Lek vervoersbedrijf snoert mond informaticastudenten
Een Amerikaans vervoersbedrijf heeft drie informaticastudenten aangeklaagd omdat ze tijdens de Defcon hackerconferentie een lek in het kaartsysteem wilde demonstreren. Via de kwetsbaarheid, die net als bij de OV-chipkaart zich in de gebruikte Mifare classic chip bevindt, kunnen metroreizigers volgens de studenten hun leven lang gratis reizen. De Massachusetts Bay Transportation Authority (MBTA) was niet blij met de ontdekking van het drietal en beweerde dat de presentatie enorme schade aan het vervoerssysteem zou kunnen aanrichten. Ook het Massachusetts Institute of Technology, de universiteit van de drie, moest zich verantwoorden omdat het de studenten geen verantwoordelijke "disclosure" zou leren.
Beveiligingsonderzoeker Eric Johanson laat weten dat het drietal tijdens de conferentie geen nieuwe informatie zou presenteren en dat de problemen al langer bekend zijn. Pas als onderzoekers openlijk de lekken en problemen kunnen bespreken die ze in systemen vinden, kunnen er betere gebouwd worden, aldus Johanson.
"Het verbieden van discussies over beveiligingslekken is schadelijk voor het functioneren van beveiligingsonderzoekers en heeft niet alleen een nadelig effect op bekendmaking, maar ook of dit soort belangrijk onderzoek in de eerste plaats wel wordt uitgevoerd, waarbij dit soort acties de wetenschappelijke vooruitgang behoorlijk belemmert." Het vervoersbedrijf wil nog een onbekende schadevergoeding en een verbod van de presentatie totdat alle lekken verholpen zijn. Iets waar de rechter het mee eens was. De studenten zullen nu in hoger beroep gaan.
De stukken die de MBTA indiende bevatte ook een vulnerability assessment rapport dat de drie studenten aan het vervoersbedrijf verstrekten. Het document is van 8 augustus, de dag dat de rechtszaak werd ingediend en is eigenlijk de informatie die de studenten de MBTA in eerste instantie niet wilden geven. Ironisch genoeg bevat het document meer details over het lek dan de presentatie die het vervoersbedrijf wilde verbieden. Doordat alle documenten openbaar zijn, kan iedereen die nu downloaden.
erg jammer dat de Amerikaanse wetgever denkt dit soort mentaliteit te
moeten stimuleren.
De schadevergoeding is natuurlijk helemaal lachwekkend. Een bedrijf moet
dus financieel beloond worden vanwege hun slechte beveiliging, door middel
van een boete opgelegd aan degene die dat aan de kaak stelt. Het is de
omgekeerde wereld zo.
voor de winst van de bedrijven en de aandeelhouders. In ieder geval is het fatsoen daar ondergeschikt aan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.