Keylogger in Flight Sim-extensie was tegen softwarepiraat gericht
Het bedrijf Flight Sim Labs dat uitbreidingen voor Microsoft Flight Simulator ontwikkelt heeft aan de laatste versie een keylogger toegevoegd om inloggegevens van één specifieke softwarepiraat te achterhalen, zo heeft de softwareontwikkelaar op de eigen website bekendgemaakt.
Op Reddit ontstond ophef nadat een gebruiker in de laatste uitbreiding van Flight Sim Labs een keylogger ontdekte. De malware bleek in Chrome opgeslagen gebruikersnamen en wachtwoorden te kunnen stelen. In een verklaring laat de softwareontwikkelaar weten dat de keylogger alleen bij het invoeren van specifieke gegevens werd geactiveerd. Dit gebeurde niet bij legitieme gebruikers en er zijn ook geen persoonsgegevens van legitieme gebruikers gestolen, aldus de ontwikkelaar.
De keylogger was namelijk tegen één specifieke softwarepiraat gericht. Bij de lancering van een vorige uitbreiding voor Flight Simulator bleek dat er specifieke softwarekrakers waren die de kopieerbeveiliging door middel van offline serienummergeneratoren wisten te omzeilen. Flight Sim Labs had geen idee hoe dit precies gebeurde, maar zag wel steeds bepaalde informatie, zoals gebruikersnaam, e-mailadres en serienummer, van specifieke ip-adressen komen.
Aan nieuwere versies van het installatieprogramma werden meer "tests" toegevoegd om de identiteit van de krakers te achterhalen, wat uiteindelijk ook lukte. Het bleek om één specifiek persoon te gaan en Flight Sim Labs zegt de naam van deze kraker te hebben. De kraker was op bepaalde besloten websites actief waar hij zijn gegevens met andere softwarepiraten deelde. Uit de informatie die Flight Sim Labs had verzameld bleek dat de softwarepiraat in kwestie Google Chrome gebruikte. Daarom werd besloten om in de meest recente versie van de uitbreiding een Chrome-keylogger toe te voegen die in de browser opgeslagen wachtwoorden van alleen de softwarepiraat achterhaalde.
Op deze manier wilde de softwareontwikkelaar de inloggegevens achterhalen waarmee er toegang tot de besloten websites kon worden verkregen die de softwarepiraat gebruikt. Deze werkwijze was succesvol, laat Flight Sim Labs weten. De softwareontwikkelaar ontdekte naar eigen zeggen een heel web van softwarepiraterij waar veel meer extensie-ontwikkelaars voor Flight Simulator het doelwit waren. Achteraf gezien was het volgens de softwareontwikkelaar geen goede beslissing om de keylogger toe te voegen en maakt het excuses voor het vertrouwen dat is geschaad. Ook biedt het klanten de mogelijkheid om hun geld terug te vragen. Inmiddels is er een nieuwe versie uitgekomen waarin de keylogger is verwijderd.
Ik hoop dat ze met dit voorval al hun klanten verliezen.
Deze hack werd alleen actief op de computer van de softwarepiraat. Er is dus alleen inbreuk gemaakt op de privacy van die softwarepiraat. Niet bepaald een willekeurig slachtoffer.
De vraag wordt dan: is inbreuk maken op de privacy van een persoon die jouw software illegaal gebruikt redelijk en proportioneel? Het lijkt mij niet onredelijk.
Stichting Brein krijgt van de Nederlandse rechter steeds toestemming om namen van internetters op te eisen waarvan ze alleen het IP nummer hebben. Ik ben geen fan van Brein, maar de Nederlandse rechters gaan hierin mee.
Niet helemaal correct. In ideale omstandigheden wordt de hack alleen dan actief. Maar aangezien we niet in een ideale wereld leven, kan die ook per ongeluk actief worden en alles doorsluizen, of onterecht, of bewust door een derde partij. Dan klinkt het wel als een willekeurig slachtoffer.
Piraterij mag niet, dat kan alleen maar duidelijk zijn. Maar als je dan toch een misstap begaat, moet dan meteen heel je privéleven online gegooid worden? Kan je je inbeelden dat als je volgende keer geflitst wordt, meteen je facebook en email opengesteld worden voor 37 partijen? Proportioneel?
We zetten camera's in je huis maar we zetten ze niet aan! Enkel als we denken te detecteren dat je iets fout aan het doen bent, zetten we ze aan. Hm.
Deze hack werd alleen actief op de computer van de softwarepiraat. Er is dus alleen inbreuk gemaakt op de privacy van die softwarepiraat. Niet bepaald een willekeurig slachtoffer.
De vraag wordt dan: is inbreuk maken op de privacy van een persoon die jouw software illegaal gebruikt redelijk en proportioneel? Het lijkt mij niet onredelijk.
Stichting Brein krijgt van de Nederlandse rechter steeds toestemming om namen van internetters op te eisen waarvan ze alleen het IP nummer hebben. Ik ben geen fan van Brein, maar de Nederlandse rechters gaan hierin mee.
Eigen rechter spelen is illegaal. Het ondermijnt het juridisch systeem. Op deze manier zijn we beter af zonder wetten.
Deze hack werd alleen actief op de computer van de softwarepiraat. Er is dus alleen inbreuk gemaakt op de privacy van die softwarepiraat. Niet bepaald een willekeurig slachtoffer.
De vraag wordt dan: is inbreuk maken op de privacy van een persoon die jouw software illegaal gebruikt redelijk en proportioneel? Het lijkt mij niet onredelijk.
Stichting Brein krijgt van de Nederlandse rechter steeds toestemming om namen van internetters op te eisen waarvan ze alleen het IP nummer hebben. Ik ben geen fan van Brein, maar de Nederlandse rechters gaan hierin mee.
Ik vind het verder overkomen als een redelijke maatregel, maar ik vraag me af of het juridisch gezien allemaal klopt.
Eigen rechter spelen is illegaal. Het ondermijnt het juridisch systeem. Op deze manier zijn we beter af zonder wetten.
Stel nu dat de overheid het IP adres had achterhaald met een gerichte tap door sommigen ook wel sleepnet genoemd. Wat dat dan volgens jouw wel volgens het juridisch systeem?
zo ja, dan eerst de mogelijkheden bij de handhavers zijn te krijgen.
zo nee, wat ben je dan, waar ben je op uit?
Het stelen van inloggegevens is een strafbaar feit, maar in dit geval kon de rechter nog wel eens een afweging gaan maken in de strafmaat. Als voorbeeld zijn de overheden en de inlichtingendiensten ook bezig met het verkrijgen van inloggegevens door middel van Malware en dergelijke. In de ICT is het ondoorgrondelijk v.w.b. de aansprakelijkheid van kwetsbaarheden in hard- en software.
Eigen rechter spelen is illegaal. Het ondermijnt het juridisch systeem. Op deze manier zijn we beter af zonder wetten.
Stel nu dat de overheid het IP adres had achterhaald met een gerichte tap door sommigen ook wel sleepnet genoemd. Wat dat dan volgens jouw wel volgens het juridisch systeem?
zo ja, dan eerst de mogelijkheden bij de handhavers zijn te krijgen.
zo nee, wat ben je dan, waar ben je op uit?
Dat je dit niet begrijpt is kwalijk. Je kan net zo goed geen rechtstaat hebben als iedereen toestemming heeft om iemand anders aan te vallen als hij vindt dat die andere persoon dat verdient. In principe zeg je nu dat ik je in elkaar mag slaan omdat ik vind dat je gezicht me niet aanstaat, en jij kan me terug neerslaan omdat je dat een correcte reactie vindt, tot een van ons elkaar heeft doodgemept. Nee zo werkt Nederland niet, sorry ????
Dat je dit niet begrijpt is kwalijk. Je kan net zo goed geen rechtstaat hebben als iedereen toestemming heeft om iemand anders aan te vallen als hij vindt dat die andere persoon dat verdient. In principe zeg je nu dat ik je in elkaar mag slaan omdat ik vind dat je gezicht me niet aanstaat, en jij kan me terug neerslaan omdat je dat een correcte reactie vindt, tot een van ons elkaar heeft doodgemept. Nee zo werkt Nederland niet, sorry ????
Intussen zijn we met de rechtstaat zo ver gekomen dat:
- we van alles een privacy bedreiging vinden als de overheid iets zou gaan vastleggen en controleren.
- het recht om vrijheid van informatie misbruiken om auteursrechten te schenden.
- als we een slot op de deur doen dat een beperking vinden op het vrijelijk meenemen van andermans bezittingen.
Met dat laatste zitten we op het grijze gebied van hoeveel maatregelen legitiem zijn om je eigen rechten te beschermen. Camerabewaking heeft een duidelijk doel. Koppel dat aan gezichtsherkenning van bekende ongewenste of bekende gewenste personen en het is ineens allemaal big brother en zou niet juridisch onderbouwd zijn.
De werkelijke vraag in de zaak van het artikel zou moeten zijn, hoe gericht was het nu echt en waren er geen andere manieren om het probleem via gangbaar recht opgelost te krijgen. Heb je er geen oplossingen voor, dan zeg je eigenlijk dat het iemand anders aanvallen goed is omdat er geen handhaving mogelijk is.
Legitieme gebruikers hebben er geen behoefte aan om onvoldoende beschermde infrastructuur kant en klaar op hun machines geplaatst te zien waardoor vervolgens hun risico geKowsolea'd te worden van het toch al veel te hoge niveau nog eens verder opgekrikt wordt. Alleen maar 'geld terug' is niet genoeg. Het is niet te veel gevraagd dat als ze dat overkomt, dat er voor gezorgd wordt dat de reputatieschade met terugwerkende kracht ongedaan gemaakt wordt.
In de tussentijd is dit een illustratie waarom het goed is dat de nieuwe GDPR zo streng is. Inderdaad, op het moment dat toch de wachtwoorden in verkeerde handen vallen, melden. Meteen na het optreden, te lang talmen met ontdekken is geen excuus. En vanwege het risico is het boetebedrag bepaald niet te laag.
Via passwords.google.comkun je sowieso op elk apparaat toegang krijgen tot je wachtwoorden en ook in Google Chrome zelf kan je de wachtwoorden plain tekst zien mits je in de browser naar de goede pagina gaat.
In de tussentijd is dit een illustratie waarom het goed is dat de nieuwe GDPR zo streng is. Inderdaad, op het moment dat toch de wachtwoorden in verkeerde handen vallen, melden. Meteen na het optreden, te lang talmen met ontdekken is geen excuus. En vanwege het risico is het boetebedrag bepaald niet te laag.
Die hacker voerde zaken uit wat legitieme gebruikers mogelijk schade berokkende. Zoiets op zijn beloop laten met een service waar je verantwoordelijk voor bent is een grove nalatigheid volgens de GDPR. Nu mag jij het advies geven wat er moet gebeuren en bij een advies dat fout uitpakt ben jij aansprakelijk
Ik zie een grote markt voor advocatuur en verzekeringen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.