Thuiswinkel.org wil hardere aanpak hackers
Hackers moeten harder worden aangepakt, aldus Thuiswinkel.org, dat tevens bekendmaakte dat online babywinkel Baby-Dump.nl veilig is. Directe aanleiding voor het onderzoek was een lijst met ruim 500 namen die vrijdag online verscheen. Eerst werd gedacht dat de gegevens van KPN afkomstig waren. Later bleek echter dat het om klantengegevens van Baby-Dump.nl ging. Thuiswinkel.org heeft in overleg met Baby-Dump.nl de site van de webwinkel onderzocht op kwetsbaarheden.
De webwinkel werd aan de hand van verschillende scans doorgelicht, die door een extern bedrijf werden uitgevoerd. Daarbij zouden verschillende vulnerability scanners zijn gebruikt. Tevens werd er getest op kwetsbaarheden die in de OWASP Top 10 staan. Op basis van de huidige stand van zaken ziet Thuiswinkel.org geen reden om Baby-Dump.nl te schorsen als lid.
Geen garantie
Het keurmerk voor webwinkels benadrukt dat zelfs door het doen van tests en security scans nooit een 100% garantie geven dat de webwinkel niet te hacken is. "Iedere test of scan is ‘slechts’ een momentopname." Bovendien benadrukt de organisatie dat veilig transport, opslag en verwerking van persoonsgegevens tot de individuele verantwoordelijkheid behoort van internetbedrijven.
‘Wij nemen als vereniging onze verantwoordelijkheid door druk uit te oefenen op onze leden om beveiliging van persoonsgegevens de hoogste prioriteit te geven. Het gaat om zeer privacygevoelige gegevens waar je nooit slordig mee om mag gaan", zegt directeur Wijnand Jongen.
Heldendaad
Daarom moet volgens de organisatie ook de andere kant van de medaille worden belicht, namelijk dat hacken strafbaar is en niet als heldendaad gepresenteerd moet worden. "Mogen hackers zomaar ongestoord hun gang gaan? Iets wat strafbaar is moeten we niet goedpraten", stelt Jongen. Hij roept overheden en justitie dan ook op om hier werk van te maken en een norm te stellen.
"We moeten de romantiek van het ‘hacken’ afhalen, zeker als persoonsgegevens ook nog eens openbaar worden gemaakt. Hackers en zogenaamde 'ethische hackers' kunnen hun diensten best als dienstverlening aanbieden of hun rol vervullen in de samenleving. Maar het blijft strafbaar. Het is dan aan de rechter om te beslissen of de hacker bijgedragen heeft aan het voorkomen van maatschappelijk ongenoegen", aldus Jongen.
Dhr. Jongen kan wel roepen om hardere straffen, maar het probleem zijn niet de hackers, maar degene die gehackt worden. Laat ze daar eens wat meer sancties op zetten. Hackers worden sowieso toch bijna niet meer gepakt. Je kunt je tegenwoordig uitstekend anoniem op internet begeven dankzij diensten als mullvad en TOR. En dat is maar goed ook. Ook burgers in westerse landen zullen dit nog hard nodig gaan hebben in de toekomst.
Noem eerst de whitehats netjes hacker, en de vandalisten eens crackers, of blackhats. Eerder kan je zoiets toch niet serieus nemen?
Dhr. Jongen kan wel roepen om hardere straffen, maar het probleem zijn niet de hackers, maar degene die gehackt worden. Laat ze daar eens wat meer sancties op zetten. Hackers worden sowieso toch bijna niet meer gepakt. Je kunt je tegenwoordig uitstekend anoniem op internet begeven dankzij diensten als mullvad en TOR. En dat is maar goed ook. Ook burgers in westerse landen zullen dit nog hard nodig gaan hebben in de toekomst.
In welke wereld leef jij? Stel er wordt in jouw huis ingebroken. Dan heeft iedereen sympathie voor jouw ellende en gaat het OM samen met de politie achter de dader aan. En zo hoort het in een rechtsstaat.
Maar als een bedrijf gehackt wordt, misschien geheel buiten eigen schuld, middels een 0-day exploit bijvoorbeeld dan moeten we met zijn allen volgens jou dit slachtoffer veroordelen en de betreffende hacker is de held?
Een totaal omgekeerde voorstelling van zaken. Nog altijd is volgens ons rechtsstelsel deze hack een criminele activiteit en horen we het slachtoffer te beschermen. Dat hoort in een rechtsstaat. We hebben democratisch bepaalt dat dit soort inbraken crimineel zijn en in het WvSr opgenomen zijn.
Dit omdraaien is absolute nonsens en irriteert mij mateloos. De stichting thuiswinkel heeft m.i. 100% gelijk. We moeten van het achterlijke verheerlijkende beeld van de glorieuze hacker af. Net zoals we geen sympathie hebben voor de dader van een auto-inbraak. Ik kan geen enkele maar dan ook geen enkele sympathie opbrengen voor de malloot die de gegevens van een criminele inbraak in 2010 bij babydump naar buiten brengt moedwillig om KPN te beschadigen.
Ja; KPN heeft wellicht (laten we misschien even de feiten afwachten; ook niet onverstandig!) fouten gemaakt. En ja; daar horen wellicht sancties tegenover. Maar naar mijn mening hoort de straf nog veel groter te zijn voor de dader dan voor het slachtoffer. Dat is recht! En niet andersom.
Bedoelt de heer Jongen de cybercriminelen die, zonder de publiciteit te zoeken, websites kraken en databases met klantgegevens kopiëren, o.a. om hun spamrecipient database mee uit te breiden, creditcard gegevens te misbruiken, logongegevens te verzamelen om zich daarmee op andere sites te kunnen voordoen als, weten bij welke bank iemand zit (handig voor phishing mails)? En/of malware op kwetsbare sites plaatsen?
Of bedoelt de heer Jongen hackers zoals die van KPN, die -voor zover bekend- nog geen gegevens hebben gepubliceerd, maar met hun actie (een "beetje" geholpen door de grappenmaker die kpnmail accountgegevens uit de baby-dump DB op pastebin zette) wel voor elkaar hebben gekregen dat KPN toegeeft dat het onderhoud van haar IT systemen niet "optimaal" was (zie https://secure.security.nl/artikel/40311/1/KPN%3A_onderhoud_IT-systemen_niet_optimaal.html) en daar nu verbeteringen in doorvoert - waardoor bovengenoemd type "hackers" er (hopelijk) ook niet zomaar meer bij kan?
- wel hun diensten aanbieden: aan wie dan? Terwijl het strafbaar blijft en/of rechters zich er per geval over moeten buigen?
- niets publiceren: de consequentie is dan https://secure.security.nl/artikel/40268/1/KPN_houdt_vol%3A_geen_klantgegevens_gestolen.html en achteroverleunen. Zodra er vervolgens toch iets (anders in dit geval) gepubliceerd wordt, kunnen plotseling wel 2 miljoen accounts worden geblokkeerd, gevolgd door evenveel mea culpa's...
Als meneer Jongen nou eens niet zijn tijd zou verspillen met domme uitspraken (zie boven, maar ook https://secure.security.nl/artikel/38715/1/Thuiswinkel%3A_Toezicht_faalde_bij_DigiNotar.html) en die kostbare tijd zou besteden aan het controleren of aangesloten webwinkels simpelweg aan de door zijn club gestelde voorwaarden voldoen (zie mijn reactie onder laatstgenoemde URL), zou het web in elk geval een beetje veiliger worden...
Ik ben het dus eens dat niet alle hackers aan de schandpaal genageld hoeven te worden, het hangt af van wat de hakker doet en waarom.
De personen die sites en andere locaties hacken puur om data te vergaren, zaken om zeep te helpen, kosten te veroorzaken of gewoon om te pesten, ja...die eikels mogen ze wat mij betreft aan hun genitaliën ophangen...man of vrouw...
ik wordt doodziek van alle spam en andere rotzooi die dagelijks mijn mailbox vult omdat een of andere idioot met te veel vrije tijd meent " lollig" te moeten zijn. DAT moet maar eens afgelopen zijn. Het internet moet er voor iedereen zijn. Men moet op een normale manier info kunnen uitwisselen.
Zou jij het accepteren dat iemand jouw auto vol plakt met reclameposters van de nachtclub uit de buurt terwijl jij je benzine staat af te rekenen ? Da's wel wat er gebeurd met je mailbox namelijk.
Het is voldoende om de gelegenheidsinbreker tegen te houden (mits je de deur op slot doet) maar een doorwinterde inbreker heeft er geen moeite mee. Op die manier creëer je de omgeving waar mensen zich veilig wanen maar dat zelden zijn.
Wat zegt een certificaat als je het krijgt wanneer je aan een aantal van de voorwaarden voldoet? Blijkbaar is het toegestaan om wachtwoorden onversleuteld op te slaan. Dat zegt al genoeg mijns inziens.
Voor het grote publiek is de naam hacker al jarenlang besmet. Dat is niets nieuw... Het is zinloos om hier een campagne te beginnen om de naam hacker weer knuffelbaar te maken.
't zelfde geld voor de overheid!!
Laat ze gewoon eens aan het werk gaan!!! gewoon werken sukels!!! alles controleren!!!
't is niet moeilijk!!! maar ja, dan moeten ze werken en daar houden ze niet van
Ethical hacking is hacking met voorafgaande permissie van de eigenaar van de systemen waarop je inbreekt, eigenlijk hetzelfde als penetration testing. Ethical hacking is -niet- het wederrechtelijk inbreken op systemen zolang je maar een reden hebt waarmee je je daden denkt te kunnen rechtvaardigen.
Verder wordt er door de rechter wel degelijk verschil gemaakt tussen hackers die puur crimineel bezig zijn, en proberen om geld te verdienen aan hun activiteiten, en hackers die geen commerciele bijbedoelingen hebben, en enkel misstanden aan het licht willen brengen (denk bijvoorbeeld aan de hackers die aan lektober/webwereld hebben meegewerkt).
Last but not least; het mass dumpen van accounts en passwords, alsmede credit card gegevens, zoals gedaan wordt door sommige anonymous leden, heeft niets meer van doen met het aan het lichtbrengen van misstanden, en ik denk dat dergelijke hackers op weinig compassie van de rechter kunnen rekenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
