Tiener aangeklaagd voor downloaden onbeveiligde overheidsdocumenten
De Canadese autoriteiten hebben een 19-jarige man opgepakt en aangeklaagd voor het downloaden van onbeveiligde bestanden van een overheidswebsite. De Canadese provincie Nova Scotia biedt burgers via de FOIPOP-portaal allerlei documenten. De Freedom of Information and Protection of Privacy Act (FOIPOP) is de Canadese tegenhanger van het Wob-verzoek. Door 5 dollar te betalen krijgen burgers en journalisten toegang tot de documenten van het portaal.
Alle documenten zijn voorzien van een nummer-id. De tiener ontdekte dat als hij dit nummer wijzigde hij ook andere documenten kon downloaden. In totaal downloadde hij op deze manier meer dan 7.000 documenten. Veruit het grootste deel van de documenten was ook voor het publiek bedoeld. 250 documenten bevatten echter persoonlijke informatie, zoals geboortedata, adresgegevens en verzekeringsnummers. De provincie had deze documenten echter niet beveiligd en bij de publieke documenten opgeslagen.
Begin april waarschuwde Unisys dat een "niet-geautoriseerde" persoon meer dan 7.000 documenten had gedownload. Vervolgens deed de politie een inval in het huis van de tiener, waar 15 politieagenten bij betrokken waren. Zijn computers, alsmede de telefoon en werkcomputers van zijn vader, werden in beslag genomen, waardoor de vader op het moment niet kan werken, zo meldt CBC.
De Canadese premier beschuldigde de jongen van het "stelen" van informatie. De tiener is aangeklaagd voor het "ongeautoriseerd gebruik van een computer" waarop een gevangenisstraf van maximaal 10 jaar staat. Dezelfde straf die op verkrachting en het vervaardigen van kinderporno staat, zo meldt Evan D'entremont die stelt dat eigenlijk de provincie hier de schuldige is door vertrouwelijke documenten op een openbare server te plaatsen waar ze door iedereen te downloaden waren.
"Als deze jongen de wet heeft overtreden, geldt dat ook voor Google, laat staan het enorme probleem dat dit voor de security-industrie veroorzaakt. Als het ontdekken van een kwetsbaarheid je dezelfde juridische aansprakelijkheid kan opleveren als het maken van kinderpornografie, dan zal er nooit meer iets worden gemeld. De meeste mensen gaan geen 10 jaar cel riskeren om de provincie of iemand anders te laten weten dat iets kapot is", aldus D'entremont.
De uitvoerder van de service / dienst is al genoemd. Niet dat deze met contractverlenging in june zit en niet dat er een rapport over de slechte kwaliteit en gebrek aan invulling security is.
http://www.cbc.ca/news/canada/nova-scotia/it-contract-renewal-private-data-breach-1.4619175
Unisys is niet de software eigenaar van Amanda dat is csdc https://blog.csdcsystems.com/independent-research-agency-votes-amanda-as-the-best-municipal-case-management-software-8e3c1c0d2e25
Niet dat het heel netjes is ongevraagd kopietjes van complete sites te willen trekken, maar aanklagen gaat wellicht een beetje ver.
Aan de ene kant is de Tiener schuldig.
Aan de andere kant had de overheid dit beter moeten regelen
Mee eens.
Het gaat om wob verzoeken. Het probleem zit zo te zien niet in de documenten die openbaar bedoeld waren maar in die 250 die er niet hoorden te staan. Waarom stonden die daar?
Amanda is een case/flow manager bedoeld voor de afhandeling van wob aanvragen met na beoordeling het plaatsen van inhoud als openbaar antwoord.
Een aantal mogelijkheden:
- Als amanda nog in bewerking zijnde gegevens plaatst die nog niet vrijgegeven zijn. Dan zouden die via een vrijkomen.
- Als er interne gebruikers zijn die dit als een manier zien om naar buiten toe gegevens te delen dan is het toevallig geraakt. In dat geval is er eigenlijk een intern probleem ontdekt.
- een interne test met echte gegevens. Ook een intern probleem.
- ???
Ik ben benieuwd of we er meer van gaan horen.
Ik geef dit kind groot gelijk. heb zelf vaker in zijn positie gezeten. De overheid moet hiervoor gestraft worden, niet het kind. Netjes gedaan !
Het gaat om wob verzoeken. Het probleem zit zo te zien niet in de documenten die openbaar bedoeld waren maar in die 250 die er niet hoorden te staan. Waarom stonden die daar?
De uitvoerder van de service / dienst is al genoemd. Niet dat deze met contractverlenging in june zit en niet dat er een rapport over de slechte kwaliteit en gebrek aan invulling security is.
http://www.cbc.ca/news/canada/nova-scotia/it-contract-renewal-private-data-breach-1.4619175
Unisys is niet de software eigenaar van Amanda dat is csdc https://blog.csdcsystems.com/independent-research-agency-votes-amanda-as-the-best-municipal-case-management-software-8e3c1c0d2e25
De eisen die klanten opstellen kunnen daar ook een factor in zijn. Op de CSDC-blogpost waar karma4 naar linkt staat een lijstje requirements van een stad. Globaal, weliswaar, maar toch: er staan alleen dingen in die ze wel willen, en niet een ding waarvan ze willen dat de software het niet doet, zoals data niet aan mensen tonen die het niet mogen zien.
6750 van die documenten mocht hij zo downloaden. Hij wist van tevoren niet dat hij die andere 250 niet mocht hebben.
Hij heeft echt niet na ieder gedownload bericht het document bekeken om te zien of hij het mocht hebben. Waarschijnlijk heeft hij er 7000 gedownload en pas toen de politie aan de deur stond, wist hij dat er ook ongeoorloofde documenten bij stonden.
De kans is zeer groot dat hij die documenten niet eens heeft ingezien.
Peter
- 7000 documenten downloaden heeft niets meer te maken met een test of een beveiligingscheck. Hij heeft het lek ook niet gemeld begrijp ik; Unisys is er zelf achter gekomen dat hij die 7000 documenten heeft gedownload.
- Voor elk document had hij 5 dollar moeten betalen. Dat wist hij want hij heeft voor het eerste document betaald. Diefstal in de klassieke zin van het ontvreemden van een product die daarna niet meer verkocht kan worden is het misschien niet, maar het was hem wel bekend dat de documenten niet van hem waren en hij enkel na het betalen van 5 dollar voor een specifiek document dat specifieke document mocht bekijken (en blijkbaar ook downloaden)
Al met al vergelijkt dit meer met dat je na een gewoon (en rechtmatig bezoek) aan een bedrijf/gebouw erachter komt dat de voordeur niet op slot zit en dan vervolgens constant opnieuw dat bedrijf/gebouw naar binnen te gaan voor andere doeleinden. Dat is ook niet toegestaan, zelfs niet als de voordeur wagenwijd open zou staan...
Ik neem dan ook aan dat hij niet specifiek opgepakt is voor die 250 documenten, maar voor het ongeoorloofd downloaden van 6999 documenten waarvan 250 ook nog eens extra gevoelig maar dát laatste is niet zijn schuld.
Illegaal downloaden is een overtreding, (niet) publieke documenten niet juist beveiligen is er m.i. ook een.
Meestal wordt de ene overtreding zwaar aangerekend en de andere overtreding weggemasseerd.
De rechter mag van mij de jongen en de vader ruim vergoeden voor hun geleden schade.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
