"Voor het openbaar maken van het wachtwoord"

In andere woorden, bij het volgende datalek waar de wachtwoorden niet gehashed zijn BOETE!

Terecht dat ie een boete heeft gekregen. De 'nette' manier is om het bedrijf (in dit geval het hotel) op de hoogte te brengen van de kwetsbaarheid. Mocht het bedrijf uiteindelijk ervoor kiezen om de kwetsbaarheid niet te verhelpen, dan zou de engineer de publiciteit kunnen zoeken.

Achterlijk

Goh, leuk dat je dat even vertaald voor ons, verder nog wat toe te voegen?

De mag nie, hacke.

Nou Hacken?


-Door het default Telnet password van de AntLabs IG3100 te raden.
-diverse scripts en exploits om een MySQL database met informatie over het hotel interne Wi-Fi netwerk te bezoeken.
-De fragrance hotel keten is een budget hotel.

-Gearresteerd worden omdat de politie deze blog post vond:

Originele post van de onderzoeker/Bezoeker van hack in the box.
https://hk.saowen.com/a/6e3d908180fb701992fb60035e2a9fcdf8b1b52268516ae75882add040bd39d1

Komt overigens bij de gemiddelde conventie voor dat het hotelnetwerk door kwaadwillende bezocht wordt.

Dat is een non-argument. Het komt in de binnenstad wekelijks voor dat een spiegel van een auto getrapt wordt. Dus volgens jou mag dat je dat zelf ook doen omdat anderen dat al doen?

De security engineer in kwestie heeft niet zozeer het wachtwoord gepubliceerd.

Zoals ik het mag begrijpen is dat de leverancier van hotspot functionaliteit die standaard wachtwoord, uiteraard, gepubliceerd heeft.

Wat de security engineer te publiceren heeft gekregen is welk bedrijf welk type hotspot met standaard wachtwoord draait.

De vraag is meer of mensen achter het bedrijf klanten kreeg te waarschuwen, bijvoorbeeld dat 'wifigebruik niet aansprakelijkheid van hotel is'. Daarbij komt de vraag of security engineer het bedrijf in kwestie gewaarschuwd heeft. Daarbij komt het feit dat standaard wachtwoord in zo'n hotel context op zijn minst, ook al is wifi gebruik op eigen aansprakelijkheid, veranderd had behoren te worden. Daarbij komt de vraag of hotel zelf het standaard wachtwoord niet had veranderd of dat het een bedrijf was die ingehuurd werd door hotel in kwestie om bijv. hotspot mogelijkheden te installeren. Daarbij komt de vraag hoe bekend het is, maatschappelijk, om het wachtwoord te veranderen en hoe juridisch wordt omgegaan met het niet veranderen van wachtwoord.

Ik mag de boete aan de hoge kant krijgen te vinden, aan de andere kant heb je van spullen die andere mensen gekregen hebben af te blijven, maw de hotelwifi is uitdrukkelijk niet het speeltje van de security engineer, en zoals het mij voor mag komen weegt dat in deze juridisch het zwaarste in singapore.

dan komt het feit dat hotel in kwestie niet eens gewaarschuwd was door de security engineer, zoals ik het te weten mag hebben gekregen, waarmee de security engineer geen rekening hield met een eventuele generatiekloof of andere oorzaken waarom mensen achter het hotel misschien niet eens weten over het bestaan van standaard wachtwoorden. op zijn minst laks te noemen, stel je voor dat het bