Gisteren werd in de Verenigde Staten Andrew Auernheimer tot een gevangenisstraf van 41 maanden veroordeeld wegens het aantonen van een beveiligingslek bij telecomprovider AT&T, maar volgens een burgerrechtenbeweging slaat de Amerikaanse wet op hol. Auernheimer, bekend onder het alias Weev, is één van de oprichters van Goatse Security.
De groep ontdekte een kwetsbaarheid op de website van AT&T. Het e-mailadres van AT&T-klanten werd automatisch ingevuld als die vanaf hun iPad de pagina bezochten. De tablet was voorzien van een unieke code die in de URL verscheen als de AT&T site werd geladen.
Auernheimer schreef samen met Daniel Spitler een script dat zich tegenover de servers van AT&T als iPad voordeed en zo de gegevens van 114.000 iPad-eigenaren verzamelde, waaronder militaire en overheidsfunctionarissen, topbestuurders en tal van bekendheden. Spitler sloot eerder een overeenkomst en besloot tegen Auernheimer te getuigen.
Wet
Volgens de procureur-generaal wist Auernheimer dat hij de wet overtrad toen hij samen met Spitler het probleem misbruikte en de persoonsgegevens buitmaakte. Een deel daarvan werd vervolgens naar een journalist van Gawker doorgestuurd. De procureur-generaal gelooft niets van de bewering dat de twee onderzoekers een beveiligingsprobleem wilden aantonen en dat de beveiliging van AT&T ernstig te wensen overliet.
"Auernheimer coördineerde uit eigen belang een cyberaanval op een Amerikaans bedrijf en tienduizenden onschuldige klanten, om zo zijn eigen bedrijf te promoten", voegt FBI-agent David Velazquez toe. Na de aanval zou Auernheimer geprobeerd hebben om al het bewijsmateriaal te verbergen. Naast zijn celstraf moet Auernheimer ook een vergoeding van 73.000 dollar betalen.
Verantwoordelijkheid
De Amerikaanse digitale burgerrechtenbeweging Electronic Frontier Foundation (EFF) staat Auernheimer bij in zijn hoger beroep tegen de uitspraak. Volgens de EFF zorgen fundamentele problemen met de computermisbruikwetgeving voor oneerlijke gevangenisstraffen.
"Weev hangt meer dan drie jaar cel boven het hoofd omdat hij aantoonde dat een bedrijf zijn klantgegevens niet goed beschermde, terwijl niemand door zijn acties werd getroffen", aldus EFF advocaat Marcia Hofmann. "De straf voor computermisdrijven staat niet in verhouding en het congres moet dit oplossen."
Aantonen
Volgens Sean Sullivan is het belangrijk dat hackers en onderzoekers die beveiligingslekken vinden hier geen misbruik van maken. "Doe net genoeg om het probleem aan te tonen." Het is dan ook niet gepast om persoonlijk identificeerbare informatie van andere mensen te verzamelen of versturen.
En in het geval een onderzoeker de pers opzoekt, is het verstandiger om het apparaat van de journalist te gebruiken om het lek te demonstreren, stelt Sullivan.
Tegenover Mashable zegt Auernheimer dat hij niet bang is om naar de gevangenis te gaan. Daarnaast blijft hij achter zijn beslissing staan. "Als een groot bedrijf je in gevaar brengt, vind ik dat je het moet weten, en verdient het bedrijf om aan de schandpaal te worden genageld."
Deze posting is gelocked. Reageren is niet meer mogelijk.