OM eist 20 maanden cel tegen hacker die bij data honderdduizenden mensen kon

Het Openbaar Ministerie Oost-Nederland eist 20 maanden celstraf waarvan 5 voorwaardelijk tegen een 28-jarige hacker die mogelijk de persoonsgegevens van '104.000 festivalgangers, gasten, artiesten en crew' inzag. De cyberaanval vond in juli van 2022 plaats.

De verdachte ging volgens het OM gestructureerd te werk en bereidde zich maanden op de cyberaanval voor, waarna de persoon binnen zou zijn gedrongen tot het systeem van serverbeheerder NextSelect, waarop gegevens van onder meer festivalorganisatoren The Support Group en ID&T stonden. Dit deed de hacker volgens het OM door het gebruikersaccount van een admin te hacken en broncode van het systeem aan te passen.

De openbare aanklagers stellen dat het gaat om computervredebreuk: "Eenmaal binnen kon hij uitgebreid zijn gang gaan, door in alle vrijheid bestanden te uploaden of te downloaden, of ter plaatste aan te passen of te wijzigen. Zo wist hij zichzelf backstage toegang te geven tot het Awakenings-festival en kon hij parkeerplekken aanvragen, maar dus ook gegevens van gebruikers van het systeem bekijken, downloaden of aanpassen." Het is niet duidelijk wat de hacker daadwerkelijk met de verkregen persoonsgegevens heeft gedaan.

Update, donderdag: ID&T licht toe dat er specifiek bij deze organisator geen gegevens van bezoekers zijn ingezien. Het artikel is aangescherpt om dit beter te reflecteren.

Door Yannick Spinner

Redacteur

Feedback • 23-04-2024 18:51 65

23-04-2024 • 18:51

65

Lees meer

OM eist celstraffen wegens aanbieden cryptotelefoons en chatdienst met encryptie
OM eist celstraffen wegens aanbieden cryptotelefoons en chatdienst met encryptie Nieuws van 25 juni 2024
Ethisch hacker kon e-mailadressen van 60.000 DUO-terugbetalers inzien
Ethisch hacker kon e-mailadressen van 60.000 DUO-terugbetalers inzien Nieuws van 24 juni 2024
Man veroordeeld tot werkstraf en boete wegens hack van serverbeheerder
Man veroordeeld tot werkstraf en boete wegens hack van serverbeheerder Nieuws van 7 mei 2024
'China hackte salarissysteem van Brits ministerie van Defensie'
'China hackte salarissysteem van Brits ministerie van Defensie' Nieuws van 7 mei 2024
Hackers hadden jarenlang toegang tot IT-systemen Volkswagen
Hackers hadden jarenlang toegang tot IT-systemen Volkswagen Nieuws van 21 april 2024
Ready Or Not-ontwikkelaar bevestigt hack waarbij broncode werd buitgemaakt
Ready Or Not-ontwikkelaar bevestigt hack waarbij broncode werd buitgemaakt Nieuws van 18 april 2024
Mandiant: Russische hackersgroep zat achter aanval op watervoorziening Texas
Mandiant: Russische hackersgroep zat achter aanval op watervoorziening Texas Nieuws van 18 april 2024
Schoolboekenleverancier Iddink is getroffen door ransomwareaanval
Schoolboekenleverancier Iddink is getroffen door ransomwareaanval Nieuws van 14 april 2024
AP: gehackte bedrijven schatten privacyrisico's in 7 van 10 gevallen te laag in
AP: gehackte bedrijven schatten privacyrisico's in 7 van 10 gevallen te laag in Nieuws van 10 april 2024
Rapport VS: Microsoft had e-mailhack door Chinezen kunnen voorkomen
Rapport VS: Microsoft had e-mailhack door Chinezen kunnen voorkomen Nieuws van 4 april 2024
Meer producten en artikelen
Politiek en recht Cybercrime Hack Hackers Rechtszaak

Reacties (65)

-Moderatie-faq
65
63
24
0
0
17
Wijzig sortering
Prince 23 april 2024 19:10
Dus een jonge man heeft een systeem gehacked om zichzelf gratis tickets en parkeerplaats te geven.
Hij 'kon' veel meer, maar er is geen enkel bewijs dat dit ook gebeurd is. Hij wordt dus grotendeels gestraft op wat hij 'kon' doen.

Dit zegt veel over de security en logging van dergelijk bedrijf.

Ik vind -gezien de bewijzen waarvan we weet hebben uit dit bericht- dat de straf vrij extreem is.
Het bedrijf heeft nu pakweg 100€ of zelfs 200€ aan schade opgelopen ivm de tickets, maar ze hebben direct ook een enorm gat in hun security kunnen patchen.

Als dit er door gaat, dan gaan er geen white hat hackers meer zijn die het risico willen nemen.

edit: Ter info; ik geef nergens aan dat hij een white hat hacker is, maar geef aan dat white hat hackers zich hierdoor kunnen laten afschikken, wat de deur open zet voor ergere effecten.
Daarnaast is de straf niet in proportie met de -door ons gekende- misdaad. Zoveel maanden cel kost ons als belastingbetaler meer dan de schade die hij de firma had toegebracht.

[Reactie gewijzigd door Prince op 23 juli 2024 09:04]

wildhagen
@Prince23 april 2024 19:52
Ik vind -gezien de bewijzen waarvan we weet hebben uit dit bericht- dat de straf vrij extreem is.
Het gaat om een eis, de rechter moet zich nog buigen over de schuldvraag, en wat de eventuele straf wordt.
Als dit er door gaat, dan gaan er geen white hat hackers meer zijn die het risico willen nemen.
Dit is absoluut geen White ghat hacker, maar een Black hat.

Een White hat hacker had, bij het ontdekken van een lek, de organisatie geïnformeerd en absoluut niet verder het systeem binnen gedrongen.

Dat heeft hij niet gedaan. Sterker nog, hij heeft het lek niet alleen verzwegen, maar het zelfs actief gebruikt om zichzelf toegang te verlenen, kaartjes tot zich te nemen etc.

Dit is alles wat een White hat absoluut nooit zou doen, dit is puur een Black hat actie.

[Reactie gewijzigd door wildhagen op 23 juli 2024 09:04]

Prince @wildhagen23 april 2024 22:28
Ik geef nergens aan dat hij een white hat hacker is; die zin blijkt door velen mis begrepen te zijn - ik heb aan mijn berichtje dus ook een toevoeging gemaakt.
Wat ik aangaf, is dat dergelijk extreme straffen ook impact kunnen hebben op white hat hackers.

Stel dat iemand die 200km/u op de autostrade rijdt (zonder ongevallen) de doodstraf zou krijgen. Dan zouden ook de mensen die zich wél gedragen op de weg, zich extra focussen op de snelheid. De ene persoon is sneller afgeschrikt dan de andere.

Mijn stelling is dan ook dat firma's met bounty systemen nog steeds white hackers langs zullen krijgen, maar firma's zonder bounty systemen minder. De vraag is of het het risico waard is voor de white hacker, gezien die firma evengoed kan zeggen "het staat me niet aan wat je deed/het is inbreken/je haalt onze naam door het slijk/je 'kon' inzicht hebben tot documenten/etc..."
The Realone @Prince24 april 2024 00:47
Kromme vergelijking, want te hard rijden is per definitie verboden. Als je je aan de maximumsnelheid houdt is er niks aan de hand. Je kunt nu al flinke straffen krijgen voor te hard rijden, maar dat weerhoudt niemand er van te gaan rijden.
In dit geval is het bijzonder overduidelijk dat dit geen white hat hacker betreft en moet het toch ook wel erg duidelijk zijn wat je als white hat niet moet doen .
dutchgio @Prince23 april 2024 19:38
Ik heb niet het idee dat dit een white hat hacker is.
Hij heeft zichzelf zaken toegekend die hij niet hoort te hebben; heeft broncode aangepast.
Ook nergens melding van dat hij het lek gemeld zou hebben.
Volledig terecht dus dat hij vervolgt wordt.
Prince @dutchgio23 april 2024 22:21
Wat door het gerecht als "broncode aangepast" bestempeld wordt, kan erg veel zijn.
Dit kan ook zijn dat hij een scriptje heeft kunnen uploaden wat hem in staat stelde een reverse shell te starten; Gezien dat hij "volledige toegang" had, vermoed ik toch iets in die lijnen.
Maar dat zou dan ook weer laten zien hoe de rechten op die server ingesteld stonden...

Mijn persoonlijk vermoeden is dat de "echte" schade niet geleden werd door de kostprijs van de tickets, maar het vertrouwen in veiligheid dat bij veel mensen weg zal zijn bij deze leverancier.
i-chat @dutchgio23 april 2024 20:24
zelfs als hij er daadwerkelijk geen melding van heeft gemaakt staat de schade en de ernst van de daad niet in verhouding tot de eventueel geëiste straf met

ik heb vaker voorzien komen van mensen die voor €10.000 aan pinpasfraude maar ben gepleegd die met lagere straffen wegkwamen. en dat is dan zo gezegd niet één bedrijf die zijn zaakjes niet op orde had maar honderden mensen die door bijvoorbeeld zakkenrollerij hun pinpas waren verloren. je mag van me aannemen dat de schade daar enkele tientallen keren hoger lag
OruBLMsFrl @i-chat23 april 2024 22:35
Die mensen persoonlijk kan dat heel veel doen ja, en meer dan zo een bedrijf. Tegelijk gaat het ze dus vooral om het geheimhouden van deze kwetsbaarheden en ondertussen maar door blijven gaan in die kwetsbare systemen. Na maanden voorbereiding een admin account weten te hacken, code aanpassen, jezelf verrijken, je slachtoffer hulpeloos laten door niets te melden. Het is allemaal heel krom door de zeer beperkte werkelijke schade, maar al die feiten kon je bijna niet onzinniger op elkaar gestapeld krijgen. Net te relevant om te negeren, maar voor dezelfde straf had je waarschijnlijk duizend keer meer geld eruit kunnen halen qua strafmaat.

