image

Security-engineer veroordeeld voor hacken van hotel-wifi

dinsdag 25 september 2018, 14:42 door Redactie, 9 reacties

Een 23-jarige security-engineer van internetgigant Tencent is in Singapore veroordeeld tot een geldboete van omgerekend 3100 euro wegens het hacken van het wifi-netwerk van het hotel waar hij verbleef en het bloggen hierover. De man was in Singapore voor deelname aan een Capture the Flag-competitie die tegelijkertijd met een beveiligingsconferentie werd georganiseerd.

Een dag nadat hij was ingecheckt zocht hij naar kwetsbaarheden in de wifi-server van het hotel. Zo wist hij via Google de standaard gebruikersnaam en wachtwoord te vinden, aldus Yahoo News Singapore. Nadat hij met de wifi-gateway verbinding had gemaakt voerde hij verschillende scripts uit, ontsleutelde bestanden en kraakte wachtwoorden.

De server bevatte een kwetsbaarheid waardoor de engineer toegang wist te krijgen. Op zijn eigen blog beschreef de engineer alle stappen van zijn hack, alsmede het beheerderswachtwoord van de wifi-server. Volgens de openbare aanklager had de man kunnen weten dat door het openbaar maken van de informatie op deze manier, anderen daar misbruik van zouden kunnen maken. Ook zouden andere hotels met dezelfde server risico kunnen lopen.

De advocaat van de engineer stelde dat de acties van zijn cliënt voor een verhoogd risico zorgden, maar dat er geen daadwerkelijke schade was veroorzaakt. Aangezien de man al een aantal dagen in detentie had doorgebracht vroeg de advocaat om een geldboete van niet meer dan omgerekend 3100 euro. Dit bedrag werd uiteindelijk door de rechter opgelegd. Voor het openbaar maken van het wachtwoord had de engineer een gevangenisstraf van 3 jaar en een boete van 6200 euro kunnen krijgen.

Reacties (9)
25-09-2018, 15:05 door Anoniem
"Voor het openbaar maken van het wachtwoord"

In andere woorden, bij het volgende datalek waar de wachtwoorden niet gehashed zijn BOETE!
25-09-2018, 16:18 door Anoniem
Terecht dat ie een boete heeft gekregen. De 'nette' manier is om het bedrijf (in dit geval het hotel) op de hoogte te brengen van de kwetsbaarheid. Mocht het bedrijf uiteindelijk ervoor kiezen om de kwetsbaarheid niet te verhelpen, dan zou de engineer de publiciteit kunnen zoeken.
25-09-2018, 17:27 door Anoniem
Achterlijk
25-09-2018, 18:03 door Anoniem
Door Anoniem: "Voor het openbaar maken van het wachtwoord"

In andere woorden, bij het volgende datalek waar de wachtwoorden niet gehashed zijn BOETE!

Goh, leuk dat je dat even vertaald voor ons, verder nog wat toe te voegen?
25-09-2018, 21:41 door Werkezel
De mag nie, hacke.
25-09-2018, 23:01 door Anoniem
Nou Hacken?


-Door het default Telnet password van de AntLabs IG3100 te raden.
-diverse scripts en exploits om een MySQL database met informatie over het hotel interne Wi-Fi netwerk te bezoeken.
-De fragrance hotel keten is een budget hotel.

-Gearresteerd worden omdat de politie deze blog post vond:

Originele post van de onderzoeker/Bezoeker van hack in the box.
https://hk.saowen.com/a/6e3d908180fb701992fb60035e2a9fcdf8b1b52268516ae75882add040bd39d1

Komt overigens bij de gemiddelde conventie voor dat het hotelnetwerk door kwaadwillende bezocht wordt.
26-09-2018, 16:04 door Briolet - Bijgewerkt: 26-09-2018, 16:05
Door Anoniem:Komt overigens bij de gemiddelde conventie voor dat het hotelnetwerk door kwaadwillende bezocht wordt.

Dat is een non-argument. Het komt in de binnenstad wekelijks voor dat een spiegel van een auto getrapt wordt. Dus volgens jou mag dat je dat zelf ook doen omdat anderen dat al doen?
26-09-2018, 23:40 door beatnix - Bijgewerkt: 26-09-2018, 23:55
De security engineer in kwestie heeft niet zozeer het wachtwoord gepubliceerd.

