Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OM verhoort hacker Victor Gevers die Twitter-account van Donald Trump binnenkwam

Het Openbaar Ministerie doet onderzoek naar ethisch hacker Victor Gevers, die vorige maand het Twitter-account van Donald Trump zou zijn binnengedrongen. Gevers is verhoord door de politie. Hij is geen verdachte, maar het OM wil onderzoeken of er iets strafbaars is gebeurd.

Het OM bevestigt dat het onderzoek doet naar de whitehat-hacker Gevers. Het onderzoek kijkt in de eerste plaats of de 'hack' wel heeft plaatsgevonden, maar ook of dat eventueel strafbaar is. Inloggen op accounts van andere personen zonder toestemming is strafbaar, ook als het wachtwoord bekend is of geraden kan worden. Er zijn echter wel uitzonderingen op die regel, bijvoorbeeld om een slechte beveiliging aan te tonen als ethisch hacker. Het is ook niet de eerste keer dat Gevers voor zijn werk is verhoord door de politie. "Bijvoorbeeld als het gaat over dreigingen uit de VS en China", zegt hij tegen Tweakers. "De onderzoeken die ik soms deel, kunnen wel politiek gevoelig liggen."

Gevers is verhoord door het Team High Tech Crime van de politie. Hij nam vrijwillig deel aan het getuigenverhoor, zegt hij. "Er staat ook veel op het spel. Coordinated vulnerability disclosure is een serieuze aangelegenheid en het zal altijd toetsbaar moeten zijn dat de handelingen zijn uitgevoerd met de beste intenties die een maatschappelijk belang dienen", zegt hij. Gevers is op dit moment geen verdachte, zegt het OM.

Victor Gevers is een ethisch hacker die vorige maand naar eigen zeggen wist in te breken op het account van de Amerikaanse president Donald Trump. Dat zou hij hebben gedaan door het wachtwoord, maga2020!, simpelweg te hebben geraden. Gevers zegt dat hij zo af en toe probeert de beveiliging van dergelijke accounts te testen en daarbij eigenlijk bij toeval in het account terechtkwam. Hoewel hij nog geen bewijs heeft aangeleverd dat hij in het account is gekomen, heeft Gevers een lange staat van dienst als ethisch hacker. Hij gaf zijn bevindingen door aan de Amerikaanse Secret Service, die het 'lek' inmiddels gedicht zou hebben.

Door Tijs Hofmans

Redacteur privacy & security

20-11-2020 • 14:26

127 Linkedin

Reacties (127)

Wijzig sortering
Niet rechtstreeks, maar waarschijnlijk wel uit zijn eigen al dan niet reactie als het onderzoek is afgelopen, and he loves the media.
De hacker in kwestie is bekend en gerespecteerd voor zijn werk in de community, de kans dat hij dit verzonnen zou hebben acht ik nihil.
Precies. Eerst maar de feiten boven tafel. Op dit moment zitten er teveel tegenstrijdigheden in het verhaal van de ethisch hacker.
Trump’s account kan je helemaal niet op inloggen met enkel een wachtwoord, et cetera.
Maar hoe speciaal is die account van Trump dan? Of is het de gewone beveiliging die wij ook hebben want dan kan ik me wel voorstellen dat Trump dat uitschakelt want die zal dan wel veel SMS krijgen over zijn account
Twitter zegt ook geen vreemde activiteit te hebben gezien
Uhm ?

Als er eens iets normaal op Trump zijn twitter gepost zou zijn, dan zou dat eigenlijk een "vreemde" tweet zijn :)
Hehe :P Ja vreemde activiteit vanuit beveiligingsoogpunt hé. ;) Dus geen logins vanaf onbekende IP’s, onbekende sessie, omzeilen van 2FA, etc. :)
Ik ben het met je eens dat een tweet plaatsen, vooral gezien de omstandigheden (high-profile user, misleidend artiekel) in het beste geval grijs gebied is. Dus m.i. is de kritiek die Gevers hierop krijgt zeker verdient.

Maar dan heb ik een serieuze vraag: hoe zou dit wél aanpakken? Mij dunkt dat je soms witte voetjes wil achterlaten zodat je kan bewijzen dat je toegang hebt gehad. Het is nl. belangrijk dat het "doelwit" je serieus neemt en actie ondernemen. (het uiteidelijke doel van een etische/whitehat hacker)

[Reactie gewijzigd door RaptorGsus op 23 november 2020 11:34]

Juridisch gezien is de man onschuldig totdat deze de rechterlijke macht is veroordeeld.

Helaas voor deze mijnheer is de scheidingslijn tussen een ethische en niet-ethische(?) hacker niet afhankelijk van een rechterlijke uitspraak.
Damn -pun intended- .. maar goed dat ik even een search op 'hell' deed.
Ik had hem al uitgetypt :)
Wie herinnerd zich niet de film wargames.
- Joshua: Shall we play a game?
- David: Oh!
- Jennifer: I think it missed him.
- David: Yeah. Weird isn't it? Love to. How about Global Thermonuclear War.
- Joshua (computer): Wouldn't you prefer a nice game of chess?
- David: Later. Right now lets play Global Thermonuclear War.
- Joshua: Fine.

Voor je het weet ligt alles in de as.
In de krant van vandaag staat dat hij geen tweets heeft verstuurd omdat dat onethisch zou zijn geweest. Dus uit welke bron haal jij dat dit wel gebeurd is? @WhatsappHack tot nu toe lijkt er dus helemaal geen sprake te zijn van misbruik

[Reactie gewijzigd door Eustace op 21 november 2020 10:52]

Ff serieus. :P Je reageert op een post waarin ik aangeef dat een van de bronnen het artikel is waar naar gelinkt wordt in dit nieuwsbericht. En dan stel je alsnog de vraag wat de bron is...? :+ Dan heb je dus het artikel niet gelezen, het bronartikel niet gelezen én/of mijn reactie(s) niet gelezen. :P Kom op hee, ff op die link klikken is toch niet teveel gevraagd...? ;) Overigens, nogmaals even voor de zekerheid: ik haal helemaal nergens vandaan DAT het daadwerkelijk gebeurd is; die conclusie kan niet getrokken worden. Nergens heb ik gezegd dat dit feitelijk ook heeft plaatsgevonden (sterker nog, ik heb het eerder juist tegengesproken omdat ik niet geloof dat er überhaupt iets gehackt is.) Er is enkel de suggestie gewekt door VN en dhr. Gevers zelf (zie bron zoals vermeld ;)) dat dit gebeurd zou zijn. En ik reageer daarop enkel met een mening over wat ik er van vind ALS dat daadwerkelijk heeft plaatsgevonden. Heel simpel. :)

Interessant dat dat vandaag in de krant staat trouwens, dat zou dan de zoveelste tegenstrijdigheid zijn als dat zo is. Hij doet er dan in elk geval alles aan om ongeloofwaardig over te komen. :P Misschien een juridische strategie, dat zou slim zijn; zoveel twijfel zaaien dat niemand nog kan zien wat wel en niet waar is; en dan is de chaos hier ook precies wat ie wil (ironisch genoeg is dat ook het doel als het een trollactie is.). Wel mogelijk slecht voor je credibility in de toekomst, maar dat is misschien beter dan risico lopen op eventuele vervolging. :) Al loopt hij dan nu misschien wel risico om vervolgd te worden voor smaad/laster, maar daarvoor moet er eerst een aangifte zijn en het lijkt me stug dat die er gaat komen; ze hebben wel wat anders aan hun hoofd in de VS. En misschien is het geen juridische strategie, maar gewoon voor de zekerheid iets minder cool doen met die vage insinuaties ten einde gezeik te voorkomen. :) Joost mag het weten. En wij zullen ‘t waarschijnlijk nooit zeker weten en moeten ‘t doen met wat we wel hebben... En dat is niets behalve zijn woord, eigenlijk. En daar kunnen we ook moeilijk op vertrouwen blijkbaar. :P

[Reactie gewijzigd door WhatsappHack op 22 november 2020 07:04]

Ik volg Gevers nu al een tijdje. Ik vind dat die goed werk doet.
Ik zou niet weten waarom hij zijn reputatie te grabbel zou gooien, voor een fake hack op een twitter account.

Als hij het kan, hadden andere het ook kunnen doen met veel meer gevolgen.
Ik persoonlijk vind dat die het netjes heeft gedaan.
Mwah. Als het gewoon een leuke grap is zie ik niet in waarom dat een probleem zou moeten zijn voor zijn reputatie... Alleen is het door laten etteren van de situatie niet zo slim. Geef dan duidelijkheid.

Maar zoals ik al zei. Ik ga uit van een hoax. De eerste vermeende keer was er geen bewijs. Nu weer niet en is er niets gedaan met eerdere feedback. Daarnaast klopt het verhaal niet en spreekt ie zichzelf op Twitter een paar keer tegen. Vervolgens geeft ook Twitter aan dat er geen login heeft plaatsgevonden en dat account beschermd is dus er ook wel meer nodig zou zijn dan enkel een wachtwoord raden.

Het kan nog zo zijn dat ie t wel gedaan heeft en uit angst voor represailles expres supervaag er alles aan doet om enorm ongeloofwaardig over te komen; maar had het dan anoniem gedaan ipv expres aandacht zoeken. En ga dan al helemaal niet zinspelen op misbruik maken van je toegang door te tweeten, want dan krijg je geheid het OM achter je reet aan ja... Afijn.
Je kent meneer Trump? Zonder hard bewijs is hij heel goed in het volgende: stellig ontkennen. Vervolgens is er wel bewijs, maar dan is de hype al weer voorbij. Een kleine cameo kan je dan krediet geven. Is het netjes? Nee, dat is het niet. Is het ernstig? Ook niet. Onder ernstig versta ik toch iets met ietsje meer impact. Maar ja, makkelijk praten vanuit de zijlijn. De beste stuurlui staan aan wal.
Probleem is, Trump heeft in de wereld nou niet de schoonheidsprijs van integriteit verdient.

Gevers is een ethische hacker die wel krediet heeft.

Klopt, die geloof ik eerder dan een narcistische psychopaat.

Dat is het grote verschil, en dat is ook denk ik de reden dat een journalist als @Tijs Hofmans het verhaal heeft gepubliceerd.

Poging tot moord is nog steeds een vergrijp dat vele malen erger is dan deze tweet. Een poging tot moord kan voor het slachtoffer (want die is er) ook als zeer traumatisch ervaren worden.
Ik neem aan dat je als ethisch Hacker genoeg bewijslast meeneemt als je dit doet en lukt ( ter vb even simpel een screenshot(s) waar alleen de accountgebruiker kan komen is gauw gemaakt maar er zijn tig andere niet nader te noemen methodieken denk ik ), dat wil niet zeggen dat hij dat ter beschikking heeft gesteld toen. Diezelfde bewijslast kan in dit geval mogelijk ook ter bescherming van de hacker dienen of zie ik dat verkeerd? Als het een hoax was zullen we het te weten komen?.
Denk niet dat er veel bescherming nodig is. Twitter heeft immers al gezegd dat er volgens hun systemen helemaal geen (foreign) inlog heeft plaatsgevonden noch dat er getweet is door een third-party. Dus dat er een hack heeft plaatsgevonden is al uiterst twijfelachtig, laat staan dat hij ermee getweet heeft. Twitter zegt gewoon keihard: nope, er heeft helemaal geen hack plaatsgevonden. En even om een beeld te schetsen waarom dat best een belangrijk gegeven is: Twitter heeft het wél direct toegegeven en is uitgebreid door het stof gegaan toen een stel medewerkers misbruik hadden gemaakt van hun toegang en o.a. met Trump's account hebben lopen kloten. En dan zouden ze er opeens over gaan liegen als het om een (illegale, volgens VS begrippen) hack door een derde partij zou gaan die ook nog eens enkel plaats heeft kunnen vinden doordat er vermeend gebruik werd gemaakt van een super zwak wachtwoord; iets waar Twitter dan helemaal niets aan zou kunnen doen...? Iets dat totaal niet hun schuld is zouden ze niet toegeven, maar een interne "hack" door medewerkers dat wel hun schuld is wel? :P Nee, dat klinkt niet plausibel... Ik denk dat Twitter geen enkele reden heeft om te liegen hierover en dat het dus gewoon klopt: ik denk dat er absoluut geen hack heeft plaatsgevonden. Tweakers' redactie denkt daar trouwens anders over geloof ik, die hechten er niet veel waarde aan dat Twitter ontkent en blijven enkel hameren op een reputatie... Afijn.

Het probleem is wel dat als dat inderdaad zo is en er dus geen hack heeft plaatsgevonden (waar het heel erg sterk op lijkt), het hele verhaal dan een grote grap is. De vraag is dan of je, door het niet terug te trekken toen je zag dat het uit de klauwen liep (TV-uitzendingen en alles), niet te ver bent gegaan met in het achterhoofd houden dat men hem vertrouwd door een opgebouwde reputatie... Afijn.

Maar goed. Stel dat die hack wel heeft plaatsgevonden en Twitter dus liegt en Gevers toch niet die tweet heeft gestuurd: dan is er helaas alsnog werkelijk nul komma nul bewijs dat die hack heeft plaatsgevonden. Er is nog altijd veel meer bewijs te vinden dat het NIET gehackt is dan wel; en daarmee kunnen we deze saga hopelijk naar het rijk der fabelen verwijzen. Maar goed, we wachten af of er misschien toch nog bewijs boven tafel komt; en als dat zo is: dan mag Twitter zich verantwoorden en ik een mea culpa posten. (Al is het eigenlijk niet mijn fout in dat geval, moet men maar niet zo f-ing vaag doen en gewoon met bewijs op de proppen komen. ;))

Ik vrees echter dat we nooit te weten zullen komen of het nou echt definitief een hoax was of niet, maar voor nu heeft het daar alle schijn van en ga ik daar persoonlijk ook vanuit.

[Reactie gewijzigd door WhatsappHack op 22 november 2020 06:24]

Hoe kan je nu de conclusie maken dat als je ingelogd hebt op het account en je doel is aantonen dat er een probleem is, dat je ook de conclusie maakt dat er inhoudelijk misbruik gemaakt wordt door te tweeten vanuit Trump. Ik krijg eerder het idee dat je zelf dat wel erg gaaf en spannend had geleken om met dat account te spelen. Dit geeft meer iets aan over jou eigen denkpatroon dat als je inlogt je dus ook automatisch dan iets stouts moet hebben gedaan. Dat iemand tijdig stopt met de fout in gaan, naast aan tonen is jou compleet wereld vreemd.

Zie het vonnis aan de heer Krol in de Diagnostiek voor U zaak. Daar is aangegeven door de rechter waar de grens ligt. Wat nu als Victor aan de goede kant van de grens blijft? Als dat zo is, dan heeft hij het wel aangetoond, is het probleem een feit, maar is er geen misbruik ontstaan als gevolg van het aantonen van een probleem.
volgens Trump is het allemaal ''Fake News'' waarom wordt die dan alsnog verhoordt? Ondanks dat die er mee pronkte. Hij wou gewoon wat aandacht. Maar om hem daar voor te straffen? Tenslotte heeft heertje Trump het niet bij de goede eind.
Als het niet is gebeurd, dan is er geen straf nodig lijkt me. Voor satire en/of fake news kan je naar mijn weten niet vervolgd worden. ;)

[Reactie gewijzigd door WhatsappHack op 20 november 2020 16:22]

Met die logica is iedere klokkeluider die vertrouwelijke informatie vrijgeeft aan de pers ook een crimineel.

Ik denk dat je te ideologisch en zero-tolerance aan het denken bent.
Hmmm nee dat vind ik toch iets te kort door de bocht. Zo kan ik ook omgekeerd gaan redeneren: als ik een bank beroof en ik schiet maar 1 van de 20 gijzelaars dood en laat de rest leven, dan ben ik een ethische bankrover geweest want heb de rest laten leven, ja toch? ;) Een wat absurde vergelijking, maar om het even in perspectief te plaatsen. :) Ik denk dat klokkenluiden en *onnodig misbruik maken van een account* een heel groot verschil is. Bij een klokkenluider is het veelal niet onnodig, maar juist noodzakelijk. In dit geval, als we mogen geloven dat er een tweet is verstuurd met het gehackte account, zou dat wél onnodig zijn. Immers waren er tal van manieren om de hack aan te tonen zonder op deze manier het account te misbruiken en te proberen verkiezingen te beïnvloeden. Dat is iets anders dan klokkenluiden, ik hoop dat we het daar wel over eens kunnen zijn. :) Klokkenluiders moeten juist beschermd worden!

Als je een white-hat ethische hacker bent, dan ga je niet kloten met een account. Dat is namelijk wat de term inhoudt... Het is letterlijk onderdeel van de betekenis. Ga je wel kloten, dan ben je een gray of black hat, geen white hat. Dat is gewoon een feit en draait puur om de betekenis van het woord, geen ideologie. ;) Je kan niet “een beetje ethisch zijn” of “ethisch bij gelegenheid” als het op een white-hat aankomt. Dat kan enkel bij gray/black. Zodra je misbruikt maakt van de toegang, kan er geen sprake meer zijn van een white-hat operatie.

Overigens is het inbreken zelf al strafbaar, maar wordt vaak genegeerd als je er geen misbruik van maakt en je aan responsible disclosure houdt. Maak je er misbruik van, dan ben je helaas potentieel strafbaar. Dat is de wet nu eenmaal en ook dat heeft niets te maken met ideologie. :) Vanuit mijn oogpunt verre van zelfs, want ik vind dat die wetten beter opgesteld moeten worden dan nu zodat daadwerkelijk ethische hackers meer bescherming genieten om een maatschappelijke rol te vervullen. Maar het grote probleem daarmee is: dan kan iedereen die inbreekt met slechte intenties maar het niet voor elkaar krijgt om bijv iets te jatten gewoon claimen dat ze bezig waren met een pentest. En hoe los je dat dan op...? Dat zijn erg moeilijke vraagstukken. Wellicht zou een wet die bedrijven verplicht (een aantal) white-hats toe te staan (onder supervisie) uitkomst bieden. Who knows. :) Dat is mijn ideologie... ;)

[Reactie gewijzigd door WhatsappHack op 22 november 2020 06:29]

Je vergelijkt het 'hacken' van een twitter account met het vermoorden van mensen en het plegen van een bank overval, ik denk dat je compleet doorschiet met je vergelijkingen.

Hij heeft een satirische post geplaatst waar geen consequenties aan hingen. Ja, een dm naar media sturen was ethischer geweest. Echter is het posten van een satirische post door iederéén te verifiëren. Helaas is dit echter zo onhandig gedaan dat nu de 'hack' zelf in twijfel getrokken word.

Eenmalig inbreken en het een pentest noemen gaat idd niet op. Dat is de rede dat je een reputatie op moet bouwen waarin duidelijk is dat je echt geen kwade bedoelingen hebt, bv door vaker ethisch in te breken en de bevindingen netjes door te sturen, door het in opdracht te doen, of door het aan te kondigen. Maar dat laatste is uiteraard meteen je ruiten ingooien in situaties als deze.

[Reactie gewijzigd door Rabb op 22 november 2020 14:49]

Greyhat houdt in dat je soms ethisch bezig gaat, en soms helemaal niet.

Een voorbeeld zou zijn dat je voor je kantoorbaan alleen volgens strikte procedures infrastructuren test, en in de avonduren in probeert te breken waar dat helemaal niet mag.
Cute, maar zeer gevaarlijk en misleidend wat je hier aan het doen bent.

Bron: https://en.m.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act
The Computer Fraud and Abuse Act (CFAA) is a United States cybersecurity bill that was enacted in 1986 as an amendment to existing computer fraud law (18 U.S.C. § 1030), which had been included in the Comprehensive Crime Control Act of 1984. The law prohibits accessing a computer without authorization, or in excess of authorization.[1] Prior to computer-specific criminal laws, computer crimes were prosecuted as mail and wire fraud, but the applying law was often insufficient.
Zo lang je geen toestemming voor hebt gekregen, ben je in overtreding. Dus als Victor dit echt heeft gedaan, OM in VS kan hem vervolgen.
Ze moeten blij zijn dat iemand laat weten op een nette manier dat het een te raden wachtwoord is. Er zijn genoeg mensen in de wereld die er baat bij hebben het niet te melden. Gezien Donny graag tweet, en dingen zegt die niet zo 123 netjes zijn. Is het niet onwaarschijnlijk dat de DM inbox er nog leuker uitziet. Trust me, zelfs een journalist zou er meer misbruik van maken dan deze hollander. Laat staan wat China of anderen ermee zouden doen.
Ik begrijp niet wat iemand bezielt om ongevraagd een twitter account van Trump al dan niet te "hacken". Je wint er volgens mij niets mee, oké, 15 minuten van roem dan. Als het je lukt krijg je alles en iedereen achter je aan. Als het je niet lukt en je maakt een fout krijg je ook iedereen achter je aan. Als het je niet lukt en je bent onvindbaar, heb je hoop tijd en energie verspilt.

Je kon voorspellen dat dit een hoop ellende oplevert voor die "hacker", die hoeft de komende decennia niet naar Amerika op vakantie.

Als ie slim was, sloot ie een uurtje-factuurtje contract af voor een pentest bij een bedrijf. Hield hij er in elk geval nog wat geld aan over. Kan je nog een uitstekende reputatie opbouwen als vakman in security.
"Hij gaf zijn bevindingen door aan de Amerikaanse Secret Service, die het 'lek' inmiddels gedicht zou hebben."

Als ze Trump hadden geplugged dan hadden we het toch allang gehoord?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True