Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties

Een Australische tiener zou door een beveilingslek diverse muziekalbums voor de release hebben kunnen downloaden. De tiener kreeg toegang tot muziek waar hij geen rechten voor had door enkele cijfers in de url van een muziekdienst te wijzigen.

Het lek zat in de webdienst PlayMPE, meldt muzieksite AbsolutePunk. Platenmaatschappijen gebruiken PlayMPE om muziek voor de release te distribueren aan recensenten. Recensenten kunnen alleen de muziek downloaden, waarvoor ze de rechten hebben.

De Australische tiener schreef zich onder een valse naam in bij PlayMPE. Hij kreeg vervolgens links om muziek te downloaden. Door vervolgens het getal achter 'songid=' te wijzigen, kon hij ook albums downloaden waarvoor hij de rechten niet had, aldus Cnet. Hij bood de nieuwe albums van onder meer Macy Gray en Hole aan via een Bittorrent-netwerk. Cnet plaatst wel vraagtekens bij het verhaal van de tiener: het is onduidelijk of het verhaal dat de jongen op een messageboard plaatste het verhaal is van degene die toegang kreeg tot PlayMPE.

Degene die de albums heeft gedownload, is inmiddels geïdentificeerd, blijkt uit een mail die PlayMPE naar artiesten heeft gestuurd. Zijn account is opgeheven. Het is onduidelijk of PlayMPE maatregelen heeft genomen om deze lekken in de toekomst te voorkomen.

Moderatie-faq Wijzig weergave

Reacties (52)

Verwijderd op aanvraag. *daar gaat m'n karma* :P

[Reactie gewijzigd door i7x op 25 april 2010 01:26]

De rede van het lekken was overigens vooral de enorme 'bounty' op sommige uploads. Wanneer je een aangevraagde download upload, hoort daarbij een bepaalde hoeveelheid 'upload credit' welke mensen kunnen doneren. Bij het Crystal Castles album lag deze bounty inmiddels al rond de 100GB, wat de gebruiker in een klap elite user zou maken.
Zou je kunnen uitleggen wat dat 'elite user' betekent? Simpelweg erkenning of ook andere voordelen?
Vooral erkenning maar het levert ook enkele voordelen op zoals toegang tot een speciaal deel van het forum, het kunnen aanpassen van torrentinformatie, het kunnen aanmaken van 'collages' (grote collecties van torrents. Bijvoorbeeld 'videogame music' of '1001 Albums You Must Hear Before You Die'). Ook krijgen hogere gebruikersklassen meer uitnodigingen om te kunnen verzenden aan nieuwe leden.
Je vergeet de elite only shirts, dat is de enige echte reden om elite te worden.
Als ik niet beter wist zal ik zeggen dat jij de dader bent. :P

Ik vind het trouwens vreemd dat PlayMPE zo'n lek niet doorhad.
Als je het mij vraagt is dit niet anders dan wanneer je een album download van een willekeurige wel toegankelijke site. Er is namelijk geen enkele vorm van beveiliging gebroken, de albums waren dus 'gewoon' publiekelijk toegankelijk. :9 Het enige wat ze hem, in mijn ogen, kwalijk kunnen nemen is het verspreiden van "illegale" muziek.
Tja, je zou kunnen zeggen dat hij de muziek aléén maar verplaatst heeft van de éne (semi) openbare site naar een andere.
Niet helemaal. Om toegang tot deze database te krijgen zijn eerst valse gegevens opgegeven en dat is dus identiteitsfraude. Het is ook direct een vorm van beveiliging want als de gegevens wel echt waren was er ook nooit toegang verleend.
Ik noem dit geen beveiligingslek, dit is het ontbreken van een beveiliging! :+
Helemaal mee eens! Als je een 'beveiliging' schrijft op basis van een incremental GET parameter dan verdíén je het te worden 'gehacked' (en dit mag en kan niet eens onder hacken vallen...). Ik ben er voor dat dit soort implementaties verplicht op moeten worden genomen in CV's en dat ze pas na 5 jaar komen te vervallen...

