Nieuws

Journalisten bedreigd na ontdekking beveiligingslek

dinsdag 21 mei 2013, 16:06 door Redactie, 5 reacties

Twee Amerikaanse telecombedrijven die de gegevens van 170.000 klanten lekten hebben journalisten die dit ontdekten bedreigd. Het gaat om de bedrijven TerraCom en YourTel America, die klanten via het Lifeline programma van de Amerikaanse overheid betaalbare telefoondiensten aanbieden.

Het Lifeline programma is bedoeld voor consumenten met een laag inkomen. De regels om aan het programma mee te doen zijn door de overheid aangescherpt. Daardoor moeten telecombedrijven mensen die in aanmerking willen komen eerst documenteren, waarbij allerlei vertrouwelijke gegevens worden opgeslagen.

Het is echter niet toegestaan om deze gegevens permanent te bewaren. Een onderzoeksteam van Scripps News ontdekte dat dit niet het geval is en dat de gegevens eenvoudig zijn te vinden. Alleen door het gebruik van Google werd een grote hoeveelheid vertrouwelijke data ontdekt.

Vertrouwelijk
In totaal werden bij YourTel America en TerraCom 170.000 bestanden gevonden, die allemaal vertrouwelijke informatie bevatte.

Het ging om 44.000 aanvragen en certificeringsformulieren en 127.000 ondersteunende documenten, zoals scans en foto's van voedselbonnen, rijbewijzen, belastingpapieren, buitenlandse paspoorten en verlofletters.

Strafbaar
Een advocaat die beide bedrijven vertegenwoordigt stelt dat de journalisten de gegevens onrechtmatig en illegaal hebben verkregen. Daarbij zou de Computer Fraud and Abuse Act (CFAA) meerdere malen zijn overtreden.

De advocaat eiste dan ook dat de identiteit van de 'Scripps hackers' bekend zou worden gemaakt en dat ze met hun activiteiten zouden stoppen. Ook zou de nieuwsorganisatie de telecombedrijven moeten helpen bij het oplossen van de schade die de hackers hadden veroorzaakt.

Scripps ontkent alle aantijgingen en zegt dat het een video van de werkwijze heeft gemaakt, waaruit blijkt dat er geen strafbare feiten zijn gepleegd. De documentaire over het onderzoek, genaamd Privacy on the Line, staat nu online. De gegevens zijn inmiddels offline gehaald.

Evangelische site verspreidt malware-boodschap

Anti-virusbedrijf lanceert fotoverkleiner-app

Reacties (5)

21-05-2013, 16:16 door lucb1e

Weer een </b>'tje vergeten... Misschien artikelen even controleren nadat ze online verschijnen?
[admin]Thanks Fixed [/admin]

21-05-2013, 16:18 door Anoniem

Bij 'gestolen' liedjes is er ook altijd een absurd hoge boete per nummer. Lijkt me hier per bestand ook terecht.
170.000 x 1000 = 170.000.000 dollar boete. Dat zal ze leren :o)

21-05-2013, 22:03 door Anoniem

Verbazend hoe vaak je bazen van getroffen bedrijven terug moet fluiten met de vervelende boodschap dat "shoot the messenger" niet handig is in dit soort zaken.

Aan de andere kant is de reactie niet heel raar, want het voelt als dat de journo jouw bedrijf slachtoffert voor een goedkope scoop gevonden door eens flink op het internet naar gaten te trollen. Maar het blijft slecht voor de veiligheid als gaten niet gerapporteerd kunnen worden.

22-05-2013, 04:52 door Anoniem

dus als ik via google wat prive info vindt dan ben ik strafbaar?
als ik lekken rapporteer ben ik ook strafbaar?

23-05-2013, 10:47 door Anoniem

Door Anoniem: dus als ik via google wat prive info vindt dan ben ik strafbaar?
als ik lekken rapporteer ben ik ook strafbaar?

Het gaat hier niet om "strafbaar" maar om dreigen met aanklachten. Je weet wel, als vuur- en massavernietigingswapensgevaarlijk worden aangemerkt en door een heel legertje SWAT-teams van je bed te worden gelicht. Arrestatie, al je hardware in beslag genomen, en wekenlang worden doorgezaagd over hoe je, weetikveel, nadat je hebt ingelogd een userid= nummertje kon veranderen en iedereen hun data inzien. Vinden ze niets wordt je op straat gedumpt, en krijg je na veel geharrewar je hardware minus harde schijven terug, of die zijn gewist "uit veiligheidsoverwegingen".

Dat op zich is al voldoende voor velen om niet meer netjes te melden. Hier hebben ook partijen die wél blij zijn met meldingen last van, bijvoorbeeld doordat exploits direct in het publiek gedumpt worden, zonder voorafmelding om er wat aan te doen.

Hebben we het over de Nederlandse situatie, dan hoef je maar te kijken naar de recente veroordeling van Henk Krol. Daar hebben toen al velen hier dezelfde conclusie getrokken: Vergeet het maar met het melden en hopen op coulantie om dan vervolgens op een pietluttigheid toch als dader aangewezen te worden.

Het blijft altijd een spanningsveld, ook als we het niet over pietluttigheden hebben, want zodra je gaat zoeken op andermans machines ben je eigenlijk al met computervredebreuk bezig.

Dus als je iets vindt: Anoniem melden, geef ze een week om te reageren. Vervolgens dump je het publiek, of tip je Brenno voor de volgende lektober.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer