image

Tiener aangeklaagd voor downloaden onbeveiligde overheidsdocumenten

dinsdag 17 april 2018, 15:47 door Redactie, 20 reacties

De Canadese autoriteiten hebben een 19-jarige man opgepakt en aangeklaagd voor het downloaden van onbeveiligde bestanden van een overheidswebsite. De Canadese provincie Nova Scotia biedt burgers via de FOIPOP-portaal allerlei documenten. De Freedom of Information and Protection of Privacy Act (FOIPOP) is de Canadese tegenhanger van het Wob-verzoek. Door 5 dollar te betalen krijgen burgers en journalisten toegang tot de documenten van het portaal.

Alle documenten zijn voorzien van een nummer-id. De tiener ontdekte dat als hij dit nummer wijzigde hij ook andere documenten kon downloaden. In totaal downloadde hij op deze manier meer dan 7.000 documenten. Veruit het grootste deel van de documenten was ook voor het publiek bedoeld. 250 documenten bevatten echter persoonlijke informatie, zoals geboortedata, adresgegevens en verzekeringsnummers. De provincie had deze documenten echter niet beveiligd en bij de publieke documenten opgeslagen.

Begin april waarschuwde Unisys dat een "niet-geautoriseerde" persoon meer dan 7.000 documenten had gedownload. Vervolgens deed de politie een inval in het huis van de tiener, waar 15 politieagenten bij betrokken waren. Zijn computers, alsmede de telefoon en werkcomputers van zijn vader, werden in beslag genomen, waardoor de vader op het moment niet kan werken, zo meldt CBC.

De Canadese premier beschuldigde de jongen van het "stelen" van informatie. De tiener is aangeklaagd voor het "ongeautoriseerd gebruik van een computer" waarop een gevangenisstraf van maximaal 10 jaar staat. Dezelfde straf die op verkrachting en het vervaardigen van kinderporno staat, zo meldt Evan D'entremont die stelt dat eigenlijk de provincie hier de schuldige is door vertrouwelijke documenten op een openbare server te plaatsen waar ze door iedereen te downloaden waren.

"Als deze jongen de wet heeft overtreden, geldt dat ook voor Google, laat staan het enorme probleem dat dit voor de security-industrie veroorzaakt. Als het ontdekken van een kwetsbaarheid je dezelfde juridische aansprakelijkheid kan opleveren als het maken van kinderpornografie, dan zal er nooit meer iets worden gemeld. De meeste mensen gaan geen 10 jaar cel riskeren om de provincie of iemand anders te laten weten dat iets kapot is", aldus D'entremont.

Reacties (20)
17-04-2018, 15:53 door Anoniem
Na een link die lukt zou je eigenlijk een melding moeten doen, stoppen bij document 7000 helpt niet echt in je voordeel. Aan de andere kant is die overheid daar wel een beetje de weg kwijt door er zo mee om te gaan.
17-04-2018, 16:34 door karma4 - Bijgewerkt: 17-04-2018, 17:26
Het is een zich ontwikkelend verhaal.
De uitvoerder van de service / dienst is al genoemd. Niet dat deze met contractverlenging in june zit en niet dat er een rapport over de slechte kwaliteit en gebrek aan invulling security is.
http://www.cbc.ca/news/canada/nova-scotia/it-contract-renewal-private-data-breach-1.4619175
Unisys is niet de software eigenaar van Amanda dat is csdc https://blog.csdcsystems.com/independent-research-agency-votes-amanda-as-the-best-municipal-case-management-software-8e3c1c0d2e25
17-04-2018, 16:41 door Anoniem
Je kan je afvragen in hoeverre "Freedom of Information" dat ook werkelijk geacht wordt te zijn. Wat doet die persoonlijk gevoelige informatie daartussen, en waarom is'ie zo slecht beveiligd?

Niet dat het heel netjes is ongevraagd kopietjes van complete sites te willen trekken, maar aanklagen gaat wellicht een beetje ver.
17-04-2018, 16:53 door Anoniem
Dubbel.

Aan de ene kant is de Tiener schuldig.

Aan de andere kant had de overheid dit beter moeten regelen
17-04-2018, 18:21 door Anoniem
Een vraag die bij mij opkomt is het volgende: Als je een geldige URL intoetst en die blijkt te werken zonder verdere inlogpagina, in het bijzonder bij een site waarbij: "Veruit het grootste deel van de documenten ... ook voor het publiek [was] bedoeld.", in hoeverre mag een mens er dan redelijkerwijs van uitgaan dat de informatie ook bewust op deze wijze beschikbaar is gemaakt? Immers, het intoetsen van een geldige URL is een erkende en gebruikelijke manier van onschuldig internet gebruik. Het is niet hetzelfde als code injectie, waarbij een foute intentie veel meer voor de hand ligt.
17-04-2018, 20:26 door Anoniem
Door Anoniem: Een vraag die bij mij opkomt is het volgende: Als je een geldige URL intoetst en die blijkt te werken zonder verdere inlogpagina, in het bijzonder bij een site waarbij: "Veruit het grootste deel van de documenten ... ook voor het publiek [was] bedoeld.", in hoeverre mag een mens er dan redelijkerwijs van uitgaan dat de informatie ook bewust op deze wijze beschikbaar is gemaakt? Immers, het intoetsen van een geldige URL is een erkende en gebruikelijke manier van onschuldig internet gebruik. Het is niet hetzelfde als code injectie, waarbij een foute intentie veel meer voor de hand ligt.

Mee eens.
17-04-2018, 21:16 door karma4
Door Anoniem: Een vraag die bij mij opkomt is het volgende: .......Het is niet hetzelfde als code injectie, waarbij een foute intentie veel meer voor de hand ligt.
Dat is een goede vraag.
Het gaat om wob verzoeken. Het probleem zit zo te zien niet in de documenten die openbaar bedoeld waren maar in die 250 die er niet hoorden te staan. Waarom stonden die daar?

Amanda is een case/flow manager bedoeld voor de afhandeling van wob aanvragen met na beoordeling het plaatsen van inhoud als openbaar antwoord.

Een aantal mogelijkheden:
- Als amanda nog in bewerking zijnde gegevens plaatst die nog niet vrijgegeven zijn. Dan zouden die via een vrijkomen.
- Als er interne gebruikers zijn die dit als een manier zien om naar buiten toe gegevens te delen dan is het toevallig geraakt. In dat geval is er eigenlijk een intern probleem ontdekt.
- een interne test met echte gegevens. Ook een intern probleem.
- ???

Ik ben benieuwd of we er meer van gaan horen.
18-04-2018, 07:54 door Anoniem
Ik snap dit kind wel. Als je de 250 gevoelige documenten niet download dan zal de overheid zeggen: er was niets aan de hand, dat kind overdrijft, het waren publieke documenten. nu zitten er ergens tussen 7000 documenten gevoelige gegevens. De analyse van de gegevens gaat een stuk langzamer als het downloaden. dus terwijl hij de publiek documenten aan het downloaden is komen er documenten binnen die niet publiek hadden mogen zijn.

Ik geef dit kind groot gelijk. heb zelf vaker in zijn positie gezeten. De overheid moet hiervoor gestraft worden, niet het kind. Netjes gedaan !
18-04-2018, 08:34 door Anoniem
Tiener. OK, bij 19 jaar ben je nog een tiener, maar ook een volwassene.
18-04-2018, 08:45 door Anoniem
Door karma4:
Door Anoniem: Een vraag die bij mij opkomt is het volgende: .......Het is niet hetzelfde als code injectie, waarbij een foute intentie veel meer voor de hand ligt.
Dat is een goede vraag.
Het gaat om wob verzoeken. Het probleem zit zo te zien niet in de documenten die openbaar bedoeld waren maar in die 250 die er niet hoorden te staan. Waarom stonden die daar?
Volgens het artikel op CBC waar je hierboven naar linkte gaat het om "the Freedom of Information and Protection of Privacy portal". Ze laten er kennelijk twee onderwerpen door elkaar lopen: WOB-verzoeken en privacybescherming. Onderwerpen waar verschillende beveiligingseisen aan hangen, zou ik denken. Bovenop de fout om daar een gedeeld portal voor te gebruiken maken ze ook nog eens de fout om niet de zwaarste maar de lichtste beveiliging toe te passen.
18-04-2018, 08:54 door Anoniem
Door karma4: Het is een zich ontwikkelend verhaal.
De uitvoerder van de service / dienst is al genoemd. Niet dat deze met contractverlenging in june zit en niet dat er een rapport over de slechte kwaliteit en gebrek aan invulling security is.
http://www.cbc.ca/news/canada/nova-scotia/it-contract-renewal-private-data-breach-1.4619175
Unisys is niet de software eigenaar van Amanda dat is csdc https://blog.csdcsystems.com/independent-research-agency-votes-amanda-as-the-best-municipal-case-management-software-8e3c1c0d2e25
Het zijn beide bedrijven die al sinds de jaren '80 bestaan. Ik vind het vrij schokkend dat die nog niet doorhebben dat je heel eenvoudig random waarden zoals UUID's in URL-parameters kan gebruiken in plaats van volgnummers. Dat levert voor privacygevoelige gegevens nog steeds niet genoeg beveiliging op, natuurlijk, maar dit zit op het niveau van absolute beginnersfouten, van webontwikkelaars die nog moeten beginnen na te denken over de consequenties van hoe webbrowsers en HTTP werken.

De eisen die klanten opstellen kunnen daar ook een factor in zijn. Op de CSDC-blogpost waar karma4 naar linkt staat een lijstje requirements van een stad. Globaal, weliswaar, maar toch: er staan alleen dingen in die ze wel willen, en niet een ding waarvan ze willen dat de software het niet doet, zoals data niet aan mensen tonen die het niet mogen zien.
18-04-2018, 09:07 door Anoniem
Eén van de eerste lessen die je leert als webdevelopper: Vertrouw nooit userinput en GET-parameters. Hier heeft de IT-leverancier flink liggen slapen.
18-04-2018, 12:09 door Anoniem
Door Anoniem: Na een link die lukt zou je eigenlijk een melding moeten doen, stoppen bij document 7000 helpt niet echt in je voordeel. Aan de andere kant is die overheid daar wel een beetje de weg kwijt door er zo mee om te gaan.

6750 van die documenten mocht hij zo downloaden. Hij wist van tevoren niet dat hij die andere 250 niet mocht hebben.
Hij heeft echt niet na ieder gedownload bericht het document bekeken om te zien of hij het mocht hebben. Waarschijnlijk heeft hij er 7000 gedownload en pas toen de politie aan de deur stond, wist hij dat er ook ongeoorloofde documenten bij stonden.

De kans is zeer groot dat hij die documenten niet eens heeft ingezien.

Peter
18-04-2018, 14:21 door Anoniem
Dat de server heel slecht beveiligd is en die 250 documenten daar al helemaal niet tussen hadden mogen zitten betekend natuurlijk niet dat de jongen geen blaam treft:
- 7000 documenten downloaden heeft niets meer te maken met een test of een beveiligingscheck. Hij heeft het lek ook niet gemeld begrijp ik; Unisys is er zelf achter gekomen dat hij die 7000 documenten heeft gedownload.
- Voor elk document had hij 5 dollar moeten betalen. Dat wist hij want hij heeft voor het eerste document betaald. Diefstal in de klassieke zin van het ontvreemden van een product die daarna niet meer verkocht kan worden is het misschien niet, maar het was hem wel bekend dat de documenten niet van hem waren en hij enkel na het betalen van 5 dollar voor een specifiek document dat specifieke document mocht bekijken (en blijkbaar ook downloaden)

Al met al vergelijkt dit meer met dat je na een gewoon (en rechtmatig bezoek) aan een bedrijf/gebouw erachter komt dat de voordeur niet op slot zit en dan vervolgens constant opnieuw dat bedrijf/gebouw naar binnen te gaan voor andere doeleinden. Dat is ook niet toegestaan, zelfs niet als de voordeur wagenwijd open zou staan...

Ik neem dan ook aan dat hij niet specifiek opgepakt is voor die 250 documenten, maar voor het ongeoorloofd downloaden van 6999 documenten waarvan 250 ook nog eens extra gevoelig maar dát laatste is niet zijn schuld.
18-04-2018, 23:33 door Anoniem
Eigenlijk zouden zowel de overtreder als de nalatigheid (die bijkans lijkt op "uitlokken) bestraft moeten worden.

Illegaal downloaden is een overtreding, (niet) publieke documenten niet juist beveiligen is er m.i. ook een.
Meestal wordt de ene overtreding zwaar aangerekend en de andere overtreding weggemasseerd.
19-04-2018, 11:34 door spatieman
dat noemen zo komende klokkenluider de mond snoeren en in hett gevangg gooien.
19-04-2018, 12:50 door Anoniem
Het spasme houdt aan. Niet de rommelende informatieverstrekker wordt gestraft maar degene die onbeveiligde informatie van het web haalt. De overheid is hier zwaar in gebreke gebleven. Waarom wordt die niet bestraft!!!
19-04-2018, 16:27 door Anoniem
En als de tiener de docs downloadde met één scriptje? Variabel oplopend nummerveldje...
23-04-2018, 10:01 door Anoniem
Ik begrijp uit het verhaal dat je persé een link moet volgen om een document te mogen downloaden. Simpelweg een url aanpassen om makkelijker een hele rits van openbaar gestelde documenten te downloaden mag niet omdat er wel eens gevoelige documenten bij kunnen staan. Schiet mij maar lek ...
De rechter mag van mij de jongen en de vader ruim vergoeden voor hun geleden schade.
23-04-2018, 11:06 door Leen_T
Door Anoniem: En als de tiener de docs downloadde met één scriptje? Variabel oplopend nummerveldje...
Apps als teleport zijn ervoor ontwikkeld om hele sites in één keer leeg te trekken. Lijkt me waarschijnlijker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.