Ergens triest en zielig, van de andere kant dus iedereen meteen melden al dan niet anoniem, nooit blijven rondneuzen, laat staan technisch en economisch misbruiken hoe klein ook... hopen voor deze persoon dat het een eerste keer is en de rechter er een veel lichtere straf voor kan geven als de omstandigheden ernaar zijn.

Uit de bron:
De handelingen van verdachte hebben geleid tot zeer forse inbreuken, tot datadiefstal en vernieling en/of wijziging van data. Zo heeft hij ook de broncode en database veroverd, of beter gezegd: gestolen.

NextSelect deed uiteindelijk aangifte van de computervredebreuk. Na de hack zijn alle gebruikers gewaarschuwd door de bedrijven. Evi zelf liep een grote imagoschade op.

Het OM rekent verdachte zwaar aan dat hij niet aan de bel heeft getrokken bij de bedrijven om te wijzen op de kwetsbaarheden in hun systeem, zodat de schade bepekt was gebleven. “In plaats daarvan wilde hij in alle rust zijn buit bestuderen, zonder dat hij gedetecteerd zou kunnen worden. Dit gaat veel verder dan wat sjoemelen uit nieuwsgierigheid; het was een nare, zeer ingrijpende langdurige hackaanval met verlies van data, van persoonsgegevens en intellectuele eigendom.”

[Reactie gewijzigd door OruBLMsFrl op 23 juli 2024 09:04]

djwice @OruBLMsFrl24 april 2024 06:56
Interessant zou zijn te weten wat de wijzigingen deden. Ik heb hackers gekend die gaten en potentiële (overflow) attacks vectoren dichten in je code.

En als niet duidelijk is wat met de persoonsgegevens gedaan is, moet er meer onderzoek gedaan worden?
Wellicht simpelweg ingezien en verwijderd.

Wat ik nog steeds raar vindt is dat het OM het kopiëren van gegevens als verlies of diefstal benoemd. Deze woorden hebben in de fysieke wereld de betekenis dat de ander ze niet meer heeft. Bij kopiëren is dat niet het geval. Daarom vindt ik het raar dat deze woorden gebruikt worden, dit geeft mensen impliceert een verkeerd beeld van de situatie, omdat het onbewust de indruk wekt dat de data, persoonsgegevens of het intellectueel eigendom niet meer in het bezig is van de rechtmatige eigenaar. Terwijl de eigenaar ze nogsteeds zonder enige vorm van beperking heeft.

Juist daarom zou "de hacker heeft informatie/code/klantgegevens gekopieerd naar zijn eigen computer - en bewaard/verwijderd/gedeeld/verhuurd/verkocht" een veel duidelijkere bewoording zijn die recht doet aan wat er plaats vindt.

Ook het specifiek zijn om welke gegevens en welk type code het gaat. Want intellectueel eigendom zit ook op de publieke html pagina's en veel code in een backend is puur functioneel gedreven en zo goed als gelijk in idee en opzet in elk bedrijf en elk stuk software dat je eigenlijk niet kunt spreken van intellectueel, maar meer van copy-paste aan elkaar gemaakt, of 'de variabelen hebben een eigen naam, maar het functioneren van de code is niet anders dan bij de meeste andere bedrijven'.
Zelfs voor data structuren geldt dit: welke gegevens zitten er in een klant tabel? Dat is vaak vrij triviaal en vrijwel gelijk voor heel veel bedrijven.

Dus ik heb de indruk dat de zaak eigenlijk te weinig is onderzocht en de informatie is opgeblazen, ook door het gebruik als termen als "het was een nare" dat klinkt niet objectief, maar als een emotioneel oordeel. Het gaat hier niet om afpersing of een actie met fysiek of emotioneel geweld. Dus ik kan me bijna niet voorstellen dat er los van de admin, emotionele schade is ontstaan bij medewerkers. Dus de vraag is dan voor wie is het zo naar dat het hier vermeld wordt. Of zijn er mensen binnen het bedrijf geweest die anderen angst aan gepraat hebben, en is daar de nare ervaring door ontstaan?

Ook opvallend dat het een langdurige hackaanval wordt genoemd. Werd er steeds opnieuw een aanval gedaan? Of plaagde de hacker nadat hij toegang had tot de admin rechten simpelweg huisvredebreuk en keek hij wat rond en gaf zichzelf een keer toegang tot backstage en heeft hij die toegang ook gebruikt, of is hij nooit fysiek backstage gegaan, of heeft hij die toegang zelfs digitaal teruggedraaid?

En er zit een groot verschil tussen wijziging en vernieling naar mijn idee. Dus een en/of is raar.

Het leest vooral als een emotionele pleidooi. De 'de code van de database' is dat dan gewoon de tabel definitie? Of het configuratie bestand? Of de queries die gebruikt worden?

Een systeem dat jaren lang door 3 partijen ontwikkeld is met een admin wachtwoord dat volgens elke wachtwoord manager als 'zwak' wordt aangemerkt en dat ook slechts een paar ton kost, kan nooit een ton schade opgelopen hebben lijkt mij.

Opvallend dat er geen monitoring was op het inloggen / inlog pogingen van de persoon met de hoogte rechten. Dus het OM kan het de verdachte verwijten dat hij het zwakke wachtwoord niet gemeld heeft. Maar dat had de software zelf ook kunnen doen. En ook de medewerker die het wachtwoord in zijn Chrome browser opgeslagen heeft (en waarvoor Chrome structureel waarschuwt dat het onveilig is).

Wellicht heeft de verdachte het bedrijf proberen aan te spreken via een email reply dat er iets mis was met hun email communicatie en kreeg daarop null response.

[Reactie gewijzigd door djwice op 23 juli 2024 09:04]

Bor Coördinator Frontpage Admins / FP Powermod
@Prince23 april 2024 20:09
Het bedrijf heeft nu pakweg 100€ of zelfs 200€ aan schade opgelopen ivm de tickets, maar ze hebben direct ook een enorm gat in hun security kunnen patchen.
En het bedrijf heeft waarschijnlijk een veelvoud van dit bedrag aan imago schade opgelopen.
Rataplan_ @Bor23 april 2024 20:22
Hoe zie je dat dan? Alsof je die tickets ergens anders vanaf kunt krijgen, ze komen altijd via de organisatoren, niet? Ik denk dat er ook maar één ticket minder om verkocht word. Op dat ticket voor deze hacker na dan.
Bor Coördinator Frontpage Admins / FP Powermod
@Rataplan_23 april 2024 20:24
Het bedrijf wordt o.a. hier bij naam en toenaam genoemd waarbij is nu al victim blaming zie. Dit soort incidenten zijn absoluut slecht voor de naam en reputatie van een bedrijf. Daarbij hoeft het niet alleen om klanten te gaan kan dit ook effect hebben op de relatie met bv (keten)partners, toeleveranciers etc.
GameNympho @Bor24 april 2024 00:14
Maar dit is toch ook af te rekenen met het bedrijf zelf die zijn zaken qua software en beveiliging niet in orde hadden? Misschien draaide hun systeem nog wel met Windows 7.
MrSigy @Bor25 april 2024 11:36
En dat is hun eigen schuld.
Septimamus @Prince23 april 2024 19:20
Heb je enig idee wat een volledig ticket inclusief camping kost op Werchter? Alleen een ticket voor alle dagen kost al 309 euro. Dan mis je nog een campingticket en parkeerticket.
Morress @Septimamus23 april 2024 20:01
Dat is wat de omzet is, niet wat het kost ;)
2biertjes en het is gecompenseerd ;)

[Reactie gewijzigd door Morress op 23 juli 2024 09:04]

Finraziel @Prince23 april 2024 19:47
Hem wordt expliciet verweten dat hij níet de bedrijven ingelicht heeft over de gaten in hun beveiliging, daarmee is hij dus geen white hat hacker en is je laatste zin totaal niet van toepassing.
kodak
@Prince23 april 2024 19:55
De bedoelingen waren niet om de slachtoffers te helpen. De verdachte heeft lang gelegenheid gehad om te helpen, maar in plaats daarvan gekozen de problemen lange tijd voor eigen gewin te gebruiken en tegen de slachtoffers. Als je je zorgen maakt om gevolgen voor goedbedoelde hackers dan kun je het dus vooral de verdachte kwalijk nemen. Dat doet het openbaar ministerie ook, door te verduidelijken het niet melden hierbij zwaar aan te rekenen.

De beschermende wetten tegen computervredebreuk en diefstal gaan niet alleen om financiële schade. Je hoort anderen ook niet in onzekerheid te brengen met het ongevraagd en fout gebruik van hun eigen middelen, of de middelen die je als klanten gebruikt om persoonlijke gegevens aan toe te vertrouwen. Dat er uiteindelijk wat duidelijkheid is maakt het niet zomaar acceptabel dat soort problemen eerst veroorzaakt te hebben. En ook niet acceptabel deze kennelijk niet duidelijk weggenomen te hebben.
Olaf van der Spek @kodak23 april 2024 21:54
maar in plaats daarvan gekozen de problemen lange tijd voor eigen gewin te gebruiken en tegen de slachtoffers.
Wat heeft ie precies gedaan dan, buiten zichzelf backstage tickets doen toekomen?
De beschermende wetten tegen computervredebreuk en diefstal gaan niet alleen om financiële schade.
In dit geval gaat het om een binnenlands persoon, maar wat hebben we aan "beschermende wetten" als het iemand uit bepaalde anderen landen is?

[Reactie gewijzigd door Olaf van der Spek op 23 juli 2024 09:04]

LOTG @Prince23 april 2024 20:03
Het artikel van Tweakers wekt een andere indruk dan het OM bronartikel wat expliciet zegt dat hij de database heeft gestolen.
De handelingen van verdachte hebben geleid tot zeer forse inbreuken, tot datadiefstal en vernieling en/of wijziging van data. Zo heeft hij ook de broncode en database veroverd, of beter gezegd: gestolen.

[Reactie gewijzigd door LOTG op 23 juli 2024 09:04]

witstert @Prince24 april 2024 13:43
Nonetheless, he/it/she gained unauthorised access! Lack of "ambition" is not a reason for a soft sentence. The sentence should not be seen as an "encouragement not to do it again, clever, bad, boy/girl/it". The sentence should such as to prevent he/it/she from repeat that activity. I will leave it to the reader's' imagination(s) as to the format of that "sentence". It must be permanent and not re-instatable/placable. EVER!
Oh! No financial support after the sentenced "procedure(s)" have been carried out. In that way the cost to the "taxpayer" is limited.
I read a book titled "And the Sentence is Death" a loooong time ago. Well, a few years "ago" in the 60's. The history of the garotte, impressed upon me that if I indulged in the same/similar activities, I would cease and desist from doing so AND take up residence, and the policies, of the monastery, that had a "vow of silence", furthest away from the scene of the administration of the sentence. I await your readers criticisms without interest.
wildhagen
23 april 2024 18:57
Klinkt eigenlijk als een heel redelijke strafeis, gezien de potentiële enorme omvang van het misdrijf (gezien het aantal gegevens dat hij kon benaderen) en het feit dat jij het maandenlang heeft voorbereid.

Hopelijk gaat de rechter mee in de eis van het OM, dan mag de verdachte denk ik blij zijn met deze redelijke eis.

Hopelijk gaat er ook een afschrikwekkende werking van uit, naar mensen die iets soortgelijks in gedachten hadden, om dat wellicht toch nog even te heroverwegen of dat wel zo'n goed idee is.

[Reactie gewijzigd door wildhagen op 23 juli 2024 09:04]

Skit3000 @wildhagen23 april 2024 19:44
Als je kijkt naar wat iemand in potentie had kunnen doen: In dat geval zou je iemand die heeft ingebroken in het huis van iemand die de ledenadministratie van een vereniging doet ook zwaarder moeten bestraffen dan een inbraak bij iemand die geen ledenadministratie doet.

Volgens mij moet een straf gaan over bewijsbare overtredingen of intenties, niet over de mogelijke "buit".
LOTG @Skit300023 april 2024 20:06
Hij heeft de database gestolen volgens het OM. Dat is dus iemans die inbreekt en de ledenadministratie op zijn minst kopieert.
Skit3000 @LOTG23 april 2024 21:54
Dat had ik niet goed gelezen in het bericht, bedankt.
indigo79 @wildhagen23 april 2024 19:41
Ik hoop dat we niet gaan straffen op de potentiële omvang van een misdrijf maar op de aangetoonde omvang van een misdrijf, want ik heb daarstraks nog gas gegeven juist voor een (leeg) zebrapad maar potentieel had daar ook een groep schoolkinderen kunnen lopen...
massareal @indigo7923 april 2024 22:53
Technisch gezien moet je voor een stop-bord stoppen, ook al komt er niks aan.
Ik ben t wel met je eens dat je niet iemand moet gaan straffen op 'wat als'.
Marcel Br @massareal24 april 2024 08:08
Nee, niet technisch gezien.
Je moet gewoon stoppen !
Bux666 @massareal24 april 2024 13:51
Wie heeft het over een stop-bord? @indigo79 benoemt een zebrapad, daarvoor gelden andere regels dan bij een stop-bord.
Olaf van der Spek @wildhagen23 april 2024 20:02
Klinkt eigenlijk als een heel redelijke strafeis, gezien de potentiële enorme omvang van het misdrijf (gezien het aantal gegevens dat hij kon benaderen) en het feit dat jij het maandenlang heeft voorbereid.
Wat is de eis tegen het bedrijf dat de beveiliging niet op orde had?
Bor Coördinator Frontpage Admins / FP Powermod
@Olaf van der Spek23 april 2024 20:22
Waarom zou er een eis tegen het bedrijf moeten liggen? Heb jij meer informatie over de hack waaruit blijkt dat het bedrijf bijvoorbeeld nalatig is geweest of is dit een sterk staaltje victim blaming uitgaande dat onderstaande klopt?
bereidde zich maanden op de cyberaanval voor
Olaf van der Spek @Bor23 april 2024 20:27
Waarom zou er een eis tegen het bedrijf moeten liggen?
Dit deed de hacker volgens het OM door het gebruikersaccount van een admin te hacken
Details ontbreken, natuurlijk, maar dit doet vermoeden dat er geen 2FA en intrusion detection was.
bereidde zich maanden op de cyberaanval voor
Details ontbreken, natuurlijk, dus we hebben geen idee wat dat precies inhoud.

[Reactie gewijzigd door Olaf van der Spek op 23 juli 2024 09:04]

Bor Coördinator Frontpage Admins / FP Powermod
@Olaf van der Spek23 april 2024 20:35
Details ontbreken, natuurlijk, maar dit doet vermoeden dat er geen 2FA en intrusion detection was.
Details ontbreken en daarom ga je maar wat gokken en inzetten op victim blaming? Juist wanneer er weinig details zijn kan je dit soort conclusies absoluut niet trekken. Je insinueert zaken die schadelijk zijn voor een bedrijf gebaseerd op geen enkele betrouwbare informatie.

Een hack als dit is erg vervelend voor de mensen wiens gegevens ontvreemd zijn maar ook voor het bedrijf dat het betreft.

[Reactie gewijzigd door Bor op 23 juli 2024 09:04]

Olaf van der Spek @Bor23 april 2024 20:52
Een hack als dit is erg vervelend voor de mensen wiens gegevens ontvreemd zijn maar ook voor het bedrijf dat het betreft.
Zeg ik ergens dat dit niet vervelend is voor de betrokkenen?
Of mogen er omdat het vervelend is geen kritische vragen gesteld worden?
Bor Coördinator Frontpage Admins / FP Powermod
@Olaf van der Spek23 april 2024 20:59
Je mag prima kritische vragen stellen maar dat is niet wat je doet. Je trekt conclusies die je niet zomaar kan trekken: "het zal wel aan x en y liggen". Voordat je dergelijke conclusies kan trekken heb je echt meer inzicht nodig in de infrastructuur, genomen maatregelen, soort hack en de kwetsbaarheden die zijn uitgebuit. (Cyber) security is een complex vakgebied. Aan wilde gokken omtrent de achtergrond heeft niemand iets wat mij betreft en zoals aangegeven kan dat schadelijk zijn.
Airkoo @Bor23 april 2024 21:27
https://nos.nl/l/2517912

"Met de inlog administrator en Welkom01 was ik in hun systeem"

Nou dan mogen ze dat bedrijf echt wel een boete geven...
Bor Coördinator Frontpage Admins / FP Powermod
@Airkoo23 april 2024 21:29
En klopt die informatie ook? Waarom stelt men dan dat er maanden voorbereiding nodig was? Denk je dat het OM hier over 1 nacht ijs gaat of is een quote van iemand die gepakt is misschien niet zo betrouwbaar?

Mocht het wel kloppen dan zijn hier inderdaad grove fouten gemaakt. Dan is het nog de vraag door wie.
De verdachte erkent dat hij in de zomer van 2022 de server van NextSelect in Enschede is binnengedrongen.
NexSelect uit Enschede lijkt een leverancier. "NextSelect ontwikkelt maatwerk software ter ondersteuning van bedrijfsprocessen."

Is de schuldige in deze dan Nextselect, het bedrijf dat in het nieuwsitem hier wordt genoemd, beide? Welke afspraken zijn er gemaakt en wie is waarvoor aansprakelijk?

[Reactie gewijzigd door Bor op 23 juli 2024 09:04]

i-chat @Olaf van der Spek24 april 2024 11:31
wat we in ieder geval weten

is: bedrijf handelt professioneel

bedrijf verwerkt data van duizenden mensen inclusief bankgegevens etc dus redelijk fraude gevoelig

maar beveiligd deze totaal niet en voldoet niet aan zijn wettelijke plicht

persoon raadt een veel te simpel wachtwoord en pleegt een kleine diefstal


je kunt zeggen

bedrijf is gemakzuchtig geweest en heeft de wet overtreden en daar nu imagoschade door gelopen rn mensen hun privacy is geschonden

persoon heeft ingebroken in een database gesnuffeld en een ticket gejat

een belangrijk aspect in het strafrecht is deze vraag

+ welke norm is geschonden
+ bestaat die norm er om te beschermen tegen de geleden schade (causaliteit)
+ is de scade een direct en logisch gevolg van de geschonden norm


en precies dáár zit het om fout

de imagoschade is NIET het gevolg van een amateurhacker en zijn kwajongensstreken maar van een commercieel bedrijf dat zich niet aan de wettelijke veiligheidseisen hielden die precies om deze reden waren ingevoerd

[Reactie gewijzigd door i-chat op 23 juli 2024 09:04]

Tom Paris @Olaf van der Spek23 april 2024 20:57
Jammer dat je naar -1 gemod wordt. De tekst van het OM is in Jip en Janneke taal geschreven waardoor het lastig op te maken is wat ze nu echt bedoelen. Uit de tekst is op te maken dat het om phishing of een password spray kan gaan, waarbij zonder MFA iemand vanaf het internet op een admin-account kon inloggen. Als je zoveel persoonsgegevens beheert is dat inderdaad nalatig. Niks geen victim blaming, gewoon niet in lijn met security best practices.
Bor Coördinator Frontpage Admins / FP Powermod
@Tom Paris23 april 2024 21:05
Het gaat hier al fout bij "kan gaan". Uit de tekst valt eigenlijk helemaal niet goed af te leiden wat de oorzaak is. Voor een phising aanval of password spray heb je doorgaans geen maanden voorbereidingstijd nodig wat ook in het artikel wordt genoemd. Zonder meer informatie heb je geen enkele informatie op basis waarvan je iets nutttigs over de aanval kan zeggen.

En dan nog; stel dat er gebruik is gemaakt van phishing of password spraying; dan nog heb je geen informatie op basis waarvan je kan concluderen dat er geen MFA actief was. Meerdere vormen van MFA zijn niet phishing resistent, kunnen met bepaalde aanvallen om de tuin worden geleid en als dat niet lukt is het vaak mogelijk om een andere zwakke schakel; namelijk de mens; te bespelen om een MFA authenticatie uit te laten voeren.
Olaf van der Spek @Bor23 april 2024 21:09
Meerdere vormen van MFA zijn niet phishing resistent,
Er zijn dus vormen van MFA die wel phishing resistent zijn?
Bor Coördinator Frontpage Admins / FP Powermod
@Olaf van der Spek23 april 2024 21:14
Een simpele google levert veel informatie over MFA factoren en in welke mate ze vatbaar voor phishing en andere aanvalsfactoren zijn, bijvoorbeeld: Yubico - What is Phishing-Resistant MFA? en SANS - What is phishing-resistant MFA
Tom Paris @Bor23 april 2024 21:16
Je verhaal komt eigenlijk neer op "we mogen er geen mening over hebben en er niets over zeggen". Het OM zal vast niet meelezen hier, maar zowel als consumenten en als security professionals mogen wij bedrijven best accountable houden. Dat de verdachte fout is wil niet zeggen dat het bedrijf geen blaam treft.
Bor Coördinator Frontpage Admins / FP Powermod
@Tom Paris23 april 2024 21:23
Voor het vormen van een objectieve mening is meer informatie nodig. Het enige wat je op basis van de wel beschikbare informatie kan doen is gissen naar de achterliggende oorzaak en misbruikte kwetsbaarheid. Dat is wellicht menselijk maar niet direct heel erg nuttig. Het wordt schadelijk wanneer er onterecht conclusies worden getrokken en worden geventileerd die onterecht de naam van de aanbieder aantasten zoals de victim blaming die hiervoor gebeurd.

Feit is dat we gewoon erg weinig weten op dit moment. We hebben geen tot weinig informatie over de staat van de beveiliging en ook geen informatie over de aanval behalve dat deze maanden voorbereiding heeft gekost. Dat duidt op een bepaalde benodigde inzet. Je zou dan sneller concluderen dat het waarschijnlijk niet om een phishing aanval gaat dan wel.
Warpozio @Bor23 april 2024 22:04
Als de geruchten "inlog administrator en wachtwoord Welkom01" kloppen is het geen victim blaming maar onzorgvuldigheid...
Olaf van der Spek @Bor23 april 2024 21:30
Zonder meer informatie heb je geen enkele informatie op basis waarvan je iets nutttigs over de aanval kan zeggen.
Accounts zijn niet zomaar te hacken. Er zitten kwetsbaarheden in het authenticatieproces of een apparaat van de gebruiker zelf is gehackt.
Als dat laatste het geval zou zijn, verwacht ik dat het OM daarover zou hebben geschreven maar dat hebben ze niet gedaan, blijft het eerste over..
En dan nog; stel dat er gebruik is gemaakt van phishing of password spraying;
Beiden impliceren IMO een onvoldoende authenticatieproces.

Ik quote dit toch ook even hier:
"Met de inlog administrator en Welkom01 was ik in hun systeem", wordt de verdachte geciteerd door de regionale omroep Oost.
https://www.rtvoost.nl/ni...stivalbezoekers-op-straat

[Reactie gewijzigd door Olaf van der Spek op 23 juli 2024 09:04]

i-chat @wildhagen24 april 2024 11:22
dus de volgende keer dat jij door rood rijdt krijg je 18jaar cel omdat het ook anders had kunnen aflopen

oma had toevallig kunnen oversteken en geraakt kunnen worden
witstert @wildhagen24 april 2024 13:50
Unless, upon conviction, the miscreant(s) is/are looking forward to being "fed, clothed and watered" by the taxpayer and passing on the skills cained while learning how to commit such crimes. Perhaps, there should be a punishment for the/those Person(s) who "aided" the criminal in committing the crime for which he/it/she is to be punished.
Gotiniens 23 april 2024 18:55
Zijn destijds de festivalgangers geïnformeerd? En welke festivals zijn getroffen? Ik sta zowiezo in de DB van Q-dance, wat voor zover ik weet een zuster/dochter-bedrijf is van ID&T, en heb hier nooit mail over ontvangen.
Finraziel @Gotiniens23 april 2024 19:00
In de bron van het om staat dat alle gebruikers geïnformeerd zouden zijn. Wellicht val je daar dan buiten.
Bor Coördinator Frontpage Admins / FP Powermod
@Gotiniens23 april 2024 21:25
De AVG zegt het eea over het melden richting gedupeerden. Op grond van de AVG dien je een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie.

In de AVG is bepaald dat een organisatie een betrokkene op de hoogte moet brengen van een inbreuk op de persoonsgegevens indien de inbreuk ‘een hoog risico’ voor betrokkenen inhoudt. Hierop gelden een aantal uitzonderingen. Zo hoeft een betrokkene niet geïnformeerd te worden wanneer een organisatie maatregelen heeft genomen waarmee de vastgestelde risico’s zijn weggenomen.
Cartman! @Gotiniens24 april 2024 13:26
Het betreft hier een systeem dat werd gebruikt voor "bijzondere" toegang (gastenlijst, crew, etc). Waarschijnlijk stond je daar dan niet in en ben je niet getroffen.
t_captain 23 april 2024 20:07
Ik vind een eis van 20 maanden fors.

Als blijkt dat de verdachte een lucratieve handel in zelfgemaakte toegangsbewijzen dreef, dan is het een fraudezaak en dan zijn dit soort straffen van 1 a 2 jaar passend. Maar daarvan zie ik nog niets in de tenlastelegging.
KirovAir @t_captain23 april 2024 20:41
Ik vind een eis van 20 maanden fors.

Als blijkt dat de verdachte een lucratieve handel in zelfgemaakte toegangsbewijzen dreef, dan is het een fraudezaak en dan zijn dit soort straffen van 1 a 2 jaar passend. Maar daarvan zie ik nog niets in de tenlastelegging.
Eens. Absurd hoge eis. Zeker als je het vergelijkt met andere misdrijven.
Qwerty-273 23 april 2024 19:06
Ik lees heel veel dat iets mogelijk zou kunnen zijn, of dit en dat gebeurt zou kunnen zijn met de toegang die hij heeft gekregen.
De enige daadwerkelijke beschuldiging is een kaartje voor backstage toegang op een bepaald festival. Niet netjes, maar wel mijlenver van de mogelijke punten die het OM noemt.
Septimamus @Qwerty-27323 april 2024 19:14
Eerlijk gezegd vind ik het nog mild.

Dit
De verdachte ging volgens het OM gestructureerd te werk en bereidde zich maanden op de cyberaanval voor, waarna de persoon binnen zou zijn gedrongen tot het systeem van de festivalorganisatoren The Support Group en ID&T.

en dit
Het is niet duidelijk wat de hacker daadwerkelijk met de verkregen persoonsgegevens heeft gedaan.

Vind ik toch behoorlijk heftig.

Het zal geen hele populaire mening zijn maar doelbewuste internetcriminaliteit mag je naar mijn mening flink straffen. Een gouden ketting kan je vervangen, maar als iemand er met je identiteitsgegevens vandoor gaat raakt dat je heel anders. En dan merk je ook pas hoe de politie achter loopt in het handelen hierin.

[Reactie gewijzigd door Septimamus op 23 juli 2024 09:04]

Olaf van der Spek @Septimamus23 april 2024 20:03
Een gouden ketting kan je vervangen, maar als iemand er met je identiteitsgegevens vandoor gaat raakt dat je heel anders.
Fysieke diefstal of beroving gaat je ook niet in de koude kleren zitten hoor..
Septimamus @Olaf van der Spek23 april 2024 20:17
Eens. Wil ik ook zeker niet beweren. Ik kan echter alleen uit ervaring spreken als we het hebben over internetcriminaliteit. Het is best een mentale aanslag als iemand zich voordoet als jou.
Olaf van der Spek @Septimamus23 april 2024 20:20
Het is best een mentale aanslag als iemand zich voordoet als jou.
Heeft deze hacker dat gedaan?
Septimamus @Olaf van der Spek23 april 2024 20:32
Ik heb geen idee waarom je zo provocerend antwoord. Maar dit gaat wat mij betreft teveel off-topic en ik ga er niet verder op in met je.
wildhagen
@Qwerty-27323 april 2024 19:26
Er is ook imagoschade opgelopen door de bedrijven, zie het bericht van het OM.

Dan zit je nog met privacy van degenen die in die database stonden, die is ook potentieel in het geding geweest. Van maar liefst honderdduizenden mensen dus.

Daarnaast had hij dit lek moeten melden, maar dat deed hij niet, terwijl hij wel toegang had verschaft. Dat is geen White hat hacking meer, dat is gewoon Black hat.

Het is al met al dus een optelsom van heel veel verschillende factoren die het zo zwaar maakt. Was het nu "slechts" één van deze zaken had je er nog over discussiëren. Maar alles bij elkaar maakt het best heftig.
Dutchzilla 23 april 2024 23:17
En die mensen binnen deze bedrijven verantwoordelijk voor de beveiliging? Wat voor straf krijgen zij? Alles is tegenwoordig relatief makkelijk te hacken heb ik het idee. Dus worden deze mensen ook bestraft voor nalatigheid en slechte beveiliging?
grasmanek94 24 april 2024 18:52
https://uitspraken.rechts...d=ECLI:NL:RBNNE:2023:4432

Oke dus met honderden duizenden euro's moeien, met 4 man een gerichte criminele operatie runnen: OM eist taakstrafjes van minder dan 200 uur, hechtenissen tot max 2 jaar (24 mnd), en ook nog voorwaardelijk (sommige veel korter).


Een hackertje doet 500 euro schade (als dat het al is) en OM eist 20 maanden 8)7
Kan niet gekker worden.

[Reactie gewijzigd door grasmanek94 op 23 juli 2024 09:04]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq