Security-engineer veroordeeld voor hacken van hotel-wifi
Een 23-jarige security-engineer van internetgigant Tencent is in Singapore veroordeeld tot een geldboete van omgerekend 3100 euro wegens het hacken van het wifi-netwerk van het hotel waar hij verbleef en het bloggen hierover. De man was in Singapore voor deelname aan een Capture the Flag-competitie die tegelijkertijd met een beveiligingsconferentie werd georganiseerd.
Een dag nadat hij was ingecheckt zocht hij naar kwetsbaarheden in de wifi-server van het hotel. Zo wist hij via Google de standaard gebruikersnaam en wachtwoord te vinden, aldus Yahoo News Singapore. Nadat hij met de wifi-gateway verbinding had gemaakt voerde hij verschillende scripts uit, ontsleutelde bestanden en kraakte wachtwoorden.
De server bevatte een kwetsbaarheid waardoor de engineer toegang wist te krijgen. Op zijn eigen blog beschreef de engineer alle stappen van zijn hack, alsmede het beheerderswachtwoord van de wifi-server. Volgens de openbare aanklager had de man kunnen weten dat door het openbaar maken van de informatie op deze manier, anderen daar misbruik van zouden kunnen maken. Ook zouden andere hotels met dezelfde server risico kunnen lopen.
De advocaat van de engineer stelde dat de acties van zijn cliënt voor een verhoogd risico zorgden, maar dat er geen daadwerkelijke schade was veroorzaakt. Aangezien de man al een aantal dagen in detentie had doorgebracht vroeg de advocaat om een geldboete van niet meer dan omgerekend 3100 euro. Dit bedrag werd uiteindelijk door de rechter opgelegd. Voor het openbaar maken van het wachtwoord had de engineer een gevangenisstraf van 3 jaar en een boete van 6200 euro kunnen krijgen.
In andere woorden, bij het volgende datalek waar de wachtwoorden niet gehashed zijn BOETE!
In andere woorden, bij het volgende datalek waar de wachtwoorden niet gehashed zijn BOETE!
Goh, leuk dat je dat even vertaald voor ons, verder nog wat toe te voegen?
-Door het default Telnet password van de AntLabs IG3100 te raden.
-diverse scripts en exploits om een MySQL database met informatie over het hotel interne Wi-Fi netwerk te bezoeken.
-De fragrance hotel keten is een budget hotel.
-Gearresteerd worden omdat de politie deze blog post vond:
Originele post van de onderzoeker/Bezoeker van hack in the box.
https://hk.saowen.com/a/6e3d908180fb701992fb60035e2a9fcdf8b1b52268516ae75882add040bd39d1
Komt overigens bij de gemiddelde conventie voor dat het hotelnetwerk door kwaadwillende bezocht wordt.
Dat is een non-argument. Het komt in de binnenstad wekelijks voor dat een spiegel van een auto getrapt wordt. Dus volgens jou mag dat je dat zelf ook doen omdat anderen dat al doen?
Zoals ik het mag begrijpen is dat de leverancier van hotspot functionaliteit die standaard wachtwoord, uiteraard, gepubliceerd heeft.
Wat de security engineer te publiceren heeft gekregen is welk bedrijf welk type hotspot met standaard wachtwoord draait.
De vraag is meer of mensen achter het bedrijf klanten kreeg te waarschuwen, bijvoorbeeld dat 'wifigebruik niet aansprakelijkheid van hotel is'. Daarbij komt de vraag of security engineer het bedrijf in kwestie gewaarschuwd heeft. Daarbij komt het feit dat standaard wachtwoord in zo'n hotel context op zijn minst, ook al is wifi gebruik op eigen aansprakelijkheid, veranderd had behoren te worden. Daarbij komt de vraag of hotel zelf het standaard wachtwoord niet had veranderd of dat het een bedrijf was die ingehuurd werd door hotel in kwestie om bijv. hotspot mogelijkheden te installeren. Daarbij komt de vraag hoe bekend het is, maatschappelijk, om het wachtwoord te veranderen en hoe juridisch wordt omgegaan met het niet veranderen van wachtwoord.
Ik mag de boete aan de hoge kant krijgen te vinden, aan de andere kant heb je van spullen die andere mensen gekregen hebben af te blijven, maw de hotelwifi is uitdrukkelijk niet het speeltje van de security engineer, en zoals het mij voor mag komen weegt dat in deze juridisch het zwaarste in singapore.
dan komt het feit dat hotel in kwestie niet eens gewaarschuwd was door de security engineer, zoals ik het te weten mag hebben gekregen, waarmee de security engineer geen rekening hield met een eventuele generatiekloof of andere oorzaken waarom mensen achter het hotel misschien niet eens weten over het bestaan van standaard wachtwoorden. op zijn minst laks te noemen, stel je voor dat het bedrijf gerunt wordt door een oudere die een ander bedrijf kreeg in te huren bij aanleg wifi, dan ben je toch enorm genaaid door zo'n 'security engineer'? stel je voor dat hotel per definitie van te voren ook nog kreeg te waarschuwen dat gebruik wifi voor eigen aansprakelijkheid/rekening komt, is wel heel zuur dat iemand daar dan zo mee om krijgt te gaan. stel je daar bovenop ook nog voor dat de wifi misschien ook nog gratis aangeboden werd!
zo'n security engineer moet wat anders doen dan de blits uithangen over de rug van niet betrokkenen om zich bijvoorbeeld misschien wel sociaal te profileren bij zo'n 'security conventie'. tussen aanhalingstekens, want het meeste van die conventie was niet zozeer bedoeld om security te verstevigen maar om 'de hacker' uit te hangen, meer een soort 'lan party' dus.
aan de andere kant leidt de vaak onbekendheid van veel mensen met zulke problemen en de nog magere juridische kaders omtrent digitale misstanden alsmede de corrupte implementatie van digitale techniek nog tot dusdanig instabiliteit die ook de security engineer in kwestie niet aan te rekenen is, dat zonder schade, eventueel misbruik door derden, de boete en zelfs detentie wel laat zien dat de rechtsstaat in singapore lange vingers aan spullen die anderen toebehoren zeer serieus neemt.
dat mag ik wel fijn vinden. privacy afspraken zijn per slot niet alleen geldend als je technische know how gekregen hebt omtrent hoe je privacy moet beschermen. sommige (vooral wanabe) 'hackers' lijken tegenwoordig wel te denken dat wanneer ze iemand treffen op het netwerk die geen of nauwelijks know how van digitale privacy bescherming gekregen heeft, zo'n privacy hun eigendom is. alsof rechtsongelijkheid de geldende afspraken zijn, en je geen dief zou zijn wanneer je heel veel verstand gekregen hebt van stelen.
Ja, ja, het werk voor anderen gaan doen, die tijd is wat mij betreft wel voorbij. Als je je zaakjes nu nog niet goed regeld hebt (lees geld uitgeven aan goed installatie bedrijf, ipv het uitbesteden aan het 'slimme' zoontje van de baas) moet je maar op de blaren gaan zitten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.