'Nederlands systeem festivalsoftware was beveiligd met wachtwoord Welkom01'

Een softwarebedrijf uit de Nederlandse stad Enschede, dat de software maakte voor een festival van aanbieder ID&T, zou een server van zijn dienst hebben beveiligd met de inlog 'administrator' en 'Welkom01', zo claimde een verdachte tijdens een rechtszaak.

Het bedrijf NextSelect had volgens de toen 27-jarige Amsterdammer beveiligingsprotocollen rond de e-mail die hij kreeg bij aanmelding van een festival niet goed opgevolgd, schrijft RTV Oost. Vervolgens probeerde hij binnen te dringen in de server van de dienst Evi met diverse inlogpogingen, waarvan volgens hem 'administrator' en 'Welkom01' slaagde. NextSelect benadrukt niet gehackt te zijn.

Vervolgens kon hij gegevens van 'gasten, artiesten en crew' inzien en kopiëren naar zijn eigen MacBook. De man heeft bekend, hoewel hij het wachtwoord van zijn MacBook niet heeft gegeven. Daardoor zijn de claims over de geslaagde inbraak niet te verifiëren.

De Amsterdammer plaatste ook malware op het systeem, maar heeft niet geprobeerd om geld te verdienen door het bedrijf af te persen of te dreigen met openbaarmaking. De betrokken bedrijven, NextSelect en SupportGroup, schatten de schade in op ongeveer 100.000 euro.

De verklaring van de verdachte wijkt af van hoe het OM het binnendringen in het systeem eerder omschreef. "Dat deed hij onder meer door het gebruikersaccount van een leidinggevende van ID&T – een administrator met de verregaandste gebruikersrechten - te kraken", zo omschrijft het OM de actie. De eis tegen de man is een gevangenisstraf van 20 maanden, waarvan 5 maanden voorwaardelijk. De rechter doet volgende maand uitspraak in de rechtszaak.

Update, 17.00 uur: ID&T licht in een reactie toe dat niet de persoonsgegevens van alle bezoekers is ingezien door de verdachte. Het artikel is daarop aangescherpt.

Update, donderdag: Next Select spreekt tegen Tweakers tegen dat het systeem alleen was beveiligd met het wachtwoord Welkom01. "Het artikel stelt dat de hacker toegang verkreeg tot de servers van het EVI platform met het wachtwoord "welkom01". Deze informatie is echter niet correct", zegt Alex van Oostrum. "De werkelijkheid is dat de hacker gebruik heeft gemaakt van meerdere tools op verschillende applicaties, en mogelijk al toegang had tot het EVI-systeem door zijn werkzaamheden voor een festival. Wij hebben bewijsmateriaal dat bijdroeg aan zijn aanhouding en dat duidelijk maakt hoe de hacker is binnengedrongen en gedurende meerdere dagen de data heeft aangepast, zijn rechten binnen het systeem heeft verhoogd, zich voordeed als andere personen, namen toevoegde aan de crew/guest-lijst, alle data kopieerde, een schaduwkopie online plaatste en systematisch zijn sporen wiste. Dit alles was mogelijk ondanks de aanwezige beveiliging, die, hoewel achteraf gezien verbeterbaar, niet zo simpel te omzeilen was als gesuggereerd wordt."

Reacties (241)

241

239

133

Wijzig sortering

scsirob 24 april 2024 10:53

Toch wel bijzonder als je dan de berichtgeving hierover leest. Uit de T:

„Hier was absoluut geen sprake van een kwajongensstreek”, zo stelt de officier van justitie voor de rechtbank in Almelo tijdens de motivering van de strafeis. „Aan deze hack ging een maandenlange voorbereiding vooraf. Het was goed opgebouwd, met een enorme digitale buit als opbrengst."

Het binnenwandelen van een server met de domste administrator credentials die je kunt verzinnen lijkt me toch wel wat anders dan een maandenlang voorbereid plan.

SPT @scsirob • 24 april 2024 14:31

Inderdaad, in tegenstelling tot wat het OM stelt, heeft het juist wel weg van een kwajongensstreek. De strafeis lijkt te zijn gebaseerd op de hoge financiële schade, zowel gevolgschade als imagoschade, maar daar lijkt de causaliteit te worden omgedraaid. Het ontbreken van een afdoende beveiliging van persoonsgegevens had een nader onderzoek hoe dan ook noodzakelijk gemaakt (ook als de verdachte direct had gemeld dat de site eenvoudig te hacken was). Als de gegevens van 500.000 klanten op een server staan die beveiligd is met login-credentials die met de simpelste software te brute-forcen is, dan dient er bovendien vanuit te worden gegaan dat deze gegevens op straat liggen. De door het CBP geëiste melding lijkt dan ook sowieso op zijn plaats te zijn geweest. De site kan immers ook door anderen gehackt zijn, die geen (of minder) sporen hebben achtergelaten. De imagoschade is terecht, want de beheerders van deze data zijn er onvoldoende zorgvuldig mee omgegaan. Verder klopt het niet dat de gegevens op straat lagen; ze stonden alleen op de computer van de dader. Het lijkt er op dat hij de gegevens beter beveiligd had dan het evenementenbureau, want het is de experts van het OM nog niet gelukt om toegang tot de laptop van de verdachte te krijgen. Had hij de gegevens wel op internet gegooid, was er bewijs dat hij de dataset had verkocht aan derden, of was hij het bedrijf met het lek gaan afpersen, dan was het wel een andere kwestie geweest.

Ik vind de strafeis wel degelijk buitenproportioneel. Om heel eerlijk te zijn vind ik dit eerder vergelijkbaar met iets als een winkeldiefstal. Minder erg dan bijvoorbeeld een woninginbraak.

[Reactie gewijzigd door SPT op 22 juli 2024 17:14]

SED @SPT • 26 april 2024 11:40

Jouw interpretatie strookt absoluut niet met de inhoud van het artikel.
Hij zou op basis van eerdere werkzaamheden reeds toegang hebben gehad tot het systeem en daar allerlei geplande handelingen uitgevoerd hebben met de bekende gevolgen.
Als hij zo onschuldig is kan de toegang tot zijn macbook dit simpel bevestigen.
Maar... juist dus. Hij weigert ook nu medewerking en blijft zijn onwaarschijnlijk verhaal pushen. Zoals jij nu ook doet.

Roy23 @scsirob • 24 april 2024 14:07

Toch wel bijzonder als je dan de berichtgeving hierover leest. Uit de T:

[...]

Het binnenwandelen van een server met de domste administrator credentials die je kunt verzinnen lijkt me toch wel wat anders dan een maandenlang voorbereid plan.

Ja, maar het is dus de vraag of dat waar is. Dit is de verklaring van de verdachte tijdens de rechtzaak.
Als jij als verdachte zegt "ik ben maanden bezig geweest met het vinden van een zwakke plek en toen ik die vond heb ik hem misbruikt" dan valt je straf waarschijnlijk zwaarder uit dan bij "ik stuitte bij toeval op een admin console en probeerde het welbekende administrator/Welkom01 en dat lukte nog ook!".

Ik denk dat de titel boven dit bericht iets teveel stuurt naar een bepaalde richting terwijl het "maar" de verklaring van een verdachte is die er baat bij heeft om het over te laten komen als een toevalstreffer zonder kwade wil.

Kurios @scsirob • 24 april 2024 14:13

Eenmaal binnen kon hij uitgebreid zijn gang gaan, door in alle vrijheid bestanden te uploaden of te downloaden, of ter plaatste aan te passen of te wijzigen. Zo wist hij zichzelf backstage toegang te geven tot het Awakenings-festival en kon hij parkeerplekken aanvragen, maar dus ook gegevens van gebruikers van het systeem (lees: festivalgangers) bekijken, downloaden of aanpassen.

Klink niet als het 'binnenwandelen van een server". Uit zijn gedrag zou je kunnen opmaken dat hij deze servers doelmatig heeft aangevallen, is binnengedrongen en daarna nog diverse handelingen heeft uitgevoerd.
Dit terwijl hij wist dat het niet mocht en strafbaar was.

Hij heeft ook niet nadat hij in kon loggen met een username/wachtwoord (we weten niet welke), een melding gemaakt, maar is verder gaan inbreken. Kortom zeer fout en een flinke straf klinkt hier op zn plaats.

[Reactie gewijzigd door Kurios op 22 juli 2024 17:14]

Remzi1993 @scsirob • 24 april 2024 22:42

Het binnenwandelen van een server met de domste administrator credentials die je kunt verzinnen lijkt me toch wel wat anders dan een maandenlang voorbereid plan.

Inderdaad en asl ik de rechter was dan had ik gelijk mijn twijfels of deze meneer zijn werk wel goed doet. De geloofwaardigheid van zo'n persoon op de werkvloer gaat dan meteen heel erg omlaag. Echt gestoorde aannames.

ggj87 24 april 2024 08:16

€100000 kosten om een ww en inlognaam te wijzigen?? Hoeveel verdienen die systeembeheerders daar wel niet dan? En zoeken ze nog mensen?

Kip @ggj87 • 24 april 2024 08:57

Waarschijnlijk zijn hier ook de kosten voor incident response inbegrepen. Een onderzoek door een derde partij om vast te stellen hoe de indringer is binnengekomen en wat er vervolgens heeft plaatsgevonden. Misschien zijn daarnaast nog andere interne systemen gecompromitteerd? Of, zoals gesteld, welke (klant)gegevens zijn gekopieerd. De verdachte lijkt niet open te zijn over zijn acties. Iemand met goede bedoelingen had het lek meteen gemeld.

Het nieuwsartikel laat ook zien dat er onvoldoende security monitoring aanwezig was. Was er een controle om te zien of er massaal klantgegevens werden geraadpleegd? Heeft de verdachte een kopie van de database buitgemaakt? Waren er manieren om het brute forcen van de inlogpagina te beperken?

Het viel pas op door een hoge belasting op een server. In een ander geval had een anonieme hacker dit lek misbruikt. Het wachtwoord staat op allerlei bekende brute force lijsten. Dan was er geen andere partij om de aandacht naar te verdelen.

Ben je zelf een ontwikkelaar van webapplicaties? Zorg ervoor dat je de vereisten van de ASVS meeneemt om de basis op orde te krijgen:
https://owasp.org/www-pro...ty-verification-standard/

mati1983 @Kip • 24 april 2024 10:45

Dit inderdaad.

Afhankelijk van de architectuur van je infra, kun je de hele zaak gaan zitten uitpluizen en nalopen, samen met een dure externe partij. Je hebt geen idee wat er verder nog meer gebeurd is, zeker wanneer er, zoals het artikel meldt, onvoldoende monitoring plaats heeft gevonden. Je zoekt niet naar een concreet iets, maar kunt wel de hele boel nalopen.

Die geschatte 100k euro zit je echt zo op.

Proliges @mati1983 • 24 april 2024 12:59

Ja, maar om dan die 100k bij de verdachte te verhalen omdat je zelf slechte monitoring hebt vind ik ook wel wat vreemd. Je mag zelf ook wel je zaakjes op orde hebben natuurlijk.

mati1983 @Proliges • 24 april 2024 14:12

Dat is ook een mening natuurlijk, maar niet één die ik deel. Feit is dat de verdachte er niets te zoeken had/heeft en onrechtmatig toegang heeft verkregen. Hoe moeilijk of makkelijk dat ging is mijns inziens irrelevant. Nergens heeft men de wens, vraag of uitnodiging gezet om alstublieft gehackt te worden en/of om op kosten gejaagd te worden. De verdediging moet schadeloos worden gesteld.

Ik probeer een vergelijking te vinden, maar kom niet verder dan deze, welke ik wat matig vind, maar toch:

Stel, jij parkeert je auto ergens op straat en bij terugkomst vind je een briefje onder de ruitenwisser waarop staat dat ik dingen heb gedaan met jouw auto, waardoor rijden levensgevaarlijk is geworden. Dan ga je toch ook de hulp van een professional inschakelen, namelijk je garage? Wanneer zij vervolgens constateren dat inderdaad de wielbouten los zaten, dan wil je toch ook dat ze meteen de rest even nakijken? Weet jij veel wat er met bv je remmen gebeurd is.. Verder wordt er niets gevonden, maar wel wordt geroepen dat je voortaan beter een afgesloten garage kunt gebruiken. Totale rekening 800 euro, terwijl het vastdraaien van de bouten misschien wel gewoon onder service had gevallen. Wat vind jij dat ik jou nu schuldig ben, niks of 800 euro?

[Reactie gewijzigd door mati1983 op 22 juli 2024 17:14]

bigkillerstorm @mati1983 • 24 april 2024 15:39

Ik zie het meer dat die wiel bouten al los waren heel de auto al bij voorbaat ondeugdelijk was. Nu ik een zondebok heb en mijn auto toch al bij de garage staat die ik zelf niet fatsoenlijk kan onderhouden. Maak ik hem weer tiptop in orde haal ik de kosten bij de verdachten. Zo zie ik het een beetje. Dat beveiligingsbedrijf is ook schuldig. Beveiligingsbedrijf die zo een klant achterlaat moet ook boete. Dit heeft weinig met beveiliging te maken. Zie daar eigenlijk meer schuld liggen. Zolang de dader geen gegevens heeft verkocht slechts gedownload heeft. Zie ik alleen een vorm van imagoschade. Waar tevens dat beveiligingsbedrijf ook deels schuldig aan is. Malware had hij geïnstalleerd daar is ie dan wel volledig verantwoordelijk voor. Voor de rest als het nu een super hacker was die zich via moeilijke backdoor binnen weet wurmen. Wat beveiliging moeilijk had kunnen overzien betreft het weinig tot geen schuld. Alles is te hacken uiteindelijk.

[Reactie gewijzigd door bigkillerstorm op 22 juli 2024 17:14]

mati1983 @bigkillerstorm • 24 april 2024 17:07

Dat anderen ook verwijtbaar hebben ontken ik geenszins, maar de verdediging moet schadeloos gesteld worden. Oftewel, de bouten zaten wel vast (want de backend was in principe beveiligd, alhoewel slecht). De auto stond echter op een makkelijk toegankelijke plek en niet in een bewaakte parkeergarage.

Voor de geëiste 100k verwacht ik dat men, in ieder geval voor het leeuwendeel, puur de incident-response gerelateerde kosten claimt. Dat je vervolgens achteraf niet zo heel happy bent met de toko die je betaald hebt voor het inrichten van je spullenboel snap ik, maar is een ander verhaal en gevecht.

Ik snap niet dat je het alleen als imagoschade ziet. Er zijn overduidelijk kosten gemaakt. Ook de vraag of het een "super hacker" of een "amateurhacker die vervolgens malware installeerde" was lijkt mij niet zo relevant. Als ik bij jou een stoeltegel door de voorruit gooi, zal het jou worst zijn of ik daar wel of niet heel goed in ben. Jij wilt dat ik de plaatsing van een nieuwe voorruit vergoed. Toch?

Xessive @mati1983 • 24 april 2024 14:53

Maar aan de andere kant, als ik bijvoorbeeld mijn laptop in mn auto laat liggen heb ik kans dat ik een boete krijg wegens 'aanleiding geven tot diefstal'.

In mijn ogen dienen de kosten die gemaakt zijn om het gehele systeem te checken gewoon betaald te worden door het betreffende bedrijf. De hacker heeft deze niet ingesteld en zoals in andere reacties al te lezen was, is dat password 'Welkom01' ongeveer een standaard entry in brute force password lists.

Het bedrijf is op dat punt dus nalatig geweest en dus zelf verantwoordelijk voor daar eventueel uit voort vloeiende kosten.

mati1983 @Xessive • 24 april 2024 17:10

Zie mijn voorbeeld van eerder. Ik vind dat men schadevrij gesteld moet worden.

Volgens jouw logica is het dus vooral mijn eigen schuld wanneer ik op de eettafel een ipad heb liggen, die jij vervolgens steelt omdat ik de keukendeur vergeten ben op slot te doen. Dat het oerstom van mij is, is waar, maar het is toch echt jij die dan fout zit.

Je voorbeeld van een boete krijgen omdat je je laptop in de auto laat liggen volg ik niet helemaal. Nu ben ik geen jurist, maar dat lijkt mij een heel bijzonder verhaal..

Proliges @mati1983 • 24 april 2024 19:27

Zo zie ik het niet. Ik vergelijk het meer met iemand raakt jou auto omdat je slecht geparkeerd staat en je hebt een kras achter op je bumper en vervolgens laat jij de hele auto weer in nieuwstaat brengen en worden al die deuken aan de voorkant gladgestreken op kosten van degene die een kras op je bumper maakt.

Heeft iemand daar niks te zoeken? Eens. Maar je hebt ook wel een plicht, ook naar je klanten toe, dat je zaken gewoon fatsoenlijk op orde hebt. En als je dat niet hebt is dat niet de schuld van degene die er misbruik van maakt, dat is in de eerste plaats je eigen schuld, dus mag je ook gewoon zelf het grootste gedeelte van je falen aftikken wat mij betreft.

[Reactie gewijzigd door Proliges op 22 juli 2024 17:14]

mati1983 @Proliges • 26 april 2024 08:55

En toch denk ik dat we min of meer hetzelfde zeggen.

Kosten gerelateerd aan het onderzoeken zijn wat mij betret te verhalen. Wanneer men vervolgens besluit dat een monitoringsysteem toch wel handig was en idem voor een fatsoenlijke firewall, da's een ander verhaal.

Cyclone82 @Kip • 24 april 2024 21:18

Een onderzoek door een derde partij had toch moeten uitwijzen hoe de verdachte het systeem is binnengekomen. Dit weet men dus niet eens te achterhalen..Het onderzoekende bedrijf lijkt dan ook niet heel geschikt mag ik wel zeggen. Een strafeis neerleggen zonder te weten hoe en vragen aan de verdachte om opheldering gezien ze er zelf niet uitkomen.... Waar gaat het heen met dit rechtssysteem... elke crypto kunnen ze volgen en meestal terughalen door sporen terwijl deze crypto over 50 servers heen is verspreid maar 1 simpele login kunnen ze niet tracen? Bah

nandervv @Kip • 24 april 2024 21:50

Als je wachtwoord Welkom01 is, dan verwacht ik inderdaad dat die post-mortem, en de lessen die eruit geleerd kunnen worden best wel veel manuren gaat kosten ja.

svennd @ggj87 • 24 april 2024 10:22

plaatste ook malware op het systeem

En de cleanup daarvan. Ik kan ook wel overal admin/admin/Welkom01 gaan testen, maar malware heb ik niet op m'n pc staan. (althans niet bewust

)

leuk_he @ggj87 • 24 april 2024 17:03

Als je in paniek opeens met spoed gespecialiseerde bedrijven moet inhuren, dan gaat de teller hard lopen.

Vergelijk het met dat iemand op je terrein blijkt te heeft rondgelopen en je moet 24/7 bewaking inhuren, en nood hekken neerzetten. (Analogieën gaan altijd mank). En een volledige voorrad inventaris doen.

Barleone 24 april 2024 07:54

Zou het dan niet een sterk signaal zijn dat het bedrijf een boete krijgt van de AP? Want ja: hacker is fout, maar security is ook vreselijk nalatig geweest. En die schade die men claimt: volledig eigen schuld mijns inziens.
#boerenverstand

Verwijderd @Barleone • 24 april 2024 08:10

''Nextselect benadrukt niet gehackt te zijn''

''Nextselect schat de schade op 100.000 euro''

Wat voor interessante visie houden die er op na?

Skyclad @Verwijderd • 24 april 2024 08:31

Stel dat je naar de pers gaat met een verhaal dat medewerkers van een beveiligingsbedrijf bij jou een heleboel kostbare spullen hebben gestolen. Je wil geen bewijs overleggen, maar ze raken wel mogelijk klanten kwijt door het bericht. Ook wanneer het dan niet waar was kunnen ze toch schade hebben erdoor.

[Reactie gewijzigd door Skyclad op 22 juli 2024 17:14]

.oisyn Moderator Devschuur® @Skyclad • 24 april 2024 08:37

Ze hebben het hier idd voornamelijk over imagoschade, maar als je admin wachtwoord Welkom01 is, dan is dat toch echt je eigen schuld, en niet die van de hacker.

guapper @.oisyn • 24 april 2024 12:55

Want het wachtwoord is een uitnodiging?

.oisyn Moderator Devschuur® @guapper • 24 april 2024 13:12

Want dat zei ik? Nee, absoluut niet. Maar ik heb het dus over de imagoschade. Dat komt toch echt door je eigen belabberde beveiliging.

Vuurvleugelhart @guapper • 24 april 2024 13:33

Ja. Daar staat tenslotte 'welkom'.

Proliges @guapper • 24 april 2024 13:00

Nee, maar je vraagt er wel een beetje om. Als ik mijn voordeur open laat staan moet ik ook niet raar staan opkijken als er iemand binnen staat.

PhWolf @Proliges • 24 april 2024 13:20

Nou ik zou daar behoorlijk raar van opkijken eerlijk gezegd. Alsof het normaal is om een wildvreemd huis binnen te lopen? Bovendien vind ik de vergelijking niet helemaal kloppen, ik zou het eerder vergelijken met het proberen openen van een deur die gesloten is maar mogelijk niet op slot, en als de deur toch op slot blijkt te zitten even onder de deurmat en/of bloempot kijken, daar een sleutel vinden en jezelf daarmee toegang verschaffen. Vind je dat iemand die dat doet geen blaam treft? Als buitenstaander weet je drommels goed dat je daar niet thuis hoort.

.oisyn Moderator Devschuur® @PhWolf • 24 april 2024 14:26

Alleen gaat het hier niet om een huis, maar om een bedrijfspand waar persoonsgegevens liggen opgeslagen en waarvan een wettelijke verplichting bestaat die adequaat te beschermen. En nu heeft dat bedrijf ineens imagoschade omdat er blijkbaar iemand naar binnen kon komen door de sleutel onder de deurmat te vinden. Is die imagoschade dan de schuld van die persoon die binnen is gedrongen op een manier die vooral het bedrijfs eigen falen blootlegt?

[Reactie gewijzigd door .oisyn op 22 juli 2024 17:14]

Proliges @PhWolf • 24 april 2024 19:41

Nou ja, ik vind Welkom01 als wachtwoord het equivalent van je deur dicht doen maar niet op slot draaien.

Ik vind niet dat iemand die dat doet geen blaam treft, maar ik vind de totale kosten op de dader verhalen ook onzin. Ja hij zal een schadevergoeding moeten betalen maar 100k is overdreven.

Cyclone82 @PhWolf • 24 april 2024 21:23

Uhm....ik kom geregeld op plaatsen te werk waar dan ineens mensen naar binnen lopen terwijl het "bedrijf of pand" gesloten is maar er een deur even open stond. Die willen dan even "kijken" of "plassen"... Dit vinden een hoop mensen normaal! welkom in bijvoorbeeld Rotterdam zuidplein gebied (laatste keer meegemaakt een week geleden nog en niet 1 persoon maar gewoon een stuk of 5!!). Ik sta daar zeer zeker niet meer raar van te kijken. Als je er wat van zegt voelen ze zich nog aangevallen ook :-) En al zit een deur dicht proberen ze ook nog even de klink... Niks geks... De persoon had niet in moeten breken of na gelukte inlog direct melding moeten maken van de slappe security JA... maar de strafeis is onzinnig. Als je iemand verrot slaat krijg je misschien 2 maanden cel en een cursus anger management... Er wordt veel te zwaar getild aan dit soort "inbraken"...Als bedrijf moet je anno 2024 je shit op orde hebben en niet anno 1980 gaan werken! Privacy is er niet meer dus bescherm wat je kunt op een goede manier.

[Reactie gewijzigd door Cyclone82 op 22 juli 2024 17:14]

crichton @.oisyn • 24 april 2024 13:11

Laat dat "en niet die van de hacker" maar weg. Als een inbreker jouw achterdeurslot van je jaren-zeventig woning zonder SKG-sterretjes kinderlijk eenvoudig forceert met een Action schroevendraaier, treft de inbreker dan ook geen blaam?

.oisyn Moderator Devschuur® @crichton • 24 april 2024 13:13

Misschien kun je even de woorden quoten waarin ik stel dat de inbreker geen blaam treft

crichton @.oisyn • 25 april 2024 18:29

... echt je eigen schuld, en niet die van de hacker.

Syntactisch is "niet de schuld van de hacker" inderdaad niet gelijk aan "de inbreker treft geen blaam". Semantisch echter wel.

.oisyn Moderator Devschuur® @crichton • 25 april 2024 19:47

Als je heel selectief kijkt en niet meenemt wat er de in de deelzin ervoor wordt besproken, dan zou je dat idd kunnen denken.

Ik zeg dat de hacker geen blaam treft voor de imagoschade. Ik zeg niet dat hem helemaal geen blaam treft.

[Reactie gewijzigd door .oisyn op 22 juli 2024 17:14]

Ludewig @Verwijderd • 24 april 2024 09:07

''Nextselect benadrukt niet gehackt te zijn''

''Nextselect schat de schade op 100.000 euro''

Wat voor interessante visie houden die er op na?

Wat je regelmatig ziet is dat een bedrijf zijn beveiliging niet op orde heeft, en na een hack alle kosten om de beveiliging te fixen wijt aan de hacker, wat natuurlijk onterecht is. Want als het bedrijf zelf had besloten om de beveiliging op orde te brengen, had het ook geld gekost.

Kevinp @Ludewig • 24 april 2024 09:53

Als een hacker alleen maar naar buiten brengt dat het gebeurd is is er eigenlijk geen schade.

Het probleem is vaak dat er eerst 3x gemeld wordt. Je beveiliging is niet op orde.

En bij de 4e keer maken ze het een en ander openbaar en is het paniek.

En wie krijgt de schuld. Niet de CEO die zijn zaakjes niet op orde heeft, maar de hacker.

Ludewig @Kevinp • 24 april 2024 10:34

Een bedrijf kan een hacker natuurlijk niet per se op zijn blauwe ogen geloven. Normaliter moet je dan op zijn minst een stevige audit doen om te controleren dat er geen malware is geïnstalleerd of dingen stuk zijn gemaakt.

Dat is ook een reden waarom het vaak handiger is om een ethical hacker of andere audit-partij in te huren nog voordat zoiets gebeurd, want die kun je in principe wel vertrouwen en kan dan aangeven welke beveiligingsproblemen er zijn.

Kevinp @Ludewig • 24 april 2024 13:54

Ik weet niet hoe dat gaat. Maar ze zullen vaak wel bewijs leveren. Er zijn genoeg voorbeelden van hacks die iig bewijs leveren dat ze binnen zijn geweest.

Dat moet je dan fixen. Daarna kan /moet je natuurlijk voorkomen dat er een achterdeur is. Maar dat is iets anders.

Vaak wordt het genegeerd om welke reden dan ook.

Jim de Wit @Kevinp • 24 april 2024 19:32

Ik werk voor een softwarebedrijf waar zo nu en dan beveiligingsonderzoekers (of security-minded klanten) aan responsible disclosure doen. Een dergelijke melding hoort altijd vergezeld te gaan van een proof-of-concept, zodat de melding geverifieerd kan worden.

In dit geval had een mailtje met de credentials in kwestie daarvoor volstaan. De verleiding 'even rond te kijken' zou ik zelf in zo'n geval ook niet kunnen weerstaan, maar het installeren van malware (ik gok een reverse shell o.i.d.) maakt dat de jongeman in kwestie mijns inziens computervredebreuk heeft gepleegd.

Een schadevergoeding van een ton slaat dan weer helemaal nergens op - dit is het digitale equivalent van je fiets niet op slot zetten en dan gaan klagen als-ie gestolen wordt.

[edit: typo in eerste alinea]

[Reactie gewijzigd door Jim de Wit op 22 juli 2024 17:14]

Kevinp @Jim de Wit • 25 april 2024 14:52

Je fiets niet op slot zetten er wordt opgefiets, maar hij wordt wel netjes weer geparkeerd nog voor je hem weer nodig hebt.

grizzlywilde @Verwijderd • 24 april 2024 08:47

"we zijn niet gehackt, maar ons wachtwoord is op onverklaarbare wijze geraden"

praseodymium @Verwijderd • 24 april 2024 08:55

Op nextselect.nl staat:

NextSelect is niet gehackt, ondanks dat enkele media dit ten onrechte vermelden. De hack heeft plaats gevonden in een platform dat in samenwerking met de ID&T group (waaronder The Support Group) is ontwikkeld.

En uit het nieuwsbericht van het OM:

De evenementenbedrijven hadden voor dat systeem –Evi genaamd- een samenwerking met softwarebedrijf NextSelect uit Enschede. Dat bedrijf beheerde de servers waarop alle data stond.

Dus NextSelect beweert zover ik het begrijp dat zij niet gehacked zijn, maar een server die zij beheren wel.

[Reactie gewijzigd door praseodymium op 22 juli 2024 17:14]

Unstable Element @praseodymium • 24 april 2024 13:28

Nou ja het kan natuurlijk zijn dat ze een server beheren en daar de wachtwoorden niet van gehackt zijn (denk aan ssh wachtwoord of zo) maar applicatie die daarop draaide niet beheerde en daar het wachtwoord van geraden is (denk aan bijvoorbeeld Wordpress).

H.Klinkhamer @Verwijderd • 24 april 2024 08:56

Denk dat de uitleg is: het bedrijf zelf is niet gehackt. Oftewel niet de infrastructuur die ze zelf gebruiken voor hun eigen organisatie.

Wat gehackt is, is een platform dat ze mede ontwikkeld hebben. Het platform is niet de organisatie Nextselect. Lijkt mij dan ook dat de bewering klopt??

Bergen @Verwijderd • 24 april 2024 11:25

Nextselect benadrukt niet gehackt te zijn

Een wachtwoord raden is ook geen hacken, toch? Bruteforce een wachtwoord vinden zou je hacken kunnen noemen, maar voor welkom01 hoef je niet te bruteforcen. Dus ik in die zin ben ik het NextSelect eens, dat ze niet zijn gehackt.

Vergelijk het met een slot waarvan heel Nederland de sleutel heeft. Als een willekeurige persoon zijn sleutel erin doet en naar binnen loopt, heeft die persoon dan ingebroken? Ik vind van niet.

[Reactie gewijzigd door Bergen op 22 juli 2024 17:14]

JurGor @Bergen • 24 april 2024 12:32

Wat wij vinden wat wel/niet hacken is, doet er onderaan de streep niet zo toe. Het gaat om wat binnen ons rechtssysteem als hacken wordt beschouwd.

En dan heet "hacken" ineens computervredebreuk: ‘opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk'

De volgende 4 manieren worden in ieder geval als computervredebreuk aangemerkt:
- saboteren van beveiliging (bijv. buiten werking stellen of laten crashen)
- technische manipulatie van beveiliging
- inbreken met behulp van valse credentials
- het aannemen van een valse hoedanigheid

En dat is hier dus gebeurd, de verdachte heeft zich voorgedaan als administrator met het wachtwoord van de administrator, met een valse hoedanigheid dus. Een wachtwoord raden valt onder social engineering en valt juridisch dus gewoon onder computervredebreuk.

Overigens geldt hetzelfde voor huisvredebreuk in jouw voorbeeld. Als die willekeurige persoon zonder toestemming van gebruiker/eigenaar van het huis een loper gebruikt om een huis binnen te komen, is dat nog altijd huisvredebreuk. Dat de verzekering vervolgens zegt "ja maar dat dekken we niet want de beveiliging was onvoldoende" staat daar buiten. Inbraak is inbraak.

.oisyn Moderator Devschuur® @JurGor • 24 april 2024 14:37

Een wachtwoord raden valt onder social engineering

Nou nee, even afgezien van het feit dat er geen juridische basis is voor "social engineering", is het dat ook in de volksmond niet omdat bij social engineering juist specifieke personen worden getarget om persoonlijke gegevens te ontfutselen of op een andere manier via hen binnen te komen. Daar valt het raden van een wachtwoord niet onder.

telenut @Bergen • 24 april 2024 11:43

Hangt volledig af van de rechter... Ik ben veroordeeld wegens het aanpassen van cookies...

JurGor @telenut • 24 april 2024 12:33

De rechter houdt zich gewoon aan de wet. Een andere rechter was dus in beginsel tot eenzelfde veroordeling gekomen. Indien je beweert dat dit substantieel niet zo is, was dan in hoger beroep gegaan.

telenut @JurGor • 24 april 2024 12:35

Als student heb je daar het geld niet voor, en ben je blij met paar jaar voorwaardelijk, want dat voel je op zich niet echt.

JurGor @telenut • 24 april 2024 12:37

Tot je een VOG nodig hebt waarbij naar dit soort aspecten in je juridisch verleden wordt gekeken. Enfin, dat hoef ik jou niet te vertellen, is meer voor de andere lezers ter lering (en zonder vermaak).

sdk1985 @telenut • 25 april 2024 01:37

Als je geen inkomen hebt dan kun je gebruik maken van pro deo advocaten: https://www.rijksoverheid...het%20Juridisch%20Loket..

marinostrus @Bergen • 24 april 2024 12:28

[...]
Vergelijk het met een slot waarvan heel Nederland de sleutel heeft. Als een willekeurige persoon zijn sleutel erin doet en naar binnen loopt, heeft die persoon dan ingebroken? Ik vind van niet.

De politie denkt daar gelukkig helemaal anders over. Dat is nog altijd een inbraak. Net zoals wegrijden met een fiets die niet op slot is ook diefstal is. Hoe het beveiligd is, maakt niet uit.

demonite @Bergen • 24 april 2024 23:06

NextSelect zelf is niet gehackt, enkel een platform wat zij hebben ontwikkeld.

En ja, ik vind dit artikel ook best wel onduidelijk beschreven.

H.Klinkhamer @Verwijderd • 24 april 2024 09:06

En nuance vwb schadebedrag

Volgens het Enschedese bedrijf NextSelect is de schade van de hack 47.000 euro. Ook de Support Group, organisator van onder meer Defqon en Awakenings, zegt schade te hebben en eist 50.000 euro van de verdachte. Daarnaast is er volgens justitie sprake van imagoschade en verkoopschade, en is er "absoluut geen sprake was van een kwajongensstreek".

bzuidgeest

Politiek en recht

@Verwijderd • 24 april 2024 11:50

Ik vind niet dat de voordeur openzetten als hack kwalificeert. Met die user /pw combo is het gewoon een open deur.

JurGor @bzuidgeest • 24 april 2024 12:36

De verdachte heeft de hoedanigheid van een administrator aangenomen en is een systeem binnengedrongen zonder toestemming van de eigenaar/beheerder ervan.

In juridische zin is dat computervredebreuk, hoe open de deur ook is.

Ook een inbreker die gebruik maakt van een Brabantse achterdeur die open staat is nog altijd een inbreker die huisvredebreuk pleegt.

bzuidgeest

Politiek en recht

@JurGor • 24 april 2024 17:30

In juridische zin is dat computervredebreuk, hoe open de deur ook is.

Prima, eens, spreek ik ook niet tegen. Maar maakt dit, dat die persoon een "hacker" is?
Het is het woord onwaardig. Ordinaire dief voldoet als omschrijving.
Het is hetzelfde als iemand die een kwast vast kan houden een professioneel schilder noemen.

[Reactie gewijzigd door bzuidgeest op 22 juli 2024 17:14]

JurGor @bzuidgeest • 25 april 2024 09:54

Ja, dat maakt die persoon een hacker. Een pleger van computervredebreuk. Ik denk dat het de slachtoffers weinig uitmaakt of degene die hen hackte dat zonder enige coding deed, of geniale unieke zelf geschreven code gebruikte of zo.

Onwaardig? Sinds wanneer moeten we bij misdadigers onderscheid maken tussen waardige misdadigers en onwaardige misdadigers? Het zijn allebei misdadigers.

Persoonlijk zie ik er meer merite in om het oordeel waardig/onwaardig te baseren op de ethiek van de hacker dan de techniek van de hacker, zeg maar white hat/black hat.

bzuidgeest

Politiek en recht

@JurGor • 25 april 2024 11:16

Een van de definities van hacker:
"Een hacker is een persoon die probeert of daadwerkelijk binnendringt in een netwerk. Dit doen hackers door de beveiligingsmaatregelen van bedrijven of particulieren te omzeilen."

admin/welkom01 noem ik geen beveiligingsmaatregel. En nee dat maakt noch slachtoffer, noch rechter iets uit, het blijft een misdaad.

Maar zoals je zelf aanhaalt er bestaan ook white-hat hackers en zo. Deze persoon een hacker noemen haalt de jaren van kennisvergaring en studie en werk van deze (en eigenlijk ook de black-hats) onderuit. Ik vind dat vooral tegenover de white-hat hacker niet kunnen.

Zoals ik al stelde we noemen niet iedereen die een kwast kan vasthouden een professioneel schilder. We noemen een hardrijder die opgepakt is ook geen coureur. Een dief noemen we geen beveiligingsexpert. Een drugsdealer geen dokter. Die titels zijn niet verdiend.

Misschien vind jij het een onbelangrijk punt, dat is niet erg, ik vind echter het wel belangrijk.

Zelfs de wet vind het soms belangrijk, zo belangrijk dat er beschermde beroepstitels zijn. Die mag je alleen gebruiken als je ze verdient hebt.

[Reactie gewijzigd door bzuidgeest op 22 juli 2024 17:14]

JurGor @bzuidgeest • 25 april 2024 14:47

admin/welkom01 is wel degelijk een beveiligingsmaatregel. Niet een slimme of hele effectieve, maar het is een beveiligingsmaatregel. Het is een slot op de deur alleen heeft de bewoner de sleutel onder de mat gelegd. En het komt niet eens op in het hoofd van een leek om deze beveiliging te gaan proberen te omzeilen. Voordat je überhaupt op het idee komt om credentials in te vullen om te proberen toegang te krijgen tot software waar je niet in zou moeten kunnen, moet je een bepaald kennisniveau hebben en vertrouwen hebben in bepaalde kunde van jezelf. Oftewel je als je dit al gaat proberen, ben tenminste enige mate ingewijd in het hacken. Dat je vervolgens treurniswekkend weinig van je hackersvaardigheden nodig hebt om erin te komen, tja. Soms zit het de hacker mee, soms tegen.

Ik wil niemand de eer in diens beroep ontzeggen. Het is wellicht wel verstandig om, indien men in het algemene zakelijke dienstenverkeer gebruik wil maken van een beroepstitel, deze zo te formuleren dat deze geen criminele associaties oproept. Bijvoorbeeld informatiebeveiligingsexpert in plaats van hacker.

Vergelijk het met de slotenmaker. Die is vaak nog vaardiger dan de gemiddelde inbreker in het openbreken van sloten. Toch noemt hij zichzelf geen inbreker, ook geen slotenforceerder, maar slotenmaker.

bzuidgeest

Politiek en recht

@JurGor • 25 april 2024 14:50

moet je een bepaald kennisniveau hebben en vertrouwen hebben in bepaalde kunde van jezelf. Oftewel je als je dit al gaat proberen, ben tenminste enige mate ingewijd in het hacken

Je legt de lat wel heel laag. Scriptkiddie niveau. Misschien moeten ze die mensen zo gaan noemen in het nieuws. scriptkiddies.

CH4OS @Barleone • 24 april 2024 08:03

De verdachte had, ondanks dat hij kon inloggen, geen eigen slaatje eruit moeten slaan, dus helemaal vrijuit gaat de verdachte waarschijnlijk niet.

Jorah_Newstone @CH4OS • 24 april 2024 08:15

Dit kan je vergelijken met de sleutel zat in de voordeur, hij had die TV niet moeten jatten.

Echter is omdat de sleutel wel in de voordeur zat en dus de eigenaar nalatig geweest en zal de verzekering niet uitbetalen.

jacob.korf @Jorah_Newstone • 24 april 2024 08:21

Ja dat, maar beide kanten mogen gestraft worden. Als ik een telefoon in mijn hand houd is dit ook niet een uitnodiging om hem uit mijn hand te stelen. Iemand maakt een bewuste keuze om iets van iemand anders af te pakken. Dat geldt ook voor de sleutel in de deur.

Jorah_Newstone @jacob.korf • 24 april 2024 08:38

Zo bedoel ik het ook hoor, de inbreker dient gestraft te worden, die 100k schade is onzin, een wachtwoord dat gewoon standaard is, is gewoon extreem nalatig geweest

Het was een ander verhaal als de inbreker alleen had getest of dit mogelijk was en het bedrijf op de hoogte te stellen.

CPM @Jorah_Newstone • 24 april 2024 08:54

100K schade onzin? Waar baseer je dat op? Als je een gespecialiseerd security bedrijf moet inschakelen voor forensisch onderzoek dan ben je al snel 40K kwijt hoor. En dan nog eens de schade doordat id&t de samenwerking stop zet, imago schade, extra IT kosten omdat de boel weer op orde gemaakt moet worden. Wat mij betreft hoge boetes voor dit soort criminele activiteiten.

[Reactie gewijzigd door CPM op 22 juli 2024 17:14]

sys64738 Moderator F&V @CPM • 24 april 2024 09:11

Dat gespecialiseerde security bedrijf hadden ze vooraf in moeten schakelen. En dat zou ze ook geld gekost hebben. Net als het vooraf je security en software goed inzichten.

Die imago schade en breuk met ID&T is volkomen eigen schuld. Als het zo makkelijk is om je systemen binnen te komen, roep je dat over jezelf af.

De inbreker had niks mee moeten nemen en geen schade aan moeten richten. Dus zijn staf is ook terecht (hoewel ik de eis wel wat hoog vind) maar verder eigen schuld, dikke built voor dat bedrijf.

dieguyvanit @CPM • 24 april 2024 09:13

Als je een forensisch onderzoek moet instellen om er achter te komen dat je admin wachtwoord Welkom01 was is er al wel zoveel mis het lijkt Gemeente hof van Twente wel.

Tijd dat er gewoon weer met onwil en onkunde word afgerekend.

prutser387 @CPM • 24 april 2024 09:13

Het is natuurlijk een beetje hoe je er naar kijkt.

Stel je hebt een bedrijf dat kluizen verkoopt.
Ik kom erachter dat als je met een schroevendraaier in het slot poert, dat de kluis opengaat.
Maar ik ben toevallig de eerste die hier achter komt.

Dan kan jij zeggen: Ja, nu moet ik het hele ontwerp van de kluis opnieuw doen, en alle klanten lopen weg. Dus ik ben verantwoordelijk voor alle gemaakte kosten.

Maar aan de andere kant was de beveiliging al slecht. Dus wie is er dan fout.

En ja, ik heb de kluis van iemand anders opengemaakt wat wettelijk gezien strafbaar is. Maar ik heb er ook niet extreem veel moeite voor gedaan. Dus boete/straf voor het openmaken van de kluis is tereecht, maar alle kosten inclusief reputatieschade verhalen op de dader niet, lijkt mij.

kodak

Beveiliging en antivirus
Nederland

@CPM • 24 april 2024 10:04

Het eisen van een schadevergoeding gaat niet om boete maar compenseren van geclaimde schade.

Het valt wel voor te stellen dat als volgens de rechter blijkt dat de eigenaren zelf ook wettelijke verantwoordelijkheid niet volledig hebben genomen ze niet alle schade maar kunnen afschuiven. Dat je door een vorm van eigen nalatigheid last van gevolgen van een crimineel kan hebben valt immers te verwachten. De wet ter bescherming van persoonsgegevens stelt daarom niet voor niets dat de eigenaren vooraf al genoeg verantwoordelijkheid horen te nemen.

Wouterie @CPM • 24 april 2024 11:20

Mooi verdienmodel! Als ik dus gratis mijn beveiliging wil opkrikken dan stel ik een server in met een zeer zwak wachtwoord en zodra er wordt ingebroken kan ik mijn beveiliging upgraden en de rekening bij de inbreker beleggen.

CH4OS @Jorah_Newstone • 24 april 2024 11:41

Had de verdachte alleen aangetoond dat hij naar binnen kon komen, dan had er geen schade geweest, maar blijkbaar heeft de verdachte dus wél een en ander gedaan, dus helemaal schadeloos is het niet. Of de €100.000,- terecht is weet ik niet. Echter door ook zelf een slaatje eruit te slaan, gaat de verdachte dus ook niet helemaal vrij uit.

i-chat @jacob.korf • 24 april 2024 10:40

wat mank gaat in jullie vergelijking is deze

als jij de sleutel in je eigen voordeur laat zitten is d verantwoordelijke ook zelf de benadeelde

maar het is nu niet de eigenaar van de database die schade heeft

dat is gewoon een lul verhaal
- als jijbje zaakjes niet op orde hebt is het ook jouw zaak op te ruimen

nee de enige slachtoffers van dit incident zijn de mensen wier data op die servers stond

de vraag is nu alleen wie is er meer schuldig

een scriptkid die het wachtwoord welkom01 weet te raden

of het professionele bedrijf die voor extra winst weigert om een goede veilige database te laten bouwen

om als dat uitkomt te roepen ohhhh neeee mijn imagooooo

Bo Diddley @Jorah_Newstone • 24 april 2024 08:47

Leuke vergelijking.
In de rechtspraak kan dat echter gezien worden als binnendringen met een valse sleutel

icecreamfarmer @Jorah_Newstone • 24 april 2024 10:05

Dat is onzin, de verzekering betaalt dan wel gewoon uit. Ook als je de deur open laat staan.

n4m3l355 @Barleone • 24 april 2024 08:15

Is dit nog hacken? Dit is je voordeur op een hak vast zetten die aan de buitenkant zit. Dat de jonge man fout zit zal niemand ontkennen maar de schade die ze zelf zeggende hebben geleden is toch wel het gevolg van grote nalatigheid.

Overigens ook merkwaardig dat het OM een dermate hoge straf eist en dat eat men publiekelijk duidelijk afwijkt van de realiteit, het lijkt haast dat ze hier het publiek proberen te beïnvloeden ten nadele van de verdachte.

Wouterie @n4m3l355 • 24 april 2024 11:22

Een wachtwoord raden is duidelijk geen hacken. Lijkt mij dan... maar ja, voor veel mensen is het aansluiten van een toetsenbord al hogere wiskunde.

Krommetenen @Barleone • 24 april 2024 08:15

“Claimde de verdachte”
Als het zo blijkt te zijn. Nou ja, dan is het een onderzoek waard ja.

mobstaa @Barleone • 24 april 2024 08:34

De verdachte verdedigt zichzelf. Lijkt mij dat hij er baat bij heeft om zoiets te zeggen. In plaats van dat het gewoon een erg sterk wachtwoord was, eventueel met een andere username dan "administrator".

Mocht het wél zo zijn dat dit de daadwerkelijke combinatie is, dan lijkt mij inderdaad het bedrijf wat te verwijten.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

24 april 2024 07:45

"Dat deed hij onder meer door het gebruikersaccount van een leidinggevende van ID&T –een administrator met de meest verregaande gebruikersrechten- te kraken"

Leidinggevenden horen geen adminaccount te hebben. Daar heb je een autorisatiemanager voor om belangenconflicten te voorkomen (die ook geen adminrechten hoeft te hebben met een juist ingericht systeem). Autorisatiemanager vraagt aan, leidinggevende keurt goed. Leidinggevende kan geen eigen autorisaties goedkeuren. Autorisatiemanager kan niets zonder goedkeuring leidinggevende.

Verder is misbruik van Welkom01 natuurlijk geen excuus voor computervredebreuk.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:14]

Andros @The Zep Man • 24 april 2024 07:49

De sleutel op je deurslot laten hangen als je vertrekt is ook geen reden om in te breken, toch zal je verzekering je raar aankijken als je de gestolen spullen wil claimen. Gelegenheid maakt de dief zeggen ze dan (hoe triest ook).

SRI @Andros • 24 april 2024 08:20

Maar een professioneel bedrijf hoort een goed alarmsysteem te hebben. En als ze dan merken dat buiten kantooruren het alarmsysteem niet is geactiveerd zouden ze de beheerder plat horen te bellen.

Zeker gelegenheid maakt de dief, maar nalatigheid maakt ook dieven (nog steeds geen excuus).

Christoxz @SRI • 24 april 2024 08:44

Wellicht heeft het allemaal plaats gevonden tijdens kantooruren, of is het niet ongebruikelijk dat er bij een softwarebedrijf in de avond ook uren worden gemaakt, door eigen indeling van tijd.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@Andros • 24 april 2024 07:50

De sleutel op je deurslot laten hangen als je vertrekt is ook geen reden om in te breken,

Als daarvan misbruik wordt gemaakt is het geen inbreken maar insluipen.

Striepp @The Zep Man • 24 april 2024 08:52

Dat klopt niet, het valselijk gebruik van een orginele sleutel is ook inbraak:

Artikel 311
1.Met gevangenisstraf van ten hoogste zes jaren of geldboete van de vierde categorie wordt gestraft:
1°. diefstal van vee uit de weide;
2°. diefstal bij gelegenheid van brand, ontploffing, watersnood, schipbreuk, stranding, spoorwegongeval, oproer, muiterij of oorlogsnood;
3°. diefstal gedurende de voor de nachtrust bestemde tijd, in een woning of op een besloten erf waarop een woning staat, door iemand die zich aldaar buiten weten of tegen de wil van de rechthebbende bevindt;4°. diefstal door twee of meer verenigde personen;
5°. diefstal waarbij de schuldige zich de toegang tot de plaats van het misdrijf heeft verschaft of het weg te nemen goed onder zijn bereik heeft gebracht door middel van braak, verbreking of inklimming, van valse sleutels, van een valse order of een vals kostuum;

Geim @Striepp • 24 april 2024 09:35

Dat klopt niet, het valselijk gebruik van een orginele sleutel is ook inbraak:

valse sleutels, van een valse order of een vals kostuum;

Goh, ik wilde je tegenspreken, maar blijkt maar eens dat rechters er soms anders over denken dan ik

:

"Rechtsregel: Een huissleutel welke tot opening van het slot van de toegangsdeur van een woning wordt gebruikt door iemand die daartoe geen recht heeft, is ten aanzien van dat slot een valse sleutel"

Uit: https://www.studeersnel.n...entie-strafrecht/36972215

HellboyFromHell @Striepp • 24 april 2024 09:51

Een sleutel vervalsen is iets anders als een sleutel vinden.

[Reactie gewijzigd door HellboyFromHell op 22 juli 2024 17:14]

Striepp @HellboyFromHell • 24 april 2024 10:08

Idd maar het gebruik ervan bij een inbraak is het zelfde. Het gaat om de intentie van de dader. Het valselijk gebruik van een originele sleutel is nog steeds diefstal dmv braak en of verbreking. Artikel 311 1. 5.

[Reactie gewijzigd door Striepp op 22 juli 2024 17:14]

H.Klinkhamer @Striepp • 24 april 2024 15:20

Je haalt een artikel aan dat gaat over diefstal; Diefstal is een in het strafrecht als misdrijf aangemerkt delict dat bestaat uit het op onrechtmatige wijze eigenhandig in bezit nemen van andermans eigendom.

Echter @The Zep Man duidt op het volgende (en heeft dus gewoon gelijk)
Inbraak, insluiping en inklimming
Een inbraak is het breken van bijvoorbeeld een slot, waardoor u uzelf toegang verschaft tot een gebouw. Dat is inbraak. Ook zonder ‘braak’ kunt u toegang krijgen tot een gebouw. Dit kan bijvoorbeeld via een regenpijp en een open raam een pand binnen te gaan. Dan is sprake van inklimming.
Van insluiping is sprake wanneer u via de normale toegangswijzen een gebouw, kantoor of huis binnentreedt. Vaak is het doel van inbraak, insluiping of inklimming het wegnemen van goederen die aan een ander toebehoren: diefstal.

Let op: alleen het bezit van inbrekersgereedschap kan soms al leiden tot een boete. Bij een (verkeers)controle kan het bezit dat dergelijk gereedschap zonder goede verklaring u een boete opleveren.

Wat is huisvredebreuk
Een woning of huis is een niet voor iedereen toegankelijke ruimte. De bewoners bepalen wie in het huis mogen komen. Wanneer u een huis betreedt zonder toestemming maakt u zich schuldig aan huisvredebreuk. Huisvredebreuk is ook van toepassing wanneer het gaat om de ongeoorloofde binnentreding in bijvoorbeeld een horecabedrijf (café of restaurant).

HansRemmerswaal @The Zep Man • 24 april 2024 08:01

Je zou kunnen beargumenteren dat een zeer eenvoudig wachtwoord dan ook kan worden gezien als insluipen.

Als slot op je voordeur een touwtje gebruiken waar een knoop in zit...
Als slot op je voordeur een cijferslot met 1 cijfer...
...is ongeveer hetzelfde als admin/Welkom01.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@HansRemmerswaal • 24 april 2024 08:02

Je zou kunnen beargumenteren dat een zeer eenvoudig wachtwoord dan ook kan worden gezien als insluipen.

Is nog steeds raden.

Als slot op je voordeur een touwtje gebruiken waar een knoop in zit...

Een toegankelijke knoop is geen geheim. Hooguit irritatie.

.oisyn Moderator Devschuur® @HansRemmerswaal • 24 april 2024 08:42

Het is allebei sowieso huisvredebreuk, net zoals het hier sowieso computervredebreuk is.

mariok87 @HansRemmerswaal • 24 april 2024 10:42

Uit betrouwbare bron weet ik dat de login credentials niet admin/Welkom01 zijn geweest. Dit is enkel een claim van de Hacker om hier mee weg te komen! Helaas is deze ongefundeerde claim door de media (RTV Oost) overgenomen.

Ook vind ik het de verantwoordelijkheid van de media om dergelijke feiten eerst te controleren alvorens het op de website te zetten. Door op deze manier te handelen werken ze mee aan het creëren van onterechte imagoschade voor het bedrijf.

Loekie

@mariok87 • 24 april 2024 10:59

Stel dat het niet waar zou zijn, hoe is deze 'gebruiker' dan binnengekomen op een 'secure' systeem?
Als bouwer van applicaties geef je op een gegeven moment de sleutels over aan de eigenaar, je kunt nog wat eisen stellen aan het slot(non-admin-username, entropie en lengte wachtwoord bijvoorbeeld), maar doorgaans kan de eigenaar vervolgens doen wat deze wil.

Ik zou als applicatiebouwer liever weten dat een gebruiker zijn wachtwoord gelekt heeft, dan dat er een fout is ergens die dit wachtwoord overbodig maakte.

Volgens de bouwer/hoster van de applicatie is er geen gebruik gemaakt van een eenvoudige username/password combinatie, maar dat zal dan(aan zijde van OM) ook bewezen moeten worden.

20 maanden voor een dergelijke combinatie die je uit een std password-list kunt halen vind ik overigens wel erg veel.

Alex3 @mariok87 • 24 april 2024 15:38

De media melden alleen dat de verdachte dat claimt, niet dat het waar is.

rko4u @The Zep Man • 24 april 2024 09:35

Dat zou in dit geval dan ook aan de orde zijn, echter is ook tijdens insluiping spullen meenemen nog steeds diefstal.

H.Klinkhamer @Andros • 24 april 2024 08:23

Verzekeraar is geen onderdeel van justitie.

Kheos @Andros • 24 april 2024 10:11

en als je het de politie vraagt is het wel degelijk strafbaar.
wat een ander bedrijf daarvan denk is toch irrelevant?

Andros @Kheos • 24 april 2024 10:28

Ow? Een verzekeraar heeft gewoon voorwaarden in hun polis staan. Indien schade is ontstaan terwijl verzekerde nalatig is geweest zal deze wellicht niet vergoed worden. Daar is toch niets vreemds aan?

Kheos @Andros • 24 april 2024 10:36

Ow? Een verzekeraar heeft gewoon voorwaarden in hun polis staan. Indien schade is ontstaan terwijl verzekerde nalatig is geweest zal deze wellicht niet vergoed worden. Daar is toch niets vreemds aan?

daar is op zich niks vreemd aan, maar dat contract heeft dan ook niks te maken met of het een misdrijf is, of het strafbaar is, of een open deur een reden voor inbraak is...

telenut @Andros • 24 april 2024 11:47

Vandaar ze hier de schade niet willen terug krijgen van de verzekering, maar van de dader

dasiro @The Zep Man • 24 april 2024 07:49

zonder te weten waarover hij de leiding had is dat moeilijk in te schatten en dan moet die functie ook nog bestaan binnen het bedrijf.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@dasiro • 24 april 2024 07:51

Als het niet bestaat is het net zo incompetent als Welkom01 gebruiken voor een account.

Verder hoeft het geen aparte functie te zijn, want het zal niet iets zijn waar iemand full-time mee bezig is.

dabronsg @The Zep Man • 24 april 2024 08:02

Die Welkom01 wordt beweerd door de verdachte. Dezelfde die geen toegang wil geven tot zijn laptop om het te onderbouwen. Ik denk dat die laptop hem geen gelijk gaat geven.

.oisyn Moderator Devschuur® @dabronsg • 24 april 2024 08:39

Waarom zou het wachtwoord op zijn laptop staan?

Blinkin

@.oisyn • 24 april 2024 09:29

Dat is niet wat men bedoeld. Wat op de laptop zou kunnen staan is bewijs dat ie het account gehackt heeft. Als dat zo is zou toegang tot de laptop zijn verdedigen van het onveilige wachtwoord ondermijnen.

dabronsg @.oisyn • 24 april 2024 17:06

Dat is een goede vraag. Maar misschien heeft hij zijn laptop gebruikt om het systeem te hacken. Hij kan dat laatste ontzenuwen door toegang te geven.

_NooT_ @dabronsg • 24 april 2024 08:48

Dat is ook het eerste waar ik aan dacht. In het stuk staat dat het OM aangeeft dat een account met verregaande gebruiksrechten was gehackt.
Als dat het geval is zou de verdachte wellicht zelf het wachtwoord in Welkom01 veranderd kunnen hebben.
Mocht dat al het geval zijn.

De verdachte heeft bewust de data naar zijn eigen MacBook gekopieerd en had malware op het systeem geplaatst. Klinkt me niet echt in de oren als iemand die je kan vertrouwen op z’n woord.

JBVisual @The Zep Man • 24 april 2024 08:06

Niet om zo'n wachtwoord goed te praten, maar zelfs "Welkom01" zou icm MFA volstaan

(al heb ik mijn twijfels of iemand met zo'n wachtwoord ook goed met MFA om zal gaan)

Verder is misbruik van Welkom01 natuurlijk geen excuus voor computervredebreuk.

Computervredebreuk is legaal afhankelijk van de omstandigheden.
Hoe vaak ik in het verleden wel niet systemen heb kunnen binnendringen wegens zeer slechte beveiliging, Ik ben verre van een professioneel hacker, maar als er systemen zijn die binnen te dringen zijn met enige kennis van social enginering en beheersystemen dan is dit zover ik weet gewoon legaal.

Wat niet legaal is is het verzamelen van informatie of het plaatsen van malware.
Als je erin slaagt een systeem binnen te dringen dan dien je hier gewoon melding van te maken bij de verantwoordelijke partij.
Als Ethische hackers niet een beetje beschermd zouden worden, zouden er aanzienlijk meer systemen nu slecht beveiligd zijn.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@JBVisual • 24 april 2024 08:12

Computervredebreuk is legaal afhankelijk van de omstandigheden.

Computervredebreuk is juridisch gezien illegaal. Sommige organisaties hebben een responsible disclosure/coordinated vulnerability disclosure-programma, waarin spelregels worden gegeven onder welke geen aangifte wordt gedaan. Verder is de kans op vervolging natuurlijk klein als iemand een beveiligingsprobleem blootlegt door het minimale te doen en dat te melden zonder verder ge-/misbruik, zelfs als er aangifte tegen die persoon wordt gedaan. Intentie en uitkomst zijn belangrijk.

Hoe vaak ik in het verleden wel niet systemen heb kunnen binnendringen wegens zeer slechte beveiliging, Ik ben verre van een professioneel hacker, maar als er systemen zijn die binnen te dringen zijn met enige kennis van social enginering en beheersystemen dan is dit zover ik weet gewoon legaal.

Wat je gedaan hebt is illegaal. Dat je niet vervolgd bent is wat anders. Vergelijk het met piraterij, wat ook illegaal is maar waarop de kans op vervolging nihil is als je er niet aan verdient.

Dat je mogelijk vrijgesproken zou worden als je vervolgd zou worden door eventuele nuance die je nu niet vertelt is wat anders.

Het is niet voor niets dat professionele testers enkel met waivers werken.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:14]

.oisyn Moderator Devschuur® @JBVisual • 24 april 2024 08:44

maar als er systemen zijn die binnen te dringen zijn met enige kennis van social enginering en beheersystemen dan is dit zover ik weet gewoon legaal.

Absoluut niet, hoe kom je erbij

Frame164 @.oisyn • 24 april 2024 09:44

Nou inderdaad. Sommige mensen hebben hele creatieve gedachten. Eigenlijk zegt hij dat als z'n voordeur openstaat wij gewoon naar binnen mogen.

Ludewig @JBVisual • 24 april 2024 09:30

Computervredebreuk is legaal afhankelijk van de omstandigheden.

Volgens mij is de wetgeving en jurisprudentie over computervredebreuk in de kern hetzelfde als voor huisvredebreuk, namelijk primair een redelijkheidstest. Kon je redelijkerwijs verwachten dat je welkom was?

Zodra je een beveiligingsbarrière gaat slechten of een 'verboden toegang' bord passeert, kun je meestal niet meer redelijkerwijs beweren dat je impliciete toestemming had.

Wachtwoorden gokken lijkt me een vrij duidelijk geval van computervredebreuk, want een wachtwoord hoor je te krijgen wanneer je toestemming hebt om ergens binnen te komen, en als je het wachtwoord moet gokken omdat je het niet hebt, heb je logischerwijs geen toestemming.

[Reactie gewijzigd door Ludewig op 22 juli 2024 17:14]

centr1no @JBVisual • 24 april 2024 09:46

Als 'ethisch' hacker weet je ook dat het problemen kan geven als je niet in opdracht van het bedrijf of persoon zelf handelt.

Bij verreweg de meeste bedrijven bestaan de inloggegevens voor het bedrijfsnetwerk standaard uit een emailadres voor de gebruikersnaam en een wachtwoord en iedereen die zelf met wachtwoorden werkt weet dat daar niet heel veel moeite in wordt gestoken.
Dat het met wat gokken kan lukken om in zo'n netwerk in te loggen wil echter niet zeggen dat je er iets te zoeken hebt, en zeker niet dat het legaal is om te doen.

i-chat @The Zep Man • 24 april 2024 07:51

ik ben het met je eens dat zelfs simpele wachtwoorden raden en die vervolgens misbruiken om jezelf iets te verschaffen waar je geen recht voor hebt niet oké is, maar het feit dat een bedrijf de gegevens van duizenden burgers onvoldoende of zelfs ronduit crimineel om zorgvuldig heeft behandeld lijkt me meer dan genoeg reden om ook daar een strafrechtelijk onderzoek naar te beginnen

dit lijkt me namelijk een gevalletje sitrafbare nalatigheid

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@i-chat • 24 april 2024 07:56

ik ben het met je eens dat zelfs simpele wachtwoorden raden en die vervolgens misbruiken om jezelf iets te verschaffen waar je geen recht voor hebt niet oké is, maar het feit dat een bedrijf de gegevens van duizenden burgers onvoldoende of zelfs ronduit crimineel om zorgvuldig heeft behandeld lijkt me meer dan genoeg reden om ook daar een strafrechtelijk onderzoek naar te beginnen

Beide partijen zijn fout bezig als het klopt dat het wachtwoord Welkom01 was. Dat hoeft verder geen invloed op de straf te hebben.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:14]

i-chat @The Zep Man • 24 april 2024 08:12

dat beide partijen fout zijn ben ik met je eens het probleem is alleen dat alleen het geval van De kwajongen die het wachtwoord welkom weet te raden een gevangenisstraf boven het hoofd hangt terwijl er zelf civielrechtelijk al nauwelijks kan worden opgetreden tegen dit soort it-huftergedrag.

terwijl het OM er niet eens naar wil kijken

zou ik ooit naar zo'n festival geweest zijn dan zou ik nu een handhavingsverzoek indienen en dat tot in Brussel blijven aanvechten

sterker nog ik zou een wet willen zien die de 'schade' per burger bepaald op een bedrag van ten minste 500 euro per database **wanneer deze bewezen grof nalatig is beveiligd en 5x dat bedrag als bewezen is dat er ook daadwerkelijke onbevoegde toegang heeft plaatsgevonden

dan hoef je als persoon dus niet meer te bewijzen wat je 'werkelijke' schade is tenzij jou werkelijke schade aantoonbaar hoger ligt dan de wettelijke

** of een evenredig deel op basis van hoeveel persoonsgegevens er gelekt zijn

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@i-chat • 24 april 2024 08:48

dat beide partijen fout zijn ben ik met je eens het probleem is alleen dat alleen het geval van De kwajongen die het wachtwoord welkom weet te raden een gevangenisstraf boven het hoofd hangt terwijl er zelf civielrechtelijk al nauwelijks kan worden opgetreden tegen dit soort it-huftergedrag.

"Kwajongen"?

Vervolgens kon hij gegevens van alle bezoekers en van optredende artiesten inzien en kopiëren naar zijn eigen MacBook.
(...)
De Amsterdammer plaatste ook malware op het systeem, maar heeft niet geprobeerd om geld te verdienen door het bedrijf af te persen of te dreigen met openbaarmaking.

"Kwajongen" is jezelf een gratis ticket geven. Nog steeds illegaal, maar kan weggewuifd worden als in dat er geen significante financiële schade is gedaan. Bonuspunten voor als hij het toch meldt (ook al is het achteraf).

Grootschalig data kopiëren (is door hem bekend, maar kan niet bevestigd worden) en installeren van malware (bevestigd) is een stap verder dan "kwajongen". Dat is gewoon crimineel gedrag en raakt ook anderen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:14]

i-chat @The Zep Man • 24 april 2024 09:21

dat is een veel gehoord excuus dat je vaak ook hoort van wapen fabrikanten.

dat een handpistool of een of een napalmbom echt niet zoveel alternatieve gebruiksdoelen hebben wordt dan volledig buiten beschouwing gelaten.

of zoals een uitspreek wordt uit sloppenwijken in Amerika vaak gebruikt wordt: straf niet het 12jarige tuig dat een winkel overvallen maar vooral ook het 20jarige stuk vreten dat ze op het iedee heeft gezet en ze het pistool heeft gegeven

net als het om lijk je hier vooral te willen gaan voor de gemakkelijke wraak en niet zo zeer voor de veel ingewikkeldere rechtvaardigheid.

een bedrijf dat jou en mijn gegevens waaronder vermoedelijk ook zeker betaalgegevens in een database opslaat met het wachtwoord welkom en dat niet voor 10 mensen doet maar voor misschien wel 10.000 veroorzaakt in mijn optiek een veelvoud en schade dan wat een sneuje hacker teweeg brengt

en dan nog te bedenken dat je voor het kraker van het wachtwoord welkom niet eens echt hackskills nodig hebt

een groot component in ons Nederlandse strafrecht is wel een hoe verre jouw handelen en jouw intentie tot maatschappelijke schade hebben geleid.

daarom is door rood rijden bij een leeg stoplicht niet hetzelfde als door rood rijden en daarbij iemand scheppen en is dat weer anders dan bewust op mensen inrijden

Frame164 @The Zep Man • 24 april 2024 09:46

Dat is niet relevant in dit geval. De rechtzaak is tegen 1 partij. Of de andere ook iets fout doet is voor de rechtzaak (en dus dit artikel over de rechtzaak) niet relevant.

joenevd @i-chat • 24 april 2024 08:23

Het wachtwoord is wat mij betreft maar bijzaak. Het is niet voldoende om persoonsgegevens te bewaren in een systeem waarin inlognaam en wachtwoord de enige beveiliging is.

Er zou minimaal een tweede factor toegevoegd moeten zijn en/of andere maatregelen.

De AVG wetgeving is hiermee geschonden en een boete is zeker op zijn plaats.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@joenevd • 24 april 2024 08:50

Het is niet voldoende om persoonsgegevens te bewaren in een systeem waarin inlognaam en wachtwoord de enige beveiliging is.

Dan schiet T.net tekort, net zoals een boel andere diensten. "Persoonsgegevens" is te breed om een dergelijke uitspraak te doen, want sommige persoonsgegevens zijn gevoeliger dan anderen en verdienen daarom een ander beveiligingsniveau.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:14]

i-chat @The Zep Man • 24 april 2024 09:30

het verschil met tweakers is in beginsel dat Tweakers geen winkel of iets dergelijks is en dus als het goed is ook geen betaal gegevens verwerkt, voor die account waarbij ze dat wel doen zouden ze wat mij betreft inderdaad twee factor authenticatie moeten afdwingen

. is wel dat je in deze discussie wel erg je best lijkt te doen om bepaald gedrag gewoon goed te praten omdat het een arme zielig ondernemer is die het allemaal wel niet zou kunnen weten terwijl je een of ander dom joch least aan de hoge boom lijkt te willen knopen

begrijp me niet verkeerd

een joch dat inbreekt op de systemen van anderen zonder daarbij de schijn van goede! bedoelingen te hebben en dan schaar ik nieuwsgierigheid maar onder een Prelude aan altruïsme (de whitehat) mag je daar best een straf voor geven

maar twee jaar celstraf voor het je toeeigenen van een festival ticket en het inzien van niet-bijzondere persoonsgegevens zonder aantoonbaar vermoeden van opzet tot hey willen doorverkopen

lijkt me gewoon volledig buitenproportioneel.

een taakstraf van een paar honderd uur en een volledig voorwaardelijke gevangenisstraf van een jaar lijkt me dan veel meer binnen het redelijkke om als om te eisen

Frame164 @i-chat • 24 april 2024 09:48

Via Vraag&Aanbod kan je spullen aanbieden. Daar staan behoorlijk wat persoonsgegevens waar misbruik van kan worden gemaakt. En als je het combineert met andere informatie die je via deze site kunt vinden over mensen kan je een heel aardig profiel samenstellen.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@i-chat • 24 april 2024 10:22

het verschil met tweakers is in beginsel dat Tweakers geen winkel of iets dergelijks is en dus als het goed is ook geen betaal gegevens verwerkt, voor die account waarbij ze dat wel doen zouden ze wat mij betreft inderdaad twee factor authenticatie moeten afdwingen

Het onderwerp van discussie was en de betreffende uitspraak betrof persoonsgegevens. Ik snap niet waarom je betaalgegevens erbij betrekt. Dat staat los van waar ik op reageerde.

een joch dat inbreekt op de systemen van anderen zonder daarbij de schijn van goede! bedoelingen te hebben en dan schaar ik nieuwsgieri.gheid maar onder een Prelude aan altruïsme (de whitehat) mag je daar best een straf voor geven

maar twee jaar celstraf voor het je toeeigenen van een festival ticket en het inzien van niet-bijzondere persoonsgegevens zonder aantoonbaar vermoeden van opzet tot hey willen doorverkopen

lijkt me gewoon volledig buitenproportioneel.

De toen 27-jarige man (geen "joch") installeerde ook malware. Dat gaat iets verder dan nieuwsgierigheid, en zorgt ervoor dat gesproken kan worden van opzet. Malware is niet iets dat je per ongeluk installeert. De eis is wellicht wat hoog, maar een tik op de vingers zou een te lichte reactie zijn.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:14]

asing @i-chat • 24 april 2024 11:38

Sinds een tijdje is Tweakers wel een winkel. Bovenin de balk vind je TweakersGear waar je je eigen merch kan bestellen. Daarnaast kan je via je profiel een abonnement kopen.

Dus Tweakers verwerkt weldegelijk adres en betaalgegevens.

joenevd @The Zep Man • 24 april 2024 19:55

Ik weet niet wat geregeld is bij t.net voor de admin portals. Als daar geen tweede factor of andere extra beveiliging is geregeld, heb je gelijk en is ook hier een niet toelaatbare situatie.

Het gaat niet om een account van een gebruiker maar om een admin account.

Richh

24 april 2024 07:57

Deze IT'er heeft wat zitten prutsen en een extreem simpel wachtwoord ingevoerd. En dat lukte. Hij heeft geen gegevens gelekt of verkocht.
En nu moet ie mogelijk ruim een jaar de bak in?

Vind dat toch wel heel erg overdreven.

Ik vind het eigenlijk veel erger dat er zoveel persoonsgegevens achter een standaard wachtwoord zitten, dan dat 1 persoon er daadwerkelijk op heeft ingelogd.

Edit, ik zie nu dat deze dude na het toetreden, malware heeft geplaatst. Dat maakt het wel een ander verhaal imho.

[Reactie gewijzigd door Richh op 22 juli 2024 17:14]

SirLenncelot @Richh • 24 april 2024 08:00

Een huis betreden als de sleutel op de voordeur zit is toch ook inbraak?

Richh

@SirLenncelot • 24 april 2024 08:04

Klopt, ik wil ook zeker niet zeggen dat het goed is!

Maar stel je loopt dan een rondje door het huis, maakt misschien wat foto's (waar je niks mee doet) en gaat zonder iets te stelen weer naar buiten.

Natuurlijk zal je daar een straf voor krijgen. Maar verwacht toch niet dat je dan een jaar in de gevangenis in moet?

SRI @Richh • 24 april 2024 08:15

In dit geval is er natuurlijk iets meer gedaan dan 'foto's' maken. Meneer heeft ook een dikke nummer 2 achtergelaten op de eettafel in de vorm van malware. En dat was gewoon niet tactisch.

Persoonlijk hoop ik dat hij wegkomt met een tik op de vingers (voorwaardelijke straf of veroordeling zonder straf). Maar dit zou in mijn optiek moeten leiden tot consequenties voor het bedrijf zelf, dit is gewoon ernstig nalatig en ze schieten hier duidelijk tekort in hun plicht om gebruikersgegevens te beschermen.

Richh

@SRI • 24 april 2024 08:38

Over de malware had ik heengelezen... Dat is inderdaad imho wel een misdrijf.

Desalniettemin vind ik ook dat het desbetreffende bedrijf ook niet vrijuit kan gaan.

H.Klinkhamer @Richh • 24 april 2024 08:28

Hij heeft niet alleen rondgewandeld, maar ook spullen meegenomen uit het huis en wat microfoons en cameras achtergelaten.

Maar jij vindt als dat iemand doet in je huis geen jaar gevangenisdtraf verdient?

Richh

@H.Klinkhamer • 24 april 2024 08:35

Excuus, ik had niet gezien dat ie malware had geïnstalleerd. Dat maakt het andere koek.

En nee, ik vind niet dat enkel een rondje lopen zwaarder moet worden bestraft dan bijvoorbeeld diefstal of mishandeling.

Krommetenen @SirLenncelot • 24 april 2024 08:17

Bron dat iemand hierom ook de cel voor in gaat?

SirLenncelot @Krommetenen • 24 april 2024 08:19

https://www.de-strafrecht...delijke%20gevangenisstraf.

Unstable Element @SirLenncelot • 24 april 2024 08:22

Nee dat is het niet dat is insluiping en als dat het enige is dat je doet staat daar een aanzienlijk lagere, tot geen straf op.

lenwar

Nederland
Politiek en recht
Beveiliging en antivirus

@SirLenncelot • 24 april 2024 08:32

Nee, volgens mij is dat insluipen. Volgens mij is het inbraak als er daadwerkelijk iets geforceerd is. (Al zou dat dan weer een vreemde situatie zijn als het met een slotenmakersetje is gedaan😊)

Volgens mij ben je ook niet verzekerd als dit het geval is. (Even los van dat je dan zelf even een raampje intikt of zo)

.oisyn Moderator Devschuur® @Richh • 24 april 2024 08:48

Hij heeft veel gegevens gedownload, dat valt natuurlijk net zo goed onder lekken, ook al is het nog niet gepubliceerd.

DeCo 24 april 2024 07:59

Dit lijkt een doelbewuste actie te zijn geweest, die verder gaat dan alleen maar het winkeltje binnen sluipen en een walhalla aan data aan te treffen. Met het feit dat ie ook malware heeft geplaatst, vervalt zijn zogenaamde 'onschuld', waar hij zich mee schoon lijkt te wassen. Dat alleen bewijst dat ie kwade bedoelingen had.

Krommetenen @DeCo • 24 april 2024 08:24

Nadruk op “bedoeling had” en niet “gepleegd”.

Tenzij men kan bewijzen dat ze grote schade hebben verijdeld…. Anders kinnen we de wetten weggooien en strepen door het zand blijven trekken.

Rechtbanken slaan door met cybercriminelen omdat het allemaal nieuw voor hen is. Maar de wetten zou hun leidraad moeten zijn. De straffen hun handvatten. Lijkt hun weg een beetje kwijt te raken met een gefrustreerde OM die hun eigen mails niet kunnen benaderen en bizarre straffen eisen.

Er liggen vast serieuzer zaken nog onopgepakt op de stapel.

familyman @DeCo • 24 april 2024 09:20

Vind dat je nogal makkelijk over het wegnemen, van data, heen stapt.

Het is 1 ding om te kijken en leuk te vinden dat je het kan zien.

Een volle download trekken, vind ik echt wat anders.

DeCo @familyman • 24 april 2024 09:42

Nee hoor, ik benoem dat feit toch? Ik doelde met "onschuld" (vandaar de quotes in mijn reactie) op zijn eigen verklaring (niet in dit artikel te lezen): "Ik zag niet in dat ik zó fout bezig was" (te lezen in het RTV artikel). HIj lijkt zijn handen in onschuld te wassen, terwijl hij malware heeft geplaatst..
En inderdaad.. data gedownload heeft. Dus van onschuld is inderdaad sowieso geen sprake. Dat klopt.

[Reactie gewijzigd door DeCo op 22 juli 2024 17:14]

Finraziel

24 april 2024 08:08

Zullen we misschien even in gedachte houden dat dit een claim is van een verdachte die een flinke straf boven het hoofd houdt, een verdachte die schijnbaar niet bereid is toegang tot zijn systeem te geven om de claim te laten verifiëren? Iedereen begint gelijk de bedrijven en het om te veroordelen en misschien zal dat terecht blijken, maar puur op zijn woord lijkt me dit nogal voorbarig.

bartgymnast @Finraziel • 24 april 2024 08:56

De verdachte zal wss meer dan alleen deze hack op zijn macbook hebben staan.
Dus zijn ww afgeven zal niet gebeuren omdat hij dan wss meer potentiële criminele activiteiten aan het licht brengt

Finraziel

@bartgymnast • 24 april 2024 09:56

Dat zou kunnen, al weten we ook dat niet natuurlijk. Punt is alleen dat we niet zomaar het een of het ander moeten geloven.

Het lijkt me zeker wel goed om het te onderzoeken. Ik weet niet of het bedrijf bv gedwongen kan worden een audit te ondergaan op hun beveiliging blijkbaar. Want als het wel waar is wat de verdachte zegt dan is het inderdaad grove nalatigheid én slaat het nogal een gat in de claims van het OM. En als het niet waar is dan andersom.

Liberteh 24 april 2024 08:09

De misdaad was dus niet het hacken maar Welkom01 als wachtwoord instellen. Genoteerd! Ik vind Welkom01 niet als de sleutel in de deur laten zitten... het is alsof er geen deur is en er een post-it op de deurpost hangt met: niet passeren, afgeschermd gebied.

Krommetenen @Liberteh • 24 april 2024 08:25

“Claimde de verdachte”

Liberteh @Krommetenen • 24 april 2024 08:29

Iemand die enkel zichzelf verrijkt met producten/diensten van deze dienstverlener en daarnaast het feit dat hij gepakt is doet mij vermoeden dat dit meer in de buurt van de waarheid ligt dan een andere verklaarbare redenering. Dan tel ik het feit dat hij maanden binnen geweest is nog niet eens mee.

rko4u @Liberteh • 24 april 2024 09:41

Het is zeker een misdaad om je default wachtwoord te laten staan, maar een huis leeghalen als de deur open stond, is misschien geen inbraak, maar wel diefstal.

Liberteh @rko4u • 24 april 2024 11:53

Een snoepje jatten uit de winkel ook. Daar wordt ook geen 20 maanden cel voor geëist. Je snapt toch wel dat wij de huisvesting van zo'n persoon betalen wanneer hij vastgezet wordt. Daarnaast het reintegratie traject zal ook een paar ton kosten.

Verdient deze persoon straf? Sure. Is het compleet buiten proporties? Absoluut.

Edgenumber 24 april 2024 09:33

Is een festival eens goed toegankelijk is het weer niet goed.

wduizer 24 april 2024 10:08

wat ik me vooral afvraag is hoe de beste man uberhaubt bij die server kan komen. Diensten op een server oke maar de server zelf is toch wel bijzonder. Daar zit neem ik aan toch iets van een firewall tussen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (241)

Sorteer op:

Weergave: