Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse hacker claimt wachtwoord geraden te hebben van Twitter-account Trump

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Het wachtwoord was eenvoudig te raden, zegt Gevers tegen Vrij Nederland.

Ethisch hacker Gevers kwam het Twitter-account @RealDonaldTrump vorige week binnen, vertelt hij in een interview aan Vrij Nederland. De president gebruikte volgens hem het wachtwoord maga2020!. Maga is een afkorting van Make America Great Again, zijn campagneslogan uit 2016. Verder waren er geen andere beveiligingsmaatregelen zoals tweestapsverificatie actief. Gevers zegt tegen Vrij Nederland dat hij een rondje deed langs de accounts van verschillende politici om te kijken of die nog veilig waren. Hij probeerde een handjevol wachtwoorden en kwam toen bij maga2020! terecht. Dat bleek te werken, luidt de claim.

Gevers wilde aan responsible disclosure doen en het team van de Amerikaanse president waarschuwen voor de situatie. Tegelijk wilde hij bewijzen dat hij in het account kon komen. Wat hij precies gedaan heeft, wil hij niet zeggen, maar Vrij Nederland zegt dat er sterke aanwijzigingen zijn dat Gevers achter een beruchte tweet van de president zat. Op 16 oktober tweette de president boos over een zogenaamde beslissing van Twitter, maar het 'nieuws' kwam van de satirische nieuwssite The Babylon Bee en was niet waar. Dat nieuws haalde vrijwel alle grote media.

Volgens Vrij Nederland stuurde Gevers kort na Trumps tweet zelf een bericht naar het team van de president waarin hij zegt dat de satirische tweet weer verwijderd kan worden, omdat die 'zijn rol heeft gespeeld'. "Ik zeg niet dat het zo is, maar stel dat ik die tweet geplaatst heb", zegt hij tegen Vrij Nederland. "Dan moet Trump bekennen dat hij het Babylon Bee-artikel niet heeft gelezen en deze bullshit-tweet geplaatst heeft, óf hij moet bekennen dat iemand anders deze tweet heeft geplaatst."

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Die gebruikte toen nog het wachtwoord yourefired. Inmiddels heeft Gevers contact gehad met de Amerikaanse Secret Service en zou de kwetsbaarheid gedicht zijn. Ook zou het account van de president inmiddels wel tweestapsverificatie bevatten.

Victor Gevers spreekt op 7 november ook op de Tweakers Meet-up Security & Privacy, waar hij vertelt over responsible disclosure en het jagen naar bugs.

Update, vrijdag, 16.50: Genuanceerd dat het claims zijn van Gevers dat hij het account binnen kon komen aangezien er vooralsnog geen sluitend bewijs is geleverd.

Door Tijs Hofmans

Redacteur privacy & security

22-10-2020 • 16:11

330 Linkedin

Reacties (330)

Wijzig sortering
Reactie van Twitter
Twitter, however, denied the report. “We’ve seen no evidence to corroborate this claim, including from the article published in the Netherlands today. We proactively implemented account security measures for a designated group of high-profile, election-related Twitter accounts in the United States, including federal branches of government,” a Twitter spokesperson said in a statement.
En Trump legde in een latere tweet uit wat hij in de betreffende tweet met "Big T" bedoelde.
Ik vraag me af of de hacker in kwestie de reacties op zijn eerdere geclaimde Twitterhack hier op Tweakers heeft doorgelezen. Zo ja, dan miste hij de suggestie dat als je een dergelijke claim maakt, je moet zorgen dat die verifieerbaar is door bijvoorbeeld vanaf het betreffende account een DM te sturen aan jezelf (of iemand anders).
Als je het artikel gelezen hebt, heeft Victor Gevers een aantal screenshots als bewijs genomen. Hij heeft dus weldegelijk vastgelegd dat hij het account gehackt heeft.
Contacted by The Independent, Mr Gevers refused to provide firm evidence that he had access to the account, such as emails with the Secret Service or screenshots that could only be taken when logged in as Mr Trump.

"We've seen no evidence to corroborate this claim, including from the article published in the Netherlands today", Twitter said in a statement

Als je al bewijs hebt,waarom weiger je dit dan te geven? Dreigementen/vergoeding ?
Ik weet niet hoe ik erover moet denken, raar verhaal.
om eerlijk te zijn hij zou krankzinnig zijn als hij dat deed, hij zou daarmee bewijs geven tegen zichzelf dat door de aanklager gebruikt kan worden

je kunt voor het hacken van een computer, zeker 1 die eigendom is van de federale overheid, tot 20 jaar gevangenisstraf krijgen
Tja waarom brengt hij het verhaal dan uit? Bewijs is er al voor een aanklager na contact (al dan niet waar) met de betreffende diensten.

[Reactie gewijzigd door redzebrax op 23 oktober 2020 00:27]

er is lijkt me nog wel een verschil tussen claimen dat je iets gedaan hebt en bewijs leveren

in het 1e geval moet een aanklager bewijzen dat jij het gedaan hebt
in het 2e lever je het bewijs al en kan men de straf gaan bepalen
Zijn de accounts van twitter eigendom van de federale overheid?
in dit geval wel, het is het account van de president van de verenigde staten

maar hacking door zijn staatsgrens overschrijdende natuur is een federale misdaad
in dit geval wel, het is het account van de president van de verenigde staten

maar hacking door zijn staatsgrens overschrijdende natuur is een federale misdaad
Niet geheel. @potus is van de overheid, en wordt als dusdanig beheerd en beschermd. @realdonaldtrump is het account waar het om gaat, en die is van Trump zelf. Alhoewel wel is bepaald door de rechter dat bepaalde overheids regels en wetten daarop van toepassing zijn. (Hij mag mensen niet blokkeren bijvoorbeeld)
waar, maar dan nog is in de kern hacking een federaal iets

in de vs is in principe misdaad iets van de staat, daarom heb je ook staten met en zonder doodstraf, uitzonderingen zijn bepaalde hate crimes en misdaden die de grens van de staat overschrijden of dat kunnen. Kidnapping ed, hacking is per definitie iets dat grenzen overschrijd (en vaak ook met vreemde mogendheden te maken heeft en de fbi is ook verantwoordelijk voor anti spionage)

dus het hacken van een computer in de vs, door iemand in nederland is een federale zaak, met de fbi en een straf tot 20 jaar in een, zeer ongezellige gevangenis,.
Niet gehackt het wachtwoord geraden ;) Daarnaast is dit pure Ego streling. Kijk in de gemiddelde database met gejatte wachtwoorden. zoek de meest prominente mailadressen er uit en probeer dit op andere diensten. Je zal je verbazen hoe hoog de succes rate is echt een open deur dit.

Daarom moet men niet overal hetzelfde wachtwoord gebruiken en waar mogelijk MFA inschakelen.

[Reactie gewijzigd door Skywalker27 op 23 oktober 2020 08:04]

euh het zonder toestemming van de eigenaar inloggen op een account is altijd strafbaar, of je dat nu met behulp van een keylogger, spionage voor elkaar krijgt of door zijn wachtwoord te raden, een nederlandse rechter zou je misschien iets minder straf geven omdat de eigenaar nalatig is geweest, een amerikaanse denk ik niet
strafbaar is het zeker en verwerpelijk.

[Reactie gewijzigd door Skywalker27 op 26 oktober 2020 07:44]

Ik geloof ook niks van de hack. Lijkt mij meer iemand die graag aandacht wil.
Zou zomaar kunnen. In mijn ervaring is het helemaal niet zo moeilijk om met de EOP in contact te komen als je echt wat te melden hebt. Het verhaal van Gevers is in elk geval sensationeler dan noodzakelijk.
En voor de mensen die geen AMP willen gebruiken, de rechtstreekse URL: https://www.theguardian.c...dutch-researcher-password
Wachtwoord raden: oké
Tweet versturen: niet oké

Er is niets ethisch aan het ego. Als je een true ethical hacker bent, dan weet NIEMAND anders dan jij en de eigenaar van het desbetreffende account dat het gehacked (/geraden) was.
Elke andere variant is een vorm van ego. Superioriteit tonen, vermomd als moraal.
Helaas bleek dat dit keer nodig te zijn. Met de vorige melding van Gevers werd niets gedaan en werd zelfs beweerd dat Gevers alles had verzonnen. Door dit keer digitaal bewijs achter te laten kon men niet weer negeren en moest de Secret Service wel actie ondernemen. Je kunt dan wel beweren dat dit ego strelen is maar het was uit Gevers vorige ervaring wel nodig.
Hoezo moeten ze actie ondernemen? Als ze kiezen het te negeren heb je je morele plicht gedaan. Daar stopt het.

Ik vertel jou dat je voordeur steeds openstaat, doe je niks mee tot mijn ongenoegen, volgende keer jat ik dan maar even iets om het aan te tonen? Nee.
Hoezo moeten ze actie ondernemen? Als ze kiezen het te negeren heb je je morele plicht gedaan. Daar stopt het.
Daar ben ik het niet mee eens. Als de verminderde veiligheid van het betreffende systeem kan leiden tot verstrekkende negatieve gevolgen voor derden dan is het niet zo dat je dat er bij moet laten. Je kunt een discussie voeren over wat wel en niet kan, maar dat je het er maar bij moet laten zitten is onverantwoordelijk imo.
Je bent strafbaar als je je voor doet als iemand anders. daar kun je niet zo snel overeen stappen.

Zal me niks verbazen als hij word aangeklaagd , en terecht naar mijn
Wat hij had kunnen doen als ze het niet geloofden is de info doorspelen aan een nieuwsmedia en hun het laten verifieren.
Je bent strafbaar als je je voor doet als iemand anders. daar kun je niet zo snel overeen stappen.
Dat doe ik ook niet, ik vind ook niet dat het een vrijbrief moet zijn om maar van alles te mogen doen. Het is echter wat mij betreft niet moreel verantwoord om het er maar bij te laten als de persoon die verantwoordelijk is voor het systeem waar het lek in is gevonden.
Zal me niks verbazen als hij word aangeklaagd , en terecht naar mijn
Wat hij had kunnen doen als ze het niet geloofden is de info doorspelen aan een nieuwsmedia en hun het laten verifieren.
Daarom heb ik in het midden gelaten of de gekozen vervolgactie al dan niet een goede keus is geweest, maar met het idee dat de kous af is als je het lek hebt gemeld ben ik het niet eens.
Dat is aan een rechter, niet aan jou.
“Niet voor eigen rechter spelen”, en zo..
Je zoekt iets achter mijn standpunt dat er niet is. Ik heb niet gezegd dat alles geoorloofd is als de persoon of organisatie aan wie je het lek hebt gemeld niets met de melding doet. Ik zeg alleen dat het ik het immoreel vind om niet meer te handelen als je ziet dat er niets met je melding word gedaan. Als er zich dan iets voordoet wat schade veroorzaakt aan derden dan ben je daar juridisch misschien niet voor verantwoordelijk, maar wat mij betreft moreel wel.
In de letter van de wet zal waarschijnlijk staan " Dit is strafbaar ". Maar als het kopstuk van een grootmacht een makkelijk te raden wachtwoord heeft en geen tweefactor authenticatie gebruikt plus een eerdere waarschuwing links laat liggen, dan is dat weldegelijk onverantwoord, zelfs als een rechter vind dat deze hacker in kwestie strafbaar is.
Een zwart-witdenker in discussie met een grijstintendenker... Altijd vermoeiend om te lezen.
We hebben het hier niet over zomaar iemand, dit is de president van de VS. Er kunnen zeer gevoelige en gevaarlijke situaties ontstaan als een hacker met kwade bedoelingen toegang tot zijn account krijgt.
Het is dus niet zomaar een voordeur die openstaat, het is de voordeur van iemand waarmee letterlijk oorlogen ontketend kunnen worden.
Maar dan besluit je wel zelf een tweet te plaatsen die allerlei gevolgen kan hebben? :+ ALS deze tweet inderdaad afkomstig is van de hacker, wie dat ook is, dan is het gewoon "een hacker met kwade bedoelingen"... Of misschien was het niet eens slecht bedoeld, maar the road to hell is paved with good intentions; en als je zo misbruikt maakt van je toegang: dan ben je niet ethisch bezig en ook zeker geen white hat.

[Reactie gewijzigd door WhatsappHack op 22 oktober 2020 18:24]

Er is een verschil tussen kwade bedoelingen en een ludieke actie. Een tweet alsof de president een satire artikel gelooft is iets heel anders dan bijvoorbeeld een belediging richting Kim Jong Un sturen of mensen wijsmaken om bitcoins te betalen.
Niet in deze context of in verkiezingstijd en dan nog; het is jouw account niet. Dus als je zonodig iets moet doen, dan doe je dat per DM naar wat media... Niet een publieke tweet die allerlei vergaande gevolgen kan hebben, onbedoeld of niet. Je mag jezelf dan iig absoluut geen ethisch hacker noemen.

Maar hoe dan ook, het lijkt er heel sterk op dat het een broodje aap verhaal is en er helemaal geen hack heeft plaatsgevonden; dus ‘t maakt ook weinig uit verder.
En laat dat nou net zijn wat de politie af en toe doet. Niet iets jatten, maar flyers in de vorm van voetjes achterlaten om aan te tonen dat een inbreker makkelijk binnen had kunnen komen.

https://www.politie.nl/mi...nbraak-en-insluiping.html

Dat is wat deze hacker ook gedaan heeft een, ik neem aan onschuldig bericht, om aan te tonen dat het kan.

En idd dat kun je negeren, maar dan neem je wel risico's op kwaadaardige dingen.
Groot verschil tussen een burger en politie
Vind ik niet. Beide handelen om te voorkomen dat iemand iets strafbaars kan doen.

Zodra ie er misbruik van maakt is het fout, maar dat is de politie ook als ze echt binnentreden als het mogelijk is.
Je kan wel een briefje achterlaten en de stoelen op tafel zetten om even goed te gaan staan stofzuigen. Schrik je ook van omdat er bewijs is dat er iemand binnen was. Geen schade gemaakt en niks gejat mar de eigenaar is er wel van geschrokken en kan er wat aan doen.

De vorige keer heb je het tegen de eigenaar gezegd maar heeft deze nergens iets van bewijs gezien dus is de nood niet hoog.

Nu schrik je want er ligt een briefje. Dat stofzuigen is een ludieke actie om het bewijs kracht bij te zetten.
Dit is alsof het de voordeur is van het Witte Huis.

Als een lolbroek gaat lopen eikelen over Noord-Korea, dan zit daar nog iemand die niet 100% is en daar op gaat reageren.
Je kan ook een tweet versturen waarin staat dat het account gehackt is. In plaats van een tweet te versturen met nepnieuws en daarmee verkiezingen beïnvloeden.
Er is een verschil tussen nepnieuws en satire. The Babylon Bee is een satire website zoals de Speld.
en die satire media heeft het al zo lastig met het verzinnen van nog idiotere dingen dan al in het nieuws komen tegenwoordig.
Satire wordt nepnieuws zodra mensen het gaan geloven. En dat is wat gebeurt wanneer er met een Trump-account naar verwezen wordt. De grens tussen satire en nepnieuws is flexibel en kan beide kanten op werken.
Tis toch een risico dat ik zelf liever niet zou nemen. Ethisch of niet, nodig of niet, Trump of niet, door de Amerikaanse president te hacken beland je vast of een of andere lijst waar je liever niet op wilt staan. Zou voorlopig daar toch maar niet op vakantie gaan.
Dan had hij dit anders aan kunnen pakken... Amerika had hem makkelijk op hun grondgebied kunnen vervolgen... Nederland had hem zo uitgeleverd.
Zelfs als je meer moet doen om aandacht te krijgen dan zijn er heel veel andere manieren die wel ethisch zijn dan het misbruik maken van toegang.

Dan zoek je bijvoorbeeld op een legale manier de publiciteit, ga je naar een andere organisatie, verzoek je mensen die meer mogelijkheden hebben om je te helpen enz. Het bekladden omdat je toegang hebt is niet toegestaan en niet ethisch en zeker niet zolang er nog andere mogelijkheden zijn. Niet voor niets staat in de regels over ethisch hacken dat je geen verder gebruik hoort te maken van een fout die je hebt ontdekt.
Hij had ook een DM naar zichzelf kunnen sturen. Dan kun je er meteen een duidelijke tekst in zetten. Voor Twitter, Trump en de Secret Service is het dan prima verifieerbaar. Een stuk duidelijker dat de rare tweet dus nu misschien wel/of niet door de hacker is verstuurd.
Maar is het dan nog ethisch? Het klinkt meer als moralistisch.
Vrij Nederland heeft hier iets meer info over, waarvan je zelf mag beslissen of het iets toevoegt.

