrijf niet binnen een week met reactie komt of binnen een maand met een plan van aanpak en het lek niet binnen een week dicht is, moet het lek openbaar gemaakt worden (zonder technische details om lek te exploiten).
Maar het meest belangrijke is dat de melder altijd beschermd is.
glennoo @P_Tingen29 mei 2020 11:39
meneer de "ethische hacker" hier komt vrij dreigend over met zijn uitspraak over wanneer het openbaar wordt.

Stel je zou zo'n lek tegenkomen denk ik beter dat je het kunt aangeven als "hey ik ben per ongeluk hier op gestuit en zou het mogelijk voor jullie kunnen fixxen. Wat vinden jullie hiervan?" en dan pas als zij hierop in gaan ga je pas praten over een bedrag. Zo niet, dan is het hun eigen probleem en heb je je hulp aangeboden. Je gaat ze dan niet vertellen "jamaar als het openbaar wordt...", als het goed is zijn ze gewoon bekend met de AVG.

[Reactie gewijzigd door glennoo op 23 juli 2024 17:13]

Gomez12 @P_Tingen29 mei 2020 12:02
Er zijn wel eens van dit soort berichten waarbij ik me op mijn achterhoofd krab en denk dat er wat overdreven heksenjacht gemaakt wordt op de 'hacker' in kwestie, maar dit lijkt hier overduidelijk een sukkel aan het werk te zijn; niet de eigenaar informeren, het lek publiceren, bangmakerij, hoge bedragen.
Niet de eigenaar informeren? Hij heeft de praktijk toch geinformeerd, dat is toch de eigenaar?
Het lek publiceren? Tegenover de praktijk / eigenaar ja, maar ik lees nergens iets over dat hij het bij andere partijen gepubliceerd heeft.
Bangmakerij? Hij wijst ze in principe alleen op de AVG, hoe moet je anders een melding bij de AVG kunnen doen? En sowieso zal er al een melding uit moeten over de gelekte gegevens naar de betrokken personen...
Hoge bedragen? Tja, daar heb ik geen inzicht in, als het een complex lek is dan kunnen de kosten zo oplopen. Maar de eigenaar hoeft het ook niet te doen.

