Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Submitter: wiked

Een groep hackers dreigt vertrouwelijke informatie te publiceren die is buitgemaakt bij een inbraak op servers van kredietverlener Elantis. De hackers zouden voor vrijdag 150.000 euro willen hebben, maar Elantis zegt niet te willen betalen.

De onbekende hackers stellen dat de informatie eenvoudig was buit te maken, omdat de gegevens op de servers van Elantis onbeveiligd opgeslagen waren, zo meldt persbureau Belga. Als bewijs zouden zij een aantal klachtenmails van klanten gepubliceerd hebben, terwijl zij ook zeggen gegevens als identiteitskaartnummers in handen te hebben. De hackers ontkennen dat er sprake zou zijn van chantage; zij spreken van een 'idiotentaks' die Elantis zou moeten betalen wegens het onvoldoende beveiligen van hun website.

Volgens Elantis gaat het vermoedelijk om gegevens die particulieren en makelaars op een website hebben ingevoerd voor het berekenen van mogelijke leningen. De betreffende site is inmiddels offline gehaald en het bedrijf stelt dat de servers van moederbedrijf Belfius niet zijn getroffen.

De kredietverlener meldt dat het niet zal toegeven aan chantage en ontkent dat de gegevens gebruikt kunnen worden om fraude mee te plegen. Het bedrijf heeft aangifte gedaan en belooft makelaars en mogelijk getroffen consumenten schriftelijk te benaderen met een toelichting.

Moderatie-faq Wijzig weergave

Reacties (60)

Afdreiging is hier meer van toepassing dan afpersing. In art. 317 Sr wordt "door geweld, of bedreiging met geweld" geŽist.

318 Sr heeft het nadrukken over het openbaren van een geheim (evt zelfs bedreiging met smaad).

Artikel 318 1.
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

2. Indien het feit wordt gepleegd met het oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken, wordt de op het feit gestelde gevangenisstraf met een derde verhoogd.

3. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd is.
Indien het de Belgische wet betreft dan zou dit artikel 331 van het Strafrecht BES zijn.

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordeelen, door bedreiging hetzij met smaad, smaadschrift of openbaring van een geheim, hetzij met klachte of aangifte van een strafbaar feit bij de overheid, iemand dwingt hetzij tot de afgifte van eenig goed dat geheel of ten deele aan dezen of aan een derde toebehoort, hetzij tot het aangaan van eene schuld of het tenietdoen van eene inschuld, wordt, als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste drie jaren.
als je het zo letterlijk neemd is bjna niets meer afpersing behalve kidnapping zaken...
Indien je een lek misbruikt om geld te eisen dan lijkt dat op chantage.

artikel 317 strafrecht:

1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het tenietdoen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt, als schuldig aan afpersing, gestraft met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie.

Echter kan je je afvragen of de negatieve publiciteit het waard is geweest om niet te betalen.
Wat ze nu ook doen, de negatieve publiciteit hebben ze al. Het is meer wat ze nu doen dat bepaalt of ze volledig afgeschreven worden, of nog een beetje kredietwaardigheid houden. Toegeven aan deze hackende afpersers betekent de deur opengooien voor meer van deze acties. Weigeren betekent vermoedelijk dat de hackers weinig met de gegevens kunnen behalve doorspelen aan medecriminelen, en met een beetje geluk voelen ze zich daar 'te goed' voor, en gooien ze alleen een deel online.

Wat ze ook doen, ze zullen de gecreeerde schade moeten aanpakken, door alle mogelijk gejatte gegevens te (laten) veranderen en de mensen in kennis te stellen. Ook bij betaling is er geen garantie dat je veilig bent.

Hoewel een idiotentaks een leuk idee lijkt is het wellicht niet aan ons om te bepalen wie em betaalt. Ik vind bijvoorbeeld <politiekestromings>aanhangers complete idioten, maar zie geen reden om daar acceptgiros door de bus te doen omdat anders <stom dreigement>. Da's het recht in eigen hand nemen, en daar treedt de wetgever (terecht) streng tegen op.
De kredietverlener meldt dat het niet zal toegeven aan chantage en ontkent dat de gegevens gebruikt kunnen worden om fraude mee te plegen.
Alles goed en wel, maar het is natuurlijk wel een stuk privacy schending. Ik zou het zeer onprettig vinden als mijn kredietverzoeken op straat kwamen te liggen, ook al zijn het maar inventariserende verzoeken.

Hulde dat ze niet toegevan aan chantage, maar een blamage dat het zover is gekomen.
Ik vind het geen chantage.. Ze moeten gewoon zorgen dat alles goed beveiligd is en t feit dat de hackers het aanbieden voor geld heb ik liever dan dat ze de data verkopen aan criminelen.
Als er straks mensen bij jou de tent leeg halen en je bellen met het bericht dat je voor een paar honderd/duizend(afhankelijk van waarde) euro je spullen terug krijgt onder het mom van idioten taks, had je maar een betere inbraak installatie moeten hebben zou jij dat dus betalen want het is geen chantage?

Of je scooter/fiets/auto jatten? Had die maar beter opslot moeten staan.

Er word ingebroken op de servers (strafbaar), er word data gestolen (strafbaar) en er word losgeld geeist (strafbaar) en jij vind dus dat het gewoon moet kunnen omdat de mogelijkheid er was?

Verder word er nutteloze data als "bewijs" aangebracht in plaats van de gevoelige data die zei zeggen te hebben. Ik ben het geheel eens met Elantis om er niet op in te gaan. Wie weet zijn die klachtmails ergens op een forum gepost en proberen ze er op deze manier makkelijk geld uit te halen. Zo kan ik ook Ziggo chanteren.
Ik denk dat je hier wel de essentie neerzet, had je maar beter opslot moeten staan. Dit geeft aan dat je enige vorm van beveiling hebt genomen integenstelling tot wat hier het geval lijkt te zijn.
Ik ben het niet zozeer met de stap eens dat er losgeld moet worden geeist echter wel dat de admins verantwoordelijk voor deze server terecht dienen te staan. De grens wat wel/niet beveiligd is mag misschien niet altijd even zwart/wit zijn maar in dit geval is het toch duidelijk geen beveiliging en hier mag zeker iemand voor verantwoordelijk worden genomen. Ik durf het nog verder te stellen, hoe komt dat hier geen regelgeving eigenlijk voor is? Er zijn talloze complexe regels omtrend hoe je met iemands privacy moet omgaan en overheden staan te popelen om partijen zoals Google aan te klagen maar in een dergelijke situatie waar nu sprake van is hoor je niets. Ik heb zelf meer vertrouwen in hoe Google met mijn gegevens omgaat dan een hobbyistenfirma als deze.

En hoe nutteloos deze informatie is ik denk dat je als host hier zeker wel op de hoogte van bent wat wel/niet legitiem is. Dit is niet zo lastig om klachtenmails te achterhalen of ze via een forum of daadwerkelijk van je server komen.

Terugkomend overigens op het jatten van je scooter, als je deze niet op slot zet (afhankelijk van je verzekeraar) en niet vastlegd keet deze gewoon niet uit. Hier is niet sprake van het niet vastleggen van de scooter maar gewoonweg met de sleutel erin weglopen. Moeten we dit accepteren? Ik vind het een kwalijke zaak hoe men met andermans gegevens omgaat.
Staat hacken (en chanteren) eigenlijk niet gelijk aan criminele activiteiten?
Er is een verschil tussen hacken en cracken, zie:
http://nl.wikipedia.org/wiki/Hacker
http://nl.wikipedia.org/wiki/Computerkraker

Hun zijn Crackers en chanteren Elantis welke beiden illegaal zijn en waar een gevangenisstraf op staat. En die idiotentaks zoals hun het noemen, zouden hun wel enkele miljoenen meer mogen betalen, paupers.

Kwalijk dat deze gegevens publiekelijk toegankelijk waren, maar toch goed dat ze niet toegeven aan deze criminelen.

Ik begrijp nog steeds niet hoe iemand als programmeur of systeembeheerder zulke grote fouten kan maken. Als ik een netwerk of systeem in elkaar zit, is het eerste wat ik doe: bedenken wat de eind gebruiker moet kunnen en kunnen zien en wat niet, en er ook voor zorgen dat het ook op de juiste manier beveiligd is.
Die NL Wikipedia legt het lang niet zo goed uit als de Engelstalige versie:
http://en.wikipedia.org/wiki/Hacker_(computer_security)

Je mag hen gewoon hackers noemen, ipv 'hun zijn crackers', dat is de meest gangbare en geaccepteerde benaming. Crackers staan in het keukenkastje en in de NFO van je warez :)

Maar on-topic: Het betreft vaak nog oude/legacy software, b.v. 10-15 jaar geleden was security echt een ondergeschoven kindje. En er was meer vraag dan aanbod, nog even los van de geleverde kwaliteit.

Daarnaast heb je altijd zaken als 0-day exploits, zwakke wachtwoorden, gehackte/virus-infected/zombie laptop met daaruit (b.v. FTP/mail) wachtwoorden gestolen, 3rd party software, het 'histirisch gegroeid' scenario, menselijke fouten, etc.

Beveiliging gaat verder dan wat injection-checks + een fatsoenlijke firewall, er spelen ook business belangen, kostprijs en management-beslissingen mee. En zeker anno 2012 wil niemand de gepeperde rekening oppakken om allerlei software te herschrijven zonder een fatsoenlijke business-case. Nee, pleister erop, vooral niets zeggen en duimen maar ... vrouw & kinderen eerst :)

Tevens onderschat/marginaliseer je de creativiteit en kennis van serieuze hackers, als het 'op juiste manier beveiligen' - in de praktijk - zo makkelijk was, dan was het niet elke week nieuws ... Vergeet niet dat een hacker - in principe - maar 1 zwakte/bug/exploit hoeft te vinden, terwijl de 'beschermers' de onmogelijke taak hebben om 'foutloos' te blijven.
Je mag ze hackers noemen... geen hennen of hunnen. /offtopic
Lijdend voorwerp = hen.

@lblies: VPN, IP whitelist en verificatie SMS is niet altijd erg gebruiksvriendelijk genoeg, Stel dat het een extranet-app betreft voor (externe) leveranciers wereldwijd (VPN issues, IP changes, SMS werkt niet overal). Dat houd je niet droog bij de business.

Deel je mening dat een ww-DB dan alsnog niet beschikbaar zou moeten zijn, maar het is helaas vaak wel de realiteit.
IP Whitelisting wordt zelfs door mondiale spelers gebruikt bij bedrijfskritische processen. Het is dan bij wijzigingen in je netwerk ook zaak om je leveranciers / afnemers tijdig op de hoogte te stellen ;)
Waarom is deze data bereikbaar via het internet?
Ik kan me voorstellen dat je mensen wilt laten thuiswerken, maar dan zou ik het met een driedubbele beveiliging laten werken,
VPN, lijst met ip-adressen en nog een verificatie via sms.
En dan nog blijf je met de vraag of alles bereikbaar moet zijn. Ik begrijp dus echt niet waarom een database met wachtwoorden via www te bereiken is.

Mogelijkheden zijn er wel, maar het implementeren laat op zich wachten.
[...]
En die idiotentaks zoals hun het noemen, zouden hun wel enkele miljoenen meer mogen betalen, paupers.
[...]
De kreet: "idiotentaks" spreekt me ergens wel aan. Ze zijn alleen iets te vroeg, maar toch, als de staat er geen boete op zet, op slecht beveiligde websites, misschien moeten we dan toch maar een soort "particulier initiatief" opzetten met een vergelijkbare boete.
@hatsjoe: Ik moet even niezen vooral om de laatste alinea. Als ik..........
Ik denk dat in dit geval het grootste probleem hem zit in de chantage die zij met de buit gemaakte gegevens voeren. Overigens betwijfel ik of deze hackers gepakt zullen worden. Of ze zijn gigantisch dom of ze weten heel goed waar ze mee bezig zijn en zullen waarschijnlijk wel ergens in een voor ons Nederlanders onbereikbaar land zitten.
ik vind hacken en vervolgens netjes aangeven dat iets lek is een goed punt maar hacken en vervolgens geld vragen is gewoon crimineel.
ongeveer hetzelfde als je kind kidnappen je gaat iemand zijn domein binnen en neemd iets mee dat niet van jou is en vraagt er geld voor.
dat is en blijft crimineel hoe je het ook probeerd te draaien.
deze lui mogen van mij als gepakt dan ook voor de rest van hun leven een computerverbod krijgen.
Ik hoop serieus dat jij nog geen 18 bent. Ook al zou je er 100x over kunnen vallen dat die bank de boel niet goed op orde heeft, waarom moeten de gebruikers van die bank daar dan de dupe van worden!?!?

Als je denkt dat dit geen chantage is, dan ken je de betekenis van het woord niet.
Umm geen chantage?
De hackers ontkennen dat er sprake zou zijn van chantage; zij spreken van een 'idiotentaks' die Elantis zou moeten betalen wegens het onvoldoende beveiligen van hun website.
Als ze dan zogenaamd idealistisch bezig zijn, zouden ze moeten afdwingen dat Elantis een bepaald bedrag gebruikt aan de verbetering van hun beveiliging.

Elantis zou bovendien wel gek zijn om te betalen. Als er eenmaal 150.000 Euro wordt betaald aan hackers, vrees ik dat het schaap over de dam is en websites massaal gehackt zullen gaan worden met losgeld-eisen. Dat moet je ook niet willen lijkt me.

En daarbij, al zal Elantis dit bedrag betalen, dan nog is er geen garantie dat deze hackers de informatie alsnog gaan doorverkopen aan zwaardere criminelen.
Aan de andere kant, kan men het geld niet volgen?
Die hackers _zijn_ criminelen.

Het maakt niet uit hoe je aan de informatie komt, maar op deze manier geld vragen is simpelweg afpersing, zoals beschreven volgens het wetboek.

[Reactie gewijzigd door Keypunchie op 2 mei 2012 16:02]

Je hebt gegevens bemachtigd die niet van jouw zijn en daarmee probeer je een bedrijf geld afhandig te maken.

HOE is dit geen chantage?

Dit is uiteraard afgezien van het feit dat ik het met je eens ben dat de beveiliging wel eens omhoog mag bij sommige bedrijven. Dit had echter ook gemakkelijk gekund via de betreffende systeembeheerder of programmeur.
Ten eerste zijn het zelf criminelen, dat zijn ze geworden zodra ze geld vroegen. Ten tweede is er geen enkele garantie dat ze de gegevens niet alsnog doorverkopen. Ik begrijp niet waarom mensen ook maar een greintje sympathie hebben voor dit soort individuen. Normale mensen die niets aan de beveiliging van de gegevens kunnen doen zijn de grootste slachtoffers van dit soort acties.
Je moet me 1000 euro betalen, anders gooi ik een Molotovcocktail bij je naarbinnen. Is geen chantage hoor, moet je maar beter je brandbeveiliging op orde hebben, zie het als een idioten-tax...
Niet alleen dat. Stel dat de hackers er wel in slagen om er fraude mee te plegen, dan is Elantis nog verder van huis. Het is gewoon een keiharde bewering die ze niet kunnen staven denk ik.
Idiotentaks is leuk gevonden, maar gewoon chantage, tenzij het geld naar een goed doel gaat.
Wordt er beroerd van dat fouten van anderen altijd 'bestraft' moeten worden. We kunnen elkaar toch helpen? Als er maar geleerd wordt van de gemaakte fouten, toch?
Omdat alle bedrijven een shitload aan informatie van je opslaan, niet versleuteld en slecht beveiligd. Negen van de tien keer verdienen ze aan jou, maar nemen geen verantwoording voor wat er met jouw data gebeurt.

Nogmaals: ik keur deze 'gijzeling' niet goed, maar ik zou het normaal vinden als er blijkt dat bedrijven gegevens niet goed opslaan (dus onversleuteld bij bijv. financiele gegevens) en/ of slecht beveiligen gewoon bedrag X per record mogen lappen, waarbij de helft aan de klanten wordt betaald en de rest boete is.
Dus een overval is geen overval als de overvallers het geld geven aan arme kindjes?
klinkt idd een beetje als robin hood :D
tja, en wie bepaald nu wat er 'arme kindjes' zijn.. In die zin kan ik ook zeggen dat ik een 'arm kind' ben..
Quote: De hackers ontkennen dat er sprake zou zijn van chantage; zij spreken van een 'idiotentaks' die Elantis zou moeten betalen wegens het onvoldoende beveiligen van hun website.

Idiotentaks? Pure chantage als je het mij vraagt... Waarom een 'idiotentaks'? Stel gewoon de beheerder op de hoogte van een lek dat je bent tegengekomen. Dat is veel netter en siert de hacker beter.

Wordt er beroerd van dat fouten van anderen altijd 'bestraft' moeten worden. We kunnen elkaar toch helpen? Als er maar geleerd wordt van de gemaakte fouten, toch?
Goed doel of geen goed doel, dit is chantage.
Dat het niet had mogen gebeuren, is correct, maar het is gebeurd.
Zie ik daar nu "moederbedrijf Belfius" staan of beeld ik me dat nu in? :)
Nope, de nieuwe naam van Dexia binnen BelgiŽ :)
Ik zie het ook staan, maar wat wil je daarmee zeggen?
als die §150.000,- naar een goed doel zou gaan is er zeker iets voor deze aktie te zeggen.
Maar dat geld zal in eigen zak gestoken worden waardoor ik dit af moet keuren.
Hoewel die "idiotentaks" wel iets heeft :)
Je moet al een complete idioot zijn om te denken dat een bedrijf zal toegeven aan dergelijke chantage in die zin is het inderdaad een leuke naam :-)
Denk er wel aan dat als dit echt waar is en de hackers publiceren zeer gevoelige klant gegevens, dat het bedrijf dan de deuren kan sluiten. Even commercieel denken. Wat kost meer.....?
En daarom heet het dan ook Chantage.
Ze hadden beter via een bieding kunnen verkopen.