Ook belangrijk: Gevers zegt zelf niet of hij de tweet heeft verstuurd. Daar 'zinspeelt' hij volgens VN op, maar hij zegt het niet letterlijk - for what it's worth.
Gevers heeft geleerd van vier jaar geleden. Toen deed hij met zijn ‘grumpy old hackers’-vrienden Mattijs en Edwin een ‘responsible disclosure’, het melden van een beveiligingslek. Een discrete melding dat de digitale gulp van de president open stond. Ze hadden geen sporen achtergelaten. Het gevolg was dat niemand uit de VS zich geroepen voelde om een bedankje te sturen.

Een ander gevolg was dat verschillende mensen twijfelden of het wel echt waar was dat Gevers en twee andere Nederlandse hackers in oktober 2016 in het Twitteraccount van Donald Trump zaten. Ook een lid van onderzoekscollectief Bellingcat dacht dat het niet klopte. Waren de screenshots van de binnenkant van Trumps Twitteraccount niet gefotoshopt?
Meer digitaal bewijs

Deze keer besluit Gevers daarom meer digitaal bewijs achter te laten, maar tegelijkertijd voelt hij de morele plicht. ‘Er is een ongeschreven regel in Responsible Disclosure. Iedereen heeft recht op een nette melding.’ Ook Donald Trump.
Het stukje dat jij quote gaat letterlijk over ego. Vorig keer geen erkenning(bedankje) ontvangen, dus dit keer gaan we het beter doen.
Men twijfelde aan zijn verhaal. Dus dit keer meer doen.

De nette melding hebben zij uiteraard gedaan. Maar zij waren niet blij met de reactie, dus doen zij er een schepje bovenop. Wie weet wat voor schade de tweet heeft veroorzaakt.
Ik lees het toch anders:
Ze hadden geen sporen achtergelaten. Het gevolg was dat niemand uit de VS zich geroepen voelde om een bedankje te sturen.
Hoe kun je nu ooit bedankt worden als ze niet weten wie te bedanken?
Hij heeft toen contact met ze opgenomen om ze erover te vertellen. Ze wisten dus heel goed met wie ze te maken hadden.
Het staat er letterlijk:
Toen deed hij met zijn ‘grumpy old hackers’-vrienden Mattijs en Edwin een ‘responsible disclosure’, het melden van een beveiligingslek.
Geen sporen van de hack wilt niet zeggen geen naam bij de melding.
Wat een onzin dat het alleen om ego gaat.
Er is de vorige keer gewoon werkelijk NIETS met de melding gedaan.

Een account dat de president van de Verenigde Staten gebruikt voor zijn uitspraken staat wagenwijd open.

Daar moet gewoon asap een actie op worden ondernomen.

Als een grapjas oproept om de wapens op te nemen in the VS if tegen Noord-Korea, dan vallen er misschien wel doden.
Ik zeg toch niet dat het alleen ego is? Ik ben van mening dat ego een belangrijke factor was. Dat zijn 2 hele verschillende dingen.

Daarnaast weten wij helemaal niet of er niets is gedaan. Er is alleen geen bedankje gedaan. We weten niet eens of ze dezelfde exploit hebben gebruikt.

[Reactie gewijzigd door Dabbel op 22 oktober 2020 20:35]

Gaan wij ongewenst gedrag hier nu goedkeuren?
Als Trump een crimineel is, dan moeten de autoriteiten daar wat mee doen. Als jij tegen Trump bent, dan kan je op heel veel manieren dat kenbaar maken. Maar blijkbaar is hacken en dan dingen tweeten vanaf zijn account voor jouw veroorloofd. Beetje raar maar oke, jouw mening.
Je vind dat Kim jong un het beter doet in nk? Je vind Venezuela een betere president hebben met Maduro?
Saddam?
Gaddafi?
Xi?

Je comment is een slechte grap.
Beter? Ja in jouw wereld waarschijnlijk. Hij doet het even slecht ja, niet beter. Maar hij hoort inderdaad in dat rijtje.

Jouw comment is gewoon grotesk
Beter? Ja in jouw wereld waarschijnlijk. Hij doet het even slecht ja, niet beter. Maar hij hoort inderdaad in dat rijtje.

Jouw comment is gewoon grotesk
Dat is wat jij zegt. Niet ik. Jij zegt trump is de grootste crimineel. Dan moet je maar even je eigen woorden weer inslikken.
Jij vindt dat crimineel zijn wil zeggen dat je het beter doet. Ik zeg enkel dat het de grootste crimineel is.
Ik vind helemaal niks. Jij zegt:
De grootste criminele leider uit de recente geschied is moet je met alle middelen bevechten. Dat is gewoon onze plicht als mens
En dan zeg jij dit:
Hij doet het even slecht ja, niet beter.
Hoezo jezelf tegenspreken. Ga het maar weer lekker inslikken.
Je kunt veel van hem vinden. Maar de schade die hij veroorzaakt, beperkt zich tot de VS. Vrij ongewoon voor een Amerikaanse president om niet elders op de wereld een hoop schade toe te brengen.
Diezelfde Iraanse bevolking die vermoord werd door Qassam Soleimani toen ze een maand eerder aan het protesteren waren? Deze man was verantwoordelijk voor een boel doden en terreur in het Midden-Oosten, was tot aan zijn dood rotzooi aan het schoppen was in Irak en daar neem je het voor op? Besef je even welke groep mensen achteraf aan het protesteren waren tegen zijn dood.

Trump is niet degene die naar Irak vertrok, de troepen worden daar nu wel (eindelijk) weg gehaald.

Ik ben absoluut geen fan van Trump, maar dat mensen iemand als Qassam Soleimani gebruiken om hem in een negatief daglicht te zetten sporen echt niet. Deels de reden dat die de vorige keer won.
100% eens. Dit lijkt een beetje op het de-facen vroeger waar hackers websites deden aanpassen "to prove a point".

Overigens kan je middels responsible disclosure de "fame" later prima opstrijken nadat X termijn verlopen is. (Tenzij er een NDA getekend wordt).
Als je het verhaal leest dan heeft hij alles netjes gemeld. Als dan geen actie wordt ondernomen, dan moet je voor zo'n belangrijk account iets forceren. Zoals Tim2010 in 'nieuws: Nederlandse ethische hacker breekt weer in op Twitter-acc... al schrijft: hiermee zouden oorlogen kunnen worden ontketend...

Uit de Volkskrant:
Als Gevers duidelijk wil maken dat hij met goede bedoelingen handelt, zal hij verantwoord moeten zijn en zijn stappen moeten documenteren. Hij maakt screenshots. Hij schrijft vervolgens een mail aan Donald Trump – ‘ik had nog een oud mailaccount van ’m die we gebruikten voor de melding in 2016’ – en stuurt ook een kopie naar de Amerikaanse organisatie voor digitale veiligheid.

Hij adviseert Trump vriendelijk om extra beveiligingsmaatregelen te nemen. En om misschien een wat langer wachtwoord te nemen. Gevers doet er zelfs een suggestie bij: !IWillMakeAmericaGreatAgain2020!, en een handleiding hoe hij tweestapsverificatie aan kan zetten. ‘Maar ik kreeg geen reactie.’

Dus probeert hij anderen te waarschuwen. Het campagneteam van Trump, zijn familie. Hij stuurt berichten via Twitter en vraagt of iemand Trump erop wil attenderen dat z’n Twitteraccount onveilig is. Hij tagt de CIA, het Witte Huis, de FBI, Twitter zelf. Geen reactie. Gevers: ‘Op zaterdag zag ik wel opeens dat tweestapsverificatie op het account was ingeschakeld.’

Twee dagen later krijgt hij ’s avonds een mail van de Amerikaanse Secret Service. ‘Vriendelijk. Ze waren geïnteresseerd in mijn informatie. Ik heb ze alles doorgestuurd.’ Op dinsdag spreken ze elkaar digitaal. Ze bedanken Gevers en zeggen hem dat het beveiligingslek bij hen onbekend was.
Er zijn zoveel ethische manieren om iets te forceren dat het overtreden van de wet door van een lek gebruik te gaan maken daar niet bij hoort en zeker niet zolang je dat niet allemaal hebt gedaan.

Zo had er ook een melding gedaan kunnen worden naar de beveiliging van Twitter. Er had contact opgenomen kunnen worden met de Amerikaanse organisatie die verantwoordelijk is voor beveiliging van nationale systemen. Er had contact opgenomen kunnen worden met journalisten. Er had met een bord voor het witte huis aandacht gevraagd kunnen worden. Enz.
Dat zijn leuke dingen voor normale personen. Trump en zijn administratie zien de waarheid als iets dat kan worden verdraaid zonder blikken en blozen, en wakkeren het vuurtje van nepnieuws en andere misinformatie aan op elk moment. Als je dit nieuws aan journalisten geeft wordt je gewoon deel van de rood-blauwe oorlog, en is het nieuws zelf nutteloos.

Melden aan Twitter enzo is ook leuk, maar gezien de algehele situatie met de vorige rapportage en de manier waarop hij andere verantwoordelijken niet kon bereiken is dat niet het meest effectieve middel.

Idealiter was de tweet iets als 'This account had a weird and predictable password without two-factor-authentication', maar gezien Trump's karakter is de link naar de satirische site nog niet eens zo slecht. Dit is iets waar de man verantwoordelijkheid voor kan nemen zonder dat hij over komt als een idioot, en gezien zijn ego is dat dus geen slecht idee.
Als je overal een excuus voor gaat geven om niet ethisch te hoeven doen dan is een discussie over ethiek zinloos. Om het er nog niet over te hebben dat dit probleem kennelijk al meer dan 4 jaar bestond, dus zoveel haast was er echt niet bij om hier iets op te lossen.
In de tekst die ik aanhaal : Er is ondermeer contact opgenomen met Twitter en met organisaties die verantwoordelijk zijn voor de beveiliging van nationale systemen. Maar voordat er, zoals je voorstelt, contact is met journalisten (vandaag dus) heeft hij ervoor gezorgd dat het probleem verholpen is. Tsja, voor het Witte Huis gaan staan met een bord?

edit: typo

[Reactie gewijzigd door bvdbos op 22 oktober 2020 20:40]

Wachtwoord publiceren: niet oké
Waarom niet? Het was al veranderd.
Omdat een wachtwoord ook onderdeel is van persoonsgegevens. Hij gaat er zelf niet over wie het wachtwoord mag weten, dat is aan de gebruiker van het account. Dat het niet werkt of gewijzigd is wil niet zeggen dat er dus een vrijbrief is om maar te gaan gebruiken.
Een argument dat als het toch nog waarde heeft dat maar voor risico van die gebruiker is is ook verwerpelijk. Want wie ben je om over de waarde van gegevens van anderen te oordelen als het je gegevens niet zijn?
Ik zou zeggen omdat het vaak iets zegt over de manier waarop iemand wachtwoorden bedenkt, en je het alvast makkelijker maakt om te raden wat het nieuwe wachtwoord zou kunnen zijn.

Natuurlijk, hij zou een lang willekeurig wachtwoord moeten gebruiken, en dat zou zeker na zo'n incident duidelijk moeten zijn, maar als je het daarom oké vindt maakt het lijkt me ook niet zoveel uit dat het al veranderd is.

[Reactie gewijzigd door ThePendulum op 22 oktober 2020 17:13]

Laat daarom ook de les zijn: neem je security serieus en wijzig je gewoontes. Belangrijke toevoeging om het te publiceren vind ik daarom.
Ik vind een paar weken voor een uiterst beladen Amerikaanse presidentsverkiezing in tijden van crisis niet het juiste moment om op eigen initiatief maar een lesje te leren aan de president door je als hem voor te doen en een schadelijke tweet te posten.
Ten eerste is het nog niet bevestigd dat Gevers er achter zit. Ten tweede bestaat de tweet niet nog steeds? Lijkt me dat ze meer dan genoeg tijd hebben gehad dat te verwijderen. Die tweet is niet zwaar anders dan wat Trump normaal doet. Zonder dit bericht zou niemand het hebben geweten.

[Reactie gewijzigd door Cilph op 22 oktober 2020 17:21]

Nee het is inderdaad niet bekend. Dat was wel een beetje de aanname van deze hele discussie ja. En dat die tweet er nu nog staat had Gevers niet kunnen weten toen hij hem postte, dus dat kan hij niet als argument aanvoeren waarom hij toen die actie uitvoerde. Uiteraard, aannemende dat wat er hier gesuggereerd wordt klopt.
Welkom1234. Dit is dus ook niet oké, aangezien ik nu het wachtwoord van half Nederland gepubliceerd heb :+
Woah! Hoe raad je het oude wachtwoord van mijn vorige werk!? Serious
Hello2013 was het bij ons begin 2020. Je mag raden hoe vaak dat gewijzigd werd...

Edit: en voor AWS was het $aws2014! tot een paar weken geleden 😊

[Reactie gewijzigd door bramvandeperre op 22 oktober 2020 23:12]

Klopt. Is dit niet gewoon illegaal?

Misschien niet eens ego, maar gewoon proberen een verkiezing te beïnvloeden? Achteraf melden is leuk, maar je kiest niet voor niets fake news uit.
Yep, hij komt daar ook nooit het land (meer) in zonder gearresteerd te worden denk ik.
Ik vind het ook tricky. Die hele verkiezing daar is al gepolariseerd tot en met en controversiaal als wat. Dan heeft die neptweet écht wel impact.
Los van de vraag of het wel of niet ok is wat hij mogelijk gedaan heeft:
Ik volg Victor Gevers al een hele tijd op Twitter. En hij heeft daar een aantal malen een oproep gedaan om in contact te komen met Trump of zijn team. En ik ga er vanuit dat dat niet de enige manier is geweest hoe Victor contact heeft gezocht.

Gezien het feit dat Trump en/of zijn team naar aanleiding van de recente berichtgeving over zijn vorige hack hadden kunnen weten (waarschijnlijk zelfs wel wisten) dat Victor Gevers niet zomaar een scriptkiddie is, verbaast me de arrogantie waarmee ze hem genegeerd hebben.
Wachtwoord raden: oké
Tweet versturen: niet oké

Er is niets ethisch aan het ego. Als je een true ethical hacker bent, dan weet NIEMAND anders dan jij en de eigenaar van het desbetreffende account dat het gehacked (/geraden) was.
Elke andere variant is een vorm van ego. Superioriteit tonen, vermomd als moraal.
Jij noemt het ego. Ik noem het marketing.

Victor Gevers is een merk naam en die is vanaf vandaag meer waard geworden.

Simpel.
Voor mij juist minder...
Marketing inderdaad. Net zoveel waard als Rian van Rijbroek zou ik zeggen.

Dit hebben ze naar eigen zeggen op 27 oktober 2016 ook gedaan, precies twaalf dagen voor de verkiezingen op 8 november. Daar heb ik trouwens helemaal niks over kunnen vinden totdat ze daarmee kennelijk anderhalve maand geleden pas in het openbaar traden. Nu komt dezelfde persoon met vrijwel hetzelfde nieuws en eenzelfde wachtwoord, toevallig ook precies twaalf dagen voor de verkiezingen. Okee. En omdat 'ie grumpy was over geen bedankje heeft 'ie de tweede keer meer digitale bewijzen achtergelaten. Alleen van die bewijzen is in beide gevallen niks te zien, dus dat is wel apart. Alleen maar een verhaal wat op geen enkele manier te controleren is, en bovendien ontkend wordt door minimaal twee partijen. Als ik morgen een goedgelovige redactie tip dat ik met het nieuwe wachtwoord "maga2021!" binnen kon komen dan zal dat ook ontkend worden door Trump en Twitter. Ik wil het best geloven maar dan moet 'ie toch echt met iets beters komen dan een kroegverhaal.

Natuurlijk kan het waar zijn maar zelfs iemand als Trump schat ik hoger in dan dit, nog afgezien van het team wat hij om zich heen heeft. De timing en media-aandacht zijn een ethische hacker onwaardig, daar zit een politieke agenda achter en dat is heel schadelijk vlak voor verkiezingen, in een wereld waar ondertussen 95% al aan elkaar hangt van social media-waarheden. Het probleem was al opgelost, dus dit kon gewoon over de verkiezingen heen getild worden als het wereldkundig maken niet politiek gemotiveerd was.

[Reactie gewijzigd door DataGhost op 23 oktober 2020 03:20]

Wat een gelul :D

Goede Doelen geven ook bekendheid aan hun acties.
Goede Doelen geven ook bekendheid aan hun acties.
Dat is dan PR voor bijvoorbeeld meer donaties. Om nog meer goed te kunnen doen. Daar is niets moreel verwerpelijks aan.

In het geval van dit topic is het maar de vraag of het een goede daad was....
Nu.nl schrijft dat hij overwoog "Vote for Hilary!" te posten.Hij had ook kunnen posten "I have hacked this account, the President should take security more seriously". Dan was de boodschap ook over gekomen en dat had ik zelf een stuk netter gevonden.
Dit is gewoon verkiezingsmanipulatie. Hopelijk vraag FBI uitlevering.

Dat de 2020 verkiezing op zich een zootje is, is al erg genoeg. Maar dit soort beïnvloeding maakt het allemaal nog erger.

Edit: Het is niet de eerste keer dat iemand in presidentiële verkiezingstijd een hack doet. In 2008 werd Sarah Palin haar email gehackt met politieke bedoelingen. Leverde een jaar cel op: https://en.wikipedia.org/wiki/Sarah_Palin_email_hack

[Reactie gewijzigd door 87Dave op 22 oktober 2020 16:49]

Er zit een erg groot verschil in de Sarah Palin hack en dit. Deze persoon heeft direct gemeld wat er aan de hand was. Hij heeft geen informatie vrijgegeven.

Dat je hoopt dat de FBI om uitlevering vraagt zodat die opgesloten kan worden is gewoon ziek.
Er zit een erg groot verschil in de Sarah Palin hack en dit. Deze persoon heeft direct gemeld wat er aan de hand was. Hij heeft geen informatie vrijgegeven.

Dat je hoopt dat de FBI om uitlevering vraagt zodat die opgesloten kan worden is gewoon ziek.
Als hij inderdaad de The Babylon Bee tweet gedaan heeft, is daar niets onschuldig aan. Dat verhaal ging de VS en de wereld rond als negatief Trump verhaal in volle verkiezingstijd en in vol conflict tussen New York Post en Twitter over het Hunter Biden verhaal. Dit moet grondig onderzocht worden.
Vrij Nederland zegt dat er sterke aanwijzigingen zijn dat Gevers achter een beruchte tweet van de president zat. Op 16 oktober tweette de president boos over een zogenaamde beslissing van Twitter, maar het 'nieuws' kwam van de satirische nieuwssite The Babylon Bee en was niet waar. Dat nieuws haalde vrijwel alle grote media.
Je kuist de boel niet op door strategisch wat extra shit rond te strooien.
Je hebt het over een kandidaat die buitenlandse regeringen vraagt om tegenstanders te hacken, en die continu een punt maakt van Hillary Clinton's emails ook al zijn meerdere in zijn kring schuldig aan versturen van officiele emails vanaf prive-emails.

Nee, sorry, enkele schadenfreude hier, zeker voor zoiets milds als dit.

[Reactie gewijzigd door Cilph op 22 oktober 2020 17:15]

Is een wachtwoord raden überhaupt hacken?
Eigenlijk mooi om te lezen. Trump zei laatst het volgende:
Nobody gets hacked. To get hacked you need somebody with 197 IQ and he needs about 15 percent of your password.
Bron: https://twitter.com/mshelton/status/1318303047647309824

En nu wordt hij zelf weer gehackt. Aan de ene kant ook niet zo moeilijk als je kijkt naar de wachtwoorden die hij heeft gebruikt.
" Nobody gets hacked. To get hacked you need somebody with 197 IQ and he needs about 15 percent of your password."

Wat voor een Hollywood-Hacker uitspraken zijn dit nou weer.

Heeft die man ook geen 2factor aan staan?!
Vergeet niet dat heel Trumps team op dat account moet inloggen voor campagnetweets. Hij is niet de enige die er tweets mee verstuurd.

Met 2FA wordt dat toch wel wat lastiger, het is zo onhandig als je campagnemedewerker een G20 top moet onderbreken omdat de president een SMS ontvangen heeft.
Dat betwijfel ik. Ik denk eerder dat hij 2FA zelf ongemakkelijk vind en het gewoon uitzet ondanks dat zijn team het aan heeft staan. Hij is ook de enige die dit wachtwoord zou kunnen bedenken, net als het vorige youarefired. Kom op zeg, op het meest risicovolle Twitter profiel ter wereld.

1 verkeerde Tweet van een hacker en het zou de hele wereldeconomie stort in of nukes gaan vliegen als eea niet snel opgemerkt wordt.
Twitter heeft daar in tweetdeck gewoon functionaliteit voor: je kunt toegang tot je account delegeren aan andere twitter-accounts.
Als niemand hem daar bij helpt. Het is een bejaarde man en die hebben vaak niet zoveel feeling met cybersecurity. Als ik zie wat mijn ouders, toch een stukje jonger, voor wachtwoorden weten te fabriceren.... 8)7 probleem bij Trump is waarschijnlijk dat hij denkt "the most unhackable password in the history of unhacked passwords" heeft bedacht.

[Reactie gewijzigd door Hulleman op 22 oktober 2020 17:17]

Hij is dan ook gewoon een idioot. Blij dat we bijna van hem af zijn.
Dat is maar te hopen want de tegenstand is ook niet je van het.
Los van 2FA, je moet toch iets meer weten om dat wachtwoord te kunnen raden?

Ok " maga2020! " is niet al te sterk, maar zonder voorkennis -of een leak via een andere bron- ben je puur aangewezen op brute force.
Zelfs als je weet dat het "slechts" 9 characters zijn, duurt een bruto force attack ~87 jaar .

[Reactie gewijzigd door IndigoX op 22 oktober 2020 16:23]

Er zijn enorm veel manieren om dit terug te dringen, zo heeft dit wachtwoord al twee karaktereigenschappen die heel veel wachtwoorden bevatten. Het eindigt in een uitroepteken, dat is een van de meestvoorkomende speciale karakters op de meestvoorkomende plaats. een jaartal voor het uitroepteken is een ander extreem veel voorkomende eigenschap. Dan blijft er alleen nog "maga" over...
Voor 9 karakters 87 jaar?
Probeer 16 uur
https://www.security.org/how-secure-is-my-password/
Veel mensen vergeten hoeveel sneller alles geworden is.
26 letters + 10 getallen + 20 speciale karakters is 56 mogelijkheden per positie, oftewel 56^9 = 5.416.169.448.144.900 pogingen. Lokaal met een potente videokaart kun je flink doorgassen, maar met brute forcen over het internet ben je met 1.000 pogingen per seconde al best een baas. Stel je pakt een zombienetwerk met 10.000 computers die helemaal los gaan met 1.000 pogingen per seconde, dan kom je op 56^9 / 1000 pogingen per seconde / 10.000 zombies / 60 seconde /60 minuten /24 uren / 365 dagen = 17,7 jaar.
En dan hopen dat hij geen hoofdletters gebruikt, want dan wordt het 531 jaar.
En zeker met een dienst als twitter die voornamelijk mobiel gebruikt wordt (oftewel traag typen voor de gemiddelde gebruiker) kan je er makkelijk bij een mislukte inlog even een cooldown periode van 100 ms achter hangen en dan zit je nog maar op max 10 per seconde ongeacht aantal bots...

Alhoewel met 1.000 pogingen per seconde vindt ik je nog lang geen baas hoor...
Als twitter totaal niets aan extra beveiliging gedaan heeft en je niet al te veel bagger meestuurt praat je met een 9-karakter wachtwoord over 15 kb/s upload. Als je dan al een baas bent...
Allicht dat als je je best doet dat er meer uit te halen is dan 1000 per seconde, maar vergeet niet dat je voor elke poging een TCP verbinding in een nieuwe thread moet openen, een SSL verbinding op moet zetten, een HTTP request doen en wachten op response. Daar zit de bottleneck, je kunt niet zomaar je glasvezel lijntje volblaffen.