Oftewel ik zie eigenlijk alleen toonverschil tussen jouw aanpak en hoe deze hacker het aanpakte, maar ik zie technisch gezien geen verschil.
Deze hacker gaat er ietwat aggressief in, maar feitelijk doet hij niets anders als jij zegt te doen voor zover ik zie.
P_Tingen @Gomez1229 mei 2020 12:11
C'est le ton qui fait la musique ....
"Hee, groenteboer, ik wil die appels daar. Nu. En rap een beetje en als je er geld voor moet hebben dan kun je dat krijgen als dat zo nodig moet"
of
"Hallo, groenteboer, goedemorgen. Mag ik die appels daar van u?"
Is alleen toonverschil maar ik zie technisch geen verschil :+
Gomez12 @P_Tingen29 mei 2020 13:08
Inderdaad en ik vind het dus apart dat je voor het eerste blijkbaar veroordeeld kan worden.
RGAT @Gomez1229 mei 2020 13:43
Waar staat dat je voor dat eerste veroordeeld kan worden?...
Lees het hele bericht, niet alleen de titel ;)
Hij is niet veroordeeld, het is een eis van OM, OM is niet een rechter maar aanklager in Nederland, OM kan dus niet iemand zo veroordelen...
Daarnaast eist het OM dit niet omdat zijn toon verkeerd was, maar om het hele plaatje, dat gebeurt wel vaker in rechtspraak, dat OM en de rechter naar het hele plaatje kijken. Daarom krijgt een seriemoordernaar een zwaardere veroordeling dan iemand die per ongeluk iemand raakt met de auto op de snelweg bijv. (De context telt mee...)
Hier heb je een (digitale) inbreker die zonder toestemming en zonder overleg maar is gaan inbreken, data heeft buitgemaakt en dan aanbiedt de manier hoe hij binnen kwam te repareren want je wilt immers niet dat dit bekend wordt met alle schade die daarbij komt kijken...
Als deze meneer een stuk slimmer was geweest (niet mogelijk dreigende taal, niet gelijk om geld vragen, niet hacken zonder toestemming; oftewel de standaard zaken waar een whitehat hacker zich aan houdt normaal gesproken) was er geen probleem geweest.
Gomez12 @RGAT29 mei 2020 14:18
Waar staat dat je voor dat eerste veroordeeld kan worden?...
Ok, mijn leesfout :)
Hier heb je een (digitale) inbreker die zonder toestemming en zonder overleg maar is gaan inbreken, data heeft buitgemaakt en dan aanbiedt de manier hoe hij binnen kwam te repareren want je wilt immers niet dat dit bekend wordt met alle schade die daarbij komt kijken...
Dit is gewoon de standaard white-hat hacker manier hoor, alleen wordt het meestal iets vriendelijker gecommuniceerd. Alleen de toon van de conversatie is anders, niet de praktijken.
Als deze meneer een stuk slimmer was geweest (niet mogelijk dreigende taal, niet gelijk om geld vragen, niet hacken zonder toestemming; oftewel de standaard zaken waar een whitehat hacker zich aan houdt normaal gesproken) was er geen probleem geweest.
Nu beschrijf je (juist vanwege het niet hacken zonder toestemming) eerder een pen-tester dan een whitehat hacker.
RGAT @Gomez1229 mei 2020 14:22
Daarom is het voor een whitehacker altijd een dunne lijn tussen strafbaar en vervolging, is een risico wat er bij hoort, als je 'slim' wilt zijn ga je voor de pentest waar er geen onduidelijkheid is kwa strafbaarheid.

Zeker als je dan op zo'n dunne lijn moet balanceren is de gebruikte taal en methode niet heel zorgvuldig natuurlijk.
SSSQ @P_Tingen29 mei 2020 12:07
Beste P_Tingen
Dit is gewoon regelrechte chantage, Wat als het hier ging om een "security bedrijf" die zomaar eigenaars van kleine bedrijfjes bezoekt met een groepje van 6 man potige kerels en zegt: "Uw pand is nogal vatbaar voor brandbommen. U zou natuurlijk niet willen dat hier zomaar een molotovcocktail naar binnen wordt gegooid. voor 1000 euro per maand zorgen wij van beveiligingsfirma X dat u hier geen last van heeft.
waar is het verschil met het berichtte geval?

edit typo's

[Reactie gewijzigd door SSSQ op 23 juli 2024 17:13]

Caelestis @SSSQ29 mei 2020 12:49
Chantage? Hoe eigenlijk?
Hij bied een offerte aan als mogelijk oplossing van het al bestaand overtreding van de wet.
Het dreigende taal wat de OM ziet is dreigend maar niet op een chantage niveau. Hij zegt "wanneer" het openbaar wordt.
Niet "als" het openbaar wordt.
Dus zijn offerte wordt gezien als chantage terwijl het niet uitmaakt of het bedrijf wel of niet erop ingaat het zal gerapporteerd worden zoals een whitehat hacker dat dient te doen.
RJG-223 @Caelestis29 mei 2020 14:43
Chantage? Hoe eigenlijk?
Hoezo snap je dat niet ?

