image

FBI doet inval bij onderzoeker die ftp-lek rapporteerde

maandag 30 mei 2016, 17:20 door Redactie, 7 reacties

De FBI heeft een inval gedaan bij een Amerikaanse beveiligingsonderzoeker die onversleutelde patiëntgegevens op de ftp-server van een bedrijf ontdekte en vervolgens het bedrijf inlichtte. Het ging om een ftp-server van Eaglesoft, dat wordt ontwikkeld door de softwareontwikkelaar Patterson Dental.

Op de server werden klantendatabases van verschillende Amerikaanse en Canadese tandartspraktijken door onderzoeker Justin Shafer aangetroffen, met social security nummers, adresgegevens, namen, leeftijd, laatste bezoek, telefoonnummers, gezondheids- en verzekeringsgegevens, alsmede allerlei andere data. De 36-jarige Shafer vertelt tegenover de Daily Dot hoe de FBI onlangs zijn woning binnenviel en hem in de boeien sloeg. De FBI-agenten namen vervolgens al zijn computers en apparaten mee.

De aanklacht tegen Shafer is nog niet openbaar gemaakt, maar de onderzoeker kreeg van een FBI-agent te horen dat de inval wegens het ftp-incident van eerder dit jaar was. Volgens een FBI-agent was de onderzoeker door het benaderen van de ftp-server te ver gegaan. Dit is namelijk strafbaar onder de Amerikaanse wetgeving. Opmerkelijk is dat de ondezoeker het lek pas openbaar maakte nadat alle getroffen praktijken en Patterson Dental waren ingelicht en de gegevens waren beveiligd. Volgens de onderzoeker was de ftp-server al jaren onbeveiligd.

Reacties (7)
30-05-2016, 18:11 door karma4
Thanks... Security awareness is not a wanted skill.. shoot te messenger and piano player.
30-05-2016, 18:48 door Anoniem
Een beetje kort door de bocht van de FBI, die het niet zo op het signaleren van onveiligheid heeft begrepen kennelijk.
Het is voor sommige partijen beter om het bestaande "onveilige" digitale landschap in stand te houden, te veel bewustzijn over de ware aard ervan kan alleen maar schadelijk zijn. De onderzoeker had zich ook zijn positie als ethisch hacker beter moeten realiseren. Op persoonlijke titel directe scans uitvoeren, wordt daar in de U.S. of A. al snel gerekend tot computervredebreuk.

Het is ook makkelijk scoren om een beveiligingsonderzoeker in de kraag te vatten bij het kleinst mogelijke misstapje. Waarom blijven de echte grote veroorzakers van onveiligheid, die vaak mede verdienen aan frauduleuze clicks en die onveiligheid voort laten duren uit kost-effectieve overwegingen, altijd buiten schot. Ook de black-hat onderzoeker die bedrijven afperst met het eventueel publiceren van onveiligheid wordt slechts zelden aangepakt of weet altijd net aan de veilige kant van de wet te opereren. "En da's niet eerlijk", zou Calimero zeggen. Kom op FBI, gaat boeven vangen en geen onderzoekers,
30-05-2016, 20:05 door Anoniem
Door karma4: Thanks... Security awareness is not a wanted skill.. shoot te messenger and piano player.
We vergeten maar al te graag dat melders die vervolgd worden niet alleen goede bedoelingen bleken te hebben. Voorbeelden in Nederland zijn de meldingen over KPN en het Groene Hart ziekenhuis waar de daders eerst veel te ver gaan met het inzien of downloaden van zeer vertrouwelijke gegevens en zich dan proberen te verschuilen achter een heldendaad. Als de kluis open staat roof je die niet eerst leeg.
30-05-2016, 21:03 door karma4
Door Anoniem: We vergeten maar al te graag dat melders die vervolgd worden niet alleen goede bedoelingen bleken te hebben. Voorbeelden in Nederland zijn de meldingen over KPN en het Groene Hart ziekenhuis waar de daders eerst veel te ver gaan met het inzien of downloaden van zeer vertrouwelijke gegevens en zich dan proberen te verschuilen achter een heldendaad. Als de kluis open staat roof je die niet eerst leeg.
Daar heb je gelijk in. De zaak wordt vaak anders gepresenteerd dan de werkelijkheid en wat er uiteindelijk naar buiten gaat hoeft ook niet overeen te komen. Je raakt me in het wezen voor mijn motivatie van reacties hier op dit forum.

je verwijst naar: [ur] http://www.nu.nl/binnenland/2927832/groene-hart-ziekenhuis-lekt-medische-dossiers.html [/url] met als vervolg... http://www.omroepwest.nl/nieuws/2741017/Celstraf-voor-hacken-server-Groene-Hart-Ziekenhuis-in-Gouda? De grens van wit naar zwart is een glijdende niet digitaal.

Misbruik van macht komt ook in nederland voor http://www.nrc.nl/nieuws/2014/12/24/nza-rehabiliteert-klokkenluider-arthur-gotlieb. Het slot van artikel van de reactie stelt een goede vraag. Al het een bekende onderzoeker is en je vind het verkeerd wat hij doet kun je dat via de rechter gewoon afhandelen. Dat er met machtsvertoon en wapens opgetreden wordt is indien dat waar is (ga ik vanuit) buitenproportioneel. Dit is volgens mij zijn eigen site: [urlhttp://onsitedentalsystems.com/about.htm[/url]
31-05-2016, 11:18 door Anoniem
Door Anoniem:
Door karma4: Thanks... Security awareness is not a wanted skill.. shoot te messenger and piano player.
We vergeten maar al te graag dat melders die vervolgd worden niet alleen goede bedoelingen bleken te hebben. Voorbeelden in Nederland zijn de meldingen over KPN en het Groene Hart ziekenhuis waar de daders eerst veel te ver gaan met het inzien of downloaden van zeer vertrouwelijke gegevens en zich dan proberen te verschuilen achter een heldendaad. Als de kluis open staat roof je die niet eerst leeg.

Wel vervelend dat als jij meldt dat die kluis openstaat, en hij vervolgens leeggeroofd wordt, de FBI gelijk bij jou op de stoep staat om te vragen waar het geld is. Want dat zul jij wel geweest zijn. Er kan immers niet nog iemand hebben gezien dat die kluis openstaat. Of in ieder geval kennen zij die niet. En besparen ze zich graag de moeite om die te gaan zoeken.
01-06-2016, 11:59 door F3rry
En dan vragen we ons nog steeds of waarom hackers / security onderzoekers (doorhalen wat je niet van toepassing vind) exploits op zwarte markten verkopen?
06-06-2016, 12:13 door Anoniem
Geek krijgt nu keuze:

- Of met bubba jarenlang plezier hebben in een gevangenis.

- Of komen werken voor US overheid.

Eigenaardige manier van rekruteren maar het werkt wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.