Zoals ik het mag begrijpen is dat de leverancier van hotspot functionaliteit die standaard wachtwoord, uiteraard, gepubliceerd heeft.

Wat de security engineer te publiceren heeft gekregen is welk bedrijf welk type hotspot met standaard wachtwoord draait.

De vraag is meer of mensen achter het bedrijf klanten kreeg te waarschuwen, bijvoorbeeld dat 'wifigebruik niet aansprakelijkheid van hotel is'. Daarbij komt de vraag of security engineer het bedrijf in kwestie gewaarschuwd heeft. Daarbij komt het feit dat standaard wachtwoord in zo'n hotel context op zijn minst, ook al is wifi gebruik op eigen aansprakelijkheid, veranderd had behoren te worden. Daarbij komt de vraag of hotel zelf het standaard wachtwoord niet had veranderd of dat het een bedrijf was die ingehuurd werd door hotel in kwestie om bijv. hotspot mogelijkheden te installeren. Daarbij komt de vraag hoe bekend het is, maatschappelijk, om het wachtwoord te veranderen en hoe juridisch wordt omgegaan met het niet veranderen van wachtwoord.

Ik mag de boete aan de hoge kant krijgen te vinden, aan de andere kant heb je van spullen die andere mensen gekregen hebben af te blijven, maw de hotelwifi is uitdrukkelijk niet het speeltje van de security engineer, en zoals het mij voor mag komen weegt dat in deze juridisch het zwaarste in singapore.

dan komt het feit dat hotel in kwestie niet eens gewaarschuwd was door de security engineer, zoals ik het te weten mag hebben gekregen, waarmee de security engineer geen rekening hield met een eventuele generatiekloof of andere oorzaken waarom mensen achter het hotel misschien niet eens weten over het bestaan van standaard wachtwoorden. op zijn minst laks te noemen, stel je voor dat het bedrijf gerunt wordt door een oudere die een ander bedrijf kreeg in te huren bij aanleg wifi, dan ben je toch enorm genaaid door zo'n 'security engineer'? stel je voor dat hotel per definitie van te voren ook nog kreeg te waarschuwen dat gebruik wifi voor eigen aansprakelijkheid/rekening komt, is wel heel zuur dat iemand daar dan zo mee om krijgt te gaan. stel je daar bovenop ook nog voor dat de wifi misschien ook nog gratis aangeboden werd!

zo'n security engineer moet wat anders doen dan de blits uithangen over de rug van niet betrokkenen om zich bijvoorbeeld misschien wel sociaal te profileren bij zo'n 'security conventie'. tussen aanhalingstekens, want het meeste van die conventie was niet zozeer bedoeld om security te verstevigen maar om 'de hacker' uit te hangen, meer een soort 'lan party' dus.

aan de andere kant leidt de vaak onbekendheid van veel mensen met zulke problemen en de nog magere juridische kaders omtrent digitale misstanden alsmede de corrupte implementatie van digitale techniek nog tot dusdanig instabiliteit die ook de security engineer in kwestie niet aan te rekenen is, dat zonder schade, eventueel misbruik door derden, de boete en zelfs detentie wel laat zien dat de rechtsstaat in singapore lange vingers aan spullen die anderen toebehoren zeer serieus neemt.

dat mag ik wel fijn vinden. privacy afspraken zijn per slot niet alleen geldend als je technische know how gekregen hebt omtrent hoe je privacy moet beschermen. sommige (vooral wanabe) 'hackers' lijken tegenwoordig wel te denken dat wanneer ze iemand treffen op het netwerk die geen of nauwelijks know how van digitale privacy bescherming gekregen heeft, zo'n privacy hun eigendom is. alsof rechtsongelijkheid de geldende afspraken zijn, en je geen dief zou zijn wanneer je heel veel verstand gekregen hebt van stelen.
27-09-2018, 10:17 door Anoniem
Door Anoniem: Terecht dat ie een boete heeft gekregen. De 'nette' manier is om het bedrijf (in dit geval het hotel) op de hoogte te brengen van de kwetsbaarheid.

Ja, ja, het werk voor anderen gaan doen, die tijd is wat mij betreft wel voorbij. Als je je zaakjes nu nog niet goed regeld hebt (lees geld uitgeven aan goed installatie bedrijf, ipv het uitbesteden aan het 'slimme' zoontje van de baas) moet je maar op de blaren gaan zitten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.