Wat die 6 potige kerels bedoelen is: als u niet betaalt, dan zorgen we dat er binnenkort een molotovcocktail bij jou naar binnen komt. Dat zeggen ze niet, want dat zou veels te expliciet zijn. Daaarvoor kunnen ze opgepakt en veroordeeld worden. Maar met deze manier van formuleren kunnen ze altijd beweren dat ze er niets mee bedoelden, en dat het gewoon hun legitieme business is om brandverzekeringen te verkopen. Lastig te bewijzen dat het anders is. Maar ieder normaal mens weet dat het gewoon een dreigement is.
Caelestis @RJG-22329 mei 2020 14:59
Chantage is als je het strafbare feit "geheim" zou houden voor een tegen prestatie. Er is geen dwang aanwezig gezien er geen handeling verwacht wordt. Het info wordt openbaar/geregistreerd of het bedrijf nou wel of niet ingaat op het offerte dus geen chantage.
Hooguit dubieus zelfpromotie als blijkt dat hij een echte whitehat hacker is. Dat het bekend wordt dat een huisarts praktijk zijn zaken niet op orde heeft is wat belangrijk is.
RJG-223 @Caelestis29 mei 2020 15:30
Chantage is als je het strafbare feit "geheim" zou houden voor een tegen prestatie.
Dan lijkt dit dus heel erg op chantage: de hacker impliceert dat de informatie wel eens openbaar zou kunnen worden. Eenieder denkt dan aan de mogelijkheid dat de hacker daar zelf voor gaat zorgen. Zeker als hij een belachelijk hoge offerte stuurt.
Er is geen dwang aanwezig gezien er geen handeling verwacht wordt.
Er is wel dwang. Want de hacker heeft die informatie, en zou hem openbaar kunnen maken, geeft een enigszins verholen dreigement af, en doet een belachelijk hoge offerte, terwijl zo een bedrijf meestal een eigen IT-leverancier heeft die de website onderhoudt, en die het probleem waarschijnlijk voor een fractie van dat bedrag kan oplossen. Dat kan geen enkel zinnig en verstandig mens anders interpreteren als dwang, met publicatie van het probleem als stok achter de deur
Het info wordt openbaar/geregistreerd of het bedrijf nou wel of niet ingaat op het offerte dus geen chantage.
Welke info wordt openbaar ? Op z'n hoogst dat er een lek was.

Wat in ieder geval niet openbaar wordt (zou zijn geworden), is als dat bedrijf ingegaan is/was op een dubieuze offerte, en een belachelijk hoog bedrag betaald heeft aan iemand die niet eens hun eigen IT-leverancier is.

Al met al is het aanklacht 'chantage' zeer zeker verdedigbaar. Het is alleen niet zo klaar als een klontje - want het dreigement was niet expliciet. En dat is waar de hacker in kwestie waarschijnlijk op hoopt: dat hij zich juridisch eruit kan kletsen, en zo ermee wegkomt.

Hoe dan ook, zelfs al was hij inderdaad oprecht (ik vind de feiten tegen hem spreken), dan moeten zulke acties nog steeds veroordeeld worden. Als deze man met dit gedrag wegkomt, of het nu misdadig is of alleen oerdom, dan staan er voldoende kwaadwillenden klaar die zondert enige twijfel de bedoeling hebben om mensen/bedrijven te chanteren, en die deze methode dan onverwijld aan hun repertoire toe zullen voegen.
Caelestis @RJG-22329 mei 2020 19:27
de hacker impliceert dat de informatie wel eens openbaar zou kunnen worden.
Hij impliceert niks. Hij zegt "wanneer het openbaar wordt" niet "zou wel eens openbaar kunnen worden"
Jij interpreteert het naar eigen verwachting dus jij impliceert chantage en niet hij.