[Reactie gewijzigd door 4np op 24 april 2010 12:41]

Daar ben ik het niet helemaal mee eens, het is natuurlijk niet helemaal te wijten aan de programmeur. Op het moment dat je niet voldoende kennis hebt, want dat moet wel het geval geweest zijn, dan kan je zulke dingen over het hoofd zien. Het is eerder te wijten aan het bedrijf zelf, op het moment dat je een dergelijk systeem maakt, moet je er in ieder geval voor zorgen dat het fatsoenlijk getest wordt. En in mijn geval is het wijzigingen van id's toch een van de eerste dingen die ik doe om de beveiliging te testen. ;)
Het is wel een lek waarvoor de verantwoordelijkheid ligt bij de eigenaar.
Ze hadden de releases voordat men deze zal vrijgeven nooit in de datebase mogen plaatsen.
Als men er dan in slaagt ligt de verantwoordelijkheid naar mijn mening bij de verantwoorde die het opgeslagen heeft.
Tevens de valse gegevens zal niks uit moeten maken.. de machtigingen zullen alsnog gegeven moeten worden en er zal gecontroleerd moeten worden,
En trouwens een hack die erg simpel lijkt...ik denk dat deze tiener zeker weten wel vrijuit zal gaan O-)

[Reactie gewijzigd door riczz op 24 april 2010 16:52]

Dat is natuurlijk onmogelijk. Je hebt namelijk verschillende gradaties van recensenten, die erbij moeten kunnen, de een eerder dan de ander. Op een gegeven moment moet iets erop gezet worden en vanaf dat moment is het kwetsbaar in dit geval. Dat is natuurlijk slecht gescript, maar om te zeggen dat die releases nog niet in de database kunnen, is onmogelijk.
Play MPE® Secure Media Delivery System niet echt secure dan. http://plaympe.com/v4/
Of hij nu alleen de songs die hij had gekocht op een bittorrent had geplaatst was dit ook niet ok geweest. Via radio (streaming) mag je wel opnemen, maar niet verder verspreiden toch?
Lekken van apparatuur voor de release kan mooi gratis reclamne zijn voor media is dat anders daar je dat heel eenvoudig kan kopieren en verspreiden. Het vinden van de juiste balans tussen inkomsten van artiesten/bedrijven en de lasten/gemak voor de gebruiker is niet eeenvoudig. We willen graag alles voor niets.
Er staat ook zo doodleuk op die site: "secure" media delivery system x)
het voorbeeld van de fiets heeft wel iets, als vergelijking materiaal. Ik zet mijn fiets op slot met zo'n cijfer hangslot. Iemand komt langs en morrelt wat aan het slot en het slot is open en neemt mijn fiets mee. Dit is niet ondenkbaar want zo'n slot heb ik in de jaren 70 gehad, die op die manier zo open was. Heb het slot daarna niet meer gebruikt. Anyway, Ten eerste had het slot van deugdelijk materiaal moeten zijn, mijn verantwoordelijkheid en ten tweede had de dief nadat het slot open was, mijn fiets moeten laten staan. Ondenkbaar. Slot open om mij te attenderen dat het slot niet deugt. Dan ben ik wel in voor dit geintje. Nu wordt de fiets wel meegenomen, verantwoordelijkheid dief voor de gevolgen daarvan. De verzekering zal mij, na onderzoek of het slot van deugdelijke kwaliteit was en volgens de huidige normen volstaat, een bedrag moeten uitkeren. Dat het vaak niet het geval is, dat ligt er meer aan dat een verzekeringsmij alleen een betonnen paal in het water tegen brand durft te verzekeren. geintje. Nou moet ik wel toegeven dat downloaden van materiaal het erg lastig te onderscheiden is van wat mijn en dein is. In dit geval is het heel helder.
Zo is dat, vind ik, hier ook. Die jongen morrelde wat aan de beveiliging en had toegang tot. Toen die eenmaal binnen was, begon hij naar m.i. met de strafbare feiten. En dan is het ronduit dom om de muziek data op een torrentsite te zetten.
Even een korte reactie: als nu al 3 mensen deze albums hebben gedownloa datzelfde kwartier nog, en die seeden het weer, dan is het toch niet meer tegen te houden? Maar één iemand anders heeft dat bestandje nodig brandt het op cd en gaat naar een willekeurig internet café en uploaden :) .
Ik vind dit gewoon dom van de site. Kijken of di ook bij de lotto kan haha. Of bij het Casino? Jamba gratis ringtones. Gekoon GEEN beveiliging op de site.. Hoop dat ze het hebben veranderd anders ga ik mij ook even inschrijven :p
Waarom in hemelsnaam die albums op bittorrent zetten? Deed ie dat niet had ie nog jaren kunnen profiteren van zijn "voorkennis".
Laat ook maar aan mij zien hoe je prereleased muziek kan downloaden.. :)