Maar voor we te diep ingaan op dit rekenvoorbeeld: dit sommetje was alleen maar om de orde van grootte aan te geven, in de praktijk zal Twitter al snel je IP blokkeren of een captcha tonen. Bottomline: 9 karakters bruteforcen is in geen enkel opzicht een realistisch scenario.
Ik denk niet dat ze bij Twitter het aantal foute wachtwoorden per ip bijhouden maar per account, een botnet gaat je dan dus niet veel helpen als je één specifiek account probeert the hacken.
En dan maar hopen dat hij zijn wachtwoord niet wijzigt..
Slaat helemaal op niets je link, Twitter laat niet toe om een miljoen keer per minuut een aanmeldpoging te doen. Na een aantal foutieve pogingen (Twitter geeft het juiste aantal niet mee) heb je een tijdelijke lock van 1u aan je been. Doe nu je berekening eens opnieuw, 5 pogingen met telkens 1u wachten tussen ..
maakt dat het dan niet heel makkelijk om iemands accounts steeds opnieuw te locken...eigenlijk veel effectiever dan binnenkomen als je iemand de mond wilt snoeren :) Vraag dit puur uit interesse dus no offence en vergeef me eventuele simpelmindedness :P
Ik neem toch aan dat Twitter het wel doorheeft als er volgas geprobeerd wordt om een account via Brute Force te hacken.
Neem die website toch maar met een korrel zout. Offline bruteforce attacks met slechte hashing (md5 bvb) kan inderdaad perfect in die tijdsklasse gekraakt worden.

Een online bruteforce (wat je in dit geval zou doen, tenzij je de gebruikersdatabank van Twitter voorhanden hebt) zal veel langer duren! Maar ook wanneer wachtwoorden goed worden gehasht (bcrypt bvb), zal je er met 16u zeker niet komen.
Los van de haalbaarheid is brute forcen nooit een optie geweest in dit geval; dat zou Twitter nooit toestaan gezien het aantal vereiste inlogpogingen. Het verbaast me eerlijk gezegd dat ze niet al stopten na vier foutieve inlogpogingen achter elkaar, voor verified account nota bene.

Nee dit is gewoon makkelijk raden, precies wat @Mant ook al zegt. Goede reseachers weten dat soort dingen ook en kunnen daarmee 'informed guesses' doen.
Dat is natuurlijk een lab scenario of waar de hashes bekend zijn. In een normale omgeving wordt je account geblokkeerd na X-pogingen met 15 minuten time-out of dergelijke, en dan zal toch echt snel wel degelijk jaren bezig moeten zijn als je niet al eerder het hele account blokkeert.
Die site kende ik nog niet. blijkt dat voor mijn wachtwoord 2 miljoen jaar nodig is.... lol (of 1 jaar door 2 miljoen computers.... beetje botnet komt er wel uit)
Lang leve fail2ban: na 3 pogingen een IP ban van 24 uur... :+

[Reactie gewijzigd door michielRB op 22 oktober 2020 18:34]

De AD meldt dat Trump MAGA2020!! als wachtwoord gebruikt voor de wifi bij campagne bijeenkomsten, zo vreemd is het niet dat je 1 uitroepteken minder neemt en kleine letters.

https://www.ad.nl/tech/ne...ik-was-ingelogd~ad167b5b/
Dat is de definitie van Hindsight Bias ;-)
Als ik je mijn vorige wachtwoord geef, en je zeg dat ik nu een nieuw heb, kan je inderdaad veronderstellen dat ze gelijkend zijn, maar dan nog is het raden naar of ze gelijkend zijn, dan wel wat er net gewijzigd is.
refers to the common tendency for people to perceive events that have already occurred as having been more predictable than they actually were before the events took place.
gaat sowieso korter zijn qua duurtijd zoals hierboven al vermeld, maar die termijn is dan ook voor het hele alfabet+tekens af te gaan van a tot ZZZZZZZZZ

Mar speciale gevallen als 4-5x dezelfde opeenvolgende letter komt heel weinig voor, meer dan 5 medeklinkers ook niet(of je wachtwoord moet toevallig angstschreeuw zijn, dan heb je er 8...)

Ook is van twitter bekend wat de voorwaarden zijn, minstens 1 hoofdletter, 1 speciaal teken...

Op deze manier blijf je de mogelijkheden verkleinen tot er maar ~25% overblijft van mogelijkheden die met 90% zekerheid werken.
Datzelfde wachtwoord (met hoofdletter M) was het wachtwoord voor de wifi van de MAGA campagnebijeenkomsten van Trump. Ik zou dat toch een stukje voorkennis willen noemen.
haha dat wachtwoord is toch te triest voor woorden. Leer de beste man op zijn minst te werken met een password manager en gegenereerde passwords. En 2FA is er niet voor niets lijkt me. Is er nou echt niemand om hem heen die hem daar op wijst?
Ik denk eerlijk gezegd dat Trump gewoon echt te eigenwijs is. Er zijn al zoveel adviseurs die de handdoek in de ring gegooid hebben omdat Trump toch gewoon lekker doet wat hij wil dat ik hier niet van sta te kijken.
Ik denk dat er vast wel op gewezen wordt (of werd en hebben ze het opgegeven) maar het zou prima kunnen dat hij het gewoon niet serieus genoeg neemt. Zal veroorzaakt worden doordat hij er gewoon de ballen van begrijpt en ook nog eens weinig aanneemt van wat anderen zeggen over onderwerpen die hij zelf niet begrijpt.
Het is iemand die ruim in de 70 is, die mentaal niet helemaal meer alles op een rijtje heeft en die het kunnen onthouden van 5 woorden ("person woman man camera tv") als een grootste prestatie ziet. Zaken als complexe wachtwoorden en 2FA zijn simpelweg een paar stappen te ver.
Snap niet dat je gedownvote wordt, dit is naar mijn mening precies wat hier aan de hand is.
(Te) Machtig persoon die al niet zo naar adviseurs wil luisteren, daarnaast aan de leeftijd is en zegt dat hij heel goed met "the cyber" is.

(En naar mijn mening het inderdaad niet helemaal op een rijtje heeft)
Hij weet anders wel vrede te laten stichten tussen Israel en landen in het midden-oosten...
Inmiddels heeft Gevers contact gehad met de Amerikaanse Secret Service en zou de kwetsbaarheid gedicht zijn
Wat zou de Secret Service tegen hem gezegd kunnen hebben? Ik neem aan dat zij niet mild zijn voor (ethische) hackers wanneer zij bij gevoelige informatie zoals DM's kunnen komen.
Volgens de Volkskrant waar dit ook geplaatst is ging dat als volgt:
Twee dagen later krijgt hij ’s avonds een mail van de Amerikaanse Secret Service. ‘Vriendelijk. Ze waren geïnteresseerd in mijn informatie. Ik heb ze alles doorgestuurd.’ Op dinsdag spreken ze elkaar digitaal. Ze bedanken Gevers en zeggen hem dat het beveiligingslek bij hen onbekend was.
Viel dus wel mee :)
Voorlopig. Hopelijk krijgt hij binnenkort geen uitleveringsbevel op de mat ;)
Eerder 'Black SUV's' of 'Black helicopters' voor de deur... ;)
Ben benieuwd of hij ook zovel lef heeft om zoiets bij Poetin te doen. Denk dat er binnen 1 dag een mannetje van de FSB zijn cola komt spiken met een vergifje..
Aha! Dat valt inderdaad wel mee. Thanks!
Lees ik het artkel nou verkeerd, of is er geen enkel bewijs dat dit gebeurt is? De tweet is nog steeds online, de hacker zegt niet of hij die tweet heeft geplaatst, het wachtwoord werkt nu niet meer, en geen vertrouwde derde partij lijkt het te kunnen bevestigen (bijv. als hij aan 'Vrij Nederland' van te voren had verteld wat hij ging doen).
Vrij Nederland en inmiddels ook de Volkskrant en RTL hebben bewijs gezien dat hij binnen is geweest. Maar die informatie kan niet gepubliceerd worden want dat is wat te gevaarlijk.
Verwijs je nu naar de stelling
quote: Vrij Nederland
Dat Gevers toegang had tot de account van de Amerikaanse president blijkt uit screenshots die zijn ingezien door Vrij Nederland.
Of mis ik iets? Want onverifieerbare screenshots zijn erg makkelijk te maken.

Niet dat het noodzakelijk onwaar is, maar het voelt allemaal erg 'zwak'.

[Reactie gewijzigd door David Mulder op 22 oktober 2020 17:22]

Niet dat het noodzakelijk onwaar is, maar het voelt allemaal erg 'zwak'.
Dit soort dingen wil je ook niet hard gaan maken als je een beetje verstand in je hoofd hebt zitten...

Voor hetzelfde geld vat Trump het persoonlijk op en verklaart die je even tot staatsvijand nr 1.
Dan heb je de rest van je leven een uitdaging op allerlei gebieden...
Als het waar is, dan is het extreem makkelijk om voor de Amerikaanse overheid om te zien dat het waar is (er is een tweet vanuit een onbekende locatie geplaatst). Dus wel een tweet plaatsen, publiek op je twitter beweren dat je dat gedaan hebt, maar geen bewijs ervoor hebben... is vreemd.

Zie trouwens ook m'n laatste reactie op https://gathering.tweaker...message/64324640#64324640
Onzin. Het (de facto, maar niet logische) bewijs is de betrouwbaarheid van deze partijen. Als werkelijk altijd bronnen vrijgegeven moesten worden, bestaan anonieme klokkenluiders ook niet meer.

[Reactie gewijzigd door Cilph op 22 oktober 2020 17:25]

VN en Volkskrant wil ik nog wel het voordeel van de twijfel geven, maar RTL ken ik geen betrouwbaarheid toe. Dat is net zoiets als zeggen dat je de Telegraaf wel vertrouwt...
Nou, nee, want in dit land is iedereen onschuldig totdat het tegendeel bewezen is. Jij bent vrij deze kranten niet te geloven, maar het argument dat ze werkelijk altijd het bewijs moeten delen is kul. Genoeg situaties waarin dat gewoon niet aanvaardbaar is.
haha Trump fans worden helemaal gek nu hij zich weer zo belachelijk heeft gemaakt. Nu moeten er bewijzen zijn maar voor alle leugens van Trump zijn geen bewijzen nodog.
"Het is fake news want het is onwaarschijnlijk" is je hele argument. Wat als 2FA uit stond? Het stond in 2016 uit. Waarom nu niet weer.
Ik mis je logica hier. Dat iets onwaarschijnlijk is maakt het geen fake nieuws. Onwaarschijnlijke dingen gebeuren elke dag. Verified accounts hebben ook geen extra limitaties zoals dat 2FA verplicht is, en Trump is nou niet echt de grote tech specialist.
Ik betwijfel of dit hele verhaal klopt en daarom zeg ik dat het waarschijnlijk fake news is 🤦🏼‍♂️
Dat je het betwijfelt is helemaal goed. De redenen die je geeft raken echter kant noch wal.

Er zijn al vaker zorgen geuit om Trump zijn Twitter gewoontes, aangezien die aanbevelingen naast zich neer legt over veiligheid. Daarmee is het niet vreemd dat dit heel goed kan kloppen.

[Reactie gewijzigd door lagonas op 22 oktober 2020 20:40]

Kan iemand uitleggen wat er precies ethisch is aan het publiceren van het wachtwoord van een gehacked account, en dat wellicht ook voor andere accounts gebruikt wordt?
Ten eerste is het account al aangepast, zoals in het artikel te lezen valt. En het hergebruiken van passwords is een nog grotere zonde.

Snap ook serieus niet dat er niemand in zijn team zit, die dit checkt. Ik ga er toch van uit dat het team van Trump (cyber)security experts aan boord heeft (of schat ik het nu iets te hoog in?!?).
Ik denk dat er een verschil is tussen @RealDonaldTrump en @POTUS. De eerste is zijn prive account.
RealDonald wordt als officiële communicatie gezien, is voor de rechter geweest.

https://www.metronieuws.n...iet-blokkeren-op-twitter/
Hij gebruikt zijn "prive" account voor politieke statements en uitingen en dat vormt daarmee een groot onderdeel van de verkiezingscampagne, als je het mij vraagt. Dus ik zou zeker verwachten (of hopen) dat het team zich ook met dit account bemoeit.
Je zou het verwachten. De Nederlandse ministers, laten wel hun prive acounts beheren door ambtenaren.
Zelfs als dat zo is, kun je nog steeds ingewikkelde wachtwoorden gebruiken en die dan via pakweg Lastpass beschikbaar maken voor het team.

Two-factor authentication is dan al iets minder nodig maar eigenlijk nog altijd belangrijk.
Dat gebeurt ook wel degelijk en je kan het goed zien dat zijn campagne-team ook berichten post op het account.
Ten eerste zie je het aan het taalgebruik en het gebrek aan hoofdletters in tweets van campagne-medewerkers.
Ten tweede worden tweets die veel stof doen opwaaien vaak snel begraven onder een lading re-tweets van andere beleidsbepalers en/of minder schokkende berichten.
@RealDdonaldTrump gebruikt hij zelf. @POTUS wordt door zijn staf gebruikt om de rotzooi recht te breien die hij zelf de wereld inslingert.
Ik vrees dat Trump zich helemaal niet aan regels houdt.

Trump vindt dat hij altijd en overal boven alles en iedereen staat. Zo krijg je wat je zoekt: telefoongesprekken met wereldleiders waar hij totaal onvoorbereid staatsgeheimen prijsgeeft of zich in de luren laat leggen, corona... of een gehackt account.

Allemaal symptomen van éénzelfde probleem. Allemaal gedrag een president compleet onwaardig.
Hij heeft ook geen enkel beleidsplan. Er staat kennelijk niets op papier. De invoerrechten waar hij het tijdens de verkiezingscampagne over had was hij totaal vergeten totdat een journalist er na anderhalf jaar naar vroeg.
Hij ontslaat adviseurs die hun werk serieus nemen, daarom zit er niemand in zijn team die zulke dingen checkt.
Dat ie dit doet nadat het probleem opgelost is. Dan mag je disclosen wat er gebeurd is.
Behalve dat het wachtwoord ergens anders gebruikt kan worden, en Trump slechts het wachtwoord heeft gewijzigd van z'n Twitter, maar niet van andere diensten. Lijkt me wel een type persoon die dat wachtwoord voor alles gebruikt waar ie kan brullen.
Het zou kunnen dat ze uitsluitend het Twitter wachtwoord hebben aangepast, maar dat is wel een flinke aanname nietwaar? Uiteindelijk heeft de Secret Service dit opgepakt en ervoor gezorgd dat het wachtwoord aangepast werd.

Tenzij de Secret Service net zo'n slap wachtwoord beleid heet als Trump zelf, vermoed ik dat zij ook zijn ándere diensten wel bij langs zijn gegaan :) Het is niet onmogelijk hoor, maar het lijkt me stug dat ze niet de rest ook bekeken hebben. De Secret Service weet volgens mij wel wat ze doen of anders de/het CERT wel.
Volgens mij is de Secret Service helemaal niet verantwoordelijk hiervoor. Trump houdt zich namelijk niet aan bestaand beleid, dat beleid wordt aangepast aan hem. En hij of zijn staff is altijd verantwoordelijk geweest voor zijn digitale accounts.
Dat zal misschien wel, ik bedoelde dat meer op het feit dat de Secret Service de afhandeling van de melding van het lek gedaan lijkt te hebben. Of zij nu wel of niet verantwoordelijk zijn ervoor is een tweede, misschien is daar inderdaad wel een andere overheidsdienst voor. Maar als het om beveiliging gaat dan zou ik daar eenzelfde niveau van verwachten :)
Bij Obama zou ik het met je eens zijn geweest, maar Trump's digitale veiligheid is net zo geavanceerd als de rest van anything Trump: simpel & whatever Trump wil. Daarom slaapt of sliep hij vaak in zijn eigen gebouw en moest de Secret Service daar enorm veel voor kamers voor agenten betalen. Tenzij het hem actief geld oplevert zal hij niet naar een of andere bureaucratische nerd luisteren en als die irritant genoeg is zal hij hem vast ontslaan. :9
Als hij dit wachtwoord vaker gebruikt met 1FA, dan verdient hij het om op zijn bek te gaan. Door dit simpele wachtwoord te publiceren dwing je de staf rond Trump om hier aandacht aan te besteden (ervan uitgaande dat hij zelf overal schijt aan heeft).
Tja je hebt natuurlijk gelijk, maar je kan je afvragen of dat de verantwoordelijkheid van deze hacker is.