Ik zeg ook niet dat hij onschuldig is maar ik ga ook niet het verwoording verdraaien om gelijk te krijgen.
MSalters
@Caelestis30 mei 2020 22:58
Ik geloof dat je het niet snapt. Er is een normale manier om dit soort dingen te communiceren, en er is de manier waarop deze hacker het gedaan heeft. De verschillen tussen die twee methoden bevatten een negatieve consequentie (boete) en een dwingend advies (repareren voor 21000 euro), gecombineerd met een schjinbare urgentie. De rechter gaat niet kijken of "chantage" de enige interpretatie is, de rechter kijkt of de uitingen de gangbare kenmerken van chantage bezitten.
Caelestis @MSalters31 mei 2020 00:01
Nee jij snapt het blijkbaar niet. De hacker is geen "voor wat hoort wat" aan het spelen. Hij geeft aan dat wanneer het openbaar wordt c.q datalek wordt gemeld dat daar mogelijk boetes tegenover staan.
Jullie blijven maar elke keer terug vallen op je eigen interpretatie van "wanneer" en zien dat een conditie ter betaling.
Hij zegt nergens dat hij als tegen prestatie van de offerte het datalek niet zal melden. Daar gaat het volledig mank met jullie chantage label.
MSalters
@Caelestis31 mei 2020 21:36
"Hij zegt nergens". Dat is het verschil tussen domme criminelen en hele domme criminelen; de letterlijke woorden van de bedreiging zijn irrelevant. Zoals de klassieke filmquote al liet zien: "Nice place you have. Shame if anything would happen to it". Die zegt ook niet letterlijk wie er wat gaat doen.

Het in inderdaad een interpretatie van mij. Dat is voldoende. Als het bedreigend overkomt, dan is het bedreigend. Het is niet aan daders om te bepalen of hun bedreigingen ook daadwerkelijk een bedreiging zijn.
Caelestis @MSalters31 mei 2020 22:47
Als er inderdaad meer context aanwezig is wat dat kan suggereren zou het kunnen maar de OM praat over een offerte dus ik neem aan dat ze die hebben gezien.
Je gaat toch niet een document opstellen met bedrijf/persoonlijk informatie met een samenvatting van de uit te voeren werkzaamheden, prijs opgave en btw met kvk nummer om dat te gebruiken als chantage?
Wat je nu doet is puur speculatie op niks af en nee het bedrag van de offerte is irrelevant tot je heb gezien wat erop staat. 10-20k is niks in de IT wereld maar duur voor een hobbyist.
SuperDre
@P_Tingen29 mei 2020 13:12
Ik weet niet precies wat het lek zou zijn geweest, maar ik kan wel op mijn klompen aanvoelen dat de aanpassingen die daar voor nodig zijn GEEN 10K+ zouden hoeven te kosten, dat gekoppeld met de manier hoe hij de offerte heeft verstuurd geeft al aan dat het gewoon pure afpersing was.

[Reactie gewijzigd door SuperDre op 23 juli 2024 17:13]

supersnathan94
29 mei 2020 11:29
Voor ethisch hacken is vereist dat de eigenaar van het systeem uitdrukkelijk toestemming heeft gegeven.
Euh. ja sorry, maar dat doet een crimineel dus ook niet. Dus dan ga je er dus nooit achterkomen :facepalm:
Arnoud Engelfriet
@supersnathan9429 mei 2020 11:49
Helaas is het OM-document waar dat citaat uit komt, ondertussen verdwenen. Ik kan het niet plaatsen; volgens mij heeft het OM dat nooit zo gezegd. Het is ook raar want als er toestemming is dan is "ethisch hacken" niet meer aan de orde, dan is het gewoon een civielrechtelijke overeenkomst van opdracht tot onderzoek aan een computersysteem. Het OM heeft daar niets van te vinden.

Hooguit kan ik me voorstellen dat men zei, als je gaat zóeken dan moet je toestemming hebben. Wat je zomaar aantreft (ik vraag een recept aan en zie mijn userid in de URL) dat kan dan zonder toestemming onderzocht en gemeld.
supersnathan94
@Arnoud Engelfriet29 mei 2020 12:25
Naja ik denk dat het stuk toestemming vooral gaat om het door graven wat er allemaal kapot is en waar je allemaal aan kunt komen. In principe heb je maar 1 of 2 kleine dingetjes nodig die niet zouden moeten kunnen om aan te tonen dat het systeem lek is (zoals recept opvragen en dan ID request param vervangen inderdaad), niet geavanceerde file copies naar je lokale machine.


Dat vind ik dan ook het rare aan het verhaal. Deze man had gewoon nooit dat zinnetje in die offerte moeten vermelden. Dat is gewoon een bedreiging/afpersing. Had meneer een beetje voorzichtiger omgesprongen met zijn communicatie en het hoe en wat dan was er denk ik veel minder aan de hand. De systemen van huisartsen zijn namelijk zo lek als een mandje en een consultant inhuren om dat te fiksen is ook gewoon heel erg duur. Die 24K die gevraagd werd klinkt mij dan ook niet heel gek in de oren als er bijvoorbeeld ook hardware bij om de hoek komt kijken, nieuwe managed netwerk infra, goede firewall, endpoint protection, IDS/IPS appliance, beveiligde netwerk omgeving met filestorage en afgesloten van het internet.

Het zijn dus ook nog niet eens zulke hele gekke bedragen en het feit dat het bij andere praktijken een puinzooi is geeft ook nog maar eens aan dat er gewoon niet wordt stilgestaan bij wat er allemaal nodig is.

Hij had er eigenlijk gewoon bij moeten zetten: "Ter informatie. Dit zou je allemaal nog nodig moeten hebben om het wel op orde te krijgen, doe er je voordeel mee en als je vragen hebt, neem gerust contact op."


Klaar.
Primal @supersnathan9429 mei 2020 11:44
Dat is een beetje kort door de bocht. Het gaat hier om dat men vooraf in gesprek treed met de eigenaar over een mogelijk onderzoek naar beveiligingsproblemen. Op basis daarvan geeft de eigenaar akkoord en alleen dan gaat men aan de slag met het onderzoek. Dat is het principe van "ethisch" hacken. Met deze aanpak kunnen, afhankelijk wat de eigenaar en onderzoeker overeengekomen zijn m.b.t. de vrijheid van het onderzoek, dezelfde resultaten bereikt worden,
.oisyn Moderator Devschuur®
@Primal29 mei 2020 11:56
Dat is het principe van "ethisch" hacken
Maar die zin van het OM is raar, want dan is er ook geen regel voor nodig. Als je toestemming hebt is er sowieso al geen sprake meer van computervredebreuk.
supersnathan94
@Primal29 mei 2020 12:17
dan is het geen ethisch hacken maar penetratietest. Iets waar je grof voor zult betalen normaal gesproken. Ethisch hacken impliceert juist dat het gaat om hacken en daarbij is vooraf geen toestemming voor afgestaan. anders is het geen hacken meer.
xMuchux @supersnathan9429 mei 2020 13:19
En dat is waar het OM waarschijnlijk ook op doelt. Het gaat het hier om dat deze meneer gehackt heeft (ethisch of niet) en er geld voor vraagt om het te disclosen. Het, naar mijn mening, een verkapte vorm van gijzeling is. Als hij het nou gedisclosed had (helemaal) en dan zijn diensten had aangeboden was het volgens mij toch weer gunstiger voor deze meneer geweest.

Ik weet niet precies wat de normale gang van zaken is bij een echte white hat hacker, maar ik ga er een beetje vanuit dat dit gaat op basis van gifte achteraf of vooraf in dienst nemen gaat.

[Reactie gewijzigd door xMuchux op 23 juli 2024 17:13]

supersnathan94
@xMuchux29 mei 2020 16:04
Ik denk ook zeker dat dat het deel is waar het om gaat. Alleen vind ik de 2 maanden dan wat veel. Als het echt niet zijn bedoeling was en dat ie het gewoon knullig verwoord heeft dan is het een ander verhaal en was hij er ws met een “sorry” en schikking voor de gemaakte kosten vanaf gekomen.

Dat maakt het dan ook een lastig verhaal. Met 29 jaar ben je nog jong genoeg om vrij weinig ervaring met dit soort zaken te hebben. Er moet dus meer achter hebben gezeten dan alleen “ik ben een botte nerd sorry”. Voordat een rechter echt zulke dingen gaat doen. Alsof het met voorbedachte rade was.
MSalters
@supersnathan9430 mei 2020 23:03
Die twee maanden cel maakt relatief weinig uit. Linksom of rechtsom, dit levert een strafblad op, en dus gaat hij een probleem hebben om in de ICT aan werk te komen.
supersnathan94
@MSalters30 mei 2020 23:35
en dus gaat hij een probleem hebben om in de ICT aan werk te komen.
En moeten we daar als samenleving blij mee zijn? Kijk als de intentie inderdaad ook echt afpersing was dan is het een heel ander verhaal, maar als zijn intentie was "hier je shit is kapot, dit ga je nodig hebben om het te fiksen en dit is wat het kan gaan kosten" en dat hij het gewoon echt heel knullig omschreven had heb je nu wel iemand zijn leven "verpest" en wij mogen met zijn allen gaan opdraaien voor de kosten.

Klinkt imo als een lose-lose situatie.
MSalters
@supersnathan9431 mei 2020 21:43
"Opdraaien voor de kosten" is iewat overdreven. Voor veel banen is een VoG niet vereist, en buiten de ICT zou hij er nog wel één kunnen krijgen. Dat er in 2020 een gat in z'n CV zit? Hij zal niet de enige zijn.

Evengoed, we betalen misschien met z'n allen twee maanden huisvesting voor hem, dus het is redelijk om daar kritisch naar te kijken.
batjes @supersnathan9429 mei 2020 11:45
Er zijn redelijk wat wetten, regels of APV's die enkel bestaan om mensen aan te pakken die ergens misbruik van maken. Waar niet actief tegen opgetreden wordt als je "gewoon normaal doet".

Dit is er 1 van. Je gaat niet vervolgt worden als je als white hat hacker ergens veiligheidslekken op eigen houtje gaat opsporen (want soms struikel je er over zonder dat je uberhaupt op zoek bent) en dit dan netjes aangeeft met de informatie die je gevonden hebt.

Ga je mensen afpersen zoals dit figuur, dan krijgt het OM en/of slachtoffer een iets grotere stok om mee terug te slaan.
rbroen 29 mei 2020 12:46
Wat ik mij dan afvraag: Zou de huisartsenpost al gemeld hebben bij de Autoriteit Persoonsgegevens dat ze een datalek hebben? Zouden ze zelf niet verwijtbaar zijn voor de datalek?
SuperDre
@rbroen29 mei 2020 13:16
Dat is een compleet ander punt en heeft niets te maken met deze rechtzaak.
rbroen @SuperDre29 mei 2020 18:30
Zoals gezegd, ik vroeg het mij gewoon af en was benieuwd of iemand wist of die verplichting er voor de huisartsenpost was in dit specifieke geval.
SuperDre
@rbroen30 mei 2020 21:06
Tja, weet eigenlijk niet of de verplichting er is dat je moet melden als je een lek hebt maar weet dat die niet misbruikt is. Maar het feit dat ze dit lek zelf blijkbaar niet wisten EN die man data heeft gestolen zou je zeggen dat er zeker een datalek is, en dat men dus verplicht was om dit te melden. Maar of dit wel/niet gemeldt is, is helemaal niet bekend, kan goed zijn dat ze dit gewoon netjes gemeldt hebben.
SinergyX 29 mei 2020 11:45
Heette zulke mensen niet vroeger blackers? Hackers die bij voldoende 'interessante' informatie overgingen tot een blackmail principe om zo er flink wat geld uit te halen? Oldschool tijd van de poortscans en standaard FTP pogingen was dit een behoorlijk lucratieve job.
Vlizzjeffrey 29 mei 2020 13:15
En welke straf krijgt de huisartenspraktijk voor het niet op orde hebben van de beveiliging?
CobraVE 29 mei 2020 14:12
Waarom zou je gestraft moeten worden als je fouten in een systeem zoekt? Zolang je het meld en niemand af probeert te persen is daar toch niets mis mee, je bewijst zelfs een goede dienst.
Tielenaar 29 mei 2020 17:52
Ik was het niet.
Mario 29 mei 2020 11:31
Dacht dat white-hats normaliter werden ingehuurd door bedrijven, op eigen houtje met kwetsbaarheden komen zegt al iets over de intenties.
.oisyn Moderator Devschuur®
@Mario29 mei 2020 11:33
Nee, dat zegt helemaal *niets* over de intenties. Daarom bestaan ook responsible disclosure policies, want er zijn genoeg mensen die wél goede intenties hebben.
Mario @.oisyn29 mei 2020 11:46
Ik heb toch echt over deze situatie waarin een man een huisartsenpraktijk probeert af te persen onder het mom van ethisch hacken die zich voordoet als 'white hat'. In feite bedoel ik daarmee dat door zijn manier van kwetsbaarheden aan het daglicht brengen vanuit eigen initiatief er een quid pro quo/beloning verwacht wordt. Dit staat los of er wel of geen sprake is van mensen met wel of geen goede intenties.
.oisyn Moderator Devschuur®
@Mario29 mei 2020 11:48
Dan heb je je post wel heel ongelukkig geformuleerd. Zoals het er staat zeg je letterlijk dat white-hackers normaal ingehuurd werden, en als hackers zélf met kwetsbaarheden komen dat dat iets zegt over hun intenties :).

