Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 162 reacties

Poppodium Tivoli, dat kampte met een lek in zijn website waardoor naw-gegevens waren op te vragen, heeft bekendgemaakt dat het naar de politie zal stappen om aangifte te doen tegen de hacker. Hij zou schuldig zijn aan computervredebreuk.

Tivoli logoHet Utrechtse poppodium bevestigt maandag desgevraagd aan Tweakers.net dat het aangifte zal doen tegen de hacker die opereert onder het alias Ingratefully. Via sql-injectie wist hij toegang te verkrijgen tot een database waarin meer dan honderdduizend e-mailadressen en bijna vijftigduizend naw-gegevens stonden. Na een melding van Tweakers.net bij Tivoli wist Eagerly Internet, ontwikkelaar van de site, het beveiligingsgat binnen een uur te dichten.

Tivoli-directeur Margriet van Kraats stelt dat het poppodium uit voorzorg aangifte zal doen bij de politie in Utrecht. "Het is nog onduidelijk wat de consequenties zijn van de hack. Daarom hebben we besloten om aangifte te doen". Volgens Van Kraats heeft de onbekende hacker zich schuldig gemaakt aan computervredebreuk.

Een andere reden die van Kraats aangeeft is dat een aangifte noodzakelijk is mocht het poppodium zijn verzekering moeten aanspreken mochten er schadeclaims binnenkomen. Tot nu toe zou Tivoli slechts enkele reacties gehad hebben maar direct contact met de hacker zou er nog niet zijn geweest.

Update 19:40: Ingratefully laat via e-mail aan Tweakers.net weten dat hij het besluit tot aangifte van Tivoli 'zeer betreurt'. Hij claimt dat het inschakelen van de media veel effectiever is dan het tippen van bedrijven zelf: "Tivoli zorgt dat het lek binnen 1 uur gedicht is en uiteindelijk publiceren jullie na het dichten van de lek het artikel. En Tivoli is hiermee geholpen en de mensen zijn weer gewaarschuwd. Probleem verholpen in mijn ogen en systeembeheerders weer een opfrisser gegeven."

Verder stelt Ingratefully, die zichzelf eerder een klokkenluider noemt dan een 'hacker', dat Tivoli door zijn acties geen schade heeft opgelopen omdat hij enkel naar een bestaand lek heeft verwezen: 'In mijn ogen is de developer meer aansprakelijk dan ik als 'hacker''.

Gerelateerde content

Alle gerelateerde content (22)
Moderatie-faq Wijzig weergave

Reacties (162)

Om 18:07 kreeg ik deze mail van Tivoli.
Extra nieuwsbrief: Beveiligingslek Tivoli site gedicht

Gisteravond bereikte ons het bericht dat een hacker er in geslaagd is toegang te krijgen tot onze database met klantinformatie. Volgens IT-website Tweakers.net heeft de hacker bij hen melding gedaan van het veiligheidsprobleem, Tweakers nam vervolgens contact op met Tivoli en haar internetbedrijf Eagerly. Tivoli en Eagerly hebben direct actie ondernomen en het lek binnen een uur gedicht. De gegevens waar de hacker toegang tot had waren naw-gegevens en e-mailadressen; er was géén toegang tot wachtwoorden en bankgegevens.

Tivoli en Eagerly betreuren dat dit heeft kunnen plaatsvinden en hebben maatregelen genomen om dit soort problemen in de toekomst te voorkomen. Tivoli zal aangifte bij de politie doen van computervredebreuk.

Voor meer informatie kunt u contact opnemen met Tivoli op info@tivoli.nl.
Ik heb toen meteen een mail terug gestuurd waarin ik ze heb verteld dat ik het schandalig vond dat ze Ingratefully gaan aangeven. Heb daarnaast mij meteen afgemeld van de nieuwsbrief en alle gegevens die bij hun bekend waren gewijzigd.

Mocht je het ook voor Ingratefully willen opnemen kun je een mail sturen naar info@tivoli.nl

-update 20-12-11 14:27

Ik kreeg net een persoonlijke mail terug.
Beste n0elite,


De aangifte is een strikt formele stap geweest. Omdat wij als organisatie in de toekomst aansprakelijk gesteld zouden kunnen worden als blijkt dat er bij de hackingsactie toch gegevens zijn gekopieerd dan zijn wij daartegen niet verzekerd als wij geen melding hebben gedaan van de hackingsactie. Wij zijn uitdrukkelijk geen zaak gestart tegen de hacker.


In dit nieuwsbericht gaan we hier dieper op in: http://www.tivoli.nl/nieu...slek/datum/di-20-dec-2011


Met vriendelijke groet,

Yoni D.

Medewerker Marketing en Communicatie
Inhoud van de officiële reactie:
Er is van sommige kanten redelijk fel gereageerd op het feit dat Tivoli aangifte doet tegen het hacken van onze website. Een aantal van de reacties suggereert dat wij de partij die gaten in ons systeem heeft aangetoond beter kunnen bedanken. Graag schetsen wij de overwegingen waarom deze twee zaken hand in hand kunnen gaan.

De integriteit van de gegevens die wij beheren is voor ons van het grootste belang. Daarin investeren wij tijd en geld. Desondanks was ons systeem niet waterdicht. Daar zijn wij via de hackingsactie op gewezen en daar zijn wij blij mee. Wij hebben het gat direct kunnen dichten.

Omdat wij als organisatie in de toekomst aansprakelijk gesteld zouden kunnen worden als blijkt dat er bij de hackingsactie toch gegevens zijn gekopieerd dan zijn wij daartegen niet verzekerd als wij geen melding hebben gedaan van de hackingsactie. Vandaar dat wij die strikt formele stap hebben moeten zetten. Wij zijn uitdrukkelijk geen zaak gestart tegen de hacker en willen hem als dank twee kaartjes voor een concert naar keuze aanbieden

[Reactie gewijzigd door n0elite op 20 december 2011 14:41]

Ik heb deze mail ook gehad en ook even netjes een mail terug gestuurd waarin ik aangeef dat de hacker beter bedankt kan worden omdat hij zeer correct heeft gehandeld.
Hopelijk doen meer tweakers / tivoli bezoekers dit en wordt er naar geluisterd.
"alle gegevens die bij hun bekend waren gewijzigd" --> Ze hebben ook naw-gegevens, dus je bent verhuisd?
Misschien moet je dat juist wel doen, een berichtje naar de webbeheerder.
Eerst een berichtje naar de media (in dit geval dus tweakers.net) waarna Tivoli van een derde partij te horen moet krijgen dat er een hacker op hun website is geweest, is wellicht wat minder handig.

