Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Bron: Wired News

De inbraak in de servers van T-Mobile vorig jaar, waarbij gebruikersinformatie, overheidsdocumenten, privé-e-mail en foto's zijn gestolen, komt doordat de telefoonmaatschappij een bekend beveiligingslek in zijn software niet had gedicht, aldus Wired News. De 22-jarige hacker Nicola Jacobsen is afgelopen februari schuldig bevonden in de rechtbank van Los Angeles voor zijn illegale activiteiten tussen eind 2003 en afgelopen herfst.

Hacker (klein)De Amerikaanse overheid en T-Mobile hebben officieel geen commentaar gegeven op de vraag hoe de hacker toegang heeft gekregen tot de servers, maar twee mensen die dicht bij de zaak betrokken waren en een vriend van Jacobsen, die sommige gestolen bestanden voor hem online zette, wijzen allemaal naar hetzelfde lek: een beveiligingsgat in het programma WebLogic Application Server van BEA Systems dat vroeg in 2003 is ontdekt. De hack houdt in dat een gemanipuleerde webaanvraag de hacker in staat stelt bestanden op de server te lezen en te vervangen. Kort na de vondst bracht BEA Systems een patch uit met een publieke waarschuwing voor de gevaren van dit lek. Volgens de bronnen raakte Jacobsen bekend met het gat in de WebLogic-server door deze waarschuwing en schreef vervolgens een exploit in Visual Basic, waarna hij het internet afstruinde naar servers die nog kwetsbaar waren. In oktober 2003 vond hij een server bij T-Mobile, waar hij de exploit op toegepast heeft en vervolgens een backdoor heeft achtergelaten.

Volgens de rechtbank heeft Jacobsen tot oktober 2004 toegang gehad tot de servers bij T-Mobile, achttien maanden nadat het beveiligingslek voor het eerst bekend was geworden. In die tijd heeft hij persoonlijke gegevens aangeboden aan fraudeurs en identiteitdieven via een online forum. Daarnaast heeft hij wachtwoorden uit de database gebruikt om e-mail van T-Mobile-klanten te lezen, waaronder die van een agent van de Amerikaanse geheime dienst. Volgens de bronnen heeft de hacker ook privé-foto’s van gebruikers van de Sidekick-telefoon bemachtigd, waaronder compromitterende foto's van beroemdheid Paris Hilton. T-Mobile vertelt dat het de vierhonderd gedupeerden op de hoogte heeft gesteld van de privacyschending en de zaak verder uit zal zoeken. In het belang van zijn klanten wil het bedrijf geen commentaar geven wat betreft het beveiligingsbeleid.

T-MobileDe aanvallen van Jacobsen zijn niet de eerste of de laatste privacyschending bij T-Mobile. Vorig jaar werd het bedrijf bekritiseerd over het feit dat de standaard voicemailinstellingen zijn klanten kwetsbaar maakte voor Caller-ID-spoofing, een gevaar dat nog steeds vandaag bestaat. Daarbij heeft vorige week een hacker wederom Paris Hiltons Sidekick-account gekraakt, waarbij een nieuwe reeks foto's en andere persoonlijke informatie bekend werd. In een persconferentie afgelopen zaterdag vertelde T-Mobiles chief operational officer dat het bedrijf de privacy van zijn klanten erg belangrijk vindt. Er werd geen woord gerept over de redenen waarom de servers überhaupt kwetsbaar waren, maar klanten werd wel aangeraden voorzichtig te zijn met hun wachtwoorden.

Moderatie-faq Wijzig weergave

Reacties (31)

Zou je als klant hier niet T-mobile voor de rechter kunnen slepen?

Ze zijn niet erg zorgvuldig geweest met het patchen.
Volgens mij is er geen wetgeving m.b.t. patchen, dus op grond van welke wet moet je ze dan beschuldigen? Je kunt imo hooguit schadevergoeding eisen als je aannemelijk kunt maken dat jij schade hebt opgelopen door hun slordigheid.

Kijk, één van de problemen is dat je niet kan bewijzen of er wel of niet op tijd gepatcht is. Als ze het gat ontdekken, dan patchen ze het. Maar omdat zo'n hacker er een backdoor op zet kan hij maanden later nog inloggen. Totdat de backdoor een keer ontdekt wordt.

Backdoors zijn vrij makkelijk zelf te maken, en vrij makkelijk te verbergen, dus aan virusscanners heb je ook niet zo veel.

Een simpele backdoor is natuurlij kzelf een user-account aanmaken met je eigen password. In Windows is zoiets moeilijk te detecteren. Er worden wel entries in de system log gemaakt, maar die kan iedereen zo verwijderen. Je kunt niet alle sporen verwijderen, maar dat hoeft ook niet. De meeste sporen zitten zo diep verborgen in Windows dat alleen Microsoft zelf ze zou kunnen vinden, laat staan ze kunnen snappen.

Da's één van de nadelen van closed source. Er zit veel zooi in Windows die alleen Microsoft kent of snapt.

Daarbij, een veelgebruikte backdoor is gewoon de engine van VNC (www.realvnc.com), en die wordt door de meeste virusscanners gewoon als een legitieme applicatie herkend (wat het in feite ook is).
In het land waarin aanklagen een dagelijkse sport is lijkt mij dat Paris Hilton wel duidelijk kan maken dat ze hier 'schade' heeft opgelopen.

Er heeft een telefoonboek met gigantisch veel nummers van 'bekende' mensen op het internet gestaan. Die foto's waren ook erg persoonlijk etc.

In een rechtzaak zie je dan op de 1 of andere manier dat ze dan veel geld hiervoor eisen als schade vergoeding.

maar idd. je hebt gelijk, het is moeilijk te bewijzen etc.
In het land waarin aanklagen een dagelijkse sport is lijkt mij dat Paris Hilton wel duidelijk kan maken dat ze hier 'schade' heeft opgelopen.

Er heeft een telefoonboek met gigantisch veel nummers van 'bekende' mensen op het internet gestaan. Die foto's waren ook erg persoonlijk etc.
Ik dacht dat ze gewoon haar paswoord hadden gevonden via de pw hints (wat is de naam van je favo huisdier --> dan moet je natuurlijk niet de naam van je alom bekende hondje gebruiken)
backdoors zijn makkelijk te maken en te verbergen, is het dan ook niet de taak van een admin op een server om zo nu en dan eens te kijken welke pids wat doen en zelfs bekende pids na te gaan of dat wel klopt? tevens het nagaan van accounts op prive servers is ook een taak van een admin imo om die veilig te stelen.
tevens ga je ervanuit dat het hier om een windows systeem gaat. maar WebLogic Application Server is java gebaseerd als ik het goed begrijp van hun website dus platform onafhankelijk, het lijkt me dan ook sterk dat ze zoiets op een windows platform zullen draaien.
tevens het excuus van open of closed source heeft totaal niets te maken om backports al dan niet te vinden, het heeft zo z'n voor en nadelen.
een veel gebruikte engine als backdoor vnc.. de server is 3mb groot ofzo, lijkt me sterk dat je zoiets als backdoor gaat gebruiken, tevens valt het zeker wel op als je die gebruikt onder een windows systeem, onder linux zo diegene x'server moeten hebben geinstalleerd hebben, lijkt me ook sterk.

het is echt niet zo dat jacobsen een hackertje is die toevallig wat kon scripten, het is echt wel een prestatie dat ie het voor elkaar gekregen heeft en zolang onopgemerkt is gebleven. het is ook niet zo dat de admins niet zoeken naar gaten in hun beveiliging.

tevens heoft een lek maar een kort moment bekend te zijn, misbruik van gemaakt te worden en het is al te laat. ik snap dan ook niet waarom men niet overgaat om critische klanten prive in te lichten om ze veilig te stellen ipv een mailing list ofzo
Volgens mij is er geen wetgeving m.b.t. patchen, dus op grond van welke wet moet je ze dan beschuldigen?
Nalatigheid?

Lijkt me in dit geval wel the case....
Het gaat om een gat in BEA weblogic, niet om een gat in windows, anders lees je het artikel even niet.

Daarnaast is je betoog 1 verbale diaree die kant nog wal raakt, al die zaken die je noemt zijn wel degelijk allemaal af te grendelen, je moet alleen wel weten wat je doet, mensen als jou prefereren liever blaat als kennis en dan gebeuren dit soort praktijken.

En och dan weer een dood doener of open/closed source, er zijn diverse open source #nix pakketen waar de laatste tijd erntige fouten in zijn aangetroffen, o.a. de gzip library, en als ik me niet vergis Sendmail. Tjah hoe verklaar je dat dan? Code die door duizenden mensen is doorlopen, al 10 jaar bestaat en dan toch ernstige bugs?

Daarnaast blijkt ook nergens uit het artikel of het wel om een windows server gaat, zelf betwijfel ik dat omdat BEA meestal op #nix wordt gedraait.
Als je toch met poep gaat gooien, schrijf het dan wel met twee r'en.
Waarom niet, ook met Windows zijn dat soort dingen mogelijk....
Waarom moet hacken alleen maar samen gaan met unix/linux :?
@noMSforme:

ze gebruiken zelf Windows voor geldautomaten. Waarom hiervoor niet?
ik ken een windows 2003, xp, 95 en 98, en windows for workgroups.

Windows voor Geldautomaten heb ik nog niet eerder in de msdn gezien eigenlijk.
@ tazitiz:
Geldautomaten kunnen draaien op Windows (XP) Embedded.
Bij een woninginbraak is de eigenaar van de woning (T-Mobile) nalatig als hij zijn woning niet op slot heeft gedaan. Dat heeft T-Mobile wel degelijk gedaan. Wat er hier is gebeurd, is dat de inbreker het slot kon forceren, omdat dat inbraakgevoelig was. Natuurlijk had T-Mobile betere sloten moeten aanbrengen (niemand zit immers op een inbraak te wachten), maar zolang er redelijke sloten op de woning zitten is T-Mobile niet aansprakelijk.
maar zolang er redelijke sloten op de woning zitten is T-Mobile niet aansprakelijk.
Is een slot waarvan de fabrikant je anderhalf jaar geleden heeft verteld dat het niet veilig is, redelijk?
Is een slot waarvan de fabrikant je anderhalf jaar geleden heeft verteld dat het niet veilig is, redelijk?
Ja absoluut. Hoe lang zijn er in speciale sloten op de markt die het voor een inbreker veel moeilijker maken om een huis binnen te komen. En hoeveel mensen hebben daadwerkelijk zo'n slot? Jij stelt dus dat 3/4 van NL in gebreke blijft bij het beveiligen van zijn huis en zodoende dus buiten de verzekering moet vallen.
@ barbapapa

Ik kan je redelijk volgen, echter is jou huis van jou (consument) en is Tmobile een bedrijf. grote kans dat daar ook verschillen op zitten. ook moet je een hoop geld uitgeven voor de sloten op je huis terwijl het patchen van een aantal bakken even getest moet worden en daarna geinstalleerd kan worden. dat is minder werk in tijd al als het vervangen van alle sloten aan je huis (afgezien van de kosten)
Verzekerings technisch heb je mogelijk gelijk. Men zal geen schadevergoeding uitkeren indien de slachtoffers niet voldoende preventie hebben uitgevoerd. Echter, de dader blijft nog steeds schuldig en zal via justitie wel veroordeelt worden.
Hier is mogelijk nalatigheid wel in het spel, maar de hacker is nog altijd schuldig aan het hacken van.
Ik kan me ook niet voorstellen dat T-Mobile verantwoordelijk wordt gesteld voor de schade die berokkend is, aan de andere kant kan ik de amerikaanse rechtsgang ook niet begrijpen en sta er dus niet raar van te kijken als het inderdaad zover zal komen dat er een rechtzaak tegen T-Mobile wordt aangespannen, tenzij T-Mobile expliciet in zijn algemene voorwaarden heeft aangegeven dat de gevolgen van het mogelijk hacken niet onder hun verantwoording zal vallen. T-Mobile is namelijk niet verantwoordelijk voor het gebruik van de mobiele telefoons zelf en de data die daarop staat, daar is de eindgebruiker zelf verantwoordelijk voor.
Daarnaast heeft hij wachtwoorden uit de database gebruikt om e-mail van T-Mobile-klanten te lezen, waaronder die van een agent van de Amerikaanse geheime dienst
Waarom zijn dit soort dingen dan ook niet gehashed :o?.
Misschien omdat dit wachtwoorden zijn die gebruikt worden voor het inloggen op een externe mailserver met je mobiele telefoon? Met de MD5 hash van je password op een andere server inloggen heeft niet veel nut in dat geval :P
Volgens mij is er geen wetgeving m.b.t. patchen, dus op grond van welke wet moet je ze dan beschuldigen? Je kunt imo hooguit schadevergoeding eisen als je aannemelijk kunt maken dat jij schade hebt opgelopen door hun slordigheid.
Ze zijn idd niet zorgvuldig omgegaan met persoonlijke gegevens, en hebben een lek open laten staat dat reeds lang bekend was, nalatigheid dus. Daarmee hebben ze een mogelijkheid gecreëerd om binnen te komen (niet expres misschien).
compromitterende foto's van beroemdheid Paris Hilton
Ja en die stonden gelukkig al niet op het internet.... :Z

Overigens wel slordig van T-mobile dat een lek dat vroeg in 2003 in Oktober nog steeds niet gepatched is. IMO is er dan sprake van nalatigheid, en volledige aansprakelijkheid voor eventuele schade die je klanten hebben opgelopen.
Het T-Mobile websysteem blijkt nogal gevoelig te zijn voor van die spelletjes...
Meer info in de how-did-he-do-it .
Ik geloof dat er ook nog iets bestaat als "gebruik op eigen risico..."

Geloof maar dat T-Mobile zich goed heeft ingedekt voor dit soort situaties...
hacker vrij laten en t-mobile aanklagen wegens nalatigheid.
18 maanden je server open laten staan. kom op zeg.
Hacken blijft hoe dan ook een illegale actie :) (ik heb het hier dan over de illegale betekenis van het woord)
Ik geloof niet dat T-Mobile verantwoordelijk is voor de opgeslagen data op een mobiele telefoon. Dat een account gehacked kan worden is nu dus duidelijker dan duidelijk, maar de schade die daarvan is gekomen kan men in mijn opinie niet op T-Mobile verhalen. Ik mag aannemen dat het Hilton's eigen keuze is geweest om prive foto's en nummers op haar telefoontje op te slaan. Als in 2003 al bekend was dat er een lek was in de veiligheid van T-Mobile accounts, waarom zet je dan zulke gevoelige informatie op je telefoon? Sterker nog, als je dan al weet wat er met je info kan gebeuren, waarom neem je dan een account daar?
Is hetzelfde, naar mijn mening, als het kopen van een auto die niet op slot kan en zonder sleutel kan worden gestart. De kans is groot dat ie een keer door iemand anders dan jou wordt meegenomen.
Tja, die vergelijking gaat niet helemaal op. Bij het autoverhaal weet je over het algemeen precies vantevoren welke auto je krijgt met welke beveiligingsfeatures en anders kan je het wel vragen bij de dealer. Erachter komen welke software er exact draait bij T-Mobile en kijken of er eventueel bekende lekken zijn en of deze al gepatcht zijn, is een stuk minder makkelijk. Ik weet niet of je ervan uit mag gaan dat een klant (die alleen maar een telefoon abo wil) dit moet kunnen.

Natuurlijk is T-Mobile niet verantwoordelijk, want dat staat vast wel ergens in een disclaimertje... maar niet omdat iedere klant een beveiligingsexpert hoort te zijn.
maar klanten werd wel aangeraden voorzichtig te zijn met hun wachtwoorden.
YEAH Right!! Zogenaamd een smoes dat het ook aan die klanten ligt :Z
eige schuld, een lek van 2003
tja das ergens om vragen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True