Nee, dat hij een enorme smak geld vraagt voor het dichten van het lek, dát zegt iets over zijn intenties.
Mario @.oisyn29 mei 2020 11:49
Het is best duidelijk dat dit over het artikel gaat toch?
mjtdevries @Mario29 mei 2020 12:36
Nee, dat is niet duidelijk.

En zeker niet duidelijk dat je het niet alleen over het melden van kwestbaarheden hebt, maar in combinatie met dreigen met kosten van boetes en reputatieschade en een zeer hoog bedrag vragen.
Sheean @Mario29 mei 2020 11:40
Op zich kan ik best voorstellen dat je zelf relatief toevallig achter een kwetsbaarheid komt. Bijvoorbeeld als je bij die huisartsenpraktijk een recept moet aanvragen. Deze hacker heeft het in ieder geval niet echt snugger gecommuniceerd. Als hij er een opdracht uit had willen slepen, had hij gewoon kunnen laten weten dat ie daarvoor beschikbaar was, meer niet. Meer gegevens binnen hengelen dan strict nodig is om het probleem aan te tonen is al helemaal een no-go.
Namixam @Sheean29 mei 2020 11:52
Ik ben het met je eens, maar ik kan me zo voorstellen dat iemand die een mail stuurt met daarin de tekst dat er een kwetsbaarheid in zijn systeem zit zonder daar bewijs van mee te leveren dat zal worden afgedaan als spam.
Sheean @Namixam29 mei 2020 12:03
Het hangt natuurlijk heel erg af van de specifieke situatie. Maar een uitleg/stappenplan, had hier waarschijnlijk ook al kunnen volstaan. En hij had ze al gebeld, dus die mail zouden ze daarna ongetwijfeld toch wel gaan lezen.
D11 @Sheean29 mei 2020 14:29
Zijn er werkelijk meer gegevens binnen gehengeld dan strikt nodig? Misschien kon hij de gegevens alleen bekijken door de hele database te downloaden ...

Ik wil daarmee het gedrag van deze man goedkeuren, maar soms is het verhaal toch minder zwart/wit als je in eerste instantie denkt.
Verwijderd @Mario29 mei 2020 11:59
Er zijn genoeg hackers die zich keurig aan de wet houden en via bug bounty programma's geld verdienen. Dan word je niet ingehuurd en ben je wel op eigen houtje op zoek naar kwetsbaarheden.
Verwijderd @Verwijderd29 mei 2020 12:38
In een bug bounty systeem heeft de eigenaar van de data/server duidelijk gevraagd om getest te worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq