Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 106 reacties

Een oud-garagemedewerker is gearresteerd nadat hij op afstand honderden auto's onklaar had gemaakt of had laten claxonneren. Hij gebruikte een systeem waarmee autobezitters worden 'geattendeerd' op het afbetalen van hun lening.

De high tech crime unit van de politie van Austin maakte woensdag de arrestatie bekend van een twintigjarige man die onlangs was ontslagen bij zijn werkgever, een Texaanse autodealer. Hij zou uit wraak meer dan honderd auto's in de omgeving van Austin onklaar hebben gemaakt door clandestien in te loggen op de website van het zogeheten Webtech Plus-systeem, zo schrijft Wired. Dit systeem wordt in de VS door sommige autobedrijven gebruikt als alternatief voor het fysiek in beslag nemen van auto's die door klanten op afbetaling zijn gekocht. Daarbij wordt in de auto een black box geplaatst die het mogelijk maakt om het starten op afstand te blokkeren. Ook kan de claxon ermee worden bediend om zo de klant te 'attenderen' op een naderende betalingsdeadline. Voor het signaal wordt het semafoonnetwerk gebruikt.

Volgens de politie kreeg de verdachte toegang tot het Webtech Plus-systeem met het wachtwoord van een oud-collega. Daarna zou hij met behulp van de database een lijst van meer dan 1100 klanten van de autodealer hebben gemaakt. Vervolgens begon de man op alfabetische volgorde de gebruikersaccounts aan te passen, waardoor de auto's van honderden mensen niet meer wilden starten. Ook gingen volgens sommige autobezitters midden in de nacht claxons af, waardoor de autobezitters genoodzaakt waren de accu te ontkoppelen.

De autodealer werd vijf dagen lang bestookt met telefoontjes van boze klanten en kwam er al vrij snel achter dat er sprake was van sabotage. De firma schakelde de politie in en veranderde alle wachtwoorden van het Webtech Plus-systeem. De verdachte liep uiteindelijk tegen de lamp doordat zijn ip-adres in de logs van het Webtech Plus-systeem was gevonden.

Critici stellen dat deze actie de kwetsbaarheid van systemen als Webtech Plus aantoont. Bovendien zou het mensen die een lening voor hun auto zijn aangegaan stigmatiseren en zou een auto bij noodgevallen onbruikbaar kunnen raken. Voorstanders stellen echter dat het systeem juist leningverstrekkers de mogelijkheid geeft om krediet te verstrekken aan mensen die dat anders niet zouden krijgen.

Moderatie-faq Wijzig weergave

Reacties (106)

Het systeem is niet kwetsbaar, de werkgever is gewoon stom geweest. Die had ervoor moeten zorgen dat of het wachtwoord van de algemene account veranderd was of dat de login van een ontslagen werknemer niet meer actief zou zijn.

Trouwens claxoneren als herinnering aan de betalingstermijnen? Kan je in Amerika geen boete krijgen voor het ongeoorloofd gebruik maken van de claxon? :?
Jawel, het systeem is kwetsbaar voor fraude met wachtwoorden. Beveiligingsfouten liggen heel vaak in het sociale domein ipv het technische.
Elk systeem met wachtwoorden is kwetsbaar,

maar in dit geval is het echt OSI laag 8 die een fout heeft gemaakt en was het bv. ook met smartcardtoegang niet opgelost.
Het zou daar standaard moeten zijn dat bij vertrek van een medewerker, alle wachtwoorden gewijzigd worden van die medewerker of zijn accounts in systemen verwijderd of gedisabled bij vertrek.

Bedrijven die dat niet doen creŽren hun eigen security probleem.


Smartcards hadden hier niet geholpen omdat dan waarschijnlijk ook de smartcard niet gedisabled/opgeheven was en de medewerker net zo goed die smartcard mee had kunnen nemen/kunnen krijgen van de oud medewerker.
Blijf ik het vreemd vinden dat IP adressen buiten het bedrijf dit soort acties kunnen uitvoeren. Lijkt me toch OSI laag 5 ofzo.
Maar het had voorkomen kunnen worden, dat staat vast.
Elk systeem is kwetsbaar...
Hier in Nederland in ieder geval wel :)
De claxon wordt ook gebruikt om de auto te lokaliseren, de sleepdienst die de auto komt weghalen moet tenslotte weten waar deze staat. En wanneer deze in een garage staat, is het wel zo handig om te horen waar dat is.

In de VS werken de dingen net wat anders dan in NL.
In de vs ook.
Tenminste, op elk hoekje in manhattan hangt een bordje dat je een boete riskeert bij 't onnodig claxxoneren.

Dat systeem heeft wel wat weg van DRM. Zeer fraudegevoellig lijkt me.
Volgens de politie kreeg de verdachte toegang tot het Webtech Plus-systeem met het wachtwoord van een oud-collega.

Hij had dus geen toegang tot het systeem !
In Nederland en BelgiŽ ook.
Voorstanders stellen echter dat het systeem juist leningverstrekkers de mogelijkheid geeft om krediet te verstrekken aan mensen die dat anders niet zouden krijgen.
en zie hier, de bron voor de volgende krediet crisis, leren ze het dan nooit?

overigens vind ik het wel erg eng dat dit zo makkelijk te hacken is... beter lezen... maar heeft iedereen demogelijkheid om dit te doen ofzo? hebben ze nooit gehoort van verschillende gebruikers niveau's...

[Reactie gewijzigd door sirono op 18 maart 2010 13:21]

het is alleen niet gehackt.
De werknemer heeft een correct wachtwoord gebruikt welke hij nog wist...
Volgens de politie kreeg de verdachte toegang tot het Webtech Plus-systeem met het wachtwoord van een oud-collega.
Dit doet mij een beetje vermoeden dat hij gewoon het wachtwoord gevraagd heeft aan die persoon.
Het wachtwoord van een collega gebruiken noem ik geen hack.
Voorstanders stellen echter dat het systeem juist leningverstrekkers de mogelijkheid geeft om krediet te verstrekken aan mensen die dat anders niet zouden krijgen.
Er is een reden waarom zulke mensen geen krediet krijgen van normale banken...

edit: ninja'd

[Reactie gewijzigd door teaser op 18 maart 2010 13:25]

Het wachtwoord van een collega gebruiken noem ik geen hack.
Hacken hoeft niet zo ingewikkeld te zijn.. dit is duidelijk wel een hack.

Hacken is het vinden van toepassingen, die niet door de maker van het middel bedoeld zijn. Complexiteit speelt hierbij geen rol, integendeel: makkelijke, snelle alternatieve oplossingen hebben de voorkeur, ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack. "Gewone" uitvindingen en verbeteringen zijn dus geen hacks, zolang ze gebruikt worden waarvoor ze gemaakt zijn.
En zijn wachtwoorden bedoelt om in te loggen? :D Lijkt me sterk dat je het zo kan specificeren dat je alleen broeken en shirts met een wasknijper op mag hangen en anders al 'hacked' omdat je een theedoek ophangt :P

Een wachtwoord is om in te loggen, welke persoon dat doet is irrelevant! Maar jevoorbeeld van een knijper voor onder het fietsen is inderdaad een 'hack'...

BTW vandaag not wat wormen gehackt :D ze waren bedoelt om in de aarde te leven maar ik heb ze aan de vissen gevoerd nadat ik ze aan de haak heb geregen (huh is dat een woord :D).

[Reactie gewijzigd door watercoolertje op 18 maart 2010 14:39]

Dit zou wel eens in de categorie "social engineering" kunnen vallen, dat valt onder hacken. Want die collega zou zich wel eens van geen kwaad bewust kunnen zijn.

"Mag ik jouw credentials gebruiken? Ik ben dan wel ontslagen maar ik heb mijn "out of job" auto-reply niet aan staan....
Wat een belachelijk apparaatje? Rijd je daar op de snelweg, pruttel pruttel toet toet booom.
En onderweg naar het ziekenhuis neemt je kredietboer nog even contact met u op, ligt u lekker? Leeft u nog? Mooi, wij krijgen nog centen van u, u bent gewaarschuwd.
Het is een startblokkering, en de startmotor gebruik je niet op de snelweg.
dit.
het zou je maar gebeuren dat je onderweg bent naar het ziekenhuis omdat je vrouw oid aan het bevallen is.
raar systeem, ook al is het claxon idee best goed. maar een auto op afstand uitschakelen nee.
2 vragen..
Hoe kan het dat een wachtwoord van een oud-collega nog actief is? En waarom gebruikte die prutser geen proxy ergens in Senegal? Dan hadden ze hen nu nog niet te pakken gehad.
Dat je dit doet snap ik niet, en dat je dit doet vanaf thuis met je eigen IP snap ik al helemaal niet...
De ontslagen man zijn oud-collega die daar dus nog wel werkte? Ik ken hier ook wel wachtwoorden van collega's overgens. Dat is beveiligingstechnisch niet handig, maar als het te moeilijk is om dingen op de nette manier te regelen gaan mensen het zelf wel onderhands regelen.

En ja, al te snugger was hij niet om het vanaf zijn eigen verbinding te doen. Dat kan je beter vanaf een open wifi link proberen lijkt me. :D
Voorstanders stellen echter dat het systeem juist leningverstrekkers de mogelijkheid geeft om krediet te verstrekken aan mensen die dat anders niet zouden krijgen.
Er zijn dus redenen waarom die mensen geen krediet krijgen.
En dan toch maar een paardemiddel voorwenden om krediet zogenaamd "veilig" te verstrekken. Die Amerikanen hebben blijkbaar nog steeds niets geleerd van hun hypothekencrisis.
Die Amerikanen hebben blijkbaar nog steeds niets geleerd van hun hypothekencrisis.
Dit systeem was er al lang voor de kredietcrisis.
Verder: je hebt wel gelijk dat ze er weinig van hebben geleerd, maar dat staat eigenlijk verder los van deze auto's.
e verdachte liep uiteindelijk tegen de lamp doordat zijn ip-adres in de logs van het Webtech Plus-systeem was gevonden.
Stupid!

Wel een actie zeg.. geweldig. Het systeem vindt ik ook wel interessant eigenlijk. Hou er niet zo van dat een ander op elk willekeurig moment je auto kan blokkeren, maar kan het idee erachter wel volgen. Hier blijkt natuurlijk wel uit dat je dit soort systemen beter moet beveiligen dan met een simpel wachtwoord.
Dat herinnert mij aan een verhaal van iemand die een "Ouwebak -lock" had gemaakt.

Als je zijn Oltimer wilde starten moets je eerst ff een verborgen knopje indrukken. Anders viel de motor na een paar meter rijden uit!!! lagge!! :)

Ik had een idee voor anti-scooter diefstal! Een kleine zendertje in je broekzak. Als je wordt gedwongen je Scooter af te staan, valt de motor uit na contact te zijn verloren met de zender!

De zender kan bijvoorbeeld ook je mobiel zijn (via Blauwtand verbinding)

..zomaar een idee...

[Reactie gewijzigd door BUR op 18 maart 2010 13:45]

Leuk idee, maar wat als je GSM leeg is?
Moet je toch thuis blijven om hem op te laden he ;) Of kan jij zonder telefoon :P
12 volt van de accu aftappen, van de 12 volt 5 volt maken, een cradle in je scooter bouwen, usb kabeltje trekken en klaar is Kees (of Bur) :)

*rent naar octrooicentrum om patent aan te vragen voordat Bur het doet*

[Reactie gewijzigd door Kriebelkous op 18 maart 2010 15:40]

Als je van je scooter geschopt wordt, nemen ze vrij vaak net zo makkelijk je telefoon en portemonnee mee :)
Voor de mensen die het geen hacken/cracken vinden: ook social engineering hoort bij hacken. In het begin was het zelfs de makkelijkste en vaak toegepaste manier.
Gewoon bij een gebouw naar binnen lopen als 'tech support' en mensen gaven hun wachtwoord, pc, pincode en kinderen mee (ok ok, die kinderen nog net niet)

Kijk....als het nou gewoon een maat van hem was die hem ongevraagd het wachtwoord gaf.....dan kun je twijfelen natuurlijk...
Voorstanders stellen echter dat het systeem juist leningverstrekkers de mogelijkheid geeft om krediet te verstrekken aan mensen die dat anders niet zouden krijgen.
WTF wat is dat nou weer voor onzin...echt aals je op een normale manier niet aan een lening kan komen hoor je op een andere wijze natuurlijk ook niet een lening moeten komen.

kredietwaardig heet dat en als je dat niet ben moet je het niet krijgen.

echt het niveau van de mensen van tegenwoordig is beschamend aan het worden...en dan vinden ze het raar dat ze uitgebuild worden...

bill maher zei het al... you know why there are no more loan sharks anymore.....you know those people charging rediculous intrests for a small loan......we made it legal today, we call them banks
Had de "verdachte" met het Tor netwerk ingelogd dan was hij waarschijnlijk moeilijker te vinden geweest, gelukkig was hij niet zo technisch. ;)
Toch hij zou met goed recherche werk uiteindelijk wel verdacht en misschien ook gepakt worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True