Van een Amerikaanse president zou je natuurlijk sowieso moeten verwachten dat de beveiliging op orde is, en als deze er dan nog meermaals op gewezen dat zijn account makkelijk te kraken is zou ik zeggen dat het niet meer aan de hackers is om ervoor te zorgen dat meneertje z'n wachtwoorden overal heeft gereset, als deze al overal gelijk zijn (waar ik me net als jij inderdaad niet over zou verbazen).

Moeten we deze knakker nou echt zo voorzichtig behandelen omdat hij weigert zijn baan en persoonlijke (alsook landelijke) veiligheid serieus te nemen?
Het is absoluut geen waardeoordeel en dat jij dat uit mijn reactie haalt vind ik wel bijzonder.

Deze man is 74 jaar oud. Hij is president van de Verenigde Staten, wat een enorme verantwoordelijkheid met zich meebrengt. Hij heeft een team van adviseurs om zich heen die hem dit allemaal haarfijn kunnen uitleggen.

Als dan meneer na 4 jaar nog steeds zijn beveiliging niet op orde heeft dan is dat niet de verantwoordelijkheid van mensen die deze "beveiliging" weten te "omzeilen", maar dan is dat toch echt op meneertje zelf.

Bovendien snap ik niet wat je precies bedoelt met "een waardeoordeel op Trump komt eind dit jaar". Los van het feit dat mijn mening over hem hier niet toedoet, vraag ik me af of je hiermee bedoelt dat ik geen mening over de beste man zou mogen hebben?

Nogmaals, beveiliging van zijn accounts is zijn verantwoordelijkheid als president van de VS. Als hij daar al zo laks in is, en na 4 jaar nog steeds weigert zijn accounts goed te beveiligen, dan is de president van de VS, zou ik zeggen, niet verantwoordelijk bezig. Of de beste man in het Witte huis nou Democraat, Republikein, wit, zwart, of oranje is.
Uit niets blijkt dat het probleem is opgelost, behalve zijn eigen beweringen. Inmiddels hebben zowel het Witte Huis als Twitter dit formeel ontkend.

En sowieso, een hacker die niet alleen het wachtwoord rondbazuint, maar ook suggereert dat hij heeft lopen knoeien door berichten te plaatsen? Ik blijf het bizar vinden dat je dit soort gedrag als 'ethisch' kwalificeert.
Verschil tussen een ethisch hacker en een blackhat is dat blackhats deze informatie te koop zetten voor de hoogste bieder, en een ethisch hacker stelt de "gehackte" (als je dit al hacken kan noemen) op de hoogte en geeft de gegevens pas vrij op het moment dat het probleem is opgelost.
Als ik e.e.a zo lees, is er goed contact geweest met veiligheidsdiensten. Het zou best kunnen dat er toestemming gegeven is om op een bepaald moment het betreffende wachtwoord openbaar te maken.

Als die toestemming er is, dan is het ethisch.
Eerder uitleggen wat er helemaal 'gehackt' is aan het goed raden van een brak wachtwoord.
Je zou zeggen dat Twitter ondertussen voor verified accounts gewoon 2FA verplicht zou moeten stellen.
Of iets beters verwacht dan 9 tekens en geen hoofdletters....
Het kan erger. Ik liet Safari (Mac en iOS) laatst zelf een wachtwoord genereren (belachelijk wachtwoord met streepjes ertussen zoals bijv. een serienummer maar dan alfanumeriek), en die werd door Tele2 niet geaccepteerd. Zelfs eerder een dienst meegemaakt die aangaf dat het wachtwoord te lang was. Idioterie.
Ik kom dat ook steeds vaker tegen, een limiet op de lengte van je wachtwoord.
Het zou van mij per wet verboden mogen worden, het hinderen van gebruikers om een goed wachtwoord te gebruiken.
Ja, of dat je het wachtwoord 2x moet invoeren bij aanmaken/wijzigen. En de tweede keer niet mag copy/paste. Handig met een volstrekt willekeurig wachtwoord van 24 karakters via een wachtwoordmanager.
Voor dat laatste is deze add-on gemaakt: https://addons.mozilla.or...on/don-t-fuck-with-paste/

Geeft altijd een goed gevoel om die saboteurs te slim af te zijn :)
Recent kreeg de Belfius app een update.. Je mag geen eigen (sterk) wachtwoord meer gebruiken, is nu een pin code van 5 getallen.. Stond netjes de melding bij van 'even veilig!'

Hier doen ze dus speciaal moeite om sterke wachtwoorden onmogelijk te maken...
ing heeft dat nog steeds, evenals bol.com
Bij de ING mag je bovendien een hoop tekens niet gebruiken, maar welke dat zijn staat niet op de pagina waar je het nieuwe wachtwoord invoert.
Oh dat haat ik zo, welke lamers maken dat.
shgd537
*MININMAAL 1 HOOFDLETTER.

ok.. dan Shgd537
*MININMAAL 10 TEKENS

zucht.. ok doen we Shgd537kuy
*WACHTWOORD MOET MINSTENS 1 LEESTEKEN BEVATTEN

Zucht, wil ik dit account wel?!? Proberen we Shgd537kuy%
* GELDIGE LEESTEKENS ZIJN !@#$^&*

DOEI! ALT-F4
en zeker bij de POTUS
Toen ik bij een overheidsorganisatie begon te werken, kreeg ik ook een wachtwoord van maximaal 8 karakters. Ze zijn nu nog steeds bezig met de migratie naar wachtwoorden van 12 tekens en langer. Bij die 8 tekens hadden ze ook een houdbaarheid van 28 dagen ingesteld. Zo vaak vervangen garandeert ook dat men redelijk makkelijk te raden wachtwoorden gaat gebruiken. Zeker als je het in meerdere systemen moet invullen als login.
Wij zijn pas ook gemigreerd naar een systeem waarin je met regelmaat (ok, 3 maanden) je wachtwoord moet wijzigen. Gevolg : ik zie overal briefjes met wachtwoorden op monitors hangen. En zelf inderdaad een opeenvolgende nummering in mijn wachtwoord...
Snap idd niet waarom 2FA (niet alleen voor Twitter) gewoon een verplichting is voor bedrijven en overheids kop stukken.

Daar bij mogen ze ook overstappen naar het gebruik van password manager...
Stel je voor dat ze Trump boos maken daarmee en hij hun website niet gebruikt…
Wat ik wel erg bijzonder vind aan dit verhaal is dat hij de enige persoon is, die het wachtwoord heeft geraden. Aangezien het de president is van Amerika, denk ik dat er vele meer pogingen gedaan worden om binnen te komen in dit account (aanname). Het wachtwoord is zeer zwak en daarom verbaasd het me wel, dat het anderen niet gelukt is. Er zijn voldoende partijen, die met dit account veel schade zouden kunnen aanrichten bijvoorbeeld.
Ik ga er stilletjes vanuit dat andere entiteiten ook al toegang hadden, maar er bewust niets mee gedaan hadden. Veel beter 1 keer goed gebruiken voor je eigen doeleinden dan het direct in te zetten. Zodra een partij een dergelijke ingang gebruikt voor eigen belang, weten ze ook dat direct daarna die toegang weg is.
Wie zegt dat hij de enige is? Misschien zijn er mensen die al 2 jaar lang meelezen met zijn DM's, zonder verder sporen achter te laten. Zat partijen voor wie dat interessanter is dan een Babylon Bee-tweet versturen lijkt me.
Tsja, als je met dit wachtwoord ook in zijn andere accounts kunt komen ga je dat natuurlijk niet van de daken roepen.
Inderdaad.
Je gaat je zelfs afvragen of het wel echt waar is dat dat het wachtwoord was. Of dat dit beweerd word om Trumps campagne team dom te laten lijken?
If it sounds too good to be true...
Je gaat je, evenals in 2016, zelfs afvragen of er überhaupt een hack plaats heeft gevonden.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True