IT'er aangeklaagd wegens melden van security lekken
Een Amerikaanse security professional die een aantal security lekken in de website van de universiteit van Zuid Californie vond en dit meldde wordt nu aangeklaagd en kan tot een gevangenisstraf van 10 jaar worden veroordeeld.
De 25-jarige Eric McCarty ontdekte een programmeerfout in de database waardoor aanvallers de persoonlijke informatie van studenten konden bemachtigen, waaronder hun SoFi-nummers. Als bewijs kopieerde hij van zeven studenten de gegevens en stuurde die anoniem naar een journalist van SecurityFocus. De journlist lichtte de school in, schreef een verhaal over het gebeuren en de universiteit dichtte het lek.
Het verhaal was echter nog niet voorbij, want de school begon een onderzoek naar de mysterieuze hacker. Al gauw werd McCarty ontdekt, omdat hij geen moeite had gedaan om zijn sporen te verbergen.
Het is de zoveelste keer dat in de VS een security onderzoeker wordt aangeklaagd wegens het melden van lekken in software, zoals Wired beschrijft. Om McCarty veroordeeld te krijgen moet de aanklager aantonen dat hij kwalijke bedoelingen met zijn acties had. Zoals het kopieren van de gegevens van de zeven studenten. Had hij dit niet gedaan, dan had hij ook geen bewijs voor het lek.
De rechtszaak wordt nauwlettend gevolgd omdat die grote gevolgen kan hebben voor het melden van security lekken. In plaats van een "bedankje" moeten onderzoekers straks vrezen voor gevangenisstraf, een situatie die moet veranderen.
Een security lek kan je melden door het lek te beschrijven.
Het kopieren/schenden van mensen hun prive is een overtreding
die niet nodig is.
Als hefboom kan eventueel ook nog worden gebruikt dat informatie
over het lek binnen 4 maanden gepubliceerd wordt.
betreffende bedrijf (de universiteit) ipv het meteen naar de
media door te spelen
Onzin.
Een security lek kan je melden door het lek te beschrijven.
Het kopieren/schenden van mensen hun prive is een overtreding
die niet nodig is.
Als hefboom kan eventueel ook nog worden gebruikt dat informatie
over het lek binnen 4 maanden gepubliceerd wordt.
Ik kan mij erg goed voorstellen dat de IT-er niet serieus behandelt is.
privacy. Maar om daar nu 10 jaar voor te kunnen krijgen vind ik wel
heel erg overdreven. De Amerikaanse overheid schendt ook de
privacy van europeanen (http://www.security.nl/article/13493/1)
maar een hacker met eerlijke bedoelingen krijgt een zwaardere
straf dan een gewapende overvaller? Ik vind het weer eens het
bewijs dat de USA behoorlijk doorgedraaid is...
Als'ie de fout had gemeld bij de universiteit, dan had die het lek kunnen dichten, had'ie daarna naar Securityfocus kunnen gaan voor z'n claim2fame...
In principe geeft die universiteit die informatie bloot dus
die universiteit is verantwoordelijk voor die informatie van
die 7 studenten.
Dus die mogen van mij ook een vergoeding van die
universiteit eisen! :+)
in de software waardoor het mogelijk was om met een willekeurige
TAN code je overboeking/betaling te kunnen bevestigen. Kreeg een
hele boze BITCH aan de foon en heb bezoek gehad van een
overheid. (2005)
Kon uiteraard de software niet controleren, maar het feit dat enkel
nullen invoeren voldoende was om een betaling te bevestigen zegt
genoeg.
Dat doen 'we' dus nooit meer.........!
rechtstreeks benaderd heeft maar dat hij zich ('anoniem')
tot een derde wendde.
Je zou zeggen dat iemand met zuivere intenties direct
rechtstreeks contact zal zoeken.
leiding op de hoogte gebracht van de lekken ? Ik kan me
voorstellen als je prive gegevens naar een derde partij
anoniem stuurt dat het mensen het verkeerde keelgat
inschiet. Dus een boete is op z'n plaats.
dat je een systeem bent binnengedrongen (desnoods per
ongeluk) maar sinds de DMCA doet GEEN HOND dat meer in de
VS. Dit is weer een schoolvoorbeeld hoe 'wetten' die voeten
treden met grondwetten altijd fout zijn. Die grondwet is er niet
voor niets, alle andere wetten zouden ondersteunend moeten
zijn, niet het tegenovergestelde. Vergelijk het met onze
computercriminaliteitswet... Onder het tapijt doorgemoffeld, maar
ondertussen is het tappen van een kop koffie uit een
koffieautomaat gewoon ILLEGAAL. Hoezo "doorgeschoten
digibeten"... Maarja, lobbyen doet het goed he. Zeker in Amerika.
.. Daar heb je 2 grote lobbystromen. De joden, en de
wapenhandelaren (en vaak zijn die nog een en dezelfde ook).
lekken en andere bugs in SuSE Linux producten als dank een
gratis boxed versie aangeboden. En dat is niet eens beleid.
Bij Novell krijg je voor het zo veel mogelijk melden van
lekken en andere bugs in SuSE Linux producten als dank een
gratis boxed versie aangeboden. En dat is niet eens beleid.
Ik SuSE al vanaf 8.3 en heb veel, heel veel bug's via de bugtracker
doorgestuurd maar nimmer iets 'ontvangen' :(
gegevens en stuurde die anoniem naar een journalist van
SecurityFocus.
Als'ie de fout had gemeld bij de universiteit, dan had die
het lek kunnen dichten, had'ie daarna naar Securityfocus
kunnen gaan voor z'n claim2fame...
inderdaad, als ie al gemachtigd was deze fout te 'mogen'
ontdekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