Het inbreken op servers mag vaak de naam inbreken niet hebben.
Vaak is het via een open deur naar binnen lopen, wat foto's nemen en weer weglopen. Vraag mij af wat hier de straf op is?
Vind jij het ook prima als ik jouw huis leegroof omdat je blijkbaar het niet goed beveiligt heb, en het dan aan een goed doel weggeef?

Uiteraard mag geen enkel goed doel zon donatie accepteren zonder in bijzonder troebel water te komen.
ach goede doelen nemen het toch al niet zo nouw met wetjes en regeltjes en de salaris van de directeur.
alle goede doelen zijn in staat 30% van het geld te laten verdampen voor eigen voordeel wat het vor mij al geen goed doel meer is.
echte goede doelen worden gerund door vrijwilligers niet door lij aan de top die van goede donaties ieder jaar bijna een miljard achterover drukken.

maar verder heb je wel een punt:P
Vind jij het ook prima als ik jouw huis leegroof omdat je blijkbaar het niet goed beveiligt heb, en het dan aan een goed doel weggeef?
Zucht, waarom wordt er bij elke discussie over data leaks weer deze vraag gesteld? Dit heeft helemaal niets maar dan ook niets met inbraak in het huis van een prive-persoon te maken. Natuurlijk heeft een dief niet het recht om je huis leeg te roven als je het slecht beveiligd (hoewel ik denk dat iedereen het er mee eens is dat het niet handig is om je voordeur wijd open te laten staan terwijl je boodschappen gaat doen).
Elantis is een kredietverlener. Databeheer is een van hun kerntaken. We zouden er dus van uit mogen gaan dat ze daar enig werk in hebben gestoken. Stel dat er een bank zou zijn waar het geld niet in een kluis ligt maar gewoon in een kamertje in het pand, zonder camera's, zonder beveiligingspersoneel, zonder zelfs een slot op de deur. Iedereen die weet welke deur hij moet hebben kan er zo naar binnen lopen en er vandoor met het geld, zonder dat iemand het door heeft. Een dergelijke bank zou, direct na een overval alle klanten kwijtraken, fikse schadeclaims aan de broek krijgen en wellicht zou management zelfs (strafrechtelijk) vervolgd worden. Waarom doen we datzelfde niet in dit soort gevallen?
als die §150.000,- naar een goed doel zou gaan is er zeker iets voor deze aktie te zeggen.
Maar dat geld zal in eigen zak gestoken worden waardoor ik dit af moet keuren.
Hoewel die "idiotentaks" wel iets heeft :)
Sorry hoor, maar dit soort akties zijn NIET goed te praten, en het goede doel heeft niets aan dat geld aangezien het dan toch teruggeven moet worden wat ook nog eens een hele papieren rompslomp is en dus extra geld kost..
Hoe je het ook went of keert, het is en blijft chantage, en chantage mag nimmer geaccepteerd worden.

Ik hoop dan ook dat de daders achterhaalt kunnen worden en een zware straf krijgen. Ze hadden immers ook gewoon het lek kunnen melden.
Ik vind dit soort hackers het laagste van hun soort, want bij deze kraak raakt men de zwakkere mensen in onze samenleving.
Val dan liever bedrijven aan, zoals aandelenhandelaren, casinos, enz.
Of geef bedrijven als dexia adviezen om hun beveiliging te verbeteren (danwel tegen betaling).
Het vervelende voor Elantis is dat zij nu ook een mogelijke vervolging van de AFM te wachten staat. Immers heeft de AFM een regel waarin het aangeeft om klantengegevens altijd beveiligd op te slaan. Aangezien dit niet is gebeurd, kunnen ze dus dubbel 'genaaid' worden, om het maar zo te zeggen.
Huh? Elantis is toch een volledig Belgisch bedrijf, AFM is toch alleen actief in Nederland? Of hebben die ook bevoegdheden in BelgiŽ dan?

Zo niet, hoe kan de AFM dan sancties of regels opleggen aan een bedrijf dat enkel in het buitenland opereert?
maarja, wat is 'onbeveiligd'? voor een goede hacker is een beveiliging ook 'onbeveiligd'..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True