Ik vind het eigenlijk niet kunnen dat sommigen gewoon voor de release hun muziek gratis kunnen krijgen.. te gek voor woorden.. wij moeten wachten en ook nog eens dik betalen :(
Hoezo, dat zijn recensenten, die een recensie van een product schrijven voor bijvoorbeeld magazines, kranten en websites. Net zoals recensies voor de nieuwste broodrooster videokaart van nVidia. Vind je dat ook niet kunnen, dat Tweakers.net een review kan plaatsen van een GTX480 voordat hij in de handel beschikbaar is?
In zekere zin gaat dat fout omdat al die recencenten dus niet al te negatief mogeen schrijven, anders stan ze bij de volgende keer niet op de distirbutie lijst.

Dus wordt er soms een draai aan gegeven: benchmarks nemen die duidelijker aantonen dat de kaart sneller is dan de vorige, problemen niet problemen noemen , maar "hopen" dat de volgende driver ze oplost.
Het is de taak van een recensent om hetgeen wat ze testen ook te publiceren zoals het is, zo is het niet de bedoeling dat je vol lof ergens over bericht terwijl het troep is, en andersom. Je krijgt als recensent bepaalde producten die tot je vakgebied behoren toegestuurd om ze zo goed mogelijk te testen en zowel de positieve als negatieve kanten te laten zien, het is een verkeerde opvatting om te zeggen dat er alleen positief gesproken wordt over producten omdat ze ze gratis krijgen, omdat een bedrijf er veel meer baat bij heeft als iemand een artikel publiceert waarin vermeld wordt dat het een matig product is, dan dat ze een week lang een paginagrote advertentie in de krant hebben. Tevens is het voor de fabrikant of distributeur niet interessant wat er over je producten wordt geschreven, maar dát er over je producten wordt geschreven. Om je even een voorbeeld te geven, nVidia stuurt naar 100 hoog aangeschreven websites een grafische kaart van €500, in ruil daarvoor krijgen ze op elke website een artikel. Voor nVidia is dat een stuk goedkoper dan op 10 hoog aangeschreven websites advertenties te plaatsen die een soortgelijk effect hebben voor de verkoop van dat betreffende product.

Verder vind ik dat als het klopt wat de jongen vermeld en het veranderen van een getal in de URL ervoor zorgt dat hij in staat is/was om iets te downloaden waar hij niet toe bevoegd was, leg ik de schuld bij het desbetreffende bedrijf/webdienst omdat ze hun beveiliging niet op orde hebben.
'Merkwaardige redenering. Als diezelfde jongen uit alle huizen waarvan hij ontdekte dat een raam openstond de huisraad had meegenomen, dan was het de schuld van de huiseigenaren geweest? Ben toch echt blij dat justitie hier andere opvattingen over heeft.
Dat is anders dan een getal vrij te laten om te veranderen, met een extra regel aan code kan je ervoor zorgen dat het ID niet open en bloot ligt waardoor de kans in ieder geval al een stuk kleiner is dat er mee geëxperimenteerd wordt. zowel jouw als mijn redenering neigen naar de gelegenheidsdief, als er iets onbeveiligd voor het pakken ligt neemt de kans op diefstal toe, plaats je een simpele beveiliging haakt 90% al af, dus een extra regel aan code of door je raam dicht te doen mocht het gelokaliseerd zijn op een gevoelige plek (begane grond waar niemand zicht op het raam heeft bijvoorbeeld, de kans dat iemand via je raam naar binnen gaat via de derde verdieping is namelijk te verwaarlozen, laat staan als je beveiligingsmaatregelen treft.
maar in dit geval kun je de huisraad zo vaak meenemen als je wilt, en toch blijft het er staan :o Dus niemand wordt er slechter van. Tenzij je gaat redeneren dat het inkomsten verlies was, maar als die persoon het niet had gedownload hadden ze ook geen inkomens van hem, dus die vergelijking van jou snijdt niet echt koek :)
Nee, dát is een merkwaardige redenering, nauwkeuriger, een cirkelvormige. Jij neemt als uitgangspunt dat de jongen fout zit en zoekt een analogie bij dat gegeven in plaats van een vergelijking die past bij wat er feitelijk gebeurd is. Vervolgens zet je die analogie in om aan te tonen dat die jongen fout zit.

Het veranderen van een URL is echter niet equivalent aan het binnendringen van een woning en het ontvreemden van huisraad. Deze man stuurt een HTTP-request en de server geeft daar gehoor aan, gaat muziek versturen. Meer dan met het plegen van diefstal komt dat overeen met aanbellen en aan de bewoner vragen of je die mooie plant in de vensterbank mag hebben, waarop de eigenaar per abuis instemt en de plant afgeeft. Tal van verwijten kun je de gast vervolgens maken, maar zeker niet dat hij de plant gestolen heeft.
De huisraad nemen is in dit geval gemakkelijk gedaan, en niemand zou er iets van gemerkt hebben. Dat die jongen het op het internet plaatste, DAT is dom geweest !
@leuk_he, zaterdag 24 april 2010 11:57

Het is grote onzin wat je hier verkondigt. Duidelijk bij elkaar verzonnen door iemand die niet weet hoe het werkt.

Ik schrijf al jaren voor Aardschok een rock en metal blad. Regelmatig log ik in op sites van platenmaatschappijen om mp3's (met watermerk) van albums te downloaden die nog niet uit zijn. Ik heb regelmatig albums tot de grond toe afgebroken en nooit iets van negatieve reacties van de platenmaatschappijen gemerkt. De toegang to promo's (via het net dan wel via een fysieke cd) is mij nog nooit geweigerd.

Als je niet weet waar je het over hebt kan je beter niets zeggen in plaats van ter plekke iets verzinnen.

Tenzij je natuurlijk een betrouwbare bron hebt die kan bevestigen wat jij hier beweerd. ;)

[Reactie gewijzigd door Hawk999 op 24 april 2010 19:30]

Ik denk dat er een heel groot verschil zit tussen een blad als Aardschok (leuk! b.t.w) en de diverse hardware-recensie-sites. Zowieso denk ik dat er een groot verschil is in online en fysieke media. De platenmaatschappijen houden er denk ik rekening mee dat jij schrijft voor een echt blad met echte abonnees i.p.v. een virtueel medium,
@ blissard, zaterdag 24 april 2010 19:44

Van verschil tussen online en "fysieke media" heb ik persoonlijk nooit iets gemerkt. Ik heb vaak genoeg voor online media geschreven, oa, Lords of Metal en Digital Steel, en ook daar geen last gehad van platenmaatschappijen als ik kritisch was.

Ik heb geen idee of dit ook zo is met PC hardware besprekingen. Maar ik heb nog geen reden om aan te nemen dat zoiets daar wel speelt. Dat zou dan iemand die in dat veld werkt moeten kunnen bevestigen.

Misschien zou iemand van Tweakers die daadwerkelijk dergelijke artikelen schrijft hierover iets kunnen zeggen. Lijkt me een belangrijk onderwerp.

In feite trekt "leuk_he" even tussen neus en lippen de integriteit van een hele industrie in twijfel, Zonder iets te onderbouwen. Schijnbaar vindt "leuk_he"dat niet nodig.

Kritiek en twijfel uiten is overigens een heel goede zaak... Als je goede en duidelijke argumenten hebt die je kan staven met betrouwbare gegevens.

Als iemand kon aantonen dat dergelijke corrupte praktijken plaatsvinden bij besprekingen van PC hardware dan zou het een zegen zijn voor al die bladen en websites die zich met besprekingen bezig houden. Zoals gezegd ik zie de onderbouwing met veel plezier tegemoet.
Inderdaad, de negatieve zin een positieve draai aan geven.
Tja, recensenten krijgen dat gratis aangeboden zodat er direct bij de release al lof over is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True