image

IT'er aangeklaagd wegens melden van security lekken

woensdag 10 mei 2006, 13:53 door Redactie, 17 reacties

Een Amerikaanse security professional die een aantal security lekken in de website van de universiteit van Zuid Californie vond en dit meldde wordt nu aangeklaagd en kan tot een gevangenisstraf van 10 jaar worden veroordeeld.

De 25-jarige Eric McCarty ontdekte een programmeerfout in de database waardoor aanvallers de persoonlijke informatie van studenten konden bemachtigen, waaronder hun SoFi-nummers. Als bewijs kopieerde hij van zeven studenten de gegevens en stuurde die anoniem naar een journalist van SecurityFocus. De journlist lichtte de school in, schreef een verhaal over het gebeuren en de universiteit dichtte het lek.

Het verhaal was echter nog niet voorbij, want de school begon een onderzoek naar de mysterieuze hacker. Al gauw werd McCarty ontdekt, omdat hij geen moeite had gedaan om zijn sporen te verbergen.

Het is de zoveelste keer dat in de VS een security onderzoeker wordt aangeklaagd wegens het melden van lekken in software, zoals Wired beschrijft. Om McCarty veroordeeld te krijgen moet de aanklager aantonen dat hij kwalijke bedoelingen met zijn acties had. Zoals het kopieren van de gegevens van de zeven studenten. Had hij dit niet gedaan, dan had hij ook geen bewijs voor het lek.

De rechtszaak wordt nauwlettend gevolgd omdat die grote gevolgen kan hebben voor het melden van security lekken. In plaats van een "bedankje" moeten onderzoekers straks vrezen voor gevangenisstraf, een situatie die moet veranderen.

Reacties (17)
10-05-2006, 14:11 door Anoniem
Onzin.

Een security lek kan je melden door het lek te beschrijven.
Het kopieren/schenden van mensen hun prive is een overtreding
die niet nodig is.

Als hefboom kan eventueel ook nog worden gebruikt dat informatie
over het lek binnen 4 maanden gepubliceerd wordt.
10-05-2006, 14:31 door Anoniem
waarbij je in eerste instantie samenwerkt het het
betreffende bedrijf (de universiteit) ipv het meteen naar de
media door te spelen
10-05-2006, 14:44 door Anoniem
Door Anoniem
Onzin.

Een security lek kan je melden door het lek te beschrijven.
Het kopieren/schenden van mensen hun prive is een overtreding
die niet nodig is.

Als hefboom kan eventueel ook nog worden gebruikt dat informatie
over het lek binnen 4 maanden gepubliceerd wordt.

Ik kan mij erg goed voorstellen dat de IT-er niet serieus behandelt is.
10-05-2006, 14:47 door bustersnyvel
Ik ben het eens met "anoniem" dat het een schending is van de
privacy. Maar om daar nu 10 jaar voor te kunnen krijgen vind ik wel
heel erg overdreven. De Amerikaanse overheid schendt ook de
privacy van europeanen (http://www.security.nl/article/13493/1)
maar een hacker met eerlijke bedoelingen krijgt een zwaardere
straf dan een gewapende overvaller? Ik vind het weer eens het
bewijs dat de USA behoorlijk doorgedraaid is...
10-05-2006, 14:58 door SirDice
Als bewijs kopieerde hij van zeven studenten de gegevens en stuurde die anoniem naar een journalist van SecurityFocus.
En hiermee ging'ie de fout in...

Als'ie de fout had gemeld bij de universiteit, dan had die het lek kunnen dichten, had'ie daarna naar Securityfocus kunnen gaan voor z'n claim2fame...
10-05-2006, 15:06 door Anoniem
Elke amerikaan weet dat bewijzen uit de mode is.

MrHawkeye
10-05-2006, 15:26 door Anoniem
> "hij" stuurde die "anoniem" naar een journalist

LOL
10-05-2006, 15:41 door Anoniem
Its not a bug, its a feature!

In principe geeft die universiteit die informatie bloot dus
die universiteit is verantwoordelijk voor die informatie van
die 7 studenten.
Dus die mogen van mij ook een vergoeding van die
universiteit eisen! :+)
10-05-2006, 16:30 door [Account Verwijderd]
[Verwijderd]
10-05-2006, 17:48 door Anoniem
Heb ooit een NL bankinstelling vrijwillig geinformeert over een fout
in de software waardoor het mogelijk was om met een willekeurige
TAN code je overboeking/betaling te kunnen bevestigen. Kreeg een
hele boze BITCH aan de foon en heb bezoek gehad van een
overheid. (2005)
Kon uiteraard de software niet controleren, maar het feit dat enkel
nullen invoeren voldoende was om een betaling te bevestigen zegt
genoeg.

Dat doen 'we' dus nooit meer.........!
10-05-2006, 17:54 door Virtal
Ik snap niet dat de IT'er de betreffende universiteit niet
rechtstreeks benaderd heeft maar dat hij zich ('anoniem')
tot een derde wendde.
Je zou zeggen dat iemand met zuivere intenties direct
rechtstreeks contact zal zoeken.
10-05-2006, 20:55 door Anoniem
Ik begrijp het niet, waarom heeft die gast niet gewoon de
leiding op de hoogte gebracht van de lekken ? Ik kan me
voorstellen als je prive gegevens naar een derde partij
anoniem stuurt dat het mensen het verkeerde keelgat
inschiet. Dus een boete is op z'n plaats.
10-05-2006, 21:48 door Anoniem
Ik weet niet wanneer jij voor het laatst RECHTSTREEKS 'bekende'
dat je een systeem bent binnengedrongen (desnoods per
ongeluk) maar sinds de DMCA doet GEEN HOND dat meer in de
VS. Dit is weer een schoolvoorbeeld hoe 'wetten' die voeten
treden met grondwetten altijd fout zijn. Die grondwet is er niet
voor niets, alle andere wetten zouden ondersteunend moeten
zijn, niet het tegenovergestelde. Vergelijk het met onze
computercriminaliteitswet... Onder het tapijt doorgemoffeld, maar
ondertussen is het tappen van een kop koffie uit een
koffieautomaat gewoon ILLEGAAL. Hoezo "doorgeschoten
digibeten"... Maarja, lobbyen doet het goed he. Zeker in Amerika.
.. Daar heb je 2 grote lobbystromen. De joden, en de
wapenhandelaren (en vaak zijn die nog een en dezelfde ook).
10-05-2006, 22:08 door Anoniem
Bij Novell krijg je voor het zo veel mogelijk melden van
lekken en andere bugs in SuSE Linux producten als dank een
gratis boxed versie aangeboden. En dat is niet eens beleid.
11-05-2006, 14:00 door Anoniem
Door Anoniem
Bij Novell krijg je voor het zo veel mogelijk melden van
lekken en andere bugs in SuSE Linux producten als dank een
gratis boxed versie aangeboden. En dat is niet eens beleid.

Ik SuSE al vanaf 8.3 en heb veel, heel veel bug's via de bugtracker
doorgestuurd maar nimmer iets 'ontvangen' :(
11-05-2006, 17:15 door pipo
Door SirDice
Als bewijs kopieerde hij van zeven studenten de
gegevens en stuurde die anoniem naar een journalist van
SecurityFocus.
En hiermee ging'ie de fout in...

Als'ie de fout had gemeld bij de universiteit, dan had die
het lek kunnen dichten, had'ie daarna naar Securityfocus
kunnen gaan voor z'n claim2fame...

inderdaad, als ie al gemachtigd was deze fout te 'mogen'
ontdekken.
12-05-2006, 11:28 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.