Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 196 reacties
Submitter: Hellsystem

De stichting achter een christelijke jongerensite doet aangifte wegens diefstal van de database met gegevens van enkele duizenden leden. De hacker die het lek meldde, is verontwaardigd over de aangifte.

Een hacker, die opereert onder de naam SyntaxNL, verkreeg dankzij een sql-injection toegang tot de database van JongKatholiek.nl. Tweakers.net heeft inzage gehad in de database met de namen, e-mailadressen en wachtwoorden van ongeveer 2400 katholieke jongeren die bij de site zijn geregistreerd.

JongKatholiek doet aangifte wegens diefstal van de persoonsgegevens, zegt woordvoerder Bert Elbertse tegen Tweakers.net. Daarnaast is het forum tijdelijk gesloten om te werken aan een structurele oplossing voor het lek. Het lek is in elk geval voor nu gedicht.

SyntaxNL toont zich in een reactie verontwaardigd over de stap om aangifte te doen. Hij zegt alleen de bedoeling te hebben gehad om te helpen. "Aangifte bij de politie doen voor het aantonen van een lek en het niet openbaar maken van de 'gestolen' gegevens, behalve aan een journalist van Tweakers.net? Te triest voor woorden", aldus de hacker. De hacker heeft de database online gezet en vooralsnog niet weggehaald.

Update 16:40: In het artikel stond abusievelijk dat de site gelieerd is aan de publieke omroep RKK. Dat bleek onjuist.

Screenshot begin database JongKatholiek

Moderatie-faq Wijzig weergave

Reacties (196)

Oh het wordt nog mooier, SyntaxNL heeft de gegevens niet alleen met t.net gedeeld, hij heeft ze via Twitter en pastebin met Arnoud (van t.net) gecommuniceerd: [link verwijderd op verzoek van Arnoud]

Ik kan me steeds beter voorstellen dat de RKK aangifte doet...

[Reactie gewijzigd door Moartn op 21 juli 2011 13:42]

Ik heb het artikel even aangepast om duidelijk te maken dat de database nog altijd online staat. Ik was eigenlijk in de veronderstelling dat hij hem zou verwijderen nadat duidelijk was dat ik hem had gezien :s

Ik hoop trouwens wel dat je de link naar die tweet kan verwijderen. Het is indirect het openbaren van privegegevens en hoewel deze link niet strafbaar is, vind ik het ethisch niet verantwoord: er is een reden dat deze link niet in het artikel stond :)
Geen probleem, link verwijderd. Voegt weinig toe aan het verhaal verder :)
Inderdaad, het punt was duidelijk. Ik wilde uitdrukkelijk niet dat - mogelijk - 2400 mensen die hun profiel daar hadden ingevuld de dupe zouden worden. Dank voor het verwijderen :)
Ik heb een abuse bij pastebin ingediend, zal wel niets mee gedaan worden.

Ik vindt het toch wel een kwalijke zaak dat meneer de gegevens op internet smijt, dan is deze aangifte 100% terecht. Het is al discutabel dat hij er uberhaupt mee naar T.net stapt en niet eerst met het bedrijf zelf in gesprek gaat. Oftewel, de zoveelste mediageile 'hack'-puber, geen White/Grey-hat hacker....

Edit: De paste is weg... hurray!

[Reactie gewijzigd door donny007 op 21 juli 2011 14:07]

Eveneens een abuse ingediend. Weet niet hoeveel daarvan nodig zijn, maar de paste is nu niet meer beschikbaar => "Unknown Paste ID!". :) Hopelijk is dit geen vernietiging van evt. bewijsmateriaal.
Lekker helemaal publiek dus nu. Er lijkt me dan geen sprake meer van "goede bedoelingen"

[Reactie gewijzigd door NoUseWhatsoever op 21 juli 2011 13:19]

Als je de hele zooi inderdad openlijk publiceerd ben je niet goed bezig en is het terecht dat ze je aanpakken.
SyntaxNL toont zich in een reactie verontwaardigd over de stap om aangifte te doen. Hij zegt alleen de bedoeling te hebben gehad om te helpen
Sorry, maar dan ga je die gegevens dus niet aan derden (in dit geval Tweakers) geven, dat is geen helpen.

Helpen doe je door het bedrijf (RKK) te benaderen, het lek door te geven, en eventueel een suggestie om het te fixen. Dat is helpen!

Terechte aangifte lijkt me.
En als ze niet reageren op jou pogingen om in contact te komen? Gewoon laten voor wat het is en die 2500 mensen het slachtoffer laten worden van een kwaadaardige hacker?
Dan ga je naar de politie.

Niemand heeft hem gevraagt die site te hacken of een security test te doen. Dan heb je gewoon er vanaf te blijven. Bij mij ongevraagd naar binnen gaan om aan te tonen dat mijjn sloten niet deugen is ook fout als je niets meeneemt.

Het is nooit de bedoeling om gegevens van gebruikers ergens vandaan te halen, Ook niet als de deur wagenwijd open staat.

terechte aangifte, de "zogenaamde" hackers mogen zich wel eens beseffen dat ze geen "helden" zijn als ze iets hacken.
Uuhm ben jij wel eens naar de politie geweest? In bijna al de gevallen noteren ze het, kijken ze je waterig aan en hebben ze zoiets van dat is toch niet belangrijk... Sorry maar je moet de politie niet overschatten (ik zeg expres in veel gevallen want als je de goede agent(e) tegenkomt dan begrijpt die het en onderneemt hij of zei gelijk actie). Niet geldt niet alleen voor IT gerelateerde zaken hoor
Nee, hadden ze dat maar gevraagd. Maar zoals gewoonlijk zijn ze daar te lui, cheap, of onbenullig voor. Wees blij dat er mensen met goede bedoelingen gewoon voor niks even bij je komen melden dat je beveiliging niet deugt en dat je daar wat aan moet en kunt doen. Dan zeg je, oh, bedankt, in plaats van "Rotzak!! Ik ben te lui om goed werk te leveren en omdat jij me vertelt dat anderen daar misbruik van gaan maken, ga ik je aanklagen!!!!" Sorry, maar wat een grenzeloze idioot ben je dan?

Je weet dat het stikt van de hackers/oplichters/cybercriminelen. Je hoeft maar een keer op internet te kijken, of zelfs een krant te lezen en je weet hoe laat het is. Dan mag je inderdaad blij zijn dat iemand bereid is om je te helpen.

En natuurlijk heb je gelijk dat het nooit de bedoeling is om gegevens van gebruikers ergens vandaan te halen, zelfs als ze de deur open laten staan. Daarentegen, ik wil een wetgeving zien die bedrijven dwingen een schadevergoeding te betalen aan hun klanten/gebruikers/geregistreerden zosnel ze die deur open laten staan. En dan maakt het wat mij betreft ook niet meer uit of iemand met kwade wil binnenkwam of om te helpen, als jij je site niet beveiligt, betaal je maar. Het is hun verantwoordelijkheid om goed met de data van hun klanten/whatevers om te gaan en dat weigeren ze.
Geen idee, maar ook dan, dus niet de gegevens verspreiden naar anderen (in dit geval tweakers.net).

Maar waarom zou het bedrijf niet reageren? Zoals je kan zien is tijdelijk het forum dus al gesloten, dus men heeft al gereageerd. De "what if"-vraag is in deze kwestie dus al niet relevant meer.
Dat weet ik nog niet zo zeker... Al ik naar de datum kijk in het plaatje dan staat hij op 7-1-2011... Dit kan 2 dingen beteken, 1: De RKK heeft voldoende gereageerd aangezien de hack op de 1e van deze maand is gebeurd. 2: De RKK heeft veelste laat gereageerd omdat de hack op 7 januari is gedaan (NL of USA notatie)

Wanneer nr 1 het geval is dan ben ik het volledig met je eens, je moet het bedrijf de tijd geven om een goede reactie te geven... Anders is het niet eerlijk en netjes
En jij weet dat degene dit pas heeft gedaan na herhaaldelijke pogingen om contact te krijgen? Uit het artikel zie ik dat nergens naar voren komen, en als het dus wel zo zou zijn geweest zou dat toch op zijn minst in het artikel vermeldt moeten zijn..

EN, eigenlijk is dat helemaal niet jouw verantwoordelijkheid, jij hebt dit lek gemeldt en de rest is niet aan jou.

[Reactie gewijzigd door SuperDre op 21 juli 2011 13:18]

Het feit dat SyntaxNL met de exploit naar tweakers.net is gegaan, lijkt te wijzen op de keuze voor full disclosure. Niet op responsible disclosure. Terwijl deze laatste vorm op meer sympathie kan rekenen. Ben benieuwd of tweakers.net bekend is met SyntaxNL's motivatie om niet voor een responsible disclosure te gaan. Dit datalek kan nu in ieder geval worden toegevoegd aan Bits of Freedom Zwartboek Datalekken.

Verder ben ik benieuwd naar de rol van tweakers.net in deze. SyntaxNL is naar de redactie gegaan. De redactie naar de RKK. De RKK doet aangifte. Door deze publicatie staat nu meteen vast om wie het is gegaan en lijkt het een eenvoudige zaak voor de politie. Als het zo gaat, dan zal een hacker met de wens voor full disclosure geen meer contact opnemen met de redactie van tweakers.net. Of te kort door de bocht?
Dit is de mail van JongKatholiek die ik gisteravond ontving:
Van: <@jongkatholiek.nl>
Datum: 20 juli 2011 23:15:15 GMT+02:00
Aan: BCC
Onderwerp: Community JongKatholiek.nl

Beste,

Onlangs bereikte ons het bericht dat de volledige profielinhoud, inclusief gebruikersnamen en wachtwoorden, van de communityleden van JongKatholiek.nl door een hacker openbaar online gezet is. Hierbij gaat het dus alleen om je gebruikersnaam en wachtwoord die je gebruikt om in te loggen op de site van Jong Katholiek, en de gegevens die je daar in je profiel hebt staan. Wij zijn hier erg van geschrokken en willen je via deze weg op de hoogte stellen van de maatregelen die we genomen hebben.

Allereerst een belangrijk advies:
Als je je wachtwoord ook op andere sites dan JongKatholiek.nl gebruikt, dan raden we je aan om z.s.m. een nieuw wachtwoord in te stellen op deze sites.


De maatregelen die wij genomen hebben:
1. We hebben wachtwoorden en e-mailadressen in de tabel nu versleuteld, om te voorkomen dat een hacker deze nogmaals kan achterhalen.
2. We hebben alle huidige wachtwoorden gereset, en vervangen door een nieuwe letter- en cijfercombinatie.
Dit om te voorkomen dat een buitenstaander met de door de hacker openbaargemaakte inloggegevens in kan loggen op jouw profiel. Je kunt het nieuwe wachtwoord opvragen via de site en na in te loggen kun je dit vervangen door een nieuw zelfgekozen wachtwoord (dat vanaf nu dus versleuteld wordt opgeslagen).
3. Het is voorlopig niet mogelijk om nieuwe forumbijdragen te plaatsen.
Dit om te voorkomen dat de hacker ongewenste activiteiten gaat ondernemen op het forum.


Onze excuses voor de ontstane situatie. Zodra er nieuwe ontwikkelingen zijn die voor jou als communitylid van belang zijn, zullen we je daar per mail van op de hoogte stellen.

Hartelijke groeten,

Communicatiemedewerker Jong Katholiek
Het is alleen jammer dat ik niet meer weet wat voor wachtwoord ik ooit gebruikt heb :X :P Edit: pastebin gevonden, sommige sites maar preventief het wachtwoord van veranderd...

An sich adequaat gereageerd, alleen erg jammer dat de wachtwoord onversleuteld opgeslagen waren.

[Reactie gewijzigd door Motrax op 21 juli 2011 17:39]

Pft, illegale handelingen uitvoeren, daarmee naar de pers gaan en dan nog verontwaardigd zijn dat er tegen wordt opgetreden ook. Die gast is te triest voor woorden.

[Reactie gewijzigd door CyBeR op 21 juli 2011 13:00]

Het grote probleem is dat er vaak niet, langzaam of slecht gehandeld wordt als het lek slechts bij één persoon bekend is. De stap om Tweakers.net in te lichten zorgt dat er druk komt op de organisatie om het lek zo snel mogelijk te dichten. Daarnaast was het geven van de gegevens aan Tweakers.net waarschijnlijk het bewijs dat het hem gelukt was: zonder bewijs kan iedereen wel beweren een site gehackt te hebben. Als dergelijk 'goed' (tussen haakjes, want blijkbaar zijn er mensen die liever de 'kop-in-het-zand'-taktiek zien) gedrag gestrafd gaat worden dan denk ik dat dat een slechte zaak is: minder leks zullen bekend gemaakt worden, waardoor deze langer blijven bestaan (en gebruikt kunnen worden door de minder ethische hackers).
Opvallend dat altijd één belangrijk punt vergeten word.

Jouw hele verhaal is van nul waarde als de hacker niet eerst de site zelf gewaarschuwd heeft en ze de kans heeft gegeven het lek zo snel mogelijk te dichten.

Daar is echter helemaal niets over vermeld. En aangezien de hacker het ook niet als verweer geeft is de kans groot dat ie meteen naar Tweakers is gerend voor de publiciteit en niet eerst naar de RKK.
Sowieso is het bij veel semi overheids organen beleid om bij het kwijtraken van persoonsgegevens altijd aangifte te doen. Het is dan aan de rechter om te bepalen welke straf erop staat. Doordat deze kluns nu de hele handel online gegooid heeft zal een rechter ongetwijfeld minder meegaand zijn.

Het delen van gegevens met een journalist is wat anders dan met de hele wereld.

Dom, erg dom.
Als hij alleen een count(*) heeft gedaan en dat met tweakers gedeeld heeft dan is er wat voor je argument te zeggen, maar heeft hij feitelijk data uit de DB doorgespeeld is hij (ondanks waarschijnlijk goede bedoelingen) toch fout/strafbaar bezig geweest..
Nee, die vlieger gaat niet op. Als die hacker écht vriendelijk zou zijn geweest, dan had hij die informatie niet aan Tweakers gegeven.

Het gaat immers om een kleine website, waarbij je nauwelijks mag verwachten dat ze op de hoogte zijn van alle hack mogelijkheden. Als hij te goede trouw was, dan had hij alleen de webmaster ingelicht, maar geen informatie doorgegeven aan de pers.

Slechts bij een negatieve response van de website kun je eventueel gaan nadenken of je het aan de pers doorgeeft. En daarbij moet je je dan afvragen of je daar dan daadwerkelijk een groter doel mee dient, of dat je alleen maar je eigen ego aan het oppoetsen bent. Deze website is nou niet bepaald hetzelfde als een overheids website... Daardoor weinig reden om zoveel druk te willen maken.

[Reactie gewijzigd door AHBdV op 21 juli 2011 14:14]

Stel, ik loop langs je huis terwijl jij op vakantie bent, ik probeer de voordeur en die blijkt niet op slot te zijn. Vervolgens bel ik jou op dat je deur open is nadat ik met een journalist heb overlegd wat hiermee te doen. Ga je aangifte doen? Ja, je kunt het zien als inbraak, want ik had daar niks te zoeken. Maar als ik alleen wil controleren of jij de boel beveiligd heb en daar vervolgens netjes melding van maak als dat niet afdoende is, mag je me op je blote knietjes danken dat ik niet de hele boel gejat heb.

Zolang websites nog steeds gebouwd worden door idioten die de meest basale beveiliging weigeren in te voeren, hebben we dit soort mensen nodig. Misschien moeten we maar overstappen op het principe van "Jij doet je deur niet op slot, dan is het je eigen schuld." Zo zien verzekeringen het ook.
Het probleem met deze vergelijkingen is dat ze alleen zo worden gemaakt als het goed uitkomt. Ik ben het grotendeels met je statement eens, maar tegelijkertijd is het gewoon zo dat mensen wel hun deur van hun huis op slot doen maar niet dat van hun website.

De code om het gebouw in te komen is 41593 terwijl het wachtwoord van het adminportaal soms gewoon: "welkom" is. Dit terwijl het voor hackers makkelijker ontzichtbaar blijven is dan voor gewone dieven. Je zou je webportaal dus eigenlijk altijd beter moeten beveiliging dan je bedrijfspand (of woning).

Toch zien mensen het slot van hun deur wel als iets wat nodig is, maar de beveiliging van hun website "wel goed komt".
Ik ben het niet met je eens, het grote verschil tussen wat jij schrijft en wat er gebeurt is dat jij niet met de journalist naar binnen bent gelopen om even de spullen in het huis te gaan bekijken.

Het constateren van het lek is voldoende, alle data er uit trekken en laten zien aan een journalist is gewoon een overbodige stap.
De hacker heeft in principe wel iets "gejat". Hij heeft een kopie gemaakt van de database met namen en e-mail adressen en deze laten inzien door een journalist. Dat is niet echt netjes. Daarbij komt dat hij nu een kopie heeft van deze data en er dus in principe alles mee kan doen.

Als hij het lek had gemeld zonder een kopie van de database was het misschien minder erg geweest. Ik kan me voorstellen dat de gehackte site de hacker niet direct gelooft als deze claimt verder niets met de data te doen. Het is flauw om aangifte te doen, maar kan het wel begrijpen.

Persoonlijk zou ik het netter vinden als eerst de eigenaar van de site wordt geïnformeerd zodat deze actie kan ondernemen. Doet deze dat niet kan er altijd nog naar de pers gestapt worden (op de bovenstaande manier) om het gevaar aan te tonen. Nu zal er niemand direct geïnteresseerd zijn in deze specifieke database, maar als het een grote site betreft is een berichtje dat het mogelijk onveilig is al voldoende.

Heb zelf ook wel eens een ernstig lek gevonden in een bekende grote site (per toeval), dit heb ik gewoon netjes gemeld aan de eigenaar van de site en deze heeft dat behoorlijk snel opgelost/op laten lossen. :)

Daarnaast is een opmerking als "Te triest voor woorden" ook wel een beetje je eigen ramen ingooien. Grote kans dat de site nu helemaal de hakken in het zand zet.
De gelegenheid maakt de dief, zo luidt het spreekwoord. Maar dat wil nog niet zeggen dat de diefstal daarmee minder strafbaar wordt.
Op zich is het goed dat de beveiliging van websites kritisch aan de tand gevoeld wordt en er melding gemaakt wordt van problemen met de beveiliging. Beter zo dan dat een kwaadwillende met de gegevens aan de haal gaat.

Wat ik alleen niet snap is waarom je er gelijk mee naar een journalist zou moeten rennen. Als je al hackt op ideële gronden (om het zo maar eens te noemen :) ) dan moet je in ieder geval eerst de eigenaar in de gelegenheid stellen om de problemen op te lossen.

Pas als de eigenaar er niets aan doet dan zou je kunnen overwegen om de klok te luiden. Maar zelfs dan hoef je niet met een lijstje wachtwoorden te pronken.
De vergelijking is meer:
Stel, ik loop langs je huis terwijl jij op vakantie bent, ik probeer de voordeur en die blijkt niet op slot te zijn. Vervolgens loop ik naar binnen en kopieer al je bank gegevens etc en daarna bel ik jou op dat je deur open is nadat ik met een journalist heb overlegd wat hiermee te doen.

desalnietemin wel goed van deze 'hacker' dat hij iig de gestolen gegevens niet heeft gepubliceerd, wat veel anderen normaal lijken te vinden. Dat zou 100% fout zijn, nu is het een beetje een (donker) grijs gebied.

Als hij alleen een SQL injectie test had gedaan en niet de feitelijke gegevens gestolen had dan zou het hetzelfde zijn als in jouw voorbeeld.. maar helaas is de test waarschijnlijk ook meteen automatisch het downloaden van de data..
a) Het is niet jouw taak om mijn beveiliging te testen.

Als ik je aan mijn voordeur zien morrelen, sturen ik je ook weg (als ik al niet meteen aangifte doe van poging tot inbraak), ook al zeg jij het alleen maar als test te doen.
Het is niet alsof je je vantevoren gemeld hebt en om toestemming hebt gevraagd.

b) En dan heb je ingebroken.. "klus geklaard", zou je denken. Nee, je gaat eerst uitgebreid rondneuzen. Alsof je gewoon het recht had om binnen te komen.

Als je je vantevoren meldt en om toestemming vraagt, dan ben je een inbraakpreventie-team. Als je zomaar gaat inbreken en naar de pers stapt, ben je een inbreker voor wie niet de buit, maar de status de beloning is.
Ja, je kunt het zien als inbraak, want ik had daar niks te zoeken.
Tenzij je een slot / deur / ... heb geforceerd, wat niet gebeurd in jouw voorbeeld, kan je dit niet zien als inbraak. Je kan het dan maximaal zien als insluiping! (wat minder zwaar is als inbraak)

Maar als jij dan inventaris gaat meeslepen om dat vervolgens aan de journalist te laten zien, is het wel degelijk diefstal.

Dat er nog steeds nitwits rondlopen die denken een website te kunnen bouwen met de rechten op 777 moeten per definitie gemarteld worden.
Echter is het nog altijd geen vrijbrief om daarmee databases te plunderen / website te defacen.
Maar aan de andere kant snap ik zijn verontwaardiging ook wel. Het is wel een 'duistere' manier van helpen maar het helpt wel. Het doel heiligt de middelen als het ware.
Sorry maar iemand die inbreekt is per definitie illegaal bezig hoe goed de intentie ook is. Zeker als hij ook gegevens wegneemt om deze vervolgens te overhandigen aan een derde.

Het blijft steeds gaan om persoonlijke gegevens die gekopieerd worden, had hij dan niet iets anders kunnen overnemen? Iets dat geen inbreuk maakt op de privacy van onschuldige bezoekers.
Sorry maar zie het eens anders:

Stel er staat een deur open bij een groot bedrijf, waar maar voldoende "waardevols" is weg te halen. Hier binnenlopen en iemand aanspreken dat de deur open staat word ook dankbaar gezien. Hierover doet deze persoon toch ook geen aangifte, maar bedankt hem toch?

Is eigenlijk hetzelfde als wat hier gebeurd, echter om aan te tonen dat het echt een "open deur" betreft heeft deze persoon de data ge-exporteerd.

Hiernaast is hij enkel fout omdat hij de database niet had gepubliseerd, maar wel had doorgesluist naar tweakers.net. Dit is in mijn ogen dan eigenlijk wel "diefstal" beter was bijv. een screenshot geweest zoals onder het bericht staat, met belangrijke info vervaagd of verwijderd.

Ik vind het daarintegen ook wel flauw om na aangifte de database online te zetten. Zo ben je toch nog strafbaar bezig, wat hem in de aangifte niet ten goede zal komen.

Desalniettemin had ik ook niet verwacht dat, een bug of een open deur aantonen, zou leiden tot aangifte. Zeker niet in deze tijd. Men is tegenwoordig al erg snel de dupe van dit soort aanvallen door bijv. Lulsec of anonymous, die het gelijk openbaren.

Vele website zijn nog steeds onveilig, de helpende hand ziet men dus als een bedreiging.... Waar gaat het heen met dit land?!
Jouw voorbeeld geldt alleen als hij niet naar de journalist van tweakers.net was gegaan en alleen contact met de webmaster had gezocht. Wellicht was er dan anders gereageerd.
Nee het contact met tweakers is hard nodig omdat dit soort zaken vaker genegeerd worden dan dat hier daadwerkelijk iets mee wordt gedaan. Het kwalijke in het verhaal is dat hij een andere dump had moeten maken en deze niet publieke had moeten uploaden.
Een beveiligd RAR bestand met een pswd van 30 tekens en daarin een tekst bestand van een beperkt aantal kolommen uit de tabel "leden" had eigenlijk al voldoende geweest
Hoewel ik het persoonlijk redelijk met je eens ben, neemt hij hier het recht in eigen handen wat natuurlijk weer niet mag. met daarbij dat hij zelf nu ook echte de dief is van de gegevens

Het kan zijn dat deze persoon echt goede bedoelingen had en misschien niet al te veel heeft nagedacht over zijn handelingen, ik mag dan ook echt hopen als dit blijkt uit een evt. rechtszaak dat hij hooguit op z'n vingers getikt wordt (met uiteraard de waarschuwing dat het niet meer voor komt in deze vorm)

Zoals vele hier ook aangeven lijkt het me voor de gebruikers en ook voor een beheerder (evt pijnlijk voor de ego) maar zeker handig als gaten worden aangewezen die zijn gemist. en dus afhankelijk voor de manier waarop een goede zaak. dus beetje eigen ruiten ingooien is het ook wel op de manier waarop het is gebeurd na

[Reactie gewijzigd door Nounours op 22 juli 2011 11:43]

Maar het gebeurt ook nogal eens dat de webmaster het eerst negeert, totdat er contact met de media wordt gezocht. Weet niet of dat hier ook het geval is (staat niet in het artikel)
Als jij bij dat bedrijf meldt dat de deur openstaat en ze nemen dat voor kennisgeving aan, maar doen er verder niets mee, dan haal je toch ook gewoon je schouders op en loopt door? Of ga je naar binnen, steelt iets en geeft dat aan een krant (of wat voor instantie dan ook) om er voor te zorgen dat ze die deur gaan sluiten?
Dat ligt er nogal aan wat en van wie er daar spullen voor het grijpen liggen. Als dat mijn spullen zijn, dan zal ik zeker blijven zeuren tot het verbeterd wordt. Als ik weet dat dat de spullen van vele anderen zijn, dan zal ik ook wel ietsje meer doen dan mijn schouders ophalen.

Het gaat hier om de "spullen" (gegevens) van vele mensen. Ik vind het niet zo raar dat een hacker in dat geval iets verder gaat in het wijzen op de verantwoordelijkheid van de webmaster dan een mailtje naar die webmaster en verder de schouders ophalen. De gegevens vervolgens zelf dan maar online dumpen is in dat kader overigens een nogal vreemde reactie.
Hoezo heb jij je daarmee te bemoeien? Wanneer hebben we jou of zo'n hacker aangesteld om webmasters op te voeden? Zullen we bankrovers anders vanaf nu maar een medaille geven omdat ze de lekken in de beveiliging van banken aantonen?

Als jouw spullen ergens liggen waar de beveiliging beroerd is kan je ze er gewoon weghalen. Je kan anderen erop wijzen zodat zij hetzelfde kunnen doen. Wat je niet kan maken is alles meenemen en op de openbare weg smijten. Dat is wat hier gebeurt.

Er zaten overigens vast geen gegevens van de hacker in die database, dus hij heeft hier geen enkel persoonlijk belang bij, behalve aandacht trekken. Wat blijkbaar nu iets te goed gelukt is nu de politie hem aandacht gaat geven. Net goed.

Het publiceren van de data toont sowieso aan dat die Syntax gewoon een vervelend ettertje is dat helemaal niets, maar dan ook niets, geeft om "de veiligheid van de gegevens van anderen" en meer van dat soort altruïstische dingen die er altijd bij worden gehaald als er weer eens iets gehackt wordt: hij gooit nu notabene zelf die gegevens van anderen te grabbel omdat zijn bemoeizucht niet gewaardeerd wordt.
Als de beveiliging dusdanig te kort komt acht ik dat ieders Plicht dit aan te kaarten.
De manier waarop is in deze natuurlijk erg discutabel, daar hij nu zelf doet waar hij voor waarschuwt.
Echter de intentie die hij beweert te behartigen is positief.

edit, beetje overdreven maar goed, als jij een verdacht persoon met een geweer een school binnen ziet gaan, haal je toch ook niet alleen je eigen kinderen weg?

[Reactie gewijzigd door Nounours op 22 juli 2011 11:49]

Als we dan toch absurde vergelijkingen gaan maken is dit naar mijn mening meer dat je ziet dat een school niet goed beveiligd is en je dat aankaart door met een geweer naar binnen te gaan en alle kinderen dood te schieten.

De intentie je dan probeert te behartigen is positief: we willen toch allemaal dat scholen veilig zijn?

Denk je dat men je dan dankbaar moet zijn dat je dit probleem aan hebt gekaart?
Het is en blijft inderdaad illegaal, maar zoals in andere reacties word gezegd had hij uiteindelijk niet veel keus meer dan de gegevens te overhandigen aan tweakers omdat hij simpelweg niet serieus werd genomen. En tsja dan heb je bewijs nodig.

En het zijn dan ook belangrijke gegevens van mensen die veel indruk maken, en zo zorg je ervoor dat het in de schijnwerpers komt en dat ze er wat aan gaan doen. Het kon netter maar blijkbaar werd er niet op gereageerd.
Zoals je zegt is het illegaal. En als er dan aangifte wordt gedaan besluit hij alsnog de hele database online te zetten... dit is toch totaal onzinnig? Ik hoop dat hij wordt aangepakt, het lijkt me een soort publiciteitsstunt van SyntaxNL, waarom zou je uberhaupt JongKatholiek.nl willen hacken? Als je dan echt beveiligingsproblemen wil opsporen om te zorgen dat persoonsgegevens op het internet beter beschermd worden kan je toch beter voor een grotere site gaan met meer users. Help je een stuk meer mensen mee..
Inbreken is niet illegaal als het geen inbreken is: ofwel, als je zo ongeveer "gewoon" bij de spullen kon ...
Dus is het even de vraag of een sql-injectie een open deur openduwen is of, of dat het een "loper" gebruiken is op een afgesloten deur ...
Tsjonge jonge. Dus als ik de achterdeur niet op slot draai en iemand rooft m'n huis leeg, dan is 't niet illegaal? Degene die dan inbreekt is dus feitelijk dan geen inbreker? Maak 't even!

En deze jongen, die SyntaxNL moet niet zeuren. Dit is free publicity. Die wordt er zo dalijk een keer uitgepikt om bij een of andere softwarereus als beveiligingsspecialist aan de slag te gaan.

Nu de gegevens (de database) alsnog online en openbaar openstellen, dat is pas triest.

@MarluXiaXl

Als je niet serieus genomen wordt, dan laat je toch je bewijs zien aan degene van wie je het 'gestolen' hebt, i.p.v. naar de pers te stappen? Zeker bij een relatief kleine site als deze!
Punt is dat dit niet om persoonlijk eigendom gaat.
Als je het toch wilt vergelijken met inbreken kan je het beter vergelijken met dat jij 2400 tv's van andere mensen hebt opgeslagen en dat niet goed hebt beveiligd.
Oftewel mensen hebben jou in vertrouwen genomen om hun gegevens/tv's op te slaan.

Dan vind ik het niet meer dan redelijk dat een hacker de site attent maakt op een open deur. Daar zou de site en zijn gebruikers dankbaar voor moeten zijn.

Dusja als jij spullen van andere mensen opslaat vind ik dat jij de plicht hebt om dat goed te beveiligen en iemand die jou attent maakt op een probleem met die beveiliging vind ik zeker geen inbreker. De gegevens openbaar publiceren vind ik wel twijfelachtig.

De manier waarop deze hacker met de gegevens is omgegaan vind ik erg netjes aangezien hij het alleen aan een journalist van Tweakers heeft laten zien.

Pas nu er (onterecht) aangifte tegen hem is gedaan heeft hij ze online gezet wat dan idd minder netjes is...
"Dan vind ik het niet meer dan redelijk dat een hacker de site attent maakt op een open deur. Daar zou de site en zijn gebruikers dankbaar voor moeten zijn."

imho: De hacker maakt de site niet alleen attent op de "open deur" hij gaat er door en neemt de spreekwoordelijke tv / 2400 tv's mee en vertelt het vervolgens achteraf. in het geheel niet zo netjes?

Ook helemaal met Frizzz eens;-, laat de gegevens aan de eigenaar zien , lijkt me voldoende

edit: het idee van attent maken op onbeveiligde gegevens / open deuren vind ik naast alles redelijk nobel. de manier waarop en evt. het waarom is wel even belangrijk

[Reactie gewijzigd door Nounours op 22 juli 2011 11:19]

sql-injectie is meer dan een open deur induwen, het is meer het slot forceren door oneigenlijk gebruik.
Je moet het woord inbreken niet zo letterlijk nemen, zodra jij je op gebied bevind waar jij geen toestemming voor hebt, oftewel je hebt onbevoegd toegang verschaft en dan zeker als je iets 'steelt', dan ben je al een inbreker/insluiper... daar hoef je nog krasje aan schade voor gemaakt hebben. Dat betekent dus dat wanneer jij aan de spreekwoordelijke ramen en deuren gaat rommelen met de hoop dat er iets open staat net zo illegaal is dan wanneer je de voordeur openbreekt of een raampje intikt.

Oftewel, als jij als 'deskundige' merkt dat de voordeur bij een site open staat, prima... maar dan toon je dat aan en meld je dat netjes. Zodra je gaat rondneuzen en/of zelfs wat meeneemt ben je gewoon illegaal bezig...

Al die goedpraterij omdat tegenwoordig de gemiddelde ICT-student al slimmer is dan de gemiddelde systeembeheerder/webmaster of wat dan ook, en daardoor hele bedrijven op de kop kan zetten moet nou maar eens afgelopen zijn. "dan hadden ze de boel maar beter moeten beveiligen"... Roep je ook naar iemand die verlamd is geraakt door een ongeluk dat hij/zij maar een veiligere auto had moeten aanschaffen? Kom op zeg...
Sorry? Als ik mij achterdeur niet op slot heb omdat ik zelf tuis ben en er loopt iemand binnen die mijn tv meeneemt is dat echt wel diefstal!
Is niet zo bij computerinbraak. Dit om het "niet beveiligen" af te straffen.

Toegevoegd:
http://mijnwetten.nl/wetboek-van-strafrecht/artikel138ab

Van binnendringen is in ieder geval sprake indien de toegang tot het [geautomatiseerd] werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.

Dus toegang verschaffen tot een computer via een "open deur" is geen computervredebreuk.

[Reactie gewijzigd door Xubby op 21 juli 2011 15:27]

Sql Injection is een vals signaal. Je stuurt daarbij een bericht naar de server met een opzettelijke afwijking van de publieke interface.
@Xubby Hangt dat ook niet af van of SQL injectie als technisch ingreep wordt gezien? Het is immers geen normaal gebruik van een website. Het is niet alsof de website bij een bepaalde actie een error uitspuugt met een lange stacktrace waarin allerlei gegevens publiek werden gemaakt.
@C0rnelis: Van wat ik van de sql-injectie-inbraak-handleiding op GeenStijl begreep is dat je wat programmeer commandos / kreten in een (sql-database) invulvakje op de website invult. Klinkt op zich redelijk simpel, maar lijkt me een gevalletje: valse sleutel / misschien technische ingreep. Dus computervredebreuk.

Er schijnen wettelijk geregelde "toegestane" inbraken te zijn, zie Benno met het chipknip drama, ofschoon dat geen inbraak is, als je journalist bent, en nog wat voorwaarden. Die heb ik niet opgezocht.

[Reactie gewijzigd door Xubby op 22 juli 2011 09:09]

Om de discussie nog wat ingewikkelder te maken: Een TV neem je mee, maar database gegevens kopieer je, er is dus geen schade.
Om de discussie nog wat ingewikkelder te maken: Een TV neem je mee, maar database gegevens kopieer je, er is dus geen schade.
Onjuist. Er is niets wég, maar er is wel degelijk schade. De schade bestaat in dit geval uit de persoonsgegevens die publiek op het internet gezet werden via Pastebin en twitter. Denk eens aan de ruim 2000 mensen waarvan nu een combinatie van login, mailadres, password, naam, woonplaats en geboortedatum 'op straat ligt'.
Deze was toevallig wel eentje die lukte blijkbaar. Zou me niks verbazen als ie een automatisch tooltje gebruikte die websites afgaat.
table wjd_leden lijkt me niet een standaard table..
Dus helemaal scriptkiddie zal hij niet zijn...
Nee idd dat viel mij ook al op, het is zeker een site gemaakt door een persoon en niet een standaard CRM oid

Tip voor de ontwikkelaar, neem ook verschillende database users bij verschillende acties ;) :P

[Reactie gewijzigd door Mellow Jack op 21 juli 2011 14:33]

Zoals ik al aangeef, vind ik dat ie dan had kunnen gaan voor alleen gegevens van een beheerder of iets dergelijks, waarom moeten de gebruikers van een dergelijke site de pisang zijn?

Ik vind dat hackers en in het algemeen mensen die daar niet zo vaak het slachtoffer van zijn, te makkelijk denken over het rondstrooien van persoonlijke gegevens. Voel jij je niet bedreigd, door al die hackers die mogelijk aan de haal gaan met jouw gegevens (op het moment dat een van de sites waar jij op zit het slachtoffer wordt)

Dit is iets wat de laatste tijd trend is, maar het is zeker niet nodig. Waar staat trouwens, dat hij eerst naar de beheerders van de site is gegaan?

Sorry maar hij verdient geen medeleven, hij zou iets nuttigs moeten gaan doen ipv sites hacken en onschuldigen het slachtoffer maken van zijn hobby. Ik hoop dat dit voor het gerecht komt, dit is namelijk regelrechte computervredebreuk en schending van de privacy van 2400 Nederlandse rechtspersonen
Hoezo geen keuze meer? Als die organisatie er niets mee doet dan is dat helemaal hun zaak en verantwoordelijkheid en in mijn ogen geen enkele reden om die gegevens aan een derde te overhandigen. Dit toont alleen maar weer dat deze scriptkiddies aandachtshoeren zijn die te allen tijde erkenning moeten krijgen of anders het huilende kindje gaan uithangen.
Als een site geen actie onderneemt om (nota bene haar eigen) 2400 gebruikers te beschermen (wat blijkbaar uit wat ik hier lees wettelijk verplicht is) zelfs na een duidelijk aangetoond lek, vind ik het redelijke om dit een stapje verder op te pakken, en evt uit naam van deze 2400 gebruikers toch actie te "eisen"
Of het hier echt om bescherming van de gebruikers gaat is in dit geval een beetje twijfelachtigDesondankt is het geen vrijwillige keuze van een beheerder om wel of niet haar gebruikers gegevens te beschermen

[Reactie gewijzigd door Nounours op 22 juli 2011 11:34]

Je hebt geen hack nodig om aan te tonen dat ergens een lek zit. (Vrijwel) alle sites zijn te hacken. Alleen het gemak waarmee dat kan verschilt uiteraard.
Sorry maar iemand die inbreekt is per definitie illegaal bezig hoe goed de intentie ook is. Zeker als hij ook gegevens wegneemt om deze vervolgens te overhandigen aan een derde.
Juist.
Het blijft steeds gaan om persoonlijke gegevens die gekopieerd worden, had hij dan niet iets anders kunnen overnemen? Iets dat geen inbreuk maakt op de privacy van onschuldige bezoekers.
Hij had z'n mond kunnen houden en het lek bekend maken aan de ICT afd. van de organisatie.En ook dit
De hacker heeft de database online gezet en vooralsnog niet weggehaald.
zal dan ook het grootste probleem zijn.Ik vind dat SyntaxNL het nogal bagataliseerd.

[Reactie gewijzigd door Dutchphoto op 21 juli 2011 14:48]

Hij had het lek ook gewoon kunnen communiceren met RKK met daarin de link met de sql-injection.

Alleen dan kun je claimen dat je bezig met de veiligheid van een website te verbeteren. Op zo'n moment kan RKK ook betere maatregelen nemen dat allen de website downgooien. Had SynatxNL bijvoorbeeld twee weken tervergeefs gewacht op een fix, dan had hij altijd nog een journalist kunnen aanspreken (met uiteraard RKK in de cc).

Stel jij hebt een website en daarin een fout. Ik vind die fout, maar stel niet jouw, maar een journalist op de hoogte van dit lek. Het enigste wat jij dan nog kan doen is je website op zwart gooien. Leg maar eens uit hoe dit dan helpen kunt noemen?

Aan de andere kant wordt het misschien ook tijd dat bijvoorbeeld het CPB dergelijke meldingen in ontvangst kan nemen. Als je dan als klokkenluider het probleem aankaart bij het CPB kan jouw niets kwalijk worden genomen. Echter op het moment dat jij persoonsgegevens openbaar maakt, ben je gewoon strafbaar wegens computer vrede breuk..
We weten niet of hij al geprobeerd heeft door te dringen tot de IT-dienst van de site, maar helaas komt het vaker voor dat men zo'n mailtje ongezien de vullisbak in laat verdwijnen, en rustig doorgaat met nietsdoen. Repareren kost immers tijd en geld, wat er vaak niet is, en er weet toch maar 1 ander iemand van dat lek. Als je die dan ook nog bang genoeg kunt maken zodat hij niets doorvertelt, is er niks aan de hand, toch?
Ik zie dit als een digitale vorm van klokkenluiden, hard nodig in een samenleving waar fouten het liefst onder het tapijt geveegd worden.
Dan nog. Veel verder dan melden hoef je niet te gaan. Wat voor belang heeft de hacker om dan toch maar de gegevens te jatten omdat de IT afdeling het probleem niet oplost.

Als de achterdeur van een winkel openstaat, en jij waarschuwt iemand van de winkel die vervolgens niets doet, haal je dan de winkel leeg om aan te tonen dat de deur open staat?
Het verschil is dat op deze website gegevens (wachtwoord, emailadres etc) in bewaring werden gehouden van derden.

Deze stichting zorgde niet als een goed huisvader voor deze gegevens want de site was eenvoudig te hacken.

Je zou kunnen zeggen dat er aangifte door de gebruikers van de site tegen de stichting gedaan zou kunnen worden. Dit omdat de site niet voor een adequate beveiliging zou hebben gezorgd. Dat zij vervolgens aangifte doen tegen de hacker die in eerste instantie dit netjes gemeld heeft is dan eigenlijk de omgekeerde wereld.

Bij een winkel die zichzelf niet goed beveiligd heeft is alleen de winkel zelf de dupe. Hier zijn derden de dupe.

[Reactie gewijzigd door rud op 21 juli 2011 14:40]

Laat het een bank in plaats van een winkel zijn dan, die hebben ook spullen van derden in bewaring.

Tuurlijk worden de klanten van de bank boos als de bank de zaak niet goed beveiligt en hun spullen verdwijnen, maar ik denk niet dat er ook maar iemand is dit het goed zal proberen te praten als een bank beroofd wordt door een lek in de beveiliging.
En daar zit nu het verschil. Als iemand jou vertelt dat bank X zo lek is als een mandje ga jij geen zaken daar doen. Die bank zal als de sodemieter zijn beveiliging op orde gaan brengen.

De hacker had in eerste instantie de gegevens niet openbaar gemaakt maar als bewijs laten zien aan een journalist. Daarna heeft de hacker de gegevens openbaar gemaakt en daarmee zit hij fout. Om in jouw vergelijking te blijven: door ze openbaar te maken heeft hij ze beroofd. Daarvoor was zijn actie te vergelijken met duidelijk maken dat de beveiliging van de bank niet deugt.
Ik ga toch ook niet ongevraagd alle huizen in de straat bij langs om te kijken of ze de deur goed op slot hebben gedaan en dan verontwaardigt zijn als ze er niets mee doen en daarom maar spullen jatten. Vind dat nou niet echt onder de noemer klokkenluider vallen. Gewoon straffen dat soort figuren.
Ik ben het geheel met rud eens, en wederom het gaat hier om:
persoon A die verantwoordelijk is voor gegevens van 2400 personen B (gegevens van 3e)
In het voorbeeld wat je geeft is het persoon A verantwoordelijk voor zijn/haar eigen bezit, dus eigen verantwoordelijkheid en eigen schuld dikke bult. (al denk ik dat je buurman je dankbaar is als je hem attent maakt op een open deur, its only natural)
Onzin, je kunt die hele database ook naar hunzelf sturen als bewijs.
En dan gebeurt er dus niks...
Vraag me af of het om zelfde persoon gaat: gallery: SyntaxNL
Aan zijn post te zien krijg ik een beetje vermoeden van toch wel.. nieuws: Anonymous claimt ddos-aanval op website Brein
Zoals ik het lees is heeft hij de database online gezet, NADAT er aangifte was gedaan...

maar daarmee kom ik wel tot dezelfde conclusie: Die gast is te triest voor woorden.
Sorry hoor, maar als ik aan jouw voordeur rammel en merk dat deze openstaat en vervolgens
niets mee neem en het netjes meld vind je ook strafbaar? Raar.

Oeps, lees nu dat de data wel gedeeld is. Tsja, dan is het niet zo verwonderlijk dat er aangifte volgt.

[Reactie gewijzigd door latka op 21 juli 2011 23:23]

waarom moet je aan mijn voordeur rammelen? Wil je inbreken ofzo?
Pft, triest hoor zon reactie.
Als annonymous een hack plaatst en alle data wijdversprijd op internet zet dan loopt iedereen te zeiken dat het goed is dat ze het doen alleen jammer dat ze dan de gegevens moeten publiceren.
En nu is er eindenlijk is iemand die hacked zonder schade en dan geef je zon bericht.

Nee sorry, ik vind dit een super initiatief en ik vind dat iedereen die weet hoe hij moet hacken dat zeker moet doen bij zo veel mogelijk bedrijven.
Alleen moeten ze dan wel de privacy respecteren en via een mail of whatever het bedrijf op de hoogte stellen van het probleem zonder de gegevens te publiceren.
En nu is er eindenlijk is iemand die hacked zonder schade en dan geef je zon bericht.
Euhm, pardon? De gegevens staan op pastebin voor iedereen om te zien, en de link staat in een twitter bericht van de hacker in kwestie gericht aan tweakers. Hoezo, geen schade? De database is publiekelijk gepubliceerd, niet louter met t.net.

[Reactie gewijzigd door .oisyn op 21 juli 2011 17:08]

Ik vind dat persoonlijk nog wel binnen de grenzen. Toen ik een groot lek vond kon er net een bedankje vanaf (terwijl ik op 105 websites admin-rechten had, en websites maken ook nog eens juist hetgeen was waarvoor dat bedrijf bestond). De volgende site die ik kraak komt mooi op T.net te staan, dan staat je bedrijf maar in een slecht daglicht.
Als je bij je volgende hack persoonsgegevens steelt en deze vervolgens beschikbaar stelt hoop ik dat je aangeklaagd en veroordeeld word. je bent immers zelf de dief geworden waar je de gebruikers voor wilde beschermen.
Als iemand met goede bedoelingen een organisatie informeert over een lek vind ik het echter nobel & geniaal, en bij het vinden van een lek zelfs bijna een plicht dit te melden
Tja als je echt altruistische bedoelingen had, dan melde je gewoon het lek bij de RKK. Dan ga je geen persoonsgegevens stelen (of ééntje om het aan te tonen) en laat je het niet aan tweakers.net zien.

Alsof je bij iemand inbreekt en wat spullen meeneemt om aan te tonen dat de sloten niet deugen en het dan vreemd vinden dat je aangeklaagd wordt voor diefstal.
Je bedoeld spullen kopieert? Hij haalt namelijk niks weg. Zie het als iemand die ziet dat de een deur open staat... Een foto van de gang maakt en deze laat zien aan de eigenaar van het gebouw

En hoe moet je anders aan een leek tonen dat hij een slechte website heeft? Hij heeft contact met de RKK opgenomen en daarnaast ook met tweakers (vermoedelijk om te voorkomen dat dit een doofpot wordt) zonder ook maar iets te publiceren

Ik vind het persoonlijk heel netjes... Een ander persoon zou de gevens volledig publiceren en of misbruik maken van de verkregen gegevens (edit hier ben ik het nog niet helemaal over eens, ik heb vanuit ene post hieronder gezien wat gepubliceerd is en dat vind ik nogal teveel van het goede)

Maar ja ga aub niet weer enorme discussie beginnen... De meningen over dit soort topic zijn hetzelfde als bij bijvoorbeeld designs, over smaak valt niet te twisten :P

[Reactie gewijzigd door Mellow Jack op 21 juli 2011 13:28]

probleem met je vergelijking is dat het hier om vertouwelijke data gaat, en dus niet een foto van de hal is, maar een kopie van bank gegevens/paspoort etc
Er is niet iets fysieks of binair verwijderd, maar er is wel iets publiek gemaakt wat prive was.. dus het prive gedeelte is wel verwijderd..

Maar nogmaals wel goed dat hij het iig niet publiekelijk op internet heeft gedumpt...
Ik ga hier uit van goede bedoelingen maar of het doel de middelen heiligd is de vraag..
Nee hier onder zie je wat dr daadwerkelijk is gepubliceerd (geen bank gegevens ;)) maar ik vind het idd iets teveel van het goede, hij weet hoe de kolommen heten dus hij had ook gewoon een beperkte selectie kunnen maken ipv het dumpen van de complete tabel. Dan had ik zeker gezegd dat ik dr volledig achter zou staan, nu vind ik de dump iets teveel van het goede om eerlijk te zijn
Maar nogmaals wel goed dat hij het iig niet publiekelijk op internet heeft gedumpt...
Ik ga hier uit van goede bedoelingen maar of het doel de middelen heiligd is de vraag..
De inhoud van de database staat in een pastebin, die vervolgens in een publiek toegankelijke tweet te vinden is. Wat bedoel je precies met 'niet publiekelijk op internet heeft gedumpt' ? :P
Je bedoeld spullen kopieert? Hij haalt namelijk niks weg. Zie het als iemand die ziet dat de een deur open staat... Een foto van de gang maakt en deze laat zien aan de eigenaar van het gebouw
Een foute vergelijking, er is geen foto van de gang gemaakt maar van je paspoort.
Ik vind het persoonlijk heel netjes... Een ander persoon zou de gevens volledig publiceren en of misbruik maken van de verkregen gegevens
En 15 minuten nadat jij je bericht hebt gepost is iets hoger in deze thread een link geplaatst naar de lijst op internet...
Misschien niet met opzet gepubliceerd, maar het kwaad is door zijn toedoen wel gebeurt.
Klopt en als jij mijn reacties heb gezien nadat dezelfde link ergens onderin al eerder werd gepost dan had je gezien dat ik het ook een kwalijke zaak vind wat hij exact heeft gepubliceerd
Ik zie dat ik eerst een refresh moet doen voordat ik post hier. De reacties komen sneller binnen dan ik lees & type. :D
Volgens mij heeft hij dit naar Tweakers gestuurd omdat ze zelf niet op zijn e-mails reageerden. Of was dat een andere hack?
het feit dat het er niet bij staat ga ik er dus van uit dat dit niet het geval was, maar dus meteen na de hack hij dit heeft laten zien aan tweakers..
En wat dan nog als ze niet reageren? Je hebt gewaarschuwd en als men daar dan niks mee doet is dat toch niet jouw probleem? Ik betwijfel of hackers dit alleen maar doen om de maatschappij te verbeteren. Als ze zo begaan zijn met de maatschappij kunnen ze beter vrijwilligerswerk in een verzorgingstehuis gaan doen. Dat is veel nuttiger werk.
Ben het met je eens, op je laatste punt na: Hier heeft hij gegevens in feite gekopieerd (gelezen), niet gestolen zoals je dat bij een fysieke inbraak doet.

Hij had ze alleen helemaal niet openbaar moeten maken. Misschien alleen aan de RKK terug moeten geven, als bewijs.

Dat de RKK zo reageert laat alleen maar zien dat ze geen idee hebben van hoe ze hierop moeten reageren. Ze voelen zich in hun kruis getast en reageren daar fel op naar de persoon die hun tast, terwijl ze eigenlijk de persoon die hun kruis zou beveiligen aan moeten spreken.
Tjah door dit soort acties krijg je juist dat mensen de gegevens wel gaan publiceren. Deze jonge is achter een fout gekomen, heeft dit netjes gemeld, gegevens zijn nooit op straat gegooid. Ze zouden hem een kadobon moeten sturen ipv een aangifte.
Gegevens zijn wel degelijk op straat gegooid.

SyntaxNL @SyntaxNL
@arnoudwokke @SeroPositief Niet denken arnoud. Maak nou maar een nieuw artikel. Graag gedaan hoor!

edit: mirror removed, punt is duidelijk

[Reactie gewijzigd door Daniel op 21 juli 2011 13:32]

Toch verandert dit de zaak mijns inziens wel. Namelijk het stukje:
"Aangifte bij de politie doen voor het aantonen van een lek en het niet openbaar maken van de 'gestolen' gegevens, behalve aan een journalist van Tweakers.net? Te triest voor woorden"
Feit is dus dat hij eigenlijk de database met de hele wereld gedeeld heeft via Pastebin EN twitter. Het was slimmer geweest om DM verkeer te gebruiken als hij het inderdaad alleen met Arnoud Wokke had willen delen.

Kortom: geen slimme actie. Als je jezelf daadwerkelijk als white-hat hacker beschouwt, ga je ook wat zorgvuldiger om met eventuele data van je hack.

Als een sidenote:
Ik heb zojuist even door die database gegluurd, en het lijkt er sterk op dat de passwords dus unencrypted in de database staan. Naar mijn mening valt ook RKK wat te verwijten, namelijk het niet afdoende beveiligen van de privegegevens van hun (forum)leden.
Verbazingwekkend dat de wachtwoorden gewoon nog zonder enige vorm van hashing worden opgeslagen.
Ik vind het doorspelen aan Tweakers niet 'netjes gemeld'. Dan had hij het eerst bij de organistatie zelf gedaan.

Hoe aardig wij de mensen bij Tweakers ook vinden, het blijft een derde partij.
Inderdaad triest, en nog eens incorrect ook.
Als de hacker inderdaad geen gegevens heeft verspreid is er sprake van computervredebreuk en niet van diefstal.
Hij heeft die gegevens dus wel verspreid, naar Tweakers.net

Maar al was dat niet zo, ook computervredebreuk is strafbaar volgens de Wet Computercriminaliteit, staat tot één jaar cel of een geldboete tot maximaal 16.750 euro op.
Maar als sprake is van nieuwsgaring kan de pleger straffeloos verklaard worden. De Nieuwe Revu werd vrijgesproken van het hacken van de mailbox van Jack de Vries omdat ze een journalistiek doel hadden met die hack.
Maar als sprake is van nieuwsgaring kan de pleger straffeloos verklaard worden.
Sinds wanneer valt het verkrijgen van passwords en andere prive-gegevens onder nieuwsgaring?

Want als dat nieuwsgaring is, zou dat effectief betekenen dat hacken altijd onder nieuwsgaring zou vallen, en dus straffeloos zijn? :?

En is dat iets wat alleen in Nederland zo is dan, of is dat iets Europees? Want bij News of the World, toch ook een nieuwsblad, hebben ze ook telefoons etc gehacked en dat in het nieuws gebracht. Toch word men vervolgd (of iig onderzocht). Hoe zit dat dan?

In ieder geval is het niet netjes wat deze hacker gedaan heeft, dat op zijn minst.
Sinds wanneer valt het verkrijgen van passwords en andere prive-gegevens onder nieuwsgaring?
Volgens mij is dit ook niet gebeurd, hij had daar natuurlijk wel toegang tot maar hij heeft dit niet overgedragen aan Tweakers... Ik weet dit alleen niet zeker dus misschien dat de redactie hier wat duidelijkheid over kan verschaffen

Edit: ik laat mijn stukje hierboven gewoon staan maar hier zie je wat hij heeft gepubliceerd

msn laatste_ip id emailadres password voornaam achternaam plaats leeftijd bijnaam

Ik vind vooral de eerste 3 velden vrij kwalijk... Laatste IP, Email en Password... Dat zijn toch vrij gevoelige gegevens terwijl hij met alleen voornaam, achternaam, plaats en leeftijd al voldoende bewijs zou hebben verzameld

[Reactie gewijzigd door Mellow Jack op 21 juli 2011 13:27]

Hij heeft de gegevens dus wel aan Tweakers geleverd via Pastebin. Een domme methode want hij heeft geen verloopdatum ingevuld en is nu al 192 keer bekeken. En nog veel dommer omdat ik zie in de post van 'ubrr' om 13:20 uur dat er andere sites zijn die kopieën maken van Pastebin zodat de gegevens nu al op twee openbare sites staan!

Gelukkig heeft hij de passwords encrypted maar het zou mij niet verbazen als iemand dat ook wel weet te kraken.

Edit: Pastebin is nog steeds bereikbaar.

[Reactie gewijzigd door carlo op 21 juli 2011 14:02]

Dat had je kunnen zien in mijn post, ik heb hem op 13:27 bewerkt en jij hebt je reactie op 13:55 geplaatst

Ook heeft hij de passwords niet encrypted, die site maakt gewoon gebruik van een random password generator, dat zie je aan de lengte ed ;)
De Nieuwe Revu werd vrijgesproken van het hacken van de mailbox van Jack de Vries omdat ze een journalistiek doel hadden met die hack.
Rupert Murdoch heeft iets minder succes met die tactiek.
Hacken om aan te tonen dat iets niet veilig is en daar een nieuws artikel over schrijven is anders dan hacken om daarmee prive informatie te vergaren om daar een nieuws artikel over te schrijven..
1e is een grijs gebied 2e is gewoon zwart..
Dat vindt ik trouwens wel heel raar, het lijkt dan bijna een vrijbrief voor journalisten om mailboxen/voicemails te hacken? En hoe zit het dan in Engeland? Met die Rupert Murdoch zijn krant?

edit: Heb even gegoogled naar het Jack de Vries gebeuren, en dat is toch wel wat anders dan Murdoch (zijn medewerkers) deden. In dit geval ging het om het aantonen dat de email-adressen van politici niet goed beveiligd zijn. Omdat politici gevoelige/geheime informatie in hun inbox kunnen hebben staan was het artikel van de Revu in het maatschappelijk belang, er zijn verder namelijk geen gegevens gepubliceerd.

[Reactie gewijzigd door puredynamite op 21 juli 2011 13:32]

moet de hacker wel journalist zijn lijkt me... niet iedereen kan zomaar de wet breken onder mom van nieuwsgaring...
Hij heeft (tenzij het artikel onvolledig is) geen persoonsgegevens verspreid naar Tweakers.net, alleen een miniem stukje van de database structuur.

Wat betreft de strafbaarheid van computervredebreuk: je hebt helemaal gelijk.
Het punt wat ik wilde maken was echter niet dat hij legaal bezig was, maar dat hij beschuldigd wordt van het verkeerde misdrijf.
Hij heeft (tenzij het artikel onvolledig is) geen persoonsgegevens verspreid naar Tweakers.net, alleen een miniem stukje van de database structuur.
Dat klopt dus niet, er zijn ook usernames, emailadressen, passwords, leeftijd, woonplaats etc verspreid.

Dat was ook al niet enkel naar Tweakers.net, want er is op Twitter door hem een link gepost (ik zal hem hier niet posten, lijkt me niet handig ivm die gegevens), waarin die gegevens gewoon voor elke lezer te zien waren. En die gegevens zijn, op het moment van tikken van deze reply, nog steeds benaderbaar.

Dus wat deze meneer zelf beweert klopt helemaal niet. Hij heeft het wel degelijk openbaar gmeaakt.
Als ik ooit het slachtoffer wordt van dit soort hacks dan ga ik de eigenaar van de website aanklagen voor nalatigheid in het beschermen van mijn prive gegevens... Dat vind ik veel kwalijker want ze leggen het klaar om misbruikt te worden (al dan niet onbewust maar dat maakt het alleen maar erger)
Nou vind dit dan wel weer het andere uiterste. De hacker toont een lek aan, laat dit aan een jorunalist van Tweakers.net zien (hij publiceerd dus niks / nog de journalist) en informeerd de betrokken over het lek.

Beetje overdreven reactie. Kijk als er nu gegevens openbaar gemaakt worden oké, maar dit
Hij had er prima mee weggekomen als hij de inhoud niet aan de journalist had laten zien. Maar het tonen aan een journalist kan prima opgevat worden als 'publiceren' dan wel 'openbaar maken'.
en informeerd de betrokken over het lek.
Waaruit concludeer jij dat de hacker dat gedaan heeft?

Nog afgezien daarvan dat de volgorde uiteraard anders zou moeten.
Als je je site niet afschermd voor sql-injection dan vraag je er ook om om gehackt te worden. Elke goede webdeveloper weet dat dit te voorkomen is en hier altijd rekening mee moet worden gehouden.Een simpele mysql_real_escape_string() toevoeging is meestal voldoende.

Echter gaan ook grote bedrijven de fout in zoals sony eerder dit jaar: http://www.security.nl/ar...kt_via_SQL-injection.html

Maar dit is wel meer dan de voordeur open laten staan. Dit is de spullen op straat leggen in een kistje en de sleutel ernaast leggen. Deze site mag dan ook geluk hebben dat deze hacker alleen het aan Tweakers liet zien en niet openbaar maakte.
Dus, als jij de deur van je huis niet op slot doet mag iedereen naar binnen en alles met jouw spullen doen wat ze willen?
een website is geen huis. Zie het maar als dat je je raam open hebt staan en op de vensterbank liggen vertrouwelijke papieren die voor iedereen leesbaar zijn. Alleen langslopen en naar binnen kijken is genoeg.
Maar dat gaat hier niet op, de "hacker" heeft een actie moeten ondernemen specifiek om dit voor elkaar te krijgen.. Dat is wat anders dan per-ongeluk wat zien liggen..
Er is toch niks gestolen. De database van de RKK is alleen maar gecopieerd.
Als iemand 'alleen maar' je bankpasje en pin code copieert en deze data op Internet zet, ben jij dan blij?
Hacken (niet cracken dus) is nog steeds voor velen een grijs gebied. Veel hackers zijn er mee gestopt toen je zelfs voor het waarschuwen in de gevangenis kon terecht komen, en degenen die door zijn gegaan zetten er niet snel meer hun eigen naam onder. Maar het moment dat je vertrouwelijke gegevens openbaar maakt overschrijd je de lijn van waarschuwen voor een risico en het misbruiken van het gat om een bedrijf schade te berokkenen.

Ik heb in een ver verleden nog wel .mil sites, Silicon Graphics Nederland, wat universiteiten en andere bedrijven/instellingen hun password files toegestuurd, en kreeg soms een bedankje terug, en soms ging de server (al dan niet permanent) offline na het mailtje. Maar ik heb nooit iets gepubliceerd of zelf misbruikt, ik heb altijd alleen ze gewezen op wat ze fout deden en hoe dat gefixed kon worden, met het password file als bewijs.

Als je weet dat het zowieso niet meer legaal kan dan is het beter om of alleen de RKK in te lichten, of wanneer ze niet reageren eventueel iets op hun forums te posten (niet passwords, niet de methode, maar naar welke account je het mailtje hebt gestuurd en dat er nog niets is gedaan). Een journalist kan een volgende stap zijn, maar dan nog altijd moet je voorzichtig om gaan met vertrouwelijke informatie.
Het publiceren van deze informatie betekent niet alleen dat die 2500 mensen een nieuw password op die site moeten kiezen, maar dat veel van hen ook op andere sites het password zullen moeten wijzigen.
nee ik zou niet blij zijn als iemand m'n bankpas en bijbehorende pincode ontfutseld maar als dan blijkt dat ik zelf niet voor voldoende afscherming heb gezorgd en de bank komt daar achter dan ben ik daar zelf verantwoordelijk voor. Zie dan maar eens geld terug te krijgen. Je bent tenslotte slordig met je gegevens omgegaan.
er zijn prive gegevens gestolen... data wat prive was is openbaar gemaakt.
En buiten dat is er virtuale insluiping geweest...

Vast met goede bedoelingen, maar toch wel potentieel strafbaar..
Tja, vervolgens belt hij aan en zegt "weet je wel dat je spullen op straat staan?", waarna ze het ontkennen. Als hij vervolgens iets pakt en nog eens aanbelt word aangifte gedaan. Zielig eigenlijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True