image

Vermeende beheerder LeakedSource met hulp van Nederland opgepakt

dinsdag 16 januari 2018, 10:10 door Redactie, 15 reacties

De Canadese autoriteiten hebben met hulp van de Nederlandse politie de vermeende beheerder van de website LeakedSource opgepakt. Het gaat om een 27-jarige Canadees die wordt verdacht van het verkopen van privégegevens. LeakedSource verzamelde allerlei informatie van gehackte websites en andere datalekken en bood die tegen betaling aan.

De database bevatte volgens de Royal Canadian Mounted Police zo'n 3 miljard privégegevens en bijbehorende wachtwoorden die tegen kleine bedragen gekocht konden worden. De beheerder van de website zou hiermee zo'n 247.000 Canadese dollars (162.000 euro) hebben verdiend. In een persbericht laat de Canadese politie weten dat de hulp van de Nederlandse politie en de FBI essentieel was bij het onderzoek naar LeakedSource. De website ging in januari 2017 offline.

Reacties (15)
16-01-2018, 10:31 door Anoniem
Ben supertrots op onze overheid,die ons met haar actie laat zien dat je niet moet sollen met andermans privegegevens !
16-01-2018, 11:25 door Anoniem
Door Anoniem: Ben supertrots op onze overheid,die ons met haar actie laat zien dat je niet moet sollen met andermans privegegevens !
Ik niet. Het is namelijk weer eens pure symptoombestrijding en zegt hooguit dat ze vinden dat sollen met privegegevens voorbehouden dient te zijn aan de overheid. Want als je kijkt wat ze daar doen en dan roepen "jamaar helemaal volgens de regeltjes, hoorrrr!" dan valt wat deze persoon gedaan heeft daar bij heel erg in het niet.

Wat is het geval? Deze gegevens lagen al op straat. Hij veegt ze op en maakt ze beschikbaar. Dat kost moeite en daar vraagt'ie een vergoeding voor. In zekere zin een nuttige dienst, "wat is er al over mij gelekt te vinden?" Belangrijker is dat het een fundamentele vraag oproept:

Hoe prive zijn gegevens die toch al op straat lagen? Lijkt me best een discussiepuntje.

Niet omdat ik goed wil praten wat'ie deed, maar wel omdat we hier eens goed over na moeten denken. Met alle bergen privegegevens op zo vreselijk veel plaatsen hebben we onszelf al verzekerd van regelmatige lekken en dus is het opvegen hiervan kinderspel. Je hoeft maar te wachten en je databases met gelekte gegevens worden vanzelf voller, en je plaatje dus vanzelf completer. Dus een beetje vingerzwaaien helpt niet. Dus is dit leuk geprobeerd maar, zoals gezegd, symptoombestrijding.

Wanneer gaan we privacy nou eens echt serieus nemen?

Daarom ben ik er niet trots op: Deze vingerzwaaiactie is gewoon niet goed genoeg om echt iets uit te halen maar kan wel mooi gebruikt worden om net te doen of de overheid wat nuttigs doet. Het is (weer eens) schone, maar lege, schijn.
16-01-2018, 12:27 door karma4
Door Anoniem: ....
Wanneer gaan we privacy nou eens echt serieus nemen?

Daarom ben ik er niet trots op: Deze vingerzwaaiactie is gewoon niet goed genoeg om echt iets uit te halen maar kan wel mooi gebruikt worden om net te doen of de overheid wat nuttigs doet. Het is (weer eens) schone, maar lege, schijn.
Met privacy serieus nemen moet je de criminelen en misbruikers aanpakken.
Het is kwalijk het probleem bij slachtoffers te laten liggen.
Je argumentatie is ook al fout veel bedrijven hebben al veel data persoonsgerelateerd in huis. Met jouw insteek is omdat ze het toch al hebben maakt het niet meer uit wat ze er mee doen. Privacy is juist dat dat wel uitmaakt wat er mee gebeurt.

Kunnen we van hetgeen beschreven is in het artikel tenminste goed gedaan hebben.

[Ik niet. Het is namelijk weer eens pure symptoombestrijding en zegt hooguit dat ze vinden dat sollen met privegegevens voorbehouden dient te zijn aan de overheid.
Zeg je nu dat je problemen hebt om je sociaal te gedragen en de wetten van het land waar je leeft te volgen?
Dat is pas echt problematisch.
16-01-2018, 12:43 door Anoniem
Door karma4:
Door Anoniem: ....
Wanneer gaan we privacy nou eens echt serieus nemen?
Met privacy serieus nemen moet je de criminelen en misbruikers aanpakken.
Ik zeg dat je de kat niet op het spek moet binden.
In context zeg jij dan dat je de op het spek gebonden kat moet aanpakken.
Ik begon dus al met "dat werkt dus niet".

Het is kwalijk het probleem bij slachtoffers te laten liggen.
Dat is niet wat ik zei te doen.

Je argumentatie is ook al fout veel bedrijven hebben al veel data persoonsgerelateerd in huis.
Ik zeg nou net, dat is het probleem. Dus hoe dat van mij "fout" is en van jou een argument tegen deze "fout" ontgaat me even.

Met jouw insteek is omdat ze het toch al hebben maakt het niet meer uit wat ze er mee doen. Privacy is juist dat dat wel uitmaakt wat er mee gebeurt.
Ik zeg nou net dat dat het probleem is: Het moet uitmaken, maar in de huidige realiteit heeft het nauwlijks zin te proberen het wat te laten uitmaken. Daar moet dus iets veranderen.

Ik zeg vrij duidelijk dat wat hier gerapporteerd wordt, hetzelfde is als dwijlen met de kraan open. Ik zeg dus, tijd om die kraan dicht te draaien. En dan kom jij klagen dat dweilen een gerespecteerd ambacht moet zijn en of ik iets tegen dweilers heb ofzo. Dan heb je dus gewoon niet begrepen waar het over ging. Want ik zei, doe die kraan dicht. En dat soort dingen zeggen, dat mag dus niet van jou. Logisch.

Kunnen we van hetgeen beschreven is in het artikel tenminste goed gedaan hebben.
Wat hier gebeurt is pappen en nathouden binnen de bestaande praktijk van lekkende data overal. Het is zinloos. Dat is nou precies het discussiepunt. Begrijpend lezen, begrijp je.

Ik niet. Het is namelijk weer eens pure symptoombestrijding en zegt hooguit dat ze vinden dat sollen met privegegevens voorbehouden dient te zijn aan de overheid.
Zeg je nu dat je problemen hebt om je sociaal te gedragen en de wetten van het land waar je leeft te volgen?
Dat is pas echt problematisch.
Nee. Ik zeg iets compleet anders. Maar iets zegt me dat jij nog nooit een goed cijfer voor "begrijpend lezen" gehaald hebt. Vraag maar aan iemand anders om het je langzaam en in kleine woordjes nog een keertje uit te leggen.
16-01-2018, 12:52 door Anoniem
Door Anoniem: Hoe prive zijn gegevens die toch al op straat lagen? Lijkt me best een discussiepuntje.
Dat is geen discussiepunt. Gegevens van personen uit Nederland, en Europa, zijn eigendom van de persoon over wie de gegevens gaan. Iedere verwerker van die gegevens moet kunnen aantonen dat die per persoon toestemming heeft om de gegevens te verwerken. Voor privegebruik kan dat anders liggen, maar dat is aan het openbaar ministerie, de verdachte en de rechter om over die grens te laten oordelen of het om privegebruik gaat. De wet gaat uit van het principe dat de gegevens beschermd zijn tenzij anders bewezen.
16-01-2018, 12:55 door Anoniem
En dan de grote vraag, heeft iemand deze DB al laten uitlekken?
16-01-2018, 12:55 door Anoniem
Door Anoniem:
Door Anoniem: Ben supertrots op onze overheid,die ons met haar actie laat zien dat je niet moet sollen met andermans privegegevens !
Ik niet. Het is namelijk weer eens pure symptoombestrijding
Hoezo is het symptoombestrijding? Vergelijk het met diefstal en heling, allebei illegaal. Een heler vervolgen wil nog niet zeggen dat dieven dus met rust gelaten worden. Zowel dieven als helers vervolgen is ook een mogelijkheid, en dan is het vervolgen van helers geen symptoombestrijding.

Een paar seconden zoeken en ik kwam al iets tegen dat suggereert dat die site en zijn beheerder minder onschuldig zijn dan jij lijkt te denken: https://krebsonsecurity.com/tag/leakedsource/
en zegt hooguit dat ze vinden dat sollen met privegegevens voorbehouden dient te zijn aan de overheid.
Laat vooral niet tot je doordringen dat de strenge Europese privacywetgeving uit de koker van overheden komt. En laat vooral ook niet tot je doordringen dat binnen die overheden niet alle neuzen dezelfde kant op wijzen, dat er verschillende deelbelangen verdedigd worden, en dat je dus kan meemaken dat "de" overheid soms duidelijk een privacyvoorvechter is en soms duidelijk niet, afhankelijk van wie op dat moment aan het woord is en welk deelbelang die verdedigt. Heb je wel eens in een organisatie van meer dan één persoon gewerkt? Dan kom je er snel achter dat niet iedereen altijd dezelfde opvattingen heeft. Als je dat soort dingen door laat dringen loop je het risico nog iets van de wereld en de mensheid te gaan begrijpen.
Hoe prive zijn gegevens die toch al op straat lagen? Lijkt me best een discussiepuntje.
Ook als je persoonsgegevens verwerkt die elders gelekt zijn verwerk je persoonsgegevens. De regels die daarvoor gelden blijven gewoon van toepassing. En als je iets actief makkelijker toegankelijk maakt dan het zonder jou was dan doe je actief mee met het verspreiden ervan. Als dat verspreiden niet mag dan doe je iets illegaals. Dat is al lang geen discussiepuntje meer, die discussie is uitgebreid gevoerd en heeft geresulteerd in de privacywetgeving die we hebben.
Wanneer gaan we privacy nou eens echt serieus nemen?
https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming
16-01-2018, 14:00 door karma4
Door Anoniem: ....
Wat hier gebeurt is pappen en nathouden binnen de bestaande praktijk van lekkende data overal. Het is zinloos. Dat is nou precies het discussiepunt. Begrijpend lezen, begrijp je.
....
Het is niet zinloos je moet gewoon beginnen met die dingen die je kunt. Duidelijk misbruik aanpakken is een stap.
Het begint met begrijpen van je beperkingen en mogelijkheden.

Ik zou liever willen dat er met een gedegen veiligheid de gevoelige data afgeschermd wordt.
Dit is een fraai begin: https://www.certifiedsecure.com/checklists/ In de praktijk loopt het vast op eigenwijze OS nerds, inkopers die de leverancier niet aan kunnen, leiding die onderling bakkeleit over welke technische tools in huis mogen.
Geef eens aan hoe je daar wat aan wil doen.

Ik zeg dat je de kat niet op het spek moet binden.In context zeg jij dan dat je de op het spek gebonden kat moet aanpakken.Ik begon dus al met "dat werkt dus niet".
Je begrijpend lezen en redeneren laat te wensen over.
In jou verhaallijn er lopen lekkere hapjes buiten die de kat te makkelijk aan kan. Je kan even niets aan die vrije hapjes doen wel dat die kat ze zo makkelijk allemaal opmaakt. Dus daar begin je aan, het andere heb je niet zelf direct invloed op.
16-01-2018, 14:11 door Anoniem
Door Anoniem: En dan de grote vraag, heeft iemand deze DB al laten uitlekken?
Lees de website van Brian Krebs, zie om hoeveel gegevens het gaat en vraag je dan af of webdiensten als BreachAlarm en HaveIBeenPwned.com veel verschillende gegevens hebben dan deze DB.
16-01-2018, 15:42 door Anoniem
Door karma4: Het is niet zinloos je moet gewoon beginnen met die dingen die je kunt. Duidelijk misbruik aanpakken is een stap.
Het begint met begrijpen van je beperkingen en mogelijkheden.
Dan weet jij nu helemaal wat je te doen staat.
16-01-2018, 15:53 door Anoniem
Door Anoniem:
Door Anoniem: Hoe prive zijn gegevens die toch al op straat lagen? Lijkt me best een discussiepuntje.
Dat is geen discussiepunt. Gegevens van personen uit Nederland, en Europa, zijn eigendom van de persoon over wie de gegevens gaan.
Dat is zo onder Europese wetgeving. Geldt die ook in Canada? Of in een van de vele andere landjes op de wereld waar je ook nog internetconnecties kan krijgen? Maar belangrijker: Als het in de wet staat, is dan per definitie alle discussie buitenspel gezet?

Probleem hier, naast de voor de hand liggende problemen, is dat de bestaande wetsaanpak nauwlijks houdbaar blijkt te zijn. En dat ook als er niets aan het handje is: Iedereen in Nederland is nu al in honderden databases te vinden, en hoe weet ik nou of al die data, mijn eigendom dus, ook zorgvuldig behandeld wordt? Dat weet ik niet, dat kan ik eigenlijk niet eens weten, want ik weet al niet waar al die vele databases te vinden zijn. Dit is dus niet werkbaar.

Kun je wel helemaal blij zijn met alle beetjes handhaving, maar je weet dus niet wat er verder gebeurt en dus is het niet meer dan wat opzichtige show om te laten zien dat er heus wel echt wel toch wel opgetreden wordt... als er maar iemand het opzichtig genoeg bont genoeg maakt. Daarnaast vind ik dat uiteindelijk handhaving een laatste middel, en niet bij voorbaat het eerste, zou moeten zijn om te zorgen dat privedata ook prive is en blijft. Want hoe meer en hoe vaker het toch op straat blijkt te liggen, hoe dunner en ongeloofwaardiger de pretentie. Dus is het op een gegeven moment wel handig je eens achter de oren te krabben en je af te vragen of er mischien iets structureel anders moet. Dus er is nog genoeg te bediscussieren, ook al is er her en der al wel wat hap-snap wetgeving waar je practisch maar weinig aan hebt.
16-01-2018, 17:16 door Anoniem
Ben het wel eens met karma 4 hier, maar moeten we dan niet juist aan het andere eind van de lekketen beginnen?
Juist daar waar de gegevensdragers en 'rondjas' diensten beveiligingsteken laten vallen of liever gezegd blijvend gapend grote gaten laten zien.

Moeten we deze mensen, die een heleboel gebruikmakenden van hun diensten aan onnodig gevaar blootstellen niet eens opgrijpen en een tijdje in een verplicht beveiligingsbootcamp opsluiten om ze te leren, hoe of dit beter te doen . Men kan ook de CEO daar of de overhead aan managers, die heel veel verdienen en nergens verstand van hebben edoch voor dit voortgaande infrastructuur gatenkaas circus verantwoordelijk zijn, echt eens gaan aanpakken.

Gebeurt dat niet of onvoldoende, dan krijgen we hier nog honderden en honderden gelijkaardige postings te zien.
Eindeloos verhaal van/voor een eindeloos probleem.

Even voorbeeldje van wat ik bedoel vanwege een recent ransomeware slachtoffer dat betaalde.
Bij de eerder getroffen Britse cloudprovider is het certificaat nog steeds niet juist geinstalleerd.

Ze moeten de certificaatverstrekker Entrust contacten om het ontbrekende certificaat te kunnen dowloaden en installeren.

Server versie info proliferatie: SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.4

Een magere F-status hier: https://www.ssllabs.com/ssltest/analyze?d=www.vesk.com
Kwetsbaar voor OpenSSL Padding Oracle:

Security headers op E niveau: https://securityheaders.io/?followRedirects=on&hide=on&q=www.vesk.com

Geen preload: https://hstspreload.org/?domain=www.vesk.com

Wat een best policy ellende voor zo'n grote door Amazon Ierland gedreven cloud provider.

Daar moeten de handhavers naar toe en afdwingen dat het veiliger gebeurt.

Mijn 2 eurocents,

Jodocus Oyevaer
16-01-2018, 21:06 door Anoniem
Want hoe meer en hoe vaker het toch op straat blijkt te liggen, hoe dunner en ongeloofwaardiger de pretentie. Dus is het op een gegeven moment wel handig je eens achter de oren te krabben en je af te vragen of er mischien iets structureel anders moet.
Nee ik ga niet mee in de argumenten die er bij worden gehaald om een discussie over deze wetgeving te voeren. Zeker niet als de inzet lijkt dat je maar kan doen wat je wil omdat het kan. Dat iets kan en je er mee weg kan komen maakt de wet niet fout, het maakt de mensen fout die zich niet aan de wet willen houden. Rechten zoals een recht op privacy zijn er gekomen om mensen te beschermen, omdat er wettelozen zijn die een ander graag benadelen in hun meest persoonlijke gegevens om er zelf beter van te worden. En verwar het niet claimen van een recht niet met het wegwuiven van een recht. Vaak valt er bij een recht weinig te claimen en doet juist de wet dat. Verwar ook niet het toevertrouwen van persoonsgegevens met het permanent opgeven van rechten is. Dat de personen die de gegevens mogen verwerken niet betrouwbaar blijken, laks zijn of niet in staat om goed met de gegevens om te gaan is fout en maakt de wet niet fout.
17-01-2018, 10:32 door karma4 - Bijgewerkt: 17-01-2018, 10:36
Door Anoniem:
Door karma4: Het is niet zinloos je moet gewoon beginnen met die dingen die je kunt. Duidelijk misbruik aanpakken is een stap.
Het begint met begrijpen van je beperkingen en mogelijkheden.
Dan weet jij nu helemaal wat je te doen staat.
Altijd lachen met de mensen die de clou niet snappen, als het niet zo triest zou zijn om te janken. De uitleg:

Een beperking die je hebt is dat niet je wil aan alle machthebbers bestuurders managers en "collega-s" kan opleggen.
Je kan geloven dat je als eenling maar voldoend schreeuwt er wel iemand zal luisteren, Horen wel luisteren niet.
Daar besteed ik toch wat tijd aan maar met niet overdreven verwachtingen.

De stoorzenders met valse informatie fantasiën en meer daar kan ik meer aan doen. Dat is weerwoord bieden en de lijnen die de eerst genoemde groepen zou moeten horen. Kijk dit https://www.certifiedsecure.com/checklists/ zijn fraaie eerste stappen. Ik zie veel dat je kan koppelen aan ISo27k Bir-tnk GDPR en meer.
Daar zouden techneuten nerds eens moeten beginnen in plaats van aan een geloof vast te hangen.

Met de GDPR is het duidelijk dat het misbruikverhaal fout is. Verwerking van EU regels op EU burgers is waar de locatie fysiek mag plaatsvinden fout. Als tip: heb je aantoonbare schade dan kan je dat met de GPDR in de hand gaan verhalen zoals elke andere schade.

... en nergens verstand van hebben edoch voor dit voortgaande infrastructuur gatenkaas circus verantwoordelijk zijn, echt eens gaan aanpakken.
Dank je Jodocus Oyevaer. Inderdaad dat is het doel de weg erheen, tja .....
Je technische voorbeeld van Iemand moest het doen Iedereen kon het doen Niemand deed het etc. is nu net de doorbreken cirkel. Maakt niet uit wat daar voor techniek staat en of het uitbesteed is (iemand anders, not my problem houding).
18-01-2018, 00:51 door Anoniem
@ karma 4,

En wat het voorbeeldje betreft.

Soms hebben zulke nalatige cloudproviders ook nog alle geluk van de wereld mee zoals in dit geval..
Net vastgesteld in het voorbeeld, dat ik gaf dat men daar kwetsbaar was voor OpenSSL Padding Oracle,
en vlak daarop worden ze via de volgende Oracle patch ronde weer daartegen gematst.

Wordt hun "karma"wat dat aangaat wellicht uitgesteld tot het volgend incident?

Velen "leren deze lessen" helaas vaak veel te langzaam.

De wetmatigheden blijven echter ons allemaal vast gelden, beste karma4.
Waarheden die onverwijld overeind blijven. Er valt geen code tittel of jota aan af te doen.

Ik moet dan altijd denken aan het schilderij van Pieter Breughel (de Oude) met de strekking:
"ïn het land der blinden is eenoog koning", namelijk het schilderij "de parabel der blinden".

Wat zijn sommigen toch kortzichtig, goede vriend.

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.