Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

De bekende hacker Kevin Mitnick, die in 1999 werd veroordeeld wegens inbraak op computernetwerken, wil AT&T aanklagen. Volgens Mitnick blijft de telecomprovider willens en wetens in gebreke bij de beveiliging van zijn persoonsgegevens.

De hacker voelt zich tot juridische stappen genoodzaakt omdat onbekenden zijn account plunderen en persoonlijke informatie op internet publiceerden. In plaats van Mitnick schadeloos te stellen, gaf AT&T aan het contract met de hacker te willen opzeggen. "AT&T wil me van hun netwerk hebben omdat ze mijn account niet kunnen beveiligen", aldus Mitnick tegenover Cnet. "Het is blijkbaar goedkoper om mij als klant te laten vallen dan om de informatie van klanten te beveiligen."

Volgens Mitnick onderzoekt zijn advocaat momenteel hoe het contract van AT&T in elkaar steekt, en welke stappen mogelijk zijn: "Ik overweeg een aanklacht in te dienen wegens privacyschending door gebrek aan adequate beveiliging."

Mitnick ontdekte in juni dat er informatie van hem op internet was geplaatst. Onbekenden waren erin geslaagd om met behulp van social engineering zijn accountgegevens te achterhalen. Dat het de aanvallers uitgerekend op deze manier is gelukt om Mitnicks account te kraken, is bepaald ironisch te noemen: Mitnick bracht vijf jaar achter de tralies door voor het inbreken op computernetwerken, waarbij hij zich steevast via social engineering toegang verschafte.

De beroemde hacker is door zijn bekendheid inmiddels zelf regelmatig het slachtoffer van hacks. Zijn website is al enkele keren beklad. Volgens Cnet is het AT&T-account van Mitnick ook al eerder gekaapt, hoewel Mitnick de provider had ingelicht over de mogelijkheid hiertoe.

Moderatie-faq Wijzig weergave

Reacties (41)

Hij heeft wel een punt. De 'gemiddelde' gebruiker staat hier niet bij stil, maar ik denk dat Mitnick wel de aangewezen persoon is om grote bedrijven op hun security/privacy verplichtingen aan te spreken.
Sterker nog, hij heeft er nu zijn beroep van gemaakt.

Hij heeft een beveiligingsbedrijf opgericht
En er een boek geschreven over social engineering :+
Welke Mitnick zelf geschreven heeft.
Correctie: meegewerkt aan het boek. Het boek bevat ook een co-auteur, die het eigenlijk heeft opgetekend.
Nee want echte beveiliging bestaat namelijk niet.
echte beveiliging bestaat wel, echte (absolute) veiligheid niet. Het is niet zo dat er geen mechanismen bestaan om netwerken, informatie of whatever te beschermen, of dat deze niet adequaat zouden zijn. Het gaat wel om het feit dat geen enkele beveiliging bestand is tegen alle risico's, simpleweg omdat de risico's niet bekend zijn.

Het risico van social engineering is reŽel en bekend, en ook de tegenmaatregelen zijn bestaande. het correct toepassen vna deze maatregelen is daarom niet makkelijk. Het risico en ook de benodigde tegenmaatregel zijn onmeetbaar. voorbeeld: op een firewall alle poorten sluiten behalve de nodige appliciatiepoorten is een duielijke actie met een ťťnduidig, meetbaar gevolg. Maar gebruikers informeren en opleiden is veel vager, en het resultaat slecht meetbaar (of je zou voor elke account zelf moeten proberen dmv social engineering binnen te geraken, niet echt een realistische oplossing.)

Mitnick heeft imho dan ook slechts een zwak argument: natuurlijk kan deze beveiliging altijd beter, maar langs de andere kant is basisinformatie waarschijnlik wel aanwezig. En de vraag is nog in hoeverre de provider aansprakelijk kan zijn als de gebruiker een zwak wachtwoord gebruikt.

ik heb dit zelf even bekeken en AT&T verwacht een 6 teken password met minstens 1 cijfer en een letter, maar geeft verder op z'n site geen info over wat een sterk wachtwoord is of een goede securityquestion; dat kan wel beter imho....
Het is inderdaad niet echt een realistische oplossing om bij alle gebruikers binnen te dringen ter controle, maar indien een gebruiker vraagt om extra aandacht hieromtrent en al rapporteert dat zijn account wordt gehacked, dan zou men toch verwachten dat op z'n minst deze specifieke gebruiker een extra beveiliging of een speciaal status zou krijgen ofzo dat vraagt voor extra verificatie?
Als Mitnick tegen AT&T zegt dat zijn account zo zo en zo gehacked kan worden, en dit daarna ook daadwerkelijk een keer gebeurt, mag AT&T toch al proberen er iets aan te doen, niet? Ze negeren hem echter en het gebeurt opnieuw. En dan proberen ze zijn contract nog te doen ontbinden ook? Nou, ik begrijp best dat Mitnick er dan niet echt mee kan lachen en een aanklacht overweegt.
Als de bevieliging van de bedrijven die jij gebruikt niet klopt, dan ben je daar toch gewoon geen klant?
Er is natuurlijk ook zoiets als wetgeving. Ik geloof dat de bescherming van persoonsgegevens in Amerika niet zo'n hot topic is als hier, maar ik kan me niet voorstellen dat een grote provider als AT&T niet wettelijk de verplichting heeft om zorgvuldig met de gegevens van haar klanten om te gaan. En daar kun je ze dus ook juridisch op afrekenen als ze dat niet doen.
Maar die wetgeving gaat ook maar tot een bepaald punt. Als ik mijn fiets in een bewaakte fietsenstalling zet, dan mag ik verwachten dat er iemand bij de poort staat die controleert of mijn fiets ook echt door mij wordt meegenomen. Ik hoef (ook volgens de wet) niet te verwachten dat de beveiligingsman zich met hand en tand gaat verdedigen tegen een gewapende bende met raketwerper die het op mijn fiets heeft voorzien. Misschien is wat AT&T qua bescherming doet wel gewoon acceptabel, en is Mitnick nu eenmaal een uitzonderlijk geval.
Heel slecht voorbeeld die fietsenstalling... lees jij de voorwaarden maar eens van een bewaakte fietsenstalling op de NS stations... jij kan net zo goed je fiets buiten zetten want er staat met grote letters in de voorwaarden: De directie stelt zich niet aansprakelijk voor schade aan en/of verdwijning van uw eigendom! Zelfde geld voor bewaakte parkeergarages, die stellen zich 9 van de 10 keer niet aansprakelijk voor diefstal e.d. uit de auto, dat staat duidelijk in de standaard huisregels...
Als er een vergoeding wordt gevraagd voor de stalling dan zijn zij verantwoordelijk voor je fiets. Maakt niet uit wat wat ze achteraf 'stellen'. Als er uiteindelijk iets mis gaat ben JIJ ook diegene die 'stelt', niet zij.
Hetzelfde bij garderobes in bv een discotheek.

Je neemt immers tegen betaling een dienst af.

Enkel als er geen vergoeding wordt gevraagd kunnen ze zich terecht 'niet aansprakelijk stellen'.

Wat betreft de 'hack'; AT&T is zelf misleid (= social engineering), doch mag wel wat netter reageren.

Edit: @massareal: Je zegt eerst dat ik geen gelijk heb en daarna 'verbeter' je me door hetzelfde als mij te zeggen :?

[Reactie gewijzigd door w4zige op 21 augustus 2009 16:15]

Wat de stalling betreft, zij zijn aansprakelijk. Vermoedelijk zelfs als er niet betaald worden. Het staat namelijk op de lijst met "bedingen die worden vermoed onredelijk bezwarend te zijn"

http://www.usgjuristen.nl/nieuws.asp?nid=386

Wat betreft deze hack, tegen misleiding kan je jezelf ook wapenen door de juiste procedures. Een paswoord doorgeven via de telefoon lijkt me bijvoorbeeld niet correct. Opsturen naar een (ander) vooraf opgegeven adres (of met terugbellen) wel.
dat van betalen voor de gaderobe bij een discotheek klopt niet.
Indien je er voor betaald op je jas op te bergen zijn ze er wel degelijk verantwoordelijk voor.
(dit is geloof ik wettelijk bepaald en gezet tot een maximum van €250,-)

Je ziet nu soms ook dat je in bepaalde tenten :? je niet voor de gaderobe hoeft te betalen...vondaer dus!
Natuurlijk stellen ze zichzelf niet alvast aansprakelijk. Dat moet jij zelf doen als je fiets of auto beschadigd of gestolen wordt. :)
Mosterd na de maaltijd.
Dat Mitnick zou overwegen om weg te gaan na de slechte prestaties van zijn leverancier is zijn goed recht. Maar daarmee wordt het publiceren van zijn persoonlijke gegevens door een fout van AT&T niet ongedaan gemaakt.
maar ze kunnen er wel aansprakelijk voor gehouden worden, en indien de rechter Mitnick gelijk geeft, zal dat er voor zorgen dat AT&T z'n zaken gaat verbeteren, voor ze omkomen in de claims.
Zo'n opmerking impliceert keuzevrijheid, helaas is het vaak zo dat je nog wel eens met handen en voeten gebonden bent aan een aanbieder. Als ik mensen uit de VS moet geloven is het huilen met de pet op wat betreft telecom bedrijven daar en ben je gedwongen om een keuze te maken uit beŽlzebub, satan, moloch en melkor.
Social Engineering. Hierbij word volgens wikipedia de zwakste schakel, de mens, gekraakt. Hoe zou je dat moeten beveiligen dan?
Simpel, je personeel aanleren klantgegevens enkel aan de klant zelf te geven. En dan ook nog het liefst nadat je dit op meerdere manieren geverifieerd hebt.

In de praktijk is dit helaas lastig uit te voeren.
In de praktijk is dit helaas lastig uit te voeren.
Wat dacht je van snailmail? Als een klant zijn account gegevens kwijt is, zou je (het liefst aangetekend) de gegevens opnieuw kunnen verstrekken.

Vragen zoals bijvoorbeeld VISA (ICS) die stelt zijn redelijk eenvoudig te achterhalen. Wat is de achternaam van je moeder, wat is je geboortedatum. Dat zijn geen dingen die een ander niet zou kunnen weten. Vorige week heb ik telefonisch mijn nieuwe adres kunnen doorgeven, door dit soort vragen te beantwoorden. Als je even googlet, zou je de meeste van deze dingen wel kunnen achterhalen. Gelukkig was ik het zelf die de wijziging doorgaf, anders had iemand anders nu mijn post gehad...

Bij AmEx vroegen ze nog naar de laatste twee betalingen die gedaan waren met de credit card.

Eventueel bel je je target persoon een keer op en vraag je deze gegevens op. Bij het aanmelden van je bankrekening bij paypal is er wel een aardige verificatie. Ook niet waterdicht, maar als je geen papieren afschrift krijgt is het redelijk goed. Ze storten twee bedragen op je rekening (een paar cent). Voor verificatie moet je vervolgens exact de gestorte bedragen invullen.
Vragen zoals bijvoorbeeld VISA (ICS) die stelt zijn redelijk eenvoudig te achterhalen. Wat is de achternaam van je moeder, wat is je geboortedatum. Dat zijn geen dingen die een ander niet zou kunnen weten.
loolz jij vult daar de waarheid in ofzo?

Q: Wat is de achternaam van je moeder
A: Unreal Tounament
Q: wat is de naam van je hond
A: paternosterbolletjesmakerij
Q: waar ben je geboren ?
A: Tyria
Q: Wat is de geboortedatum van je moeder ?
A: Thunderbird

om maar iets te zeggen.

Nooit het juiste antwoord geven op die vragen, maar wel iets wat je zelf kan onthouden.
het gemakkelijkste is kies 1 antwoord en varieer gewoon de vraag.
Neem al antwoord niet je favoriete band,lied, land, ..... of een echt mogelijke antwoord op een van die vragen, maar iets wat je gemakkelijk kan onthouden.
We hebben het hier over social engineering.
loolz jij vult daar de waarheid in ofzo?
Bij VISA heb ik het over de persoon die je aan de telefoon krijgt, niet de informatie op de website... Deze zal niet aannemen dat je moeder 'Unreal Tournament' heet en dat je geboortedatum 'Sintjuttemus' is. Zij hebben die gegevens voor zich liggen. Zonder die gegevens te geven krijg je geen credit card.

Voor websites heb ik inderdaad een vaste set antwoorden waar ik altijd mee uit de voeten kan. Meestal woon ik in Afghanistan, omdat dat maar een keer klikken is. Ook ben ik op 1 januari jarig en is mijn postcode 90210. Meestal.. En bevestigingsmails gaan via een forwarder of een of ander spam account...

Maar het gaat hier om gevoelige informatie. Jouw ASP heeft jouw echte adres, telefoonnummer en accountgegevens. In zijn geval heeft AT&T (zo het lijkt) prive gegevens aan derden gegeven, zonder toestemming van meneer Mitnick. Niet alleen ASPs hebben die gegevens, maar ook telco's, banken, energieleveranciers, overheid, noem maar op. Al deze instellingen zijn potentiele lekken voor 'social engineering'...
Is niet slim om je standaard antwoorden hier neer te zetten.
Dit kun je trainen en door cursussen over te geven wij krijgen ieder jaar een cursus en een Mystery check hier in het bedrijf om deze methode tegen te gaan.
Goede zaak, i.m.o.

Hoe bedrijven hun eigen data/bezit beveiligen mogen ze van mij zelf weten. Echter hoe ze met andermans gegevens omgaan, daar moet wat mij betreft strenge eisen & wetgeving voor komen.

Bijvoorbeeld die 136 miljoen creditcard-gegevens van vorige week of zo - natuurlijk moeten die hackers keihard aangepakt worden, maar de bedrijven zelf zouden ook onderzocht moeten worden: "gaan jullie wel verantwoord om met de gegevens die jullie zijn toevertrouwd?".

Dat is hier niet anders. AT&T dient de gebruikersgegevens zo goed als mogelijk te beveiligen - dat zijn ze moreel verplicht aan de klanten van wie die gegevens eigenlijk zijn.
Social engineering is eigenlijk vrij simpel te voorkomen door goede voorlichting en curssusen. Ook goede procedures zijn daarbij belangrijk. Een simpel voorbeeld is het niet toestaan van vreemde apparatuur bij werkplaatsen. Op deze manier wordt dus voorkomen dat USB sticks etc die dus trojans en keyloggers etc op pc's kunnen zetten veel moeilijker gebruikt kunnen worden.

Uiteindelijk is het aan het bedrijf om zijn werknemers zo in telichten en te educeren dat dit soort dingen niet gebeuren. (In praktijk zijn er maar weinig bedrijven die daadwerkelijk dit op een goed nivaeu hebben)
De ironie van het verhaal is vermakelijk, maar doet niets af aan het feit dat Mitnick natuurlijk gewoon gelijk heeft. Het is op z'n zachts gezegd onnozel van AT&T om hier niet adequaat genoeg mee om te gaan.
Het is op z'n zachts gezegd onnozel van AT&T om hier niet adequaat genoeg mee om te gaan.
Zeer zeker waar zeker als je bekent dat de Zaak Mitnick door AT&T aangespannen was hadden ze kunnen voorzien dat dit iedereen kon doen blijkbaar heeft na de gebruikte Mitnick Methode van Social Engineering AT&T dus niks ondernomen om dit tegen te gaan das erg laks.
#carebear. Ga een leven zoeken in plaats van goede argumenten af te kraken op gebrek van leestekens (zoals ze dat zo mooi noemen) en grammaticale fouten... :')
De hacker gehackt. Hoe ironisch.
moet je toch beter gelezen: de provider van de hacker is gehacked :)
Ik heb hardstikke goed gelezen:
De beroemde hacker is door zijn bekendheid inmiddels zelf regelmatig het slachtoffer van hacks.
En niet de provider was gehackt maar in een systeem van die provider specifiek de gegevens van meneer Mictnick.
Niet mee eens, de provider is gesocial-engineered om de gegevens over Mitnick prijs te geven. Mitnick is in dit geval slachtoffer buiten de 'hack' poging om.

Als je in breekt in een bank om het geld te jatten. Heb je dan de kluisdeur gekraakt of heb je dan het geld gekraakt?
Hoe wil je je in vredes naam hiertegen beveiligen? Je moet toch zelf zo slim zijn niet zomaar je account gegevens af te staan (aan wie dan ook!) Hij is zelf blijkbaar slachttoffer geworden van zijn eigen werkwijze.
denk je nou echt dat hij zelf zo dom zou zijn om in zijn eigen werkwijze te trappen... dan had hij die hacks in eerste instantie niet eens kunnen plegen, nee het is zo'n simpel helpdesk medewerker geweest bij AT&T
"Je moet toch zelf zo slim zijn niet zomaar je account gegevens af te staan"

Dat is ook niet gebeurt en zo staat het niet in het artikel.
Wel grappig dan weer (als we toch over ironie gaan hebben) dat een hacker bedrijven attendeert op hun beveiliging en vervolgens je eigen site laten bekladden......
wie zegt dat hij de controlle had over die webserver? als je gewoon een klein web accountje hebt bij een provider, heb je geen root rechten, mogelijkheden om verregaande security dingen in te regelen, enz, enz, enz.

Ik denk, gezien wat er gebeurt is (en ik de details van de hack ook goed ken omdat die gepubliceerd zijn), dat het precies die situatie is. Derhalve is de provider verantwoordelijk voor de security van de server, en je mag van een tent als AT&T toch wel verwachten dat ze dat degelijk kunnen regelen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True