Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 118 reacties
Submitter: Frash

Anonymous heeft het Amerikaanse vervoersbedrijf BART in verlegenheid gebracht door in te breken op de website en de database met gebruikersgegevens te openbaren. Alle wachtwoorden waren in plain text opgeslagen.

De aanval op de website van BART werd op zondag gedaan, daags nadat het vervoersbedrijf besloot het mobiele netwerk in de metro's van San Francisco te blokkeren in een poging een demonstratie tegen het bedrijf te dwarsbomen. Een groep demonstranten had eerder al enkele metrostations geblokkeerd als vorm van protest in reactie op de dood van een agressieve man die werd neergeschoten door een BART-agent.

Nadat BART ontdekte dat er nieuwe demonstraties werden gecoördineerd en dat dit vooral via de mobiele telefoon gebeurde, besloot BART het mobiele netwerk in de metro's uit te schakelen. De vervoerder beschikt niet alleen over een eigen politieteam, maar is ook de beheerder van het mobiele netwerk in de metro en kon zodoende tot de blokkade overgaan.

In reactie op het afsluiten van het mobiele netwerk heeft hackersgroep Anonymous de website mybart.org aangevallen. Via een naar eigen zeggen eenvoudige sql-injectie wisten enkele hackers toegang tot de complete database te krijgen. In de database staan gegevens van ruim tweeduizend mensen opgeslagen die een account hadden aangemaakt om toegang te krijgen tot 'MyBART'. De website is inmiddels afgesloten.

"Elke 8-jarige met een internetverbinding kan doen wat wij hebben gedaan. Bovendien was geen enkele informatie, waaronder de wachtwoorden, versleuteld", aldus de hackers in een verklaring. In een reactie heeft BART zondagavond bevestigd dat er bij de aanval gegevens zijn gestolen. Van nagenoeg alle mensen van wie de gegevens zijn gestolen was een naam, mailadres en wachtwoord bekend. In een aantal gevallen waren ook adres en telefoonnummer opgeslagen.

Getroffenen kunnen bij de drie grootste kredietbeoordelaars gratis een zogenoemd 'fraud alert' op kredietaanvragen uit hun naam aanvragen. Dit zou fraude met gestolen persoonsgegevens moeilijker moeten maken.

Update, 15.30 uur - In het artikel stond dat de gegevens van de klanten aan de drie grootste kredietbeoordelaars waren gestuurd. Dit is niet correct: klanten zullen zelf contact moeten leggen.

Moderatie-faq Wijzig weergave

Reacties (118)

Het punt is, vind ik, dat bedrijven te laks zijn met beveiliging.

Het voordeel van de Anonymous aanpak:
1) bedrijven worden direct in verlegenheid gebracht; PR afdeling & management zal ook zien wat er binnen het bedrijf mis is. De 'vriendelijke' aanpak waarbij je eerst in stilte de IT-afdeling informeert doet dan veel minder.

2) onwetende consumenten gaan nu ook steeds meer inzien hoe bedrijven met *hun* gegevens omgaan.

Denk er daarbij ook aan: bedrijven beveiligen niet *hun* gegevens, maar ze beschermen JOUW gegevens. Blijkbaar zijn er de nodige bedrijven die geen prioriteit geven aan het beveiligen van JOUW gegevens. Een harde hand lijkt dan nodig te zijn om ze op het rechte pad te brengen. Dan is de Anonymous aanpak nu even pijnlijk, maar wellicht wel meer effect dan de zachte aanpak.

...waarbij ik van mening ben dat Anonymous alsnog veel te ver gaat, je kan prima bedrijven in verlegenheid brengen zonder privacy van de gebruikers te schenden. Dus wat mij betreft mogen ze alsnog opgepakt en opgesloten worden. Maar ik denk wel dat ze een positief effect op beveiliging zullen hebben.
Ik wil het niet goedpraten, want ik hang zo ongeveer exact dezelfde mening aan als jij wat betreft Anonymous e.d.... maar ook het openbaar maken van die gegevens kan een positief effect hebben, iig in die zin dat als men merkt dat hun gegevens op straat liggen ze ook aan de loketten e.d. gaan rammelen. Anonymous forceert zo aandacht op het probleem van alle kanten... mensen reageren meestal niet zo op alleen een berichtje, nu wordt men er nog directer in betrokken en anonymous hoopt daarmee volgens mij dat er vanaf die kant ook actieve bewegingen gaan komen tegen 'the man'... om het zo maar even uit te drukken.
Persoonlijk vind ik Anonymous een stelletje kleuters die met hun acties precies het tegenovergestelde bewerkstellen als wat ze waarschijnlijk zelf willen. In elk geval is dit soort acties altijd nadelig voor iedereen, omdat je vrijheid op het internet erdoor beperkt zal worden.

Maar dit soort bedrijven moet ook aangepakt kunnen worden voor het onveilig opslaan van de klantgegevens. Volgens mij is dat in Amerika ook strafbaar, maar dat weet ik niet zeker.
Ben geen fan van Anonymous maar TD-er... Vrijheid op internet is naar mijn mening ook dat je persoonlijke gegevens veilig worden opgeslagen. Dat was bij BART dus niet zo.

Anonymous doet nou met veel bombarie hacken en het is groot nieuws als zij iets doen. Overigens zou de groep al 3 keer opgeheven moeten zijn dus wordt er nu wel wat moe van eigenlijk. Hoog boyband gehalte wat dat betreft. Maar laten we dingen in perspectief zien. Er komen heel veel hacks uit oostblok, China, etc. Minstens net zo schadelijk alleen hier hoor je niets over omdat de creditcardgegevens namelijk verkocht worden en niet zozeer een politiek statement wordt gemaakt.
Vrijheid op internet is naar mijn mening ook dat je persoonlijke gegevens veilig worden opgeslagen
Eens.
Je mag echter ook verwachten dat iemand die een probleem vindt dit netjes meld aan de website en niet kinderachtig als reactie zo'n stunt uithalen.
Dit zal bij BART niet het gevoel geven dat het mobiele net afsluiten een probleem zou zijn, het zal ze eerder het gevoel geven dat het een juiste beslissing was...
Hoe wil je het dan wel met resultaat gaan aanpakken? Even gaan demonstreren tegen BART? Oh, wacht, we hebben gezien waarop dat uitdraait.

Ik denk dat BART nu wel twee keer nadenkt voordat ze zelf zo'n stunt uithalen; want ze weten op dat moment dat ze zich Anonymous op de schouders halen. Ik hoop dat ze dat in ieder geval doen en dat andere bedrijven ook rondkijken en hier lessen uit trekken. Ze kunnen misschien wel veel geld hebben en zich kunnen redden in rechtzaken die jarenlang duren, maar op korte termijn kunnen ze heel veel last hebben van de vigilantes zoals Anonymous als ze verkeerd handelen.

Ook proberen ze in ieder geval de gebruikers eraan te herinneren dat het in de eerste plaats het slechte beheer van BART is en dat het publiceren van die gebruikersgegevens een gevolg daarvan is waarvoor ze zich ook verontschuldigen. Dat ze zeggen dat gebruikersgegevens niet misbruikt zullen worden en waarschijnlijk enkel die van BART-mensen, is volgens mij wat naďef, maar goed. Dat praat het natuurlijk allemaal niet goed, maar het plaatst het wel in de context.

Uit hun release:
We are Anonymous, we are your citizens, we are the people, WE DO NOT TOLERATE OPPRESSION FROM ANY GOVERNMENT AGENCY. BART has proved multiple times that they have no problem exploiting and abusing the people. First they displayed this by the two recent killings by BART police. Under no circumstance, unless police are shot at, make police killings acceptable. Non-lethal weapons were available to use during both incidents, providing even that was necessary, but instead they shot to kill. Next they violated the people's right to assembly and prevented
other bystanders from using emergency services by blocking cell phone signals in order to stop a protest against the BART police murders. Lastly, they set up this website called mybart.gov and they stored their members information with virtually no security. The data was stored and easily obtainable via basic sqli. Any 8 year old with a internet connection could have done what we did to find it. On top of that none of the info, including the passwords, was encrypted. It is obvious BART does no give a fuck about its customers, funders and tax payers,THE PEOPLE.

The governments and government agencies of the world are becoming tyrannical and oppressive, and the people are responding and will not take your shit for much longer. The people will fight this oppression with protests, demonstrations, riots, hacking, ddos, online attacks and by any other means. We will not allow ourselves to be killed, exploited, or get shitted on. From the streets of Chile, England, Portland, San Francisco, Oakland, the people are rising up and we will support each other and
stand in solidarity against any injustice. Worldwide resistance is happening,
we will participate in solidarity against oppression. SOLIDARITY IS OUR WEAPON.

Thus below we are releasing the User Info Database of MyBart.gov, to show that BART doesn't give a shit about it's customers and riders and to show that the people will not allow you to kill us and censor us. This is but the one of many actions to come. We apologize to any citizen that has his information published, but you should go to BART and ask them why your information wasn't secure with them. Also do not worry, probably the only information that will be abused from this database is that of BART employees.
Also do not worry, probably the only information that will be abused from this database is that of BART employees.
Ehm sorry, waarom zou dat het probleem oplossen? Nagenoeg geen enkele medewerker van BART kan hier iets aan doen! Het is nou eenmaal zo dat een baan hebben "wel handig" is. En als je werkgever (of, misschien correcter, een aantal van je collega's) dan opeens dingen doet die niet door de beugel kunnen, wat dan? Verwacht je nou werkelijk dat iedereen massaal ontslag neemt? Zou jij dat doen? (Voordat je antwoord geeft: denk eraan dat het op dit moment niet heel makkelijk is om een nieuwe baan te krijgen en dat Amerika niet uitblinkt in goed zorgen voor werklozen.)
Nee, wat mij betreft zijn de werknemers waarvan de gegevens nu op straat liggen net zo goed slachtoffer. (En ja, dat geldt zelfs voor de agenten die de trekker overgehaald hebben; het is aan de rechter om te bepalen of dat zelfverdediging of moord was, niet aan random mensen.)
De gebruikers van de diensten die helemaal niks met de staking van doen hebben en er helemaal niks aan kunnen doen word door Anonymous getroffen. Anonymous valt burgers aan door de privégegevens van de burgers op straat te gooien. Anonymous maakt duizenden privégegevens van onschuldige burgers openbaar.

Jij en ik(burgers) worden dus aangevallen door Anonymous in principe, want Anonymous heeft nog minder respect voor onze privégegevens! Anonymous doet het met opzet, de bedrijven doen het niet bewust, soms weten ze niet eens dat ze kwetsbaar zijn.

Anonymous begint langzaam beetje terroristisch trekjes te krijgen. Ze proberen angst te zaaien bij bepaalde groepen, dat is erg slecht en heeft de wereld nog nooit beter gemaakt. Ook bedrijven aan de schandpaal hangen voordat Anonymous het bedrijf de mogelijkheid geven op het op te lossen is schandalig en slaat totaal nergens op.

[Reactie gewijzigd door mad_max234 op 15 augustus 2011 12:26]

haha, ja het eeuwenoude "wie is de terrorist en wie is vrijheidstrijder" dilemma, uiteraard weet je ook inmiddels dat de uitkomst van een conflict meestal bepaalt wie welk predikaat krijgt opgespeld. Maar Anonymous is juist zeer ideologisch bezig, ze vallen bedrijven en overheden aan die onethisch hebben gehandeld.

Een mobiel netwerk afsluiten omdat deze gebruikt wordt om te demonstreren hebben we gezien bij opstand in Iran, Egypte, Syrie en dus blijkbaar bij een OV bedrijf wat toevallig die macht heeft. De mogelijkheid geven om iets op te lossen is dus loos, wat zij hebben deze agressieve en censurerende actie zelf ondernomen. Ik ben heel blij dat er mensen zijn die acties ondernemen tegen dit soort enorme bedrijven waar een 'normaal' individu nooit iets tegen zou kunnen beginnen. En dus zelfs groepen mensen die demonstreren worden gedwarsboomt, terwijl juist dat, demonsteren, een belangrijk recht hoort te zijn in een vrije maatschappij.

Ik had nooit wat op met die anti-globalisten en dat soort uitvretende types, maar je ziet dat de macht der grote bedrijven dusdanig is dat ze zelfs elementaire rechten uit een vrije maatschappij kunnen ondermijnen. Ze moeten eens flink op hun broek krijgen! (en gelukkig gebeurt dat dus nu door Anonymous) Maar eigenlijk zou de politiek hier zich over moeten buigen, als ze dat aandurven....
Want de gegevens verspieden van de gebruikers van BART lost het probleem op van mobile netwerk die plat is gelegd? Anonymous zoek gewoon aandacht, en over de rug van de gebruikers van BART. Die in geen enkel op zich iets te maken hebben met de beveiliging of het protest, of het neerhalen van mobile netwerk.

Dit lijkt inderdaad beetje op (cyber) terroristische achting gedrag naar de burgers en bedrijven toe. Als je in de ogen van Anonymous iets fout doet dan heb je kans op een aanslag op je systeem door groepering Anonymous. :D

Edit/
Anonymous heeft geen ideologie zoals je schets, als ze de wereld beter zouden willen maken moeten ze eerst bij hun zelf beginnen, van hun weten we zeker dat ze gegevens stelen en openbaar maken en hoop problemen veroorzaken zonder dat ze de bedrijven de kans geven om het op te lossen. Het heeft niks met ideologie te maken maar alles met kick van in de media komen, want dat is het eerst wat ze er mee doen, openbaar maken en blogs/twitter/etc bijhouden.

Je kan mijn niet wijsmaken dat ze het doen om ideologie dat ze het beter willen maken, dat rijmt niet met hun daden!

[Reactie gewijzigd door mad_max234 op 15 augustus 2011 15:53]

Ogenschijnlijke nalatigheid kan ook bewuste kostenbesparing zijn.

Wachtwoorden in PLAINTEXT, welkom in 2001.
"Anonymous Greenpeace begint langzaam beetje terroristisch trekjes te krijgen. Ze proberen angst te zaaien bij bepaalde groepen, dat is erg slecht en heeft de wereld nog nooit beter gemaakt. Ook bedrijven aan de schandpaal hangen voordat Anonymous Greenpeace het bedrijf de mogelijkheid geven op het op te lossen is schandalig en slaat totaal nergens op."

Zelfs de manier waarop bedrijven "gestraft" worden is uiteindelijk identiek: (eenzijdige) publiciteit bij het grote publiek, of zoals jij het noemt "de schandpaal".
Greenpeace pakt nooit burgers die er niks mee te maken hebben, is een wereld van verschil en Greenpeace staat heel hoog boven Anonymous wat mijn betreft.

Greenpeace heeft ook bepaalde groepen/onderdelen afgestoten omdat ze radicaliseerde. ;)
@ILUsion

Anonymous zijn een stelletje terroristen in de ogen van BART.
En in Amerika telt de sterke mentaliteit dat ze nooit onderhandelen met terroristen.


Als we even kijken naar wat jij gequote hebt:
"Any 8 year old with a internet connection could have done what we did to find it. On top of that none of the info, including the passwords, was encrypted. It is obvious BART does no give a fuck about its customers, funders and tax payers,THE PEOPLE. "

Dan kunnen we concluderen dat Anonymous er dus op uit was om het te openbaren.
Terwijl het, volgens hun al op straat lag.
...
Waarom zouden ze dit dan doen?
Sim-pel. Ze zorgen ervoor dat het in de publiciteit komt.
Dat breekt heel veel wetten en natuurlijk weten ze dat wel, daarom zijn ze "anonymous".

Aan de andere kant van het kwartje zitten de mensen die geld verdienen aan opzetten van de lekke websites. Die mensen geven niets om hackers of lekke databases.
Het gros van de mensheid ziet het niet eens, want die zijn te druk bezig rekeningen te betalen, naar school te gaan, werken, oud en bejaard zijn en sommigen zijn zelfs druk bezig dood te gaan.

*Lol, veel mensen denken zelfs dat Lulzsec en Anonymous dezelfde groep betreft.*

Met andere woorden, mensen hebben wel wat belangrijkers te doen dan te luisteren naar lekke databases. En Anonymous wil daar wat aan veranderen.
Ze willen bestaansrecht, net zoals terroristen.


Ik zeg niet dat ze slecht zijn, maar als ze het anders aanpakken, bijvoorbeeld zoals met de bankfraude zaak, dan was iedereen plotseling veel blijer over dit voorval.

*edit*
Met die bankfraude-zaak bedoelde ik natuurlijk het akkefietje waarin banken waren gehackt, database gegevens en brieven in een .256aes bestand zijn gedrukt en als dreiging gebruikt. Hebben we ook nooit weer iets van vernomen. Ik heb die file ook gedownload via p2p/torrents toen :P .

[Reactie gewijzigd door Yezpahr op 15 augustus 2011 20:32]

Het blijft een eeuwig verhaal hoe dient iemand om te gaan met een mogelijke gaten in de beveiliging en wie ervoor verantwoordelijk is. Ook waar ligt de grens in hetgeen wat crimineel is en wat niet, immers een sqlinjection kun je misschien wel vergelijken met je voordeur simpelweg open laten staan en vervolgens raar staan te kijken dat je woning leeg is. Indien je die lijn doortrekt, dekt de verzekering in een dergelijk geval bijvoorbeeld de schade niet. Kun je zoiets ook stellen in het geval wat BART hier doet door een site dermate open te laten staan?
Links of rechtsom blijft het een lastige kwestie, netter blijft hoe dan ook indien men hacked eerst eens met de admin te praten in plaats van deze lek direct te publiceren inclusief de verkregen data. Hier tref je niet alleen BART maar direct iedereen in die database wat naar mijn inziens een veel kwalijkere zaak is. Tevens zet het ook direct de toon als hacker(groep) zijnde dat je je hiermee bezig houd.
Indien men een statement wilde maken over hetgeen wat BART deed (daar gelaten wat je hier dan ook van vind) hadden ze ook simpelweg de site kunnen defacen of wat dan ook ipv zoveel mensen hun data te publiceren. Juist een dergelijke stunt vind ik persoonlijk zelfs net zo kwalijk, misschien zelfs kwalijker dan wat BART deed.

[Reactie gewijzigd door n4m3l355 op 15 augustus 2011 21:09]

Ja dat is het probleem, als ze het netjes vertellen via een e-mail word er 9 van de 10x niks aan gedaan want dat kost te veel tijd en tijd kost geld.

En ik ben niet eens met 100% van de dingen die Anonymous doet, maar anders zou er helemaal niks veranderen.
Netjes melden? Het melden van een probleem heeft als enige functie het bekend maken van het probleem aan diegene die verantwoordelijk zijn voor het bestaan van het probleem.

In dit geval was het al bekend, of wil je beweren dat ze niet wisten dat de wachtwoorden in plain text waren opgeslagen? Dus wat heeft melden dan voor zin? Blijkbaar weten ze het al en vinden ze het niet belangrijk genoeg. Nu heeft anonymous ( Wat niks zegt, iedereen zou het kunnen zijn en iedereen kan zich een lid van anoymous noemen.) ze laten merken dat ze beveiliging misschien toch wel wat serieuzer moeten nemen.

Het is dan ook gedeeltelijk de schuld van de consument. Zij zijn degene die de gegevens aan bedrijven geven. Een verantwoordelijke consument zou een keurmerk eisen dat iets degelijk wordt beveiligd.
Anonymous was nooit opgeheven, dat was lulzsec. Anonymous is niet op te heffen.
Tsja, ze zeggen zelf al dat een 8-jarige het had kunnen doen... Maar bedenk eens dit:

Kleuteracties van BART kunnen zomaar kleuteracties elders oproepen. Dat was hier m.i. duidelijk aan de hand.

Laten we ook niet vergeten dat de aanleiding van de kleuteracties van BART helaas veel serieuzer was: Het in de kiem smoren van protesten tegen een schietincident van BART waarbij een dode viel. Kennelijk was men bang dat het in de doofpot gestopt zou worden of slecht onderzocht. Demonstraties zijn dan een relatief onschuldig middel om aandacht voor de zaak te vragen. De kleuteractie die BART daarop ondernam (afsluiten mobiele telefonie) is mogelijk onwettig, niet effectief voor het beoogde doel en in elk geval ook erg kinderachtig.

[Reactie gewijzigd door mae-t.net op 15 augustus 2011 14:23]

En hoe gaat deze actie onze vrijheid op het internet beperken?

Moeten we straks alleen maar via versleutelde verbindingen mailen en surfen?

Of worden we straks verboden te surfen op bepaalde tijdstippen?

Of worden bedrijven en organisaties verplicht de gegevens van hun gebruikers te beschermen?
Dat snap ik niet. Je wilt vrijheid van internet maar vind het normaal dat een politiemacht om zichzelf te beschermen een mobiel netwerk plat legt? Dat is de overheid die dissent onderdrukt. Dat kunnen we niet hebben.

Wat nadelig is voor iedereen is als de overheid mensen gaat saboteren die het oneens zijn met iets waar je als uitvoerende macht verantwoordelijk voor wordt geacht. Waarschijnlijk ben je tegen internet filters?

Mocht de vrijheid op internet beperkt worden, dan is dat het gevolg niet van Anonymous, maar van een falende overheid die zichzelf probeert te beschermen tegen de opinie van mensen door hen te saboteren in hun communicatie opties. Je kunt dus niet uit angst voor méér onderdrukking dus met vooruitwerkende kracht jezelf censuur opleggen en je ontevredenheid beteugelen, jezelf conformeren.

Als je daarmee begint, dan glijd je af naar totalitarisme.
Alle wachtwoorden waren in plain text opgeslagen.
Ja hoor, daar heb je weer zo'n bedrijf die niet weet hoe ze met gevoelige klantgegevens om moeten gaan. Hoewel het niet Anonymous hoeft te zijn die dit aan het licht brengt, is het in ieder geval goed dat iemand ermee naar buiten komt.
Precies - een bedrijf dat niet weet hoe ze met gevoelige informatie moeten omgaan.

Maar ook een groepje freaks dat niet te beroerd is om al die gevoelige informatie vervolgens maar op 'de internets' te plempen waar iedereen er mee aan de haal kan gaan.

BART is onverantwoordelijk bezig, maar mijns inziens Anonymous ook...

Sterker nog, ik vermoed dat die Anynymous heren gewoon alles proberen te hacken wat een beetje slecht in het nieuws komt. En zodra ze beet hebben met een mooi kritisch 'pamflet' komen waarin ze hun slachtoffer belachelijk maken.

Want zeg nou zelf - dit is toch gewoon wraak nemen?
Dergelijke hacks zijn heel simpel.
Zoals aangegeven kan een kind van 8 hetzelfde doen, er is alleen een groot verschil.

Anonymous geeft aan welke sites ze kraken.

Ieder ander had hetzelfde kunnen doen en er zou geen haan naar hebben gekraaid omdat het niet bekend zou zijn gemaakt, integendeel.
Dat ze hacken is 1 ding, het openbaar maken van de gebruikersgegevens een ander. Iets hacken en dit publiek maken kan ook zonder dat de gebruikers daar de dupe van moeten zijn, zij zijn het grootste slachtoffer bij deze acties want HUN gegevens worden misbruikt omdat een bedrijf ze niet veilig opslaat en vervolgens hackertjes ermee aan de haal gaan.
Wie weet was er al ingebroken door mensen met minder ideele motiveven en werd er zonder medeweten al misbruik gemaakt, wees blij dat dit soort groepen slackende bedrijven angstig maakt, ik baal ervan dat men maar makkelijk aan het feit voorbij gaat dat al deze bedrijven zo extreem nalatig zijn met data die ze aan een publiek netwerk hangen.

Daar moet het over gaan imho
Dergelijke hacks zijn heel simpel.
Zoals aangegeven kan een kind van 8 hetzelfde doen, er is alleen een groot verschil.

Anonymous geeft aan welke sites ze kraken.

Ieder ander had hetzelfde kunnen doen en er zou geen haan naar hebben gekraaid omdat het niet bekend zou zijn gemaakt, integendeel.
Bekent maken is tweede, maar onze gegevens(jij en ik, de gewone burger) openbaar maken zonder het bedrijf in te lichten verwerp jou hele punt en wijst erop dat ze het daarom niet doen maar gewoon voor hun zelf omdat ze erop kicken en omdat daar nu iets te doen is. Volgende week is het jou zorgverzekeraar en gooien ze jou medische gegevens online, leuk is dat. Kan jij niks aan doen dat jou zorgverzekeraar het niet 100% op orde had als dacht ze dat wel te hebben.

De Zorgverzekeraar kon er ook niet zoveel aan doen omdat ze het weer uitbestede aan derde en daar heeft een ICTer een steekje laten vallen, was maandag en man voelden zich niet zo best en heeft een foutje gemaakt, ja is ook maar een mens en dat gebeurd. Zelfs vliegtuigen en spaceshuttles vallen uit de lucht, zelfs daar worden fouten gemaakt. Is dus heel normaal dat er fouten in systemen bestaan, zullen duizenden systemen zijn met fouten alleen al in nederland.


Als je fout opspoort en meld, dan pas ben je held! :D

[Reactie gewijzigd door mad_max234 op 15 augustus 2011 12:53]

Want zeg nou zelf - dit is toch gewoon wraak nemen?
Je weet niet of dit wraak nemen is, omdat onzeker is of leden van Anonymous gebruik maken van de betreffende vervoersdienst van BART en hier ook tegen willen protesteren.

Uit het nieuwsartikel:
In reactie op het afsluiten van het mobiele netwerk heeft hackersgroep Anonymous de website mybart.org aangevallen.
Misschien werkt Anonymous wel voornamelijk aan de grote namen die in het nieuws komen, zonder direct een link te leggen naar de context.

Even het hacken van Anonymous daargelaten: hoe gaat BART gestraft worden? Ja, uiteindelijk kan alles gehackt worden. Echter, als de informatie in het nieuwsartikel klopt, is het overduidelijk dat BART zeker in gebreke was met de beveiliging van de betreffende gegevens.

[Reactie gewijzigd door The Zep Man op 15 augustus 2011 09:18]

[...]
Je weet niet of dit wraak nemen is, omdat onzeker is of leden van Anonymous gebruik maken van de betreffende vervoersdienst van BART en hier ook tegen willen protesteren.
Protest mag, maar wel volgens de regels die we met zijn alle af hebben gesproken om samenleving beetje leefbaar te houden. Ook wij in Nederland hebben regels voor protesten, US net zo hard. ;)

Waarom moeten wij ons aan de wet houden en mag Anonymous zich daarboven begeven, want maakt dat groep speciaal dat ze zich niet aan de wet hoeven te houden. Wat doen hun voor de samenleving behalve hoop burgers hun privégegevens openbaar maken? Gaat ze totaal niet om de niet veilig, ze hebben helemaal geen ideologie om iets veiliger te maken, anders hielpen ze de bedrijven, nu is het gewoon weghalen en gelijk aan de schandpaal hangen.

Hoop echt dat die gasten eerdaags keertje worden opgepakt en alle schade op ze word verhaalt!
En moeten bedrijven en overheden zich dan niet aan de wet én normen houden?
Blijkbaar moet iemand dus wel bedrijven hacken en gegevens op straat gooien voordat bedrijven zich aan de wet houden. Zonder dat hacken doen ze het blijkbaar niet.
Anynymous is volledig de weg kwijt:

Je bent het oneens met milieuvervuiling en daarom dump je maar al het gif dat je kan vinden in zee?

Want laten we wel wezen, die mensen stappen morgen gewoon weer in de Metro. Het zijn uiteindelijk de eindgebruikers die hier de dupe van worden, niet BART.
Hier ben ik het niet mee eens.

In principe liggen de gegevens al op straat voor kwaadwillende hackers, maar tilt Anonymous gewoon het tapijt op.

Het enige wat vaak helpt is er stennis van maken, omdat vaak de grote bedrijven er verder geen punt van maken behalve als het hun zelf raakt, wat het naar mijn mening nu wel doet.

En ja, de eindgebruikers zijn nu wel de dupe, maar ik denk dat er echt een mentaliteitsverandering plaats moet vinden willen de eindgebruikers niet de dupe blijven: anonymous of niet.
Het moet eerst goed fout gaan voordat er iets aan wordt gedaan. En Anonymous, hoewel niet wettig, doet dit in het openbaar.

Ik hoop alleen dat TLS met z'n OV-Chip beter is beveiligd :-S
Het moet eerst goed fout gaan voordat er iets aan wordt gedaan. En Anonymous, hoewel niet wettig, doet dit in het openbaar.
Ik hoop alleen dat TLS met z'n OV-Chip beter is beveiligd :-S
Alsof een weldenkend mens een account zou nemen bij myTLS :+
Ik steun Anonymous omdat de (vooral westerse) overheden transparantie van hunzelf en (grotere) bedrijven NIET en NOOIT willen bevorderen. Dan vind ik het zeker prima dat Anonymous gegevens boven probeert te halen.
Zie maar eens wat voor een rotzooi BART is.

In deze zieke maatschappij wordt voor miljarden/biljoenen winst gemaakt door de "gewone" burger onwetend te houden op het gebied van geopolitiek en "gezondheidszorg".

Het is onwerkelijk dat mensen die eigenlijk niets weten Anonymous bestempelen als "onverantwoordelijk". Stop eens met denken wat de NOS je projecteert, kijk eens rustig om je heen en zie wat wij van deze maatschappij hebben gemaakt.

Ik hoop dat Anonymous het Vaticaan gaat kraken, maar dat zal heel goed bewaakt zijn... Want als Vaticaan het misbruik van (Ierse) jongetjes door de katholieke kerk niet toegeeft, ondersteunen zij het juist! Dat Vaticaan is een hoop gif en een hele grote facade!
Is het lekken van inloggegevens van gebruikers de openheid die jij graag ziet?
Edit: Het publiceren van inloggegevens.....?

[Reactie gewijzigd door Floort op 15 augustus 2011 10:46]

Het lek zit bij BART, niet bij Anonymous.
Hoeveel mensen hebben al gebruik gemaakt van die injection en de gegevens voor meer schimmige doeleinden gebruikt? Het kan nu alleen maar beter worden.
Don't shoot the messenger.

Verder plaatst dit BART wederom in een slecht daglicht, ev v.w.b. ik er van lees is er nogal wat te verbeteren bij dat bedrijf. Slecht voor die paar getroffenen maar goed voor die miljoenen reizigers.

Afscherming, heimelijkheid en ontkenning is nooit goed voor de massa geweest.
En dat is wat zoveel mensen vergeten.

Gegevens die 'op straat' worden gegooid lagen al veel langer op straat.
Er is alleen geen ruchtbaarheid aan gegeven.
Het lek zit bij BART, niet bij Anonymous.
Hoeveel mensen hebben al gebruik gemaakt van die injection en de gegevens voor meer schimmige doeleinden gebruikt? Het kan nu alleen maar beter worden.
Don't shoot the messenger.

Verder plaatst dit BART wederom in een slecht daglicht, ev v.w.b. ik er van lees is er nogal wat te verbeteren bij dat bedrijf. Slecht voor die paar getroffenen maar goed voor die miljoenen reizigers.

Afscherming, heimelijkheid en ontkenning is nooit goed voor de massa geweest.
Dus als mijn deur niet goed op slot zit en inbreker loopt zo naar binnen is de inbraak mijn schuld? Of is de inbreker dan schuldig?
Dus als mijn deur niet goed op slot zit en inbreker loopt zo naar binnen is de inbraak mijn schuld? Of is de inbreker dan schuldig?
Laat je laptop maar eens in je auto op de passagiersstoel liggen met de ramen helemaal open en de deuren niet op slot. Laptop=weg.

Ga vervolgens bij de verzekering de laptop claimen. Dan kan je met hun deze discussie voeren over wiens schuld het is.

Je zal toch echt een gepaste mate van verantwoordelijkheid hebben; voor auto's is dat ramen dicht, auto op slot, en waardevolle zaken uit het zicht. Voor databases met gebruikersgegevens is dat toch minimaal de wachtwoorden encrypted zijn met salt (zodat rainbow tables niet meteen werken).

edit: end-quote fixed

[Reactie gewijzigd door El_ByteMaster op 15 augustus 2011 15:57]

Dus als mijn deur niet goed op slot zit en inbreker loopt zo naar binnen is de inbraak mijn schuld? Of is de inbreker dan schuldig?
Dit is nou net zoiets als: "Ja, maar de auto voor mij trapte op de rem!" en je moet zelf de schadekosten betalen van de auto voor je en het word niet vergoed door de verzekering. Dit is doordat je waarschijnlijk niet voldoende afstand hebt gehouden of niet op zat te letten om voldoende te remmen.
Dus als jij je deur open laat staan, is het dus ook jouw schuld omdat jij de deur open laat staan en niet de inbreker.
BART was zo dom om de aandacht te trekken... Waren ze niet in opspraak gekomen, dan had er mogelijk geen haan naar gekraaid. Waarschijnlijk wisten ze niet eens dat ze risico liepen. Wat dat betreft schiet het publiek er op langere termijn dus wel veel mee op dat die gaten nu door een terugpestactie aan het licht zijn gekomen.

Daar zit hem het grote verschil tussen BART en anonymous: de acties van laatstgenoemde zijn vaak ook een beetje flauw, maar zij hebben wel een iets beter overzicht van hoe "systemen" inelkaar steken en een zeker besef hoe je als bedrijf fatsoenlijk met je klanten omgaat (niet doodschieten, niet monddood maken en zorvuldig zijn met hun gegevens).

[Reactie gewijzigd door mae-t.net op 15 augustus 2011 15:28]

Het is nodig om hard te zijn. Als je een tandeloze leeuw bent, dan neemt het bedrijfsleven je niet serieus. Overal waar mensen zich registreren of lid van worden blijkt men achteloos om te gaan met privé gegevens. Alsof dat allemaal irrelevant is. En ze komen er mee weg omdat de consumenten of de gebruiker geen inzicht heeft in de mate van beveiliging.

Gisteren was ik in een ziekenhuis met iemand. Of mevrouw even op de 'rode voetjes' wilde gaan voor de balie zodat ze een foto konden nemen voor haar dossier. Ze ging al bijna achteloos daar staan, zodat een of andere camera haar kon fotograferen.

Ik vroeg meteen waarom dat nodig was. 'Het is voor uw eigen bestwil'. 'Zo kunnen we controleren wie u bent, voor de dokter.' Met andere woorden, de dokters zien je als een nummer en ze zijn bang voor fouten rond iemand identiteit. Wat een arts belet om even te checken of ie de juiste mens voor zich heeft met het juiste dossier is blijkbaar al niet meer mogelijk in deze samenleving, dat meest geringe menselijke contact.

Ik vroeg hoe de beveiliging geregeld was van dat systeem. "U kunt er van uit gaan dat dat goed is'. Ik vroeg hoe zij dat kon weten. 'Dit is alleen voor ons eigen dossier op deze afdeling.' Alsof het ziekenhuis niet een netwerk heeft waar die afdeling ook aan verbonden is. Een beetje hacker vindt daar wel een toegang tot.

De dames achter de balie waren hoogst verbaasd over mijn reacties, dat hadden ze vast nooit meegemaakt. Hoe erg is het dat mensen klakkeloos zonder na te denken daar gewoon gaan staan om zich te laten fotograferen. Ze probeerde zich te verdedigen, alsof het hun persoonlijke idee was om foto's te gaan nemen en waren blijkbaar bereid voor het ziekenhuis de verantwoordelijkheid op zich te nemen van eventuele problemen. En dat terwijl ze van ict niets wisten.

Uiteindelijk bleek dat het niet verplicht was. Maar men overdondert mensen wel en geven niet aan dat het optioneel was.

Als een ziekenhuis al niet de gevaren snapt van registratie dwang/neurose en foto's van zieken gaat opslaan met hun BSN nummer en NAW gegevens en medische data en wie weet wat nog meer, dan verwacht ik van bedrijven al helemaal niets.

Het punt is dus dat helaas op dit moment de minderheid, waarvan de gegevens getorrent worden en worden gedumpt als boete voor het bedrijf waar ze vandaan gehaald zijn, moet lijden en de risico's moet dragen voor de meerderheid, althans, de mensen die ergens zich registreerden maar NOG niet geopenbaard werden.

Dit is een strijd om privacy en als op een slagveld er onschuldige slachtoffers vallen, dan is dat het gevolg niet van de hackersgroep maar van het feit dat instellingen hun elementaire beveiliging al niet op orde hebben.

Als hackers niets doen, dan doet een bedrijf ook niets. Dat blijkt elke keer weer. Het lijkt wel of al die instellingen en bedrijven gewoon menen dat ze onkwetsbaar zijn. En als ze dan aan de beurt zijn dan reageren ze bijna allemaal hysterisch. Ontkenning - of als ze macht hebben, netwerken voor telefonie afsluiten, niets gaat te ver.

De overheid is nergens te zien, die dwingt bedrijven helemaal nergens toe als het om beveiliging gaat. En voor zover ze dat wel doen, het blijkt niet te werken.

Wraak? Reken maar. Dat is de straf voor instellingen en bedrijven en overheidsinstanties die onze privacy niet serieus nemen.
Wachtwoorden in plain text opslaan is uiteraard not done, maar ik vraag me af of het wat had uitgemaakt om ze te encrypten. Als die fanatiekelingen van Anon ze in handen krijgen draaien ze waarschijnlijk hun hand er ook niet voor om om de encryptie even te kraken.
Maar als ik het dus goed begrijp heeft Anon de persoonsgegevens niet op straat gegooid? Dat vind ik een goede zaak.
Dan heb je de eerste, dikgedrukte alinea niet goed gelezen ben ik bang:

Quote: Anonymous heeft het Amerikaanse vervoersbedrijf BART in verlegenheid gebracht door in te breken op de website en de database met gebruikersgegevens te openbaren.

[Reactie gewijzigd door Spete op 15 augustus 2011 08:23]

En veel mensen zullen boos zijn. Op Anonymous. En niet op de ICT van BART. Waarom?

Een geval van 'punish the monkey (Anonymous) and let the organ grinder go (BART).

De gebruikers zouden kwaad moet zijn dat BART zo slecht omging met hun privacy. En dat is het doel van Anonymous denk ik. Mensen pissig maken op het bedrijf of instellingen waar ze in de database staan. Helaas snappen mensen helemaal niets van privacy, laat staan van de risico's en nog minder van ICT. En dus worden ze kwaad op de verkeerden.
Wachtwoorden worden vaak op een zodanige manier versleuteld dat je vanuit de versleutelde waarde niet meer het origineel kan terughalen. Het is dan een one-way encryptie, vaak dmv hashing met een SHA-1/2 of een soortgelijk algoritme.
Maar omdat er 9 van de 10 keer hetzelfde algoritme wordt gebruikt voor het hashen is het dus redelijk simpel om toch achter het correcte wachtwoord te komen, zeker met de (Cloud-)GPU-based cracking tools. (naast de natuurlijk bekende tables)
De beste manier (en in mijn ogen de enige juiste manier) om met dergelijke gegevens om te gaan is door een hashfunctie in combinatie met een persoonlijke salt te gebruiken, vermits dat alles zeer moeilijk te inverteren is (je moet dan voor elk mogelijk wachtwoord de hash berekenen en kijken of die overeenkomt).

Echte encryptie (dus two-way) is in deze situatie niet slim, want je zit met veel gebruikersgegevens die je met eenzelfde sleutel kan ontsleutelen. De sleutel die je daarvoor nodig hebt, moet je natuurlijk ook ergens opslaan en zo verplaats je enkel het probleem (het is dus slechts een fractie beter, maar je kan die sleutel bv. wel buiten de database bewaren, zodat het moeilijker is om daaraan te geraken). Maar als je die moeite allemaal doet, doe het dan direct goed, zou ik zo zeggen.

Two-way kan (en moet!) je wel toepassen als het doel van je database het opslaan van wachtwoorden (voor bv. andere diensten) is en niet authenticatie (dus inloggen) en dat moet je dan doen met een methode waarbij de gebruiker de sleutel in handen heeft, zodat je (in theorie) op 2 verschillende plaatsen moet inbreken. Dat alles kan je ook zo goed als veilig maken, door een encryptie te kiezen waar je gemiddeld enkele jaar aan moet rekenen om te kraken.

En zo zie je ook maar: veiligheid is relatief. Wat vandaag niet te kraken is, kan morgen opeens wel gekraakt worden door snellere computers of computers die een andere rekenmethode gebruiken (bv. quantumcomputers) of door academische inzichten in de werking van de gebruikte software en algoritmes.
Voor zover ik het kan zien, gaat het niet om klantgegevens. Waarschijnlijk gaat het om logins van werknemers van BART.

Nou weet ik niet of er veel interessante gegevens achterhaald zijn, maar het zou kunnen zijn dat men bij het ontwerp van de website het risico te klein vond om er meer aandacht aan te besteden.
Dat neemt natuurlijk niet weg dat het niet netjes is om wachtwoorden in plain-text op te slaan.
Although we are still investigating the details of this incident, we know that an unauthorized person has obtained contact information from at least 2,400 of our 55,000 members. In most cases, the information consists of names, email addresses, and passwords. In some cases, the database also listed an address and phone number. No financial information is stored in the myBART database.
Bron: http://www.bart.gov/news/articles/2011/news20110814a.aspx
Check: Dan zijn ze gewoon über-dom :)
Oordeel zelf wat ze op de website hebben gezet.
Hieronder een "vernaggelt" regeltje.

id FirstName LastName email Phone Address1 City State ZipCode association URL user pwd UID utype_id bid

1xxxx Lxxx Myyy lmxxx@bxxx.gov (4xx) 7xx-4xxx 9xxxx-0xxx easy uxxxxxxxt 1 cxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx4

Wachtwoord is wel erg "gemakkelijk" ... :)
Dan moet je verder lezen dan de tweede regel. Het gaat hier wel degelijk om klantgegevens. Als werknemer log je je toch niet in met je hotmail/gmail/what-ever-mail?

Volledige lijst is te vinden via BoingBoing: http://www.djmash.at/release/users.html.

Het meest frappante vind ik de eerste twee regels. Dat normale gebruikers de ballen verstand hebben van goede wachtwoorden, dat weet ik al; maar dat de twee admin-accounts domme wachtwoorden gebruiken is al helemaal idioot. Gebruiker "devteam@interactivate.com" heeft als wachtwoord "admin123" en "partner@interactivate.com" heeft "partner" als wachtwoord. Waarschijnlijk is het niet zo'n probleem om te achterhalen dat Interactivate aangeworven is om die site op poten te zetten.

Interactivate bestaat al niet meer als bedrijf, maar heeft wel redelijk grote namen als klant gehad, als je wat rondkijkt. Ik hoop dat die bedrijven die sites al laten herwerken (of afgedankt hebben, als je zoiets laat maken en je kan bij de maker niet meer terecht voor support, lijkt me dat niet echt handig).
Naar buiten komen met de info? Waarom? Wat bereik je ermee? Niets, behalve, zoals TD-er al aangeeft, dat onze vrijheden op het net worden beperkt. Dat een bedrijf zijn gegevens in plain text heeft opgeslagen is niet slim; dat blijkt maar weer. Aan de andere kant: als een bedrijf zijn deuren open laat staan, is dat voor jou (men) nog geen reden om de boel leeg te roven. ook dat blijkt maar weer (in meer of mindere mate) in Engeland. Je kunt de spullen wel jatten, maar je wordt toch gepakt.

Dat men veiligheid aan de orde wil stellen is prima, maar dit is niet de manier.
Verder is het natuurlijk zo, dat zolang de media aandacht blijft geven aan deze kleuters, ze gewoon door zullen gaan. Het is bijna een terroristische organisatie, als je er een oppakt, staan er al weer 10 anderen klaar om de plaats in te nemen, lijkt het. Het verschil is dat een terroristische organisatie een bepaalde overtuiging heeft (hoe verwerpelijk wij die ook vinden) en Anonymous niet.
Naar buiten komen met de info? Waarom? Wat bereik je ermee? Niets, behalve, zoals TD-er al aangeeft, dat onze vrijheden op het net worden beperkt.
Zelf vraag ik me zo langzamerhand af hoe erg of het gesteld is met de (on)veiligheid van databases in het algemeen op internet
En dat betekend dat ik inmiddels uiterst terughoudend ben met het verstrekken / invullen van gegevens op internet.
Ook dat levert een "beperking" op van wat ik zelf vrijwillig niet meer wil doen op internet.
Los van wat overheden gaan reguleren of niet.
En dat betekend gewoon mogelijkerwijs dat de "digitale economie" in meer of mindere mate minder gebruikt kan gaan worden in landen waar het met de internetveiligheid gewoon belabbert gesteld zou zijn, in de beleving van de internetgebruiker.
Dat is geen beperking door de overheid, dat is een beperking door de gebruiker. Kan net zo erg zijn, op een andere manier.
Laten we wel wezen, alles wat a) niet in het telefoonboek staat of b) niet verzekerd is.... dat vul je NIET op internet in.

Creditcardgegevens? No problem... verantwoordelijkheid ligt toch bij Visa.
Naam, Adres? Staat ook in het telefoonboek. Mogen ze hebben.

Combinatie bankrekening + naam + adres .... nee, dat niet.

En... please.... niet hetzelfde wachtwoord hergebruiken voor belangrijke zaken. Maar dat wist je al.
Laten we wel wezen, alles wat a) niet in het telefoonboek staat of b) niet verzekerd is.... dat vul je NIET op internet in. [...]
En... please.... niet hetzelfde wachtwoord hergebruiken voor belangrijke zaken. Maar dat wist je al.
LOL: Ik sta niet in het telefoonboek :)
Voor de rest heb je gelijk. En ik gebruik een Password encrypty programma. Met 2 databases ...: Een voor de baas, een voor mezelf.
Shit, een database ... 8)7
Geef je IP ff... dan hack ik je site even en zet alles online. Dat zal je leren!

PS. Alles anonymous natuurlijk :D
Wie zegt dat anonymous geen bepaalde overtuiging heeft? Bovendien lijkt de doelstelling ook niet terroristisch te zijn (chaos en angst zaaien, doorgaans zonder doel of zonder nobel doel) terwijl de acties van anonymous in meer of mindere mate lijken gericht op het verbeteren van de manier waarop met informatie wordt omgesprongen.

Dat wil niet zeggen dat ik me achter hun methodes schaar, maar ik kan er als informaticus wel enig begrip voor opbrengen.
Dat komt omdat klanten (zowel opdrachtgever als bezoeker) daar eigenlijk ook niet om vragen. Ja achter zijn ze boos als de website gehacked, maar je wilt niet weten hoeveel mensen allerlei persoonlijke informatie geven voor een paar euro korting of zelfs maar een gratis proef exemplaar.

Het enigste positieve wat hier uit kan komen (vooral opdat dergelijke hacks nu veel in het nieuws zijn) is dat mensen meer bewust worden van de 'gevaren' van internet en kritische eisen stellen aan de bedrijven waar zij hun gegevens achterlaten. Aan de andere hoor of lees je in traditionele media erg weinig over dit soort hacks, waardoor het 'gewone' volk eigenlijk niet weet hoe vaak dit voorkomt..
Ik weet niet wat erger is, het wachtwoorden plain text opslaan of SQL Injection. Voor beide is echt geen zinnige reden te verzinnen.
Jawel hoor, de ene wordt gebruikt om de andere aan het licht te stellen, niet andersom :)

En daar is het verschil wat je niet kon bedenken :D

edit: het publiseren van die gegevens DAT is fout, het door SQl in de database inbreken naar mijn inziens totaal niet, sterker nog dat houdt bedrijven scherp, althans dat zou je verwachten :)

[Reactie gewijzigd door watercoolertje op 15 augustus 2011 08:27]

ben ik met je eens.

Helaas worden vervolgens alle gegevens maar op het internet geplempt.
Eerst "boos" zijn op een bedrijf dat ze gegevens niet afdoende afschermen om het vervolgens zelf nog een stapje erger te maken. De logica ontgaat me een beetje.
Die logica zit hem in het verschil tussen korte- en langetermijndenken. Nu is de situatie duidelijk en komt eventuele schade niet onverwacht. Als de informatie in de toekomst een keer uitlekt kan de schade groter zijn en valt de mogelijke schade die nu onmiddelijk ontstaat in het niet.

Natuurlijk kan het ook nog veiliger, door eerst te waarschuwen en dan bijvoorbeeld na een half jaar pas actie te ondernemen, maar dan moet je bij ethische hackers zijn en niet bij anonymous.

[Reactie gewijzigd door mae-t.net op 15 augustus 2011 15:17]

Wat is dat toch met "stelen" en "leegroven". BART is niets kwijt, er zijn enkel wat gegevens gepubliceerd die blijkbaar zo slecht beveiligd waren dat ze al praktisch openbaar waren.
Informatie uit een database kopieren waar je normaliter geen toegang toe hoort te hebben, valt ook onder diefstel. Diefstal hoeft niet alleen op iets fysieks te slaan.
http://www.st-ab.nl/wette...oek_van_Strafrecht_Sr.htm
Diefstal is het dus niet, art 310: "Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie."

Waarschijnlijk heeft Bart alle data nog, dan is het geen diefstal.
Toegevoegd: @fsfikke: klopt. In de VS kan het anders zijn. Maar sommige veronderstellingen gaan wat snel. Computer inbraak en een huis inbraak als ook diefstal en copieren van data kunnen wettelijk verschillende dingen zijn. Dat is mijn punt.

[Reactie gewijzigd door Xubby op 15 augustus 2011 13:06]

Volgens mij heeft het Nederlandse wetboek van strafrecht weinig te maken met criminele acties in de VS tegen een Amerikaans bedrijf.
Ja maar als je huis wordt leeggerooft en er blijkt dat jij de sleutel gewoon onder de bloempot naast je deur had liggen dan heb je toch wel een probleem om de verzekereing aan te spreken want die gaat dan ook gewoon zeggen: eigen schuld...

Kortom wil niet zeggen dat daarmee de inbraak gerechtvaardigd is maar je zelf wel een gelegenheid geboden die het wel erg makkelijk maakt, sterker nog er zijn waarschijnlijk niet eens sporen van braak in zo'n geval...
Wat is dat toch met "stelen" en "leegroven". BART is niets kwijt, er zijn enkel wat gegevens gepubliceerd die blijkbaar zo slecht beveiligd waren dat ze al praktisch openbaar waren.
Het kopieren van vertrouwelijke data zonder toestemming wordt ook vaak (ook juridisch) gezien als diefstal.
Het is waarschijnlijk computervredebreuk:
http://mijnwetten.nl/wetboek-van-strafrecht/artikel138ab

Artikel 138ab Wetboek van Strafrecht
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
- a. door het doorbreken van een beveiliging,
- b. door een technische ingreep,
- c. met behulp van valse signalen of een valse sleutel, of
- d. door het aannemen van een valse hoedanigheid.

Ik ga voor optie c.
Nee.
Ga naar mybart.com/root_access/ werkt echt niet hoor.
Ook SQL-injection moet je iets meer moeite voor doen dan zoeken naar "passwords" of "database access" oid.
Ik zat mij ook al af te vragen hoe ze de database hadden leeggeroofd. Lijkt mij een beetje lastig, tenzij je de hele actie afsluit met een DROP DATABASE.
Ik vind het persoonlijk een kop die we eerder in de Telegraaf terug zouden vinden, dan op Tweakers. :P
Sterker nog, voor de Amerikaanse overheid (waar BART onder valt), wordt dit tegenwoordig gezien als terrorisme, oorlogshandelingen (en als het door Amerikanen gedaan is) landverraad. Dus, dit soort dingen levert een enkeltje Guantanamo en/of vuurpeleton op, zonder recht op rechtszaak of iets dergelijks, als ze de daders gepakt hebben.
Wat me meer verontrust dan die anonymous in dit geval is wat die bart doet .
Een bedrijf dat mobiele netwerken platlegt om een demonstratie tegen hun te dwarsbomen?
En een bedrijf dat een eigen "politiedienst" (geen bewaking, of security maar POLITIE) heeft?
Dus openbare diensten worden uitgeoefend en platgelegt door een bedrijf en niemand reageerd daarop?
BART valt onder de overheid. Het is dus niet een geprivatiseerd bedrijf.

Dat ze een eigen politiedienst hebben, kan ik me ook ergens nog wel voorstellen. Ik kan me indenken dat je ondergronds toch andere procedures hebt in verband met calamiteiten en veiligheid, wat misschien training vergt die ze niet aan elke politieagent op straat willen of kunnen geven.

Toen de NS nog een staatsbedrijf was, viel de Spoorwegpolitie trouwens ook onder de NS. Na de privatisering werden ze ook onder de KLPD geschoven. Maar de relatie tussen overheid, BART en hun politie is dus hetzelfde als onze overheid, NS en Spoorwegpolitie van voor de privatisering.
Zo vreemd vind ik het eigenlijk niet. Het was alleen een gedeelte van het netwerk dat ze in eigen beheer hadden onder de grond. Ze hebben geen contractuele verplichting met de reiziger om een mobiel signaal aan te bieden, alleen vervoer. En dat bieden ze ook aan. Met de mobiele operator heb je wel een contract, maar die garandeert geen signaal onder de grond.
En wat betreft de politie. In Nederlands hebben de Nederlandse Spoorwegen ook een eigen politie dienst, de spoorwegpolitie die speciale bevoegdheden heeft. BART is ook gewoon een overheidsonderneming. Waarschijnlijk kan deze politie sneller ter plaatse zijn dan de reguliere politie en hebben deze agenten ook meer toegang tot bepaalde plekken onder de grond.
Stiekem kan ik hier wel om lachen...

En ergens is het beter dat een 'hacker' het doet en openbaart, dan dat iemand al die gegevens steelt zonder dat het ooit bekend word.

En natuurlijk wil je een site inlichten als er ergens een klein foutje is gemaakt wat grote gevolgen kan hebben. Maar als er een amateur aan het werk is die sql-injectie toelaat, dan vind ik het prima om hem anno 2011 te kijk te zetten.
Punt is dat er miljoenen sites met dit soort gegevens zijn, waarschijnlijk 80% daarvan heeft minder dan <1000 mensen in haar lijst en is het dus niet echt de moeite waard, of kost het veel te veel geld om alle hackmogelijkheden te onderzoeken en verdediging op te werpen.

Waarschijnlijk zal deze webprogrammeur ontslagen worden, maar ik denk dat hij gegeven het budget niet veel anders had kunnen doen.

Unencrypted de gegevens opslaan was natuurlijk wel dom ;)

[Reactie gewijzigd door fjboere op 15 augustus 2011 08:36]

Precies.
Die 2 of 3x ergens sha() of md5() om iets heen zitten heeft niets te maken met budget. Zo veel tijd scheelt dat echt niet.
Als ik password hashing goed begrijp (ben verre van expert op dit gebied, so correct me if I'm wrong) heeft het niet zo heel veel nut om passwords 2 of meerdere malen te hashen.

Als je bijvoorbeeld een password enkel 2 keer door md5() haalt hoeft degene die de hashes heeft weten te verkrijgen enkel een nieuwe rainbow table op te bouwen om de passwords te kraken, diegene moet dan wel weten dat de passwords dubbel gehashed zijn, dat ze het initieel niet weten is dus een stukje "security through obscurity", om de juiste rainbow tables aan te kunnen leggen.

Daar het dubbel hashen mij een redelijk logische beredenering kan lijken voor veel programmeurs om dit te doen zullen die rainbow tables vast al wel ergens online bestaan.


Wat je volgens mij moet doen is een sterke random user salt genereren en meegeven bij het hashen, hierdoor moet diegene voor elke hash een aparte rainbow table genereren (erg time consuming).
Om er een extra "security through obscurity" laag in te bouwen kun je er ook nog voor zorgen dat je ook nog een application salt meegeeft (de random user salts zijn namelijk gewoon terug te vinden in de database).

Ook zou ik geen md5 meer gebruiken maar sha512 atm.


Overigens is er geen enkel excuus om dit niet te implementeren, een beetje programmeur heeft hier gewoon een standaard class voor liggen. Idem voor het SQL Injection verhaal er zijn tig opensource frameworks met standaard DALC's, dus als je geeft om het budget van een klant leer je ook gewoon 1 of meerdere van die frameworks (zoals Zend Framework / Symphony in de php wereld) daar dit op termijn juist een hoop tijd bespaart, geld word voornamelijk verspilt door programmeurs met het "not invented here" syndroom.

Edit:
@XIU:
Ja klopt, er zit wat extra werk aan, alleen je moet er wel voor uitkijken dat je bij een grote / veelgebruikte applicatie je er niet effectief voor zorgt dat je je eigen servers omzeep helpt als je bij elke login vaak een hash eroverheen doet, punt is alleen dat een md5 over md5 zonder gebruik van salts beperkt tot geen nut heeft, uiteindelijk is het dus de combinatie die uiteindelijk de veiligheid ervan bepaald :).

Ja klopt zoals ik al vermelde is de Application side salt ook nog een leuke vorm van een extra "security through obscurity" laag, hierbij moet de hacker / cracker ook nog is toegang zien te krijgen tot je server om die salt te achterhalen (of "jaren" bezig gaan met het zien te raden van dat ding :-))

[Reactie gewijzigd door dotnetpower op 15 augustus 2011 11:31]

Het gebruiken van unique salts + meerdere malen sha256 zorgt er echt wel voor dat er PER wachtwoord meer werk gedaan moet worden. Met salts (en niet 1 voor alle wachtwoorden natuurlijk) is het bovendien bijna onmogelijk om een rainbow table te gebruiken.

Bovendien is er nog een hele simpele fix, namelijk een extra application wide salt die NIET in de database staat maar hardcoded of in een config file.
Als een acht jarige met internet dit moet kunnen vraag ik me af of het niet ook gewoon acht jarigen zijn die dit gedaan hebben:) , maar serieus ik denk dat het aantal 15 jarigen bij M best hoog zal liggen. Dat zou de directe en zwart wit neiging van de groep kunnen verklaren, jongere mensen zijn nog heel idealistisch.
Verder ben ik toch redelijk tevreden met het bestaan met zoiets als anonymous, ook hun manier van presenteren zonder daar persoonlijke roem uit te halen spreekt voor ze en ergens verbaasd het me dat er nu pas iets dergelijks is. Ik denk dat we we er nog veel van zullen horen.

Waar ik wel een beetje bang voor heb is dat als de in verhouding redelijk omschuldige annonymus te hard aangepakt gaat worden dat je daarmee een reactiebeweging oproept die echt internet terrorisme gaat bedrijven. Net als toen met Baader - meinhoff die toendertijd alleen materiaalschade maakte werd vastgezet en de supportgroep RAF hen ging wreken door zakenmensen om te leggen.
Maar nu dus digitaal door bv een bank om te gooien, of erger, het computersysteem van een ziekenhuis plat te leggen.

Eigenlijk verdenk ik het dreigement dat facebook plat gelgd gaat worden er al een beetje van dat dit door een afsplitsing van announimous wordt beraamt.

Maar misschien lees ik gewoon te veel cyberpunk sf:P

[Reactie gewijzigd door verleemen op 15 augustus 2011 10:03]

Wees gerust. Anonymous heeft principes dat gaat over "betere veiligheid, geen censuur en meer transparantie in bedrijven en overheden". Een ziekenhuis zal niet getroffen worden, tenzij zij wel iets heeeel onmenselijks hebben gedaan. Het draait om beperkingen die langzaam maar zeker steeds meer het dagelijks leven beginnen te beďnvloeden en dat zelfs zo langzaam gaat, dat je er keer op keer het maar accepteert. Het afsluiten van communicatie middelen daarentegen is net een stap te ver.

Ook is het best begrijpelijk dat je zou denken dat het allemaal jongkies zijn maar de discussies die worden gehouden voordat er uberhaupt een hack plaatsvind speelt al een belangrijke rol bij hun protesten (whatis-theplan.org). Het blijven ten slotte activisten en als je kijkt naar de doelwitten tot nu toe met het motief erachter kun je zien dat dit niet zomaar een kwajongens streek is die maar wat loopt aan te klommelen met andermans persoonlijke gegevens.

Zeg ik, een enthousiaste Anonymous ;)
Het probleem is dus dat Anonymous voor eigen rechter speelt. Wij moeten dan maar hopen dat ze nog enig fatsoen hebben. Je kan het verheerlijken door het protest te noemen, maar ze lappen alle wetten aan hun laars en voor dat soort 'voorvechters voor een vrije wereld' bedank ik toch liever.
"lappen alle wetten aan hun laars"? Zij staan juist op voor de wetten over mensenrechten dat de politici (in onder andere Amerika) aan hun laarzen lappen! En dat Anonymous voor eigen rechter speelt is eigenlijk ook onzin aangezien het een gemeenschappelijke groep is.
Ook vind ik het altijd maar makkelijk praten achter een laptop. Hier in Nederland hebben wij het stukken beter dan daar!
Belachelijk om de Baader-Meinhof groep (RAF) tevergelijken met
een stelletje puberale morons van Anonymous.

Ik heb er als Nato millitair gelegerd in Duitsland in 76/77 mee te maken gehad, en kan je verzekeren totaal geen vergelijk.
Ach, Anonymous zorgt er gewoon voor dat internetmonitoring er veel sneller doorheen komt.

Je kunt hen straks bedanken als al je pakketjes gemonitord worden.
Dat is juist hetgene waar zij tegen strijden. Informeer jezelf wat meer aub!

Internetmonitoring is al aan de gang in Amerika, Engeland, Australie, Canada en Nieuw Zeeland. Google maar "Echelon". Informeer jezelf maar eens ipv op de NOS te bouwen.

Ik sta er toch van te kijken dat men dit financiert aangezien ik gister nog op de howstuffworks.com site las dat het miljoenen aan geld kost PER DAG om zoiets dergelijks alleen al in Europa draaiende te laten houden, terwijl Amerika nu het plafond heeft geraakt met hun schuld. Nu is Europa een klein maar toch wel druk continent wat betreft media. Mijn punt is dat het al veel meer aan de gang is dan men zich realiseert.

Ik kan niet wachten tot ze Echelon zullen hacken!
Wat hij bedoelt is dat dit soort hacks, enz. als reden gebruikt kan worden door overheden om internet-monitoring/censuur er doorheen te rammen. Om de gemiddelde gebruiker te "beschermen" enz.
De NOS is een Reuters/ANP papagaai!

De onafhankelijke journalistiek is dood.. morsdood
ik vind het ergens wel ok. het laat maar goed zien dat digitale veiligheid in de meeste gevallen schijnveiligheid is.
ik vind het ergens wel ok. het laat maar goed zien dat digitale veiligheid in de meeste gevallen schijnveiligheid is.
En het goede oude spreekwoord.. Waarom moeilijk doen als het makkelijk kan..
men weet toch niet of het onveilig is.. Waarom al die moeite doen dan he :F
Tja, bedrijven die zich niet willen beveiligen of niet naar adviezen willen luisteren moeten dan maar de consequenties ondergaan. Soms moet je bedrijven op hun bek laten gaan eer ze beseffen dat ze beter hadden moeten weten. Uiteraard is het lullig dat privacy gevoelige gegevens gepubliceerd kunnen worden maar soms is dat gewoon nodig om ook de naiëve medemens in te laten zien dat ze bedrijven en overheden niet kunnen vertrouwen met hun gegevens. Ik snap niet dat mensen accepteren dat er zo slordig wordt omgegaan met gegevens en de angst voor een gecontroleerd internet snap ik ook niet zo. Wij zijn toch de overheid? Nederlanders hebben een beetje teveel last van het Calimero complex, laten zich veel welgevallen omdat ze denken dat ze alleen niets kunnen bereiken. Het tegendeel is echter waar, geen enkel bedrijf of overheidsinstantie zit te wachten op negatieve publiciteit.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True