image

Celstraf voor man die inbrak op website en tegen betaling lek wilde verhelpen

zaterdag 13 juni 2020, 08:53 door Redactie, 14 reacties
Laatst bijgewerkt: 13-06-2020, 11:07

Een 28-jarige man uit Den Haag die inbrak op de website van een Haagse huisartsenpost en aanbood om de gebruikte kwetsbaarheid tegen betaling te verhelpen is veroordeeld tot een gevangenisstraf van twee maanden, waarvan één voorwaardelijk. Zo heeft de rechtbank Den Haag geoordeeld.

Het incident vond plaats in augustus 2017. De directeur van de huisartsenpost wordt gebeld dat zijn website lek is en er toegang is verkregen tot de persoonlijke gegevens van bij de praktijk aangesloten huisartsen. Het gaat om e-mail-adressen, gebruikersnamen, wachtwoorden en bankrekeningnummers. Niet veel later ontvangt de directeur een offerte om het beveiligingslek voor een bedrag tussen de 16.500 en 23.000 euro te verhelpen.

De offerte is voorzien van de opmerking dat er waarschijnlijk een boete betaald zal moeten worden wanneer het beveiligingslek openbaar wordt en er flinke reputatieschade zal plaatsvinden. "De directeur vindt deze vorm van 'acquisitie' te ver gaan en stapt naar de politie", zo liet het OM eerder weten. Volgens het Openbaar Ministerie heeft de man in een WhatsApp-bericht aan zijn vrouw bekend op de website te hebben ingebroken.

Twee weken geleden tijdens de zitting verklaarde de man dat hij afwist van het datalek bij de huisartsenpost, maar ontkende te hebben ingebroken, zo meldt Omroep West. Hoe hij van de inbraak wist wilde hij niet zeggen. Naar eigen zeggen informeerde hij de huisartsenpost om te voorkomen dat de gegevens in verkeerde handen terecht zouden komen.

De advocaat van de man, die zichzelf als ethisch hacker profileert, vroeg om vrijspraak voor zijn cliënt. De man zou alleen maar goede bedoelingen hebben gehad. De rechter gaat daar niet in mee en oordeelt dat de man schuldig is. Naast het uitzitten van de gevangenisstraf moet hij ook zijn laptop waarmee op de website werd ingebroken afstaan.

Reacties (14)
13-06-2020, 09:40 door Anoniem
De advocaat van de man, die zichzelf als ethisch hacker profileert, vroeg om vrijspraak voor zijn cliënt. De man zou alleen maar goede bedoelingen hebben gehad. De rechter gaat daar niet in mee en oordeelt dat de man schuldig is.
Zou ik ook niet doen, want goede bedoelingen uit je niet op deze wijze.

Vrij naar Donald "Ducky" Mallard, "De ethische hacker weet dat hij niet in andermans computers moet wroeten, de morele hacker zou het ook echt niet doen."

Dus zelfs als "ethische hacker" had hij beter moeten weten en moeten toegeven dat hij ondanks al zijn goede bedoelingen fout zat. Ergo, geen "ethische hacker". Daarnaast betekent de term "hacker" door veelvuldig misbruik in computer-security-context helemaal niets meer. En in zijn gedrag was weinig goeds te zien. Dus zo hou je helemaal niets over.

Wel een interessante vraag is, hoe moet het dan wel? Lijkt me dat als je iets gevonden hebt je het gewoon meldt en als je weet hoe het op te lossen, dan zet je dat erbij. Helaas pindakaas je krijgt er dus niet direct voor betaald. Wat je wel zou kunnen doen is, als het een nog onbekend lek is, er een advisory van te maken. Doe dat genoeg, profileer je genoeg als een serieus iemand met serieuze vaardigheden en kennis, dan er komen vanzelf mensen aankloppen die je wel willen betalen voor wat hulp. Dat is hoe het meer reputabele deel van de industrie nu werkt. Als ze slim zijn blijven ze ook verre van bangmaakbewoordingen want hoe je je diensten in de markt zet bepaalt ook het soort klandizie die je aantrekt. Met lekker stoer doen en paniekgevoelens opwekken en er op inspelen krijg je andere klanten dan als je serieus bent en laat zien dat je wat kan.

Naast de gevangenisstraf uitzitten moet hij ook zijn laptop waarmee op de website werd ingebroken afstaan.
Stijlfoutje, Redactie.
13-06-2020, 10:25 door Anoniem
De advocaat van de man, die zichzelf als ethisch hacker profileert, vroeg om vrijspraak voor zijn cliënt. De man zou alleen maar goede bedoelingen hebben gehad.

Zoveel mogelijk geld verdienen, door het slachtoffer onder druk te zetten. Niet bepaald een ethisch hacker.
13-06-2020, 12:24 door Anoniem
het hele concept van ethische hacken is nu juist dat je iets tegenkomt en melding maakt en een data dump als voorbeeld mee stuurt en wijst op de kwetsbaarheden, maar vervolgens zelf niets doet en de "gevonden" data vernietigd. je kan je wel je diensten aanbieden, maar dreigen met boetes of openbaar lekken is sowieso not-dune.
13-06-2020, 13:26 door Anoniem
De offerte is voorzien van de opmerking dat er waarschijnlijk een boete betaald zal moeten worden wanneer het beveiligingslek openbaar wordt en er flinke reputatieschade zal plaatsvinden.
Ik ben ook wel eens een lek tegengekomen, maar ik heb de klant eerst van te voren gewaarschuwd via een encrypted mail (PGP) en zelf geen actie ondernomen volgens de bedrijfsregels van responsible disclosure (dus ook geen rekening gestuurd). Bovenstaande quote uit het verhaal lijkt verdacht veel op een vorm van afpersing c.q. afdreiging (chantage).

Daar mag je als ethsiche hacker al helemaal niet mee bezig zijn!
13-06-2020, 13:41 door johanw
Voortaan dus maar gewoon anoniem de data op pastebin dumpen zodat de volgende waar je weer zo'n lek vind vanzelf wel weet wat de gevolgen van het niet fixen zijn.
13-06-2020, 13:52 door packetguy - Bijgewerkt: 13-06-2020, 13:55
..
13-06-2020, 14:11 door Anoniem
Door Anoniem:
Naast de gevangenisstraf uitzitten moet hij ook zijn laptop waarmee op de website werd ingebroken afstaan.
Stijlfoutje, Redactie.
Nâh, voggus mèèè kan ie die gevangenisstraf nie ùùihtstaan!
13-06-2020, 14:45 door Anoniem
Voortaan dus maar gewoon anoniem de data op pastebin dumpen zodat de volgende waar je weer zo'n lek vind vanzelf wel weet wat de gevolgen van het niet fixen zijn.

Omdat iemand die een ander probeert af te persen, daar consequenties van ondervindt, moet jij gestolen data dumpen op pastebin ? Onnavolgbare logica. Van iemand met een kennelijk slecht ethisch compas. De afperser is hier zeker het slachtoffer.
14-06-2020, 00:11 door johanw
Door Anoniem:Omdat iemand die een ander probeert af te persen, daar consequenties van ondervindt, moet jij gestolen data dumpen op pastebin ? Onnavolgbare logica. Van iemand met een kennelijk slecht ethisch compas. De afperser is hier zeker het slachtoffer.
Ik concludeer alleen maar hoe te handelen vamuit het standpunt van de hacker. Over al dan niet ethisch zijn laat ik me verder niet uit.
14-06-2020, 09:27 door Anoniem
Door johanw:
Door Anoniem:Omdat iemand die een ander probeert af te persen, daar consequenties van ondervindt, moet jij gestolen data dumpen op pastebin ? Onnavolgbare logica. Van iemand met een kennelijk slecht ethisch compas. De afperser is hier zeker het slachtoffer.
Ik concludeer alleen maar hoe te handelen vamuit het standpunt van de hacker. Over al dan niet ethisch zijn laat ik me verder niet uit.
Dat doe je impliciet wel, door een zeer onethisch standpunt in te nemen.

De correcte manier is om een reeds gevonden probleem aan te kaarten en dat integer te doen, al dan niet met een laag anonimisering ertussen om de angel uit mogelijke wraakacties te halen. Maar mischien moet je ook maar gewoon met je tengels uit andermans computers blijven. Bijvoorbeeld door niet ongevraagd allerlei "security audits" uit te voeren. En als je dan perongeluk en toevallig iets vindt, dat niet verder uit te diepen dan strikt noodzakelijk om te zien of er iets meldenswaardigs achter zit, en dat te melden. Dus "dit en dit zie ik als ik deze (legale, normale) acties uitvoer, lijkt me niet goed, dus bij deze tip voor de bouwer om eens naar te kijken." Niet "er zit een gahat in juhullie websihite en nu motten jullie mei betaleh om het tu fixuh!!1!"

Wat je dus niet moet gaan doen is de hackprins op het hackpaard gaan uithangen en net doen of je de wereld een dienst bewijst terwijl je eigenlijk vooral iedereen een hoop ellende en hoofdbrekens bezorgt en er ook nog arrogant over doen met je "ik ben een ethische hackerrrrrj hoorj".

Je hoeft het maar even van de andere kant te bekijken, vanuit een niet-technisch perspectief van bijvoorbeeld degenen die hun brood proberen te verdienen met de nieuwerwetse contrapties die de websitebouwer hen aansmeerde, om te snappen dat als er een "hacker" (in gedrag en volwassenheid, s'kiddie) langskomt daar niemand blij mee is. Maar die "hacker" vindt zichzelf maar wat geweldig! Precies zoals deze net-veroordeelde dat ook deed.

Om dan zoals jij hier doet de kont tegen de krib te gooien door alles wat je al dan niet legaal gevonden hebt maar gewoon ergens op straat te gooien is ook niet constructief. En een beetje dom. Als je toch tenminste eerlijk bent tegenover jezelf en toegeeft onethisch te handelen, verkoop je je zero days aan de hoogste bieder, levert nog wat op ook en is (min of meer) wel legaal.
14-06-2020, 13:14 door Anoniem
Dat is gewoon afpersing. Logisch dat we dit soort losers in de maatschappij hebben, 1 maand brommen pffff. En die advocaat, hoort die niet uit zijn ambt gezet te worden, als hij het verschil met ethisch hacken niet eens kent?
14-06-2020, 14:21 door Anoniem
Door Anoniem: Dat is gewoon afpersing. Logisch dat we dit soort losers in de maatschappij hebben, 1 maand brommen pffff. En die advocaat, hoort die niet uit zijn ambt gezet te worden, als hij het verschil met ethisch hacken niet eens kent?

Advocaten zijn mensen met de ethiek van een huurling.
15-06-2020, 10:55 door Anoniem
Wat dit in mijn ogen volstrekt niet-ethisch maakt is dat hij geld als pressiemiddel inzet. "Je kan beter mij betalen om dit probleem te verhelpen, want de boete is vele malen duurder. Kies dus liever eieren voor je geld!"

Naar mijn ethische code voert een white-hat (ethical) hacker alleen onderzoeken uit in opdracht (en na expliciete toestemming) van een opdrachtgever.

Mocht je toch jeuk krijgen, en ongevraagd willen gaan testen ben ik naar mijn mening al gray-hat bezig. Doe het dan volgens een RD en houdt je daar aan. Wees blij met een eventuele vergoeding en ga niet janken als je die niet krijgt. Met welke hoed je ook hackt, wees helpend en niet slopend. Je kan nog altijd gaan Bug Bounty Hunten via Hacker-One als je hiermee geld wil verdienen.
17-06-2020, 16:07 door Anoniem
Die zal wel weer benaderd worden in de bak door een paar criminelen. En voila een cybercrimineel voor het leven. Financiele drijfveren of wordt zelf onder druk gezet.

Wat moet je nou met onethische kruimeldieven.

Ik zou hem een maand lang laten praten met slachtoffers van cybercrime. Hoe je dan wendt of keert, hij steekt er dan misschien nog wat van op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.