BBC verstuurt spam via botnet
De BBC heeft in samenwerking met een beveiligingsexpert een botnet overgenomen en gebruikt voor het versturen van spam. De actie was onderdeel van de televisieshow BBC Click. In totaal kreeg de omroep de controle over 22.000 Windows machines die het naar 500 zelf aangemaakte Hotmail en Gmail accounts spam liet versturen. "Natuurlijk, een uitzending als deze kan het bewustzijn over het probleem dat hackers computers kapen doen toenemen. Maar is het gepast voor een televisiezender om de computers van onschuldige mensen zonder hun toestemming voor dit experiment te gebruiken", vraagt Graham Cluley van Sophos zich af. Het is goed mogelijk dat de BBC met het overnemen van het botnet de Computer Misuse Act heeft overtreden.
De wet stelt namelijk duidelijk dat je niet zonder toestemming andermans computer mag gebruiken. Toestemming die de BBC niet had. Daarnaast wijzigde de zender het bureaublad van de gebruikers om te laten zien dat hun PC besmet was. "Dit is duidelijk het ongeautoriseerd aanpassen van computergegevens, en is volgens mij in strijd met de wet", zegt Cluley. Eind vorig jaar gebeurde hetzelfde in Nederland, toen de Revu een botnet gebruikte om de mailbox van Jack de Vries te kraken.
Een botnet is geen rechtspersoon, de eigenaars van de betrokken computers wel.
Als ze daarnaast het publiek ook nog even voorlichten hoe zo'n botnet gebruikt kan worden, en welke gevaren er dus aan vast zitten, is dat alleen maar toe te juichen...
Als je het vanuit deze hoek bekijkt, is het allemaal veel minder strafbaar, lijkt mij...
Vervolgens kun je nog kijken naar wie de echte stafbare persoon is, in dit geval... Degene die de computer oorspronkelijk infecteerde? De beheerder van het botnet? Degene die het botnet verhuurt? De gebruiker van het botnet? Degene die z'n PC niet/onvoldoende beveiligde? Zijn er nog andere partijen.....
1) De BBC heeft niet zelf het botnet opgezet, de Revu wel
2) De BBC gebruikt het botnet niet om derden aan te vallen, de Revu wel
3) De BBC waarschuwt de slachtoffers van het botnet, de Revu heeft (bij mijn weten) dit niet gedaan
1) De BBC heeft niet zelf het botnet opgezet, de Revu wel
De meeste spammers zetten het botnet ook niet zelf op. Dat kopen of huren ze van de partijen die het hebben opgezet.
2) De BBC gebruikt het botnet niet om derden aan te vallen, de Revu wel
Ze versturen bulk e-mail. Dat het naar hun eigen mailbox gaat doet daar niets aan af. Ze hebben dat gedaan vanaf machines waar zij officieel geen toegang toe hadden en over netwerken waar zijn geen rechten op konden doen gelden. De derde die aangevallen werd was dus de eigenaar van de misbruikte computer.
3) De BBC waarschuwt de slachtoffers van het botnet, de Revu heeft (bij mijn weten) dit niet gedaan
En nu denkt iedereen dat als er een waarschuwing op hun scherm verschijnt dat ze dat advies moeten opvolgen en ergens een anti-virus product moeten downloaden. Iedereen die iets van beveiliging weet, weet dat je dit soort zaken niet moet doen. Wie is verantwoordelijk als deze mensen vervolgens van die fake scanners downloaden? Ik denk niet dat de BBC dat znel zal aanvaarden.
Peter
* pakt nog een mokje thee *
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