Het is misschien achteraf bekeken maar als ingratefully de werkwijze van Joopv had gevolgd. (webmaster verwittigen, paar dagen weer verwittigen (mocht dat nodig zijn), week later(als het lek er nog is) de media berichten) dan had de zaak natuurlijk anders gelegen.

Mogelijk had er dan in het bericht gestaan dat Tivoli willens en wetens de gegevens van 50.000 man niet goed had beveiligd.
(Het nadeel is dan dat je deze mensen niet meteen beschermd had, maar soms is de wereld gewoon te slecht voor jouw ideologieën.)

[Reactie gewijzigd door Lothlorien67 op 19 december 2011 22:41]

Misschien moet je dat juist wel doen, een berichtje naar de webbeheerder.
Eerst een berichtje naar de media (in dit geval dus tweakers.net) waarna Tivoli van een derde partij te horen moet krijgen dat er een hacker op hun website is geweest, is wellicht wat minder handig.
Juist niet. Het zet Tivoli wel in een (verdiend) kwaad daglicht omdat ze slordig met hun gegevens omspringen.

Als Ingratefully eerst naar Tivoli was gestapt zouden die gereageerd hebben met "F*ck off, smartass!", en daarna zou Tivoli naar de media alleen de reactie geven van "Nothing to see here, carry on", waardoor ze dus het hele verhaal onder het tapijt hadden kunnen schuiven.

Ingratefully heeft immers bewust de (IMO, zeer nette) keuze gemaakt om de gegevens niet even te 'backuppen' als verzekering dat Tivoli de hele handel verdoezelt, maar hij is daarvoor in de plaats eerst naar de media gestapt.

Toen de schijnwerpers op Tivoli stonden (ironisch genoeg, want normaal is het Tivoli die met schijnwerpers speelt :+) konden die immers niets anders doen dan even flink met een rood hoofd slikken en zeggen 'we hebben het gefixt'. Als er niets aan de hand was konden ze namelijk zonder blikken of blozen zeggen 'waar heb je het over'.

Tivoli is de enige die ethisch verwerpelijk handelt hier omdat ze de boodschapper (Ingratefully) willen lynchen voor het aantonen van hun beveiligingsgat. Terwijl Ingratefully er juist voor heeft gekozen om zelfverzekerd in de openbaarheid te treden.

De echte criminelen konden intussen in de schaduwen hun werk doen zonder dat iemand ze lastigvalt. Als crimineel probeer je juist zo min mogelijk op te vallen.

Ik ben trouwens van mening dat Ingratefully zich juist wel moet profileren met de term 'hacker'. Met de toelichting daarbij dat "dit de werkwijze is waarop hackers zoiets horen te doen." Hij is een (white/grey hat) hacker en geen cybercrimineel.

[Reactie gewijzigd door Stoney3K op 20 december 2011 00:54]

Als Ingratefully eerst naar Tivoli was gestapt zouden die gereageerd hebben met "F*ck off, smartass!", en daarna zou Tivoli naar de media alleen de reactie geven van "Nothing to see here, carry on", waardoor ze dus het hele verhaal onder het tapijt hadden kunnen schuiven.
Aannames en speculatie. Jij weet helemaal niet hoe het bedrijf gereageerd zou hebben, met welke toon en met welke snelheid.

Je neemt maar dingen aan vanuit je eigen perspectief. Een tamelijk ongezond perspectief ook nog.

[Reactie gewijzigd door joopv op 20 december 2011 14:06]

Mail ontvangen:

Beste,

De aangifte is een strikt formele stap geweest. Omdat wij als organisatie in de toekomst aansprakelijk gesteld zouden kunnen worden als blijkt dat er bij de hackingsactie toch gegevens zijn gekopieerd dan zijn wij daartegen niet verzekerd als wij geen melding hebben gedaan van de hackingsactie. Wij zijn uitdrukkelijk geen zaak gestart tegen de hacker.

In dit nieuwsbericht gaan we hier dieper op in: http://www.tivoli.nl/nieu...slek/datum/di-20-dec-2011


Met vriendelijke groet,

Yoni Drijfhout
Medewerker Marketing en Communicatie
Aanwezig: di, wo, do, vr
Tivoli
"Wij zijn uitdrukkelijk geen zaak gestart tegen de hacker."

Beseft men niet dat een aangifte betekent dat het volledige politieapparaat hier zich potentieel op stort? Complete waanzin om iemand die juist gehandeld heeft zo te behandelen. Lekker zakelijk bekeken dit. Zich duidelijk niet beseffend dat de volgende keer de boel op pastebin verschijnt. Of jarenlang geplunderd zonder dat iemand het doorheeft.

En hem dan nog kaartjes aanbieden ook, zodat de politie hem zo mee kan nemen.

Het wordt eens tijd voor regelgeving waarbij er daadwerkelijke consequenties volgen voor mensen die grote databases beheren en daar geen voldoende beveiliging op toepassen en dus nalatig zijn. Identiteitsfraude is geen grap, dit kan je leven jarenlang verpesten.

Burgerinitiatief?

[Reactie gewijzigd door Insomniac op 20 december 2011 16:51]

Dit is inderdaad de standaardmail! Die kreeg ik ook, en ik denk - NEE IK HOOP - dat vele Tweakers deze ook hebben mogen ontvangen. :+
Hier ook. Moet zeggen dat het nieuwsbericht verhelderend is.
Ik vind dat een update of een nieuw bericht op T.net nu wel op zijn plaats is :) #zokanhetdusook
Tivoli-directeur Margriet van Kraats stelt dat het poppodium uit voorzorg aangifte zal doen bij de politie in Utrecht. "Het is nog onduidelijk wat de consequenties zijn van de hack. Daarom hebben we besloten om aangifte te doen".

Lijkt mij zinvol dat iedereen die (mogelijk) in de database van Tivoli voorkomt ' uit voorzorg ' aangifte gaat doen tegen Tivoli.
Mocht later blijken dat er informatie misbruikt is, dan heb je in ieder geval Tivoli aansprakelijk gesteld.. wat een ongelofelijke domme organisatie en zeer slechte PR om nu tegen ' de hacker ' aangifte te doen ipv de hand in eigen boezem te steken...

verder moet natuurlijk onderzocht worden of deze database aan de wettelijke eisen voldeed.

[Reactie gewijzigd door 187449 op 19 december 2011 21:50]

Email gestuurd naar Tivoli:

Goedendag,

Ik heb een opmerking na het lezen van het volgende artikel:

nieuws: Tivoli gaat aangifte doen tegen hacker - update

Ingratefully geeft aan dat er een lek gevonden is op jullie site via tweakers.net. Het artikel wordt geplaatst na het lek is gedicht en jullie doen vervolgens aangifte. Ik vind dit zeer kwalijk. De lek gaat om een SQL injectie wat elke week in het nieuws te vinden is. Elke beheerder zou zijn site(s) moeten controleren op deze lek/lekken.

Ik vind het zeer slordig van Eagerly Internet dat de site niet is gechecked op deze lek/lekken. Ook mijn gegevens staan in de database en ik vertrouw jullie erop om veilig met mijn gegevens om te gaan. Dit hebben jullie na mijn idee niet gedaan.

Wees dankbaar dat grey-hat hackers "lekken" aangeven en niet de gehele database online gooien.

Ik hoop dat een excuus wordt aangeboden aan Ingratefully en de aangifte wordt ingetrokken.

Vriendelinke Groet,
Zo deze is verstuurt aan Tivoli:
Geachte Tivoli,

vandaag heb ik via nieuwsbronnen vernomen, dat u naar aanleiding van de hack die recentelijk heeft plaatsgevonde, heeft besloten om de persoon hierachter alias 'Ingratefully' met juridische stappen te vervolgen.

Graag zou ik willen benadrukken dat deze mail, door een vaste klant van Tivoli, volledig onafhankelijk is opgesteld, met als doel mijn steun uit te spreken naar 'Ingratefully'.

Wat ik begrijp uit de reactie van de hacker, is dat hij jullie bewust op geen enkele wijze schade heeft berokkend, en jullie 'slechts' heeft gedwongen om accuut maatregelen te treffen, voor een probleem waar anderen blijkbaar al heel lang toegang toe hadden.

nieuws: Tivoli gaat aangifte doen tegen hacker - update

Ik weet niet of u bekend met de doelstellingen van Hackers, maar in uitzonderlijke gevallen, zoals deze, zet zich een individu in om de algemene veiligheid te toetsen.

Het feit dat deze hacker zich ongeoorloofd toegang heeft verschaft tot de gegevens van jullie bezoekers (waaronder ikzelf), ervaar ik niet als crimineel, daar waar jullie de ramen en deuren wijd open laten staan.

Waar ik echter door verbijsterd ben, is dat kennelijk jullie webontwikkelaar hier geen verstand van heeft, en ondanks de vele hacks die dagelijks plaatsvinden, dergelijke lekkages ongedicht laat. In mijn ogen zijn zij primair de oorzaak. Als webdesigner is het waarborgen van veiligheid en privacy het belangrijkste. Als webdesigner zeg ik: dit is gewoon prutsen!

Ik hoop dat u begrijpt dat de actie van 'Ingratefully' heeft bijgedragen aan een veiliger systeem voor de toekomst en dat u bereid zult zijn het dialoog aan te gaan en de kwestie te doorgronden, voordat er maatregelen worden getroffen die niet passend zijn.

Ik hoop dat u uw besluit in heroverweging zult nemen en dialoog verkiest boven strafmaatregel.

Met vriendelijke groet,

J.F. van der Aa
Nette reactie met uitleg van Tivoli:

http://www.tivoli.nl/nieuws/

"Er is van sommige kanten redelijk fel gereageerd op het feit dat Tivoli aangifte doet tegen het hacken van onze website. Een aantal van de reacties suggereert dat wij de partij die gaten in ons systeem heeft aangetoond beter kunnen bedanken. Graag schetsen wij de overwegingen waarom deze twee zaken hand in hand kunnen gaan.

De integriteit van de gegevens die wij beheren is voor ons van het grootste belang. Daarin investeren wij tijd en geld. Desondanks was ons systeem niet waterdicht. Daar zijn wij via de hackingsactie op gewezen en daar zijn wij blij mee. Wij hebben het gat direct kunnen dichten.

Omdat wij als organisatie in de toekomst aansprakelijk gesteld zouden kunnen worden als blijkt dat er bij de hackingsactie toch gegevens zijn gekopieerd dan zijn wij daartegen niet verzekerd als wij geen melding hebben gedaan van de hackingsactie. Vandaar dat wij die strikt formele stap hebben moeten zetten. Wij zijn uitdrukkelijk geen zaak gestart tegen de hacker en willen hem als dank twee kaartjes voor een concert naar keuze aanbieden."
tsja zo haalt met de fun wel uit het white hat hacker zijn...
die jongen waarschuwt de boel en helpt mogelijk erger voorkomen en dan ga je hem bestraffen erg jammer, en teleurstellede reactie van die poppodium :(
Ehm... zoals je kan lezen is het voor de verzekering wellicht noodzakelijk om aangifte te doen, anders keert de verzekering niet uit,.

Daarnaast is dit toch geen white hat, hij had toch geen toestemming om te hacken (of deed het op verzoek) van de organisatie? Dan is het eerder een grey hat hacker lijkt me?

Hij zit immers wel in systemen waar hij niet in hoort te zitten, ongeacht zijn bedoelingen. Dat heet nog altijd computervredebreuk, hoe goed bedoeld het (misschien) dan ook is.
Toch mag er weleens met een fris oog naar deze gang van zaken gekeken worden. Ook de verzekeraar is erbij gebaat dat Tivoli de beveiliging van zijn site goed op orde heeft, net zoals dat de verzekeraar vereist dat een bedrijf een degelijk alarm en goede sloten op zijn pand heeft. En het gaat hier om de persoonsgegevens van tienduizenden mensen, niet om de inboedel van Tivoli zelf. Misschien moet slechte beveiliging op zich ook gewoon strafbaar worden?

Dit soort mensen aan gaan klagen is een wassen neus. Je pakt er alleen de mensen mee die geen slechte bedoelingen hadden. Het is nu bekend dat het systeem slecht beveiligd was en nu is er wat aan gedaan. Wat weten ze van alle mogelijke eerdere gevallen waarin hetzelfde systeem is gehacked maar waarbij de hacker niet in de media trad maar doodleuk alle gegevens stilletjes doorverkocht? Dát zijn de mensen die je uiteindelijk wilt tegenhouden.

[Reactie gewijzigd door .oisyn op 19 december 2011 17:58]

Het probleem is alleen de media, als de "hacker" het enkel bij Tivoli gemeld had en die had het gefixed dan was er niets aan de hand geweest.

Nu weet ik niet of de hacker eerst naar Tivoli is gegaan en of die hem wel serieus namen, maar door het in de media te gooien is het hele spel verandert en moet Tivoli bijna wel aangifte doen.

Onderhands had er heel wat geregeld kunnen worden, nu kan er zeer weinig geregeld worden en moet er met veel externe dingen rekening gehouden worden.
Tivoli hoeft niks.

Ze doen dit echt zelf.

In de practijk blijkt gewoon dat hij gelijk heeft, immers komt het maar al te vaak voor dat er niks aan gedaan wordt tot er wel publiciteit is.

Als er hard gemaakt kan worden dat hij geen gegevens heeft of openbaar heeft gemaakt dan is er in mijn ogen niks aan de hand.

Dat is hetzelfde als even melden dat de lampen van een auto aan staan. Wel zo netjes. Maar er wordt altijd meteen spastich gehandeld.
Als ik bovengenoemde persoon was.. en het netjes oplost.. en nog stank als dank krijgt, denk je ook wel van volgende keer gooi ik alles wel op het internet en wis ik m'n sporen goed uit..


In plaats van dat Tivoli netjes tegen de hacker zegt, van "Hartelijk dank voor het melden, en vrij netjes hebt opgelost.. maar we hadden het liever zo en zo gezien" doen ze aangifte.. 8)7
nou dan denk je de volgende keer ook van.. pastebin is niet eens zo gek
Uit ervaring kan ik je vertellen dat dit niet werkt. Een tijdje geleden kwam ik er achter dat een website van een bepaalde gemeente een enorm lek had. Hierop had ik contact opgenomen met de bouwer van de website, een reactie gehad, maar er werd niets aan gedaan. Vervolgens (een week later) contact gehad met de gemeente zelf, wederom een bedankje, maar geen actie. Uiteindelijk was er een andere hacker die direct naar de media is gestapt. Toen kon het lek binnen een paar uur gerepareerd worden en stond er op de website "...na melding direct adequaat ingegrepen...".

Helaas is het soms nodig om de media in te schakelen om zuks op te lossen.
Aan de andere kant is rechtstreeks contact opnemen ook gevaarlijker, omdat ze dan een lead hebben hoe ze je kunnen vinden. Als je het via de media doet, dan wordt je beschermd, omdat ze als anonimiserende partij optreden. Zo lang de media zich netjes gedraagd, en niet een handleiding vrijgeeft hoe de site te hacken is, lijkt het mij een prima weg.

Strict genomen is het computervredebreuk, omdat SQL-injectie een technische ingreep is om onrechtmatig toegang te krijgen tot de gegevens. Het is echter ook wel zo dat de beveiliging zo erbarmelijk is dat het in mijn ogen vergelijkbaar is met een deur dichtplakken met plakband, en dan aangifte doen als er ingebroken is.
Verzekeringen doen niet wat goed is of logisch zou zijn maar wat het meeste geld oplevert. Gehoorbescherming wordt ook niet vergoed, apparatuur bij doofheid wel.

Een preventieve security audit zal wel niet vergoed worden, gehackt worden en dan de kosten claimen wel... dan is het voor Tivoli gewoon een afweging. Wat kost een lek aan slecht imago en claims, en wat kost een volledig getest en veilig systeem?

Maak je het strafbaar, wie stel je dan aansprakelijk. Het bedrijf? Wordt het gewoon een extra kostenpost in de vergelijking.
Verzekeringen keren toch ook niet uit als je de deur van je huis open laat staan en al je elektronica geroofd wordt? Of als je de sleutels van je auto in het contact laat zitten en je auto opeens weg is? Waarom zou de verzekering dan wel uitkeren als je de dupe bent van gestolen informatie die je slecht beveiligd online gooit?
Aan de andere kant zou Tivoli niet voldoen aan de wet bescherming persoonsgegevens dus waar ze mee bezig zijn is voor mij een duister verhaal.
Het is ook erg jammer dat mensen die op een fatsoenlijke manier een beetje druk op de beveiligingsketel zetten, op zo'n manier gestraft worden; ik heb persoonlijk wel respect voor mensen als Ingratefully- in tegenstelling tot Anonymous-jochies voor wie het een sport was om zoveel mogelijk gelekte gegevens online te knallen in plaats van de media dan wel het bedrijf zelf te waarschuwen.
Gehoorbescherming wordt ook niet vergoed, apparatuur bij doofheid wel.
Toevallig wat verzekeringen voorbij zien komen de laatste tijd, en gehoorbescherming zit er steeds vaker WEL in!
Goede zaak :D
Ik vind het tweeledig.Als hij eerst Tivoli op de hoogte gebracht had van het lek in plaats van direct naar de media te stappen dan had hij volkomen gelijk, zeker als Tivoli geen actie had ondernomen. Hij heeft Tivoli geen kans gegeven het juiste te doen.
Nu komt het een beetje over als aandachttrekkerij.

Je kan van Tivoli niet verwachten dat ze verstand van websites en beveiliging hebben, de verantwoordlijkheid ligt dan ook bij de webdeveloper.
Met zijn punt dat de developer dus wel meer verantwoordelijk is dan hij ben ik het wel eens.
Goed dat trouwens de naam van de developer erbij vermeld wordt, meteen hun reputatie een deuk.
SQL-injectie is wel behoorlijk amateuristisch.
De verzekering gaat nooit uitkeren. Een lek dat binnen een uur is gedicht? Eigen schuld, had voorkomen kunnen (en moeten) worden met een audit.
Ik denk niet dat Tivoli geld heeft voor een "audit"
Dat vindt ik toch altijd een beetje gemakkelijk. Als je een database aanlegt, ben je verantwoordelijk voor die gevoelige data en dat hoor je te beveiligen. Daar moet je maar geld voor uittrekken, en als je dat niet kan/wil dan moet je geen database aanleggen.

Op andere gebieden (die niet zo nieuw in de maatschappij zijn als de IT) is dat vaak prima geregeld en worden er veel voorwaarden aan ondernemers gesteld, om 'klanten' te beschermen tegen onprofessionele bedrijven. Bij databases met persoonsgegevens is er echter helemaal niets geregeld.
Er is geld om een database te maken, dus er is ook geld voor een audit. Als dat er niet is moet je gewoon geen database maken. Sim-pel.
Dan zijn ze dus nalatig lijkt me?
Die aangifte zou dan toch door het bedrijf die de site heeft gemaakt gedaan moeten worden, dit hangt trouwens wel af van het lek:
is het een lek door "user-error" of is het een bestaand lek (code == developer).

De verantwoordelijkheid wordt dan door gespeeld aan Eagerly Internet, die op zijn beurt dan aangifte zou moeten doen ( iig aanspraak op z'n aansprakelijkheids verzekering moeten doen, dit lijk me een fout van een developper)..

In ieder geval is er een fout advies aan tivoli gegeven (gezien de hoeveelheid script-kiddies die iig vroegah in tivoli rond hingen, zal tivoli inkomsten gaan mislopen), dit beschadigd het imago van tivoli
idd wel jammer. Dit soort hackers zijn er juist om echte problemen te voorkomen.

Liever dat het ontdekt word door een aardig persoon dan een paar malafide mensen die de informatie doorverkopen...

overigens nog een leuke strip over sql injectie:
http://xkcd.com/327/

het is toch ook eigenlijk te zot voor woorden dat dat soort dingen gewoon niet dicht gewerkt zijn :/
tsja zo haalt met de fun wel uit het white hat hacker zijn...
die jongen waarschuwt de boel en helpt mogelijk erger voorkomen en dan ga je hem bestraffen erg jammer, en teleurstellede reactie van die poppodium :(
Dus voortaan als je een auto-deur probeert open te maken die toevallig van het slot is, de deur weer dicht doet en er een briefje op plakt met 'Beste eigenaar, doe alsjeblieft je auto op slot' dan ben je gelijk een autodief, crimineel en zul je hangen aan de hoogste boom.

Tja, ze zeggen wel eens dat er geen goede daad is die ongestraft zal blijven. |:(
Ja, want waarom zou je deuren proberen open te maken die niet van jou zijn? Je hebt met je vingers van andermans spullen af te blijven.
Ja, want waarom zou je deuren proberen open te maken die niet van jou zijn? Je hebt met je vingers van andermans spullen af te blijven.
Ik mag toch hopen dat je het liever hebt dat ik met goede bedoelingen controleer of jouw deuren op slot zitten (en je daar ook netjes op wijs) voordat er iemand is die met minder goede bedoelingen de deur 'toevallig' open maakt en je hele auto of huis leegplundert.

Als iedereen zich 100% braaf zou gedragen en aan de wet zou houden hadden we namelijk helemaal geen sloten nodig.
Ik heb ook liever dat je van mijn auto af blijft, want wat als je iets had gevonden waar je daadwerkelijk zelf interesse in hebt? Ben je elke keer zo eerlijk of kwam het nu even zo uit?

En ik stel het al helemaal niet op prijs als je daarna de media op zoekt om te vertellen dat ik mijn auto open heb laten staan.
De vergelijking met een auto gaat hier mank. Een auto is prive bezit.

Een veel betere vergelijking is met een bank. Die beheert iets voor jou. En voor vele, vele anderen. Nu komt er iemand achter dat de achterdeur van de bank open staat en meldt dat. Op een hele nette manier, namelijk door die bank de gelegenheid te geven die deur dicht te doen en dan pas de media in te lichten.

Daar zou ik als bankrekeninghouder heel erg blij mee zijn. Ten eerste omdat iemand de moeite neemt om de bank op de hoogte te stellen van hun falen, ten tweede om de media op de hoogte te stellen zodat ik het als bankrekeninghouder ook weet. Dan kan ik namelijk de beslissing nemen om bij die bank te blijven of niet. Dat heet vrije markt economie waar voorkennis een groot no-no is.

Omgekeerd zal een bank het niet leuk vinden als ze zo in het nieuws komen en maatregelen nemen om herhaling te voorkomen. En misschien zijn andere banken ook zo slim om hun procedures toch nog maar eens onder de loep te nemen.

Dus hulde aan degeen die even aan de achterdeur van de bank voelde en melding maakte van een 'foutje'.
Op een hele nette manier, namelijk door die bank de gelegenheid te geven die deur dicht te doen en dan pas de media in te lichten.
Op een nette manier? Door eerst naar de media te stappen, en die zijn toevallig zo netjes om te wachten, het is niet duidelijk of de hacker dat ook was.
Als "de media" tweakers.net is, jazeker. Dit is niet de eerste keer dat een lek bij tweeakters wordt gemeld, en int tegenstelling tot veel andere media is er gebleken dat t.net wel degelijk iedereen eerst inlicht voor ze publiceren.

Vergeet niet dat het voor iemand van tweeakters een stuk makkelijker is om een directeur/beheerder/verantwoordelijke te spreken te krijgen dan voor Jan Lul. Die komt niet langs de secretaresse.
snap je dat het vergelijk met een auto niet opgaat?

beschrijf hun webite beter als een publiek toegankelijke 'winkel' waar een deur op een kier staat. Wie weet was het de wc maar... Maar na het checken, en zien dat het de toegang tot een ruimte met gasflessen was, geef je dit door (vanwege publieke veiligheid) aan de manager.

heel ander verhaal opeens? En ja je wil best zon gasfles, maar die heb je lekker laten staan...
Ik heb liever dat je gewoon met je tengels van mijn auto af blijft. Als de deur niet dicht zit is dat mijn probleem, niet het jouwe.

(Daarnaast is het ook gezonder voor je vingers, als ik de deur van slot laat ligt er meestal 50 kilo met scherpe tanden achter)
Ik heb liever dat je gewoon met je tengels van mijn auto af blijft. Als de deur niet dicht zit is dat mijn probleem, niet het jouwe.
En wat nu als er in die auto gegevens of spullen liggen van een paar honderd (of duizend, in dit geval) klanten? Dan is het namelijk niet meer alleen jouw probleem, maar ben je verantwoordelijk voor die klanten die mogelijk de dupe ervan worden.

Worden die gegevens/spullen door een kwaadwillend persoon gejat, naar wie gaan jouw klanten dan stappen om verhaal te halen? Dan is het excuus "maar er is ingebroken" niet meer erg geloofwaardig omdat je zelf zo dom was om de deur open te laten.
Dan is het namelijk niet meer alleen jouw probleem, maar ben je verantwoordelijk voor die klanten die mogelijk de dupe ervan worden.
Juist, dan ben ik verantwoordelijk, en niet jij, dus heb je er niks te zoeken, niemand heeft jouw die verantwoordelijkheid gegeven. Je kunt me hooguit vragen of ik mijn auto goed afgesloten heb, of me er op wijzen dat ik daar op moet letten. Niks geeft je het recht aan andermans spullen te zitten
@Zer0
Als jij verantwoordelijk bent, en je beveiliging is gebrekkig, dan ben je daarmee al heel verkeerd bezig. Door anderen te gaan vertellen dat ze niet aan je spullen mogen snauw je juist diegenen af die je mogelijk willen helpen door je erop te wijzen. De echte criminelen die zonder iets te zeggen deze database leegtrekken die laat je op deze manier gewoon hun gang gaan. En dan zie je wel in waarom deze manier van sociale controle dus niet werkt, in tegenstelling tot bij fysieke inbraken/diefstal.

Als je mij zo zou afsnauwen en er liggen spullen van mij in jouw auto (en jij geeft ook aan daar verantwoordelijk voor te zijn), en ik zie dat je auto gewoon open staat, dan denk ik dat ik bozer wordt op jou dan jij op mij. En dan kan je wel aankomen met dat het jouw auto is maar dat is dat vind ik dan een vrij egoïstische en onprofessionele houding. Bij dit soort lekken lijkt het wel of mensen de database zelf belangrijker vinden dan de persoonsgegevens... :? Wat kan mij die DB nou verrotten als mijn spullen er vandaan gejat kunnen worden! Een database kan je wel opnieuw bouwen, identiteitsfraude heeft veel grotere gevolgen en is bovendien het probleem van de klant - iets wat bedrijven serieus horen te nemen.

[Reactie gewijzigd door bwerg op 19 december 2011 23:18]

Niks geeft je het recht aan andermans spullen te zitten
Hetzelfde geld omgekeerd, nalatigheid: niets geeft jou het recht om andermans spullen die aan jou toevertrouwd zijn open en bloot voor iedereen ter misbruik aan te bieden...toch?

Ik geef toe dat het een grijs gebied is maar persoonlijk vind ik nalatigheid in dit geval toch een orde zwaarder dan iemand die in zijn eigen tijd semi-legaal bezig is om je te helpen, overigens zal dat laatste minder gebeuren: het wordt tijd voor flinke claims richting nalatige partijen, die komen er imho te makkelijk mee weg.
Als mijn spullen ook in jouw auto liggen, ben ik iig mede verantwoordelijk.

Als ik zie dat mijn buurman de sleutels in de voordeur heeft zitten, en hij is niet thuis en niemand komt, haal ik die sleutel uit de deur en hang een briefje op (ofzo).

Dar zou je je buurman dankbaar voor moeten zijn en zover ik weet, zijn mensen dat gelukkig ook. Zoniet, in wat voor maatschappij leven we dan ?

[Reactie gewijzigd door Madrox op 20 december 2011 12:49]

Sterker nog, ik vraag me altijd af of je nog zo illegaal bezig bent als je éigen gegevens op die site staan. Het lijkt me helemaal niet onethisch om te stellen dat iemand best even een kleine veiligheidscheck mag doen op databases waar zijn eigen gegevens in liggen (een SQL-injectie is niet moeilijker dan even de deur een duwtje geven, bij wijze van spreken). De enige die er enorm last van kan krijgen als mijn gegevens gejat worden ben ik zelf, en niet de beheerder van die database. Daarnaast: als de database beveiligd is kom je er niet in en is er helemaal niets aan de hand. Kom je er wél in, dan was de boel dus kennelijk lek en ben jij zelf als gebruiker de Sjaak, door een fout van hun kant. In beide gevallen was het heel redelijk om de beveiliging te testen, dus ze zouden er helemaal geen bezwaren tegen moeten hebben.

[Reactie gewijzigd door bwerg op 19 december 2011 21:52]

Maar hij controleert eerder of zijn auto wel veilig staat in bijvoorbeeld een parkeergarage.

Blijkbaar was deze "parkeergarage" niet veilig. Je laat bij Tivoli je gegevens achter, dan mag je toch wel kritisch kijken of deze gegevens wel veilig zijn en goed behandeld worden.

Goed behandeld worden zal wel (iets met assumption en fuckups) ;), maar veilig blijkbaar niet.

De vergelijking met de auto is niet eerlijk dus.

Het is meer dat jij spullen in een auto legt en even kijkt of de auto niet te makkelijk open te maken is voor echte kwaadwillende.
De vergelijking gaat ook mank. Je moet je voorstellen dat jouw gegevens opgeslagen liggen in een pakhuis, en er iemand alle deuren langsgaat om te kijken of dat pakhuis wel goed dicht zit.

Dit blijkt niet zo te zijn, en dat brengt hij naar buiten via de media. Men doet snel alle deuren op slot en het probleem is opgelost. Hierbij gaat het niet om een individuele auto, maar de belangen van al die mensen die (onterecht) vertrouwen hadden in de eigenaar van het pakhuis. De eigenaar van het pakhuis doet echter aangifte van inbraak, en wijst naar de persoon die de deur gecontroleerd heeft als schuldige. Dat laatste is natuurlijk bespottelijk - de eigenaar van het pakhuis had gewoon zijn deuren op slot moeten doen. Of om de analogie wat beter te maken: de ingehuurde beveiligingsdienst had alle deuren op slot moeten doen.

De eigenaar van de website is verantwoordelijk voor rare SQL-injecties. Die kan het weer afschuiven op de ontwikkelaar (bij het voorbeeld de beveiligingsdienst).
Ik denk zeker dat het een grijs gebied is als je auto's afgaat om te checken of de deur open is.

Een briefje ophangen lijkt me al helemaal onhandig, daar je anderen er op wijst dát de deur open is.

---

Eerlijk gezegd is het jammer dat er aangifte tegen de hacker wordt gedaan als hij niets heeft gedaan. Toch is het wel logisch, het bedrijf moet zich indekken.

Wel ben ik het er mee eens dat verzekeringen inderdaad een goede (digitale) beveiliging mogen eisen van bedrijven. Dat zou best nog eens een goede drijfveer kunnen zijn om hier in het verschiet meer op te letten.
Ik heb al verschillende keren gehad dat ik bij het uitlaten van de hond 's nachts een lampje nog zag branden in een auto, alsof een deur niet goed dicht is. Even kijken, ja, er zit inderdaad een deur niet helemaal goed in het slot. Maar ik durf die auto niet aan te raken dan... Stel je voor dat je de deur even goed dicht wilt doen en dat iemand je dan ineens in elkaar beukt omdat je aan zijn auto zit...
Ja, dan staan ze morgen maar met een lege accu. Als ze maar niet zo hard vloeken dat ze mij wakker schreeuwen op mn enige vrije dag.... (dinsdag)
Dit vind ik toch wel jammer, al met al, ik ken misschien niet het hele verhaal, maar van al het nieuws wat ik hierover had gehoord gedroeg Ingratefully zich vreselijk netjes en zou Tivoli (of eigenlijk de ontwikkelaars van de website) volledige verantwoordelijkheid voor het lek moeten nemen, in plaats van zich te richten op hun verzekeringsmaatschappij. :(
Misschien kunnen alle gebruikers aangifte doen tegen Tivoli omdat hun gegevens simpel op te halen zijn geweest door de x duizend hackers (chinezen, iran, ....)

Als Tivoli gewoon zegt dat ze dat moeten van de verzekering en er verder geen werk van maken is dat beter.
Er is toch niks te verzekeren. Behalve mogelijk door hun eigen laksheid.

Er liggen geen gegevens op straat door deze hacker. Mogelijk zijn de gegevens wel gehacked al eerder door andere waar ze niks van weten.

Maar daar denken ze niet over na.
Wanneer benadeelde gebruikers echter een schadeclaim indienen en ze die ook daadwerkelijk zouden krijgen, zou de verzekering dit mogelijk kunnen betalen. Daarna zou de verzekering natuurlijk weer een claim neer kunnen leggen bij degene die de website heeft gebouwd.

Ik weet niet of je je voor dit soort schade kunt verzekeren en of iemand daadwerkelijk een schadevergoeding zou kunnen krijgen, maar het is mijn inziens wel logisch dat een bedrijf zich hier tegen moet indekt wanneer dit alles nog onduidelijk is.
helaas is dit niet helemaal waar, aangezien in ons land alleen de gelede schaden verhaald kan worden dmv. een schade vergoeding. is het een onzinig smoesje om de schuld in de publieke opinie op een ander af te schuiven.

tevens is het niet zo dat Tivoli geen werk van de aangifte kan maken, aangezien het onderzoeks proces dan niet meer in hun handen ligt.

natuurlijk ook raar dat Tivoli zijn eigen regels niet kent, ze weten immers ook dat ze in een zaak tegen de hacker geen poot op hebben om op te staan als ze geen direct misbruik kunnen aan toenen... standaard gevalletje "maatschappelijk belang".

zelf ben ik als klant(ja, afgelopen week nog kaartjes gekocht) erg blij met deze hack... beter iemand die de "hack" nettjes meldt dan een blackhat hacker!

de enige echte "schuldige" is dat "uw dood eenvoudige sql-injectie aanvallen worden mede mogelijk gemaakt door" website bedrijfje...
Betaald de verzekering wel uit als het gaat om een eigen fout in de beveiliging van een website? Moet wel een all-risk verzekering zijn zeker.
Hij noemt zichzelf een grey hat hacker.
Door freaq, maandag 19 december 2011 17:44
tsja zo haalt met de fun wel uit het white hat hacker zijn...
die jongen waarschuwt de boel en helpt mogelijk erger voorkomen en dan ga je hem bestraffen erg jammer, en teleurstellede reactie van die poppodium :(
Correctie: Ingratefully noemt zichzelf grey hat.
Bron: nieuws: Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen

[Reactie gewijzigd door Barleone op 19 december 2011 18:42]

hij is geen white hat ! hij is een gray hat hij wenst een vergoeding voor zijn vondst een white hat hacker doet het voor niets en de veiligheid.
Inderdaad. Volgende keer gegevens harvesten en verkopen aan de hoogste bieder.

Echt niet te geloven dit. Eigenlijk zouden de gebruikers Tivoli allemaal moeten aanklagen voor het niet zorgvuldig omgaan met hun gegevens!

[Reactie gewijzigd door PhilipsFan op 19 december 2011 17:48]

Het is niet de bedoeling maar wel het gevolg inderdaad.
Als de Grey hat hackers het laten lopen omdat zij gepakt worden, slaan de Black hat hackers hun slag.
Tijd voor een collectief rechtszaakje tegen Tivoli, ze houden immers zelf al rekening met schadevergoedingen.
Tja, startpunt van een leuke discussie?

Hij wees niet alleen het bedrijf op het lek, hij misbruikte ook het lek om aan te tonen dat het lek was.
Zoiets als er opeens een "Ethical" inbreker bij de krant staat en daar staat met jouw adresboek staat om aan te tonen dat het slot op jouw voordeur geflipperd kan worden.
Het is nèt 1 stap te ver. (bel gewoon even aan en zeg het, net zoals dat mannetje van Ditzo, zal ik maar zeggen).
Jij moet er dan maar vanuit gaan dat hij alleen je adresboek heeft meegenomen of het alleen aan de krant heeft verteld of wat dan ook. Het feit dat hij ongevraagd spullen van je meneemt (of kopieert) zegt natuurlijk wel iets over de persoon in kwestie.

Dat iemand z'n beveliging niet op orde heeft, mag natuurlijk altijd gemeld worden, dat staat buiten kijf, maar wees wel "ethical" als je dat ongevraagd doet.
Het verschil is dat bij een inbreker, wit grijs of zwart, alleen jij de dupe bent. Bij een organisatie als (vul maar in) kunnen tienduizenden mensen de dupe van het (wan)beheer zijn.

Vergelijk het met een klokkeluider en wees blij dat iemand je op het gat wijst voordat tienduizenden aangifte gaan doen tegen (vul maar in).

Het is wachten op de individuen die inderdaad aangifte gaan doen. Niet tegen de goedwillende hacker maar tegen organisaties die verwijtbaar hun zaakjes niet op orde hadden. Ze hebben namelijk niet als goed huisvader voor de aan hen toevertrouwde data gezorgd.
Hierbij ga je er wel vanuit dat Tivoli het serieus zou nemen.

Heel wat hackers zijn communicatief simpelweg slecht en al helemaal op management taal, een mailtje met : "U bent gehaxxord" gaat zo goed als direct de prullenmand in.
Hoe goed bedoeld het ook is.
Off-topic:

Tegenwoordig krijgt iedereen les in communiceren :?

Vooral managers zouden daarin dus heel goed moeten zijn. Die moeten tenslotte niet alleen met andere managers kunnen communiceren maar ook met hun meerderen en minderen ;)

Als je als manager dus niet kunt begrijpen wat een ander je probeert duidelijk te maken ben je in mijn ogen geen manager.
Tja, als je niets kan laten zien word je wellicht niet eens geloofd ?
Kan iemand uitleggen waar de hacker ethiek gebleven is?

Ik dacht dat een fatsoenlijke hacker eerst het bedrijf in kwestie inlicht en pas als die na een redelijke tijd (en nog een herinnering) geen reactie geven, de publiciteit opzoeken.

Dit is ordinaire sensatiezucht en zelfverheerlijking.
Wat is een fatsoenlijke hacker? Ik zou zeggen een white-hat hacker die is ingehuurd om een site (met toestemming) te hacken om "gaten" te vinden om deze te kunnen dichten.

Het gaat hier om een IT'er die een lek heeft gevonden en de gehele database niet online zet. Ik vind dit fatsoenlijk.

Het gaat om een SQL injection die met simpele tools te comtroleren zijn. Om deze lek bij zoveel mensen onder de aandacht te brengen moet je de media zoeken. Niet de site mailen, wachten op een reactie (terwijl de site ondertussen gehacked kan worden door een niet fatsoenlijke hacker) en vervolgens in de doofpot te stoppen.

Hij heeft na mijn idee juist gehandeld. Sensatiezucht en zelfverheerlijking? Denk het niet gezien er aangifte is gedaan. Dit weerhoud alleen andere hackers om niets te melden of de gehele database online te gooien.
Ben je vergeten dat die aangifte pas achteraf gedaan is.

Iemand die een gat vindt en de database jat is een crimineel.

Iemand die een gat vindt en vervolgens als eerste naar de media stapt is wellicht geen crimineel maar wel een sensatiezoeker.

Iemand die ethisch volwassen is rapporteert naar het bedrijf in kwestie of de sitebeheerder. Geld / betaald worden hiervoor heeft niks met ethiek te maken. Ook als je er niet voor betaald wordt kun je ethisch verantwoord handelen.
Aan de andere kant is het ook niet echt ethisch te noemen dat er geen meldplicht is voor dit soort lekken. Stapt een hacker niet naar de media, dan krijgen mensen wiens gegevens in deze database staan hier nooit wat over te horen. Wat dat betreft is het opzoeken van de media helemaal zo slecht nog niet want het lijkt me redelijk dat dit soort dingen openbaar wordt gemaakt.

Het gaat niet om een hobby-knutselsite met een paar kleurplaten van Dora erop hé, maar om een vrij serieus iets (al lijkt het heel wat minder schokkend als dit soort hacks maar elke dag gebeurt maar dat maakt het eigenlijk juist erger).

[Reactie gewijzigd door bwerg op 19 december 2011 23:28]

Iemand die etisch volwassen is gaat niet random websites hacken "omdat ie het kan". Langs de andere kant moet Tivoli zelf maar hun zaakjes op orde houden en desnoods regelmatig maar een keer een audit laten doen. Als morgen wél de hele database online staat gaan ze ook niet gelukkig zijn daar.

Hoeft Ingratefully nu gestraft / vervolgd worden? In mijn ogen niet, de politie heeft wel wat beters te doen. Een waarschuwing lijkt me wel op zijn plaats. Als hij toch zo graag webistes hackt zou ik hem aanraden om er gewoon zijn beroep van te maken.

Dat Tivoli klacht indient is wss gewoon op aanraden van hun advocaat. Als je naar de hele opzet van het bedrijf / hun site kijkt vraag ik mij al af wie daar al klant WIL zijn :)
Dat dacht je verkeerd. Dat kon 20 jaar geleden misschien wel, maar dit soort dingen zijn veel te tijdkritisch om een proces van weken te doorgaan. Afgezien daarvan doet tweeakters.net, naar ik aanneem, aan bescherming van hun journalistieke bronnen, wat het minder makkelijk maakt om hen terug te vinden.

Het feit dat als tweakers het meldt het lek in een uurtje is gedicht geeft al wel aan dat "redelijke tijd en een herinnering" gewoon nergens voor nodig zijn. Als klant van Tivoli wil ik dat dit *nu* gefikst wordt, en niet na 2 weken als de beheerder daar eindelijk z'n mailbox leest.
Ingratefully dank voor vragen naar mening (ander platform >> twitter ) je hebt hem reeds. We hebben het gehad over sleutel en deurmat. In hoeverre vertel je op een podium nadien waar die sleutel ligt? Uitgaande blijft de vraag over het "waarom hebt je het zo gedaan?". Als daar een valide reden voor is dan sta ik achter de noodzaak van dit soort middelen.
Zie mijn complete statement, ik durf het geen reden te noemen. Meer een gedachtengang/werkwijze. http://pastebin.com/4wn3ZtA0

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True