Rechter veroordeelt hackers van GPD-computers

De rechtbank in Den Haag heeft vrijdag drie personen veroordeeld tot taakstraffen wegens het inbreken in de computers van persbureau GPD. Een vierde werd vrijgesproken.

hacker en andermans pc Twee ex-werknemers van GPD, die op de afdeling voorlichting van het ministerie van Sociale Zaken waren gaan werken, hadden van een andere GPD-medewerker een toegangscode gekregen voor het computernetwerk van GPD, waarin onder andere nog niet gepubliceerde artikelen te zien waren. Tussen juni 2006 en oktober 2007 hadden zij volgens het persbureau minstens 350 keer ingebroken in het netwerk van GPD.

De zaak kwam een jaar geleden aan het licht, toen de chef van de twee hackers zich bij het persbureau beklaagde over een artikel met een interview met minister Donner. Dit bericht was nog niet gepubliceerd en moest derhalve wel op illegale wijze bij het ministerie terecht gekomen zijn. De ambtenaren ontkenden aanvankelijk de computerinbraak, maar een onderzoek door de computerafdeling van GPD bracht aan het licht dat er herhaaldelijk mensen vanaf een computer van Sociale Zaken in het netwerk hadden gesnuffeld.

Het persbureau deed aangifte van computervredebreuk en de officier van justitie besloot vervolging in te stellen tegen de twee hackers, hun chef en de GPD-werknemer die de toegangscode had afgegeven. De rechtbank veroordeelde de hackers tot voorwaardelijke taakstraffen van 100 en 150 uur. De leverancier van de inlogcode kreeg 60 uur voorwaardelijk, terwijl de chef werd vrijgesproken, omdat hij volgens de rechtbank niet wist dat de berichten gestolen waren.

De officier van justitie had onvoorwaardelijke taakstraffen geëist, omdat de hackers volgens hem de integriteit van de overheid hadden aangetast. Het feit dat de beveiliging van de GPD te wensen overliet vond hij geen excuus, maar de rechters beschouwden het wel als een verzachtende omstandigheid. Ook vonden ze dat de verdachten al behoorlijk waren gestraft door de alle publiciteit. Omdat zij geen strafblad hadden en ook niet uit waren geweest op persoonlijk gewin, vond de rechtbank voorwaardelijke straffen meer op zijn plaats, meldt Het Parool.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (39)

+2 DarkFly
25 oktober 2008 16:46

Voor de geïnteresseerden, de uitspraken zijn hier te vinden:

De chef: http://www.rechtspraak.nl/ljn.asp?ljn=BG1509
De ex-werknemers van GPD: http://www.rechtspraak.nl/ljn.asp?ljn=BG1503 en http://www.rechtspraak.nl/ljn.asp?ljn=BG1507
En de werknemer van GPD die de inloggegevens ter beschikking heeft gesteld: http://www.rechtspraak.nl/ljn.asp?ljn=BG1510

En nog een samenvatting van de uitspraak:

Verdachte en medeverdachte [B] waren als journalisten werkzaam bj de GPD. Verdachte is per 1 april 2006 overgestapt naar het Ministerie van SZW, waar zij per 1 juni 2006 is aangesteld in de functie van voorlichter. [B] volgde per 1 juli 2007. Zowel verdachte als [B] is na die overstap blijven inloggen op de site van de GPD; zo verschaften zij zich toegang tot een gedeelte van de site dat niet meer voor raadpleging door hen bestemd was. Verdachte gebruikte daarvoor eerst nog haar eigen inlogcode en wachtwoord, die na haar vertrek bij de GPD niet direct waren geblokkeerd. Nadat haar inlogcode en wachtwoord geen toegang meer gaven, heeft verdachte de inlogcode en het wachtwoord van [B] gebruikt, die aanvankelijk nog bij de GPD werkte, maar dit gebeurde ook nog nadat hij naar het Ministerie was overgestapt. Toen ook zijn inlogcode en wachtwoord geen toegang meer gaven, heeft verdachte de inlogcode en het wachtwoord gebruikt van oud-collega en medeverdachte [C], die nog steeds bij de GPD werkzaam was. [C] had deze gegevens aan [B] ter beschikking gesteld. [...] De ernst van de onderhavige zaak is erin gelegen dat - zoals hiervoor al is overwogen - verdachte zich vanuit haar positie als voorlichter bij het Ministerie, door gebruik te maken van haar oude inlogcode en wachtwoord, alsmede van de inlogcodes en wachtwoorden van anderen, de toegang tot informatie heeft verschaft, terwijl zij daartoe niet meer bevoegd was en zij dit ook behoorde te beseffen.

[Reactie gewijzigd door DarkFly op 25 oktober 2008 16:47]

0 Alexander01
25 oktober 2008 17:16

Serieus, dat hier nog tijd aan wordt besteed aan zulke onzin. De enige schuldige hier is de GPD zelf met hun brakke security beleid. Feit dat er geen enkele andere restrictie aan die accounts zit dan alleen een user/pass zegt al genoeg.

0 Little Penguin
@Alexander01 • 25 oktober 2008 17:26

Er wordt tijd aan besteed vanwege de impact die dit soort acties hebben. Je mag van de overheidsmedewerkers verwachten dat ze integer zijn, het inloggen op het systeem van je vorige werkgever kan ik niet direct een integere actie vinden.

En ja: Natuurlijk schort er het één en ander aan de procedures/beveiliging bij de GPD. Zowel het feit dat de inlogcodes nog enige tijd actief bleven, als ook het feit dat een medewerker "zo maar" zijn wachtwoord weg geeft.

0 ChillinR

@Alexander01 • 25 oktober 2008 17:52

Dus als je een fiets meeneemt omdat 'ie niet op slot staat bega je geen misdrijf?

Tuurlijk, als je als eigenaar je fiets niet op slot zet ben je behoorlijk onverstandig, maar dat maakt je nog niet schuldig - dat zou de omgekeerde wereld zijn. In feite is het natuurlijk belachelijk dat sloten überhaupt nodig zijn...

[Reactie gewijzigd door ChillinR op 25 oktober 2008 17:53]

0 spep
@ChillinR • 26 oktober 2008 09:27

nog erger tegenwoordig .
tegenwoordig is je fiets niet afsluiten gelijk aan uitlokking
bron

Neko Koneko

@Alexander01 • 26 oktober 2008 09:29

Wat een onzin. Jammer dat het slachtoffer altijd de schuld krijgt onder het mom "had hij maar beter moeten beveiligen". Het is gewoon de schuld van de hackers/inbrekers/insluipers, die zitten fout, klaar.

0 ewf
25 oktober 2008 19:03

Inbraak is het volgens mij niet, meer insluiping. Het woord zegt het al inbraak, waar is er hier sprake van braak?? Ze kregend de logins van een andere GPD medewerker dus zelfs niet hacken maar gewoon gebruik gemaakt van andermans login. Mag natuurlijk niet en dient bestraft maar inbraak en hacken is wel wat teveel eer.

Kwalijk is de rol van de GPD medewerker die de inlogcodes gaf, zo krijg je nooit iets veilig!!

0 Vos021
25 oktober 2008 19:08

De fiets stond wel op slot. Ze hebben de sleutel gekopieerd, en zijn er daarna een paar keer op gaan rijden.

En verder mag je dit best wel hacken noemen, social engineering avant la lettre.

0 E_E_F
26 oktober 2008 08:58

Erg lage straffen zeg, zo zie je maar weer, hoge bomen vangen weinig wind.

mashell

Politiek en recht

@E_E_F • 26 oktober 2008 18:04

Nou, de laatste nieuwtjes over minister Donner willen weten voordat iedereen het weet is behoorlijk vreemd maar nou niet echt schadelijk, dus zware straffen lijken me ook niet zo op z'n plaats. Het is de GPD niet de Nederlandse Bank of zo.

Vrijdag
27 oktober 2008 10:50

Social engineering: Because there's no patch for human stupidity

Zo sprak diegene die helemaal geen ruk weet van hackers en dergelijke

0 TBM-Fan
27 oktober 2008 23:15

Eigenlijk is het wel belachelijk dat de chef vrijgesproken wordt....
het kan een precendent scheppen voor andere rechtzaak

Als ik een buitendeur van me huis wagenwijd open zet dan betekent niet dat zomaar iemand naar binnen mag, het zou wel te gek zijn als ik een deur open zet dat ik ook gelijk de hele toegang moet gaan moniteren om te weten wie me huis binnen ging

0 140398
25 oktober 2008 16:23

Hackers???? zelfs script kiddy is nog een te grote eer. Ze hebben een sleutel gekregen hen zich toegang verschaft. Gewoon inbrekers dus...

0 Little Penguin
@140398 • 25 oktober 2008 16:32

Precies.

Waren me mensen die op de systemen inlogden niet eerst zelf werknemer van de GPD-bladen?

Twee ex-werknemers van GPD,

- Ja dus!

Als krantenuitgever moet je toch zeker zorgen dat dit soort inloggegevens direct onbruikbaar worden, zodra de bewuste werknemer ze niet meer nodig heeft omdat hij/zij niet meer bij je werkt...

En hoewel de actie van deze mensen niet goed te keuren is, is men ook bij de GPD heel erg nalatig geweest. Men had deze inloggegevens direct aan moeten passen.

0 bavanandel
@Little Penguin • 25 oktober 2008 16:43

Als je nou de hele zin had gequote, dan had je meteen gezien dat je opmerking onzinnig en incorrect is:

Twee ex-werknemers van GPD, die op de afdeling voorlichting van het ministerie van Sociale Zaken waren gaan werken, hadden van een andere GPD-medewerker een toegangscode gekregen voor het computernetwerk van GPD, waarin onder andere nog niet gepubliceerde artikelen te zien waren.

Ze zaten er dus niet met hun eigen account op...

[Reactie gewijzigd door bavanandel op 25 oktober 2008 16:44]

0 imqqmi

@bavanandel • 26 oktober 2008 00:16

Het ontfutselen van (account) gegevens wordt ook wel Phishing genoemd.
http://en.wikipedia.org/wiki/Phishing

Het zijn dan meer phishers dan hackers mijns inziens. Maar het blijft een wazig gebied omdat hackers ook wel phishing technieken gebruiken om indirect tot een werkend wachtwoord te komen door bijvoorbeeld naar het favoriete huisdier te vragen, of het koosnaampje van de partner.

M14
@imqqmi • 27 oktober 2008 10:39

Dit heeft niks met phising te maken (iemand onbewust gegevens op een site laten invullen).

Als het ergens op lijkt is het Social Engineering. Maar zelfs bij social engineering is het zo dat de persoon die de gegevens verstrekt niet bewust is van het feit dat het voor verkeerde doeleinden wordt gebruikt.

[Reactie gewijzigd door M14 op 27 oktober 2008 10:39]

0 Little Penguin
@bavanandel • 25 oktober 2008 17:23

Hoewel de actie van deze mensen nog steeds niet goed te praten is, kun je niet spreken van het cracken van de systemen. De andere GPD-medewerker is net zo fout, door zijn eigen codes te geven.

Verder geeft DarkFly aan dat men aanvankelijk zelfs men hun eigen code in kon loggen, de procedures rond de gebruikers accounts van oud-medewerkers was dus duidelijk niet op orde.

Nogmaals: Ik praat niet goed wat hier gebeurt, maar om nu direct van hacken te spreken - het kan hooguit om het ontfutselen van gegevens gaan (en misschien was dat zelfs niet eens als de GPD-medewerker zijn wachtwoord gaf op een directe vraag om het ww).

0 DarkFly
@Little Penguin • 25 oktober 2008 16:41

Als krantenuitgever moet je toch zeker zorgen dat dit soort inloggegevens direct onbruikbaar worden, zodra de bewuste werknemer ze niet meer nodig heeft omdat hij/zij niet meer bij je werkt...

Zie ook mijn reactie hieronder. Uit de uitspraak blijkt dat ze eerst nog met hun eigen gegevens hebben ingelogd. Toen die gegevens niet meer bruikbaar waren hebben zij van een oud-collega de inloggegevens gekregen. Je reactie klopt voor het eerste deel dus wel, maar zodra een huidige werknemer van je bedrijf zijn inloggegevens ter beschikking stelt wordt het al een heel ander verhaal...

[Reactie gewijzigd door DarkFly op 25 oktober 2008 19:33]

0 starko
@Little Penguin • 25 oktober 2008 16:43

"Twee ex-werknemers van GPD, ... hadden van een andere GPD-medewerker een toegangscode gekregen"

hstoker
@140398 • 25 oktober 2008 16:31

True... en inbreken kan ook vervangen worden door inloggen naar wij dachten

GreenPictures
@hstoker • 25 oktober 2008 16:46

Ergens toegang verschaffen waar je geen recht toe hebt is nog steeds inbreken.

hstoker
@GreenPictures • 25 oktober 2008 17:55

Volgens vandale: zich wederrechtelijk en met geweld toegang verschaffen, m.n. met het oogmerk te stelen

En ik zie niet in hoe hier geweld is toegepast.

David Mulder
@hstoker • 25 oktober 2008 20:12

Volgens die definitie breek je niet in als je een sleutel steelt en dan inbreekt.

Pozo
@David Mulder • 25 oktober 2008 23:26

Dat doe je dus ook niet... Er is hier geen sprake van inbraak, vandaar dat ze ook naar 'vredebreuk' verwijzen.

0 Croga

@David Mulder • 26 oktober 2008 01:03

Dat noemt men ook wel "insluiping".

De veroordeelden in deze zaak zijn dan ook meer "Sluipers" dan "hackers"

Arnoud Engelfriet

Rechtszaak

@hstoker • 26 oktober 2008 14:00

Je moet geen Van Dale lezen als het om juridische begrippen gaat. Van Dale beschrijft het normale spraakgebruik, en juristen praten niet normaal.

En trouwens, de mensen werden veroordeeld voor "computervredebreuk", het wederrechtelijk zich toegang verschaffen tot andermans computersysteem. In dit geval door gebruik van een valse sleutel (een wachtwoord dat ze niet (meer) mochten gebruiken).

loodgieter
@GreenPictures • 25 oktober 2008 18:03

je slaat de spijker op z`n kop.

Want een hacker is ook een inbreker. En deze 2 dus ook.

dna1988
@loodgieter • 26 oktober 2008 13:25

Fout, een hacker is niet per definitie een inbreker. Dat is enkel hoe het woord in de populaire media steeds maar weer misbruikt wordt. Het woord kan veel verschillende betekenissen hebben, en die betekenissen zijn lang niet allemaal negatief.

Zie ook http://en.wikipedia.org/wiki/Hacker voor een aantal betekenissen van het woord.

Ik vind persoonlijk de meest gangbare definitie van het woord iemand die goed om weet te gaan met (bepaalde aspecten van) computers, en op die manier dingen met de computer weet te bereiken buiten conventionele manieren om. In het geval van deze twee kwam er zo te horen weinig kennis aan te pas, zij hebben gewoon login gegevens gehad en daarmee ingelogd. Dat kan iedereen.

Ik vind het vervelend dat het woord tegenwoordig van alle kanten zo'n negatieve betekenis krijgt, want van oorsprong vind ik het een mooi en positief woord. Tegenwoordig wordt helaas iedereen die misbruik maakt van een computersysteem automatisch een "hacker" genoemd. Daardoor wordt er automatisch negatief aangekeken tegen de echte hackers, die meestal helemaal geen kwade bedoelingen hebben. Jammer.

[Reactie gewijzigd door dna1988 op 26 oktober 2008 13:29]

mashell

Politiek en recht

@dna1988 • 26 oktober 2008 18:00

Dat is enkel hoe het woord in de populaire media steeds maar weer misbruikt wordt

Hoezo misbruikt? In het hedendaags taalgebruik is een hacker gewoon iemand die in computersystemen van een ander inbreekt. Dat het in bepaalde subculturen een andere meer positieve betekenis heeft doet daar niets aan af en maakt het geen misbruik.

0 jeroenr
@TeMo • 25 oktober 2008 21:33

Sorry, maar de Van Dale is nou niet bepaald een goede bron voor IT-jargon.
http://www.catb.org/~esr/faqs/hacker-howto.html#what_is

There is a community, a shared culture, of expert programmers and networking wizards that traces its history back through decades to the first time-sharing minicomputers and the earliest ARPAnet experiments. The members of this culture originated the term ‘hacker’. Hackers built the Internet. Hackers made the Unix operating system what it is today. Hackers run Usenet. Hackers make the World Wide Web work. If you are part of this culture, if you have contributed to it and other people in it know who you are and call you a hacker, you're a hacker.

[...]

There is another group of people who loudly call themselves hackers, but aren't. These are people (mainly adolescent males) who get a kick out of breaking into computers and phreaking the phone system. Real hackers call these people ‘crackers’ and want nothing to do with them. Real hackers mostly think crackers are lazy, irresponsible, and not very bright, and object that being able to break security doesn't make you a hacker any more than being able to hotwire cars makes you an automotive engineer. Unfortunately, many journalists and writers have been fooled into using the word ‘hacker’ to describe crackers; this irritates real hackers no end.

The basic difference is this: hackers build things, crackers break them.

[Reactie gewijzigd door jeroenr op 25 oktober 2008 21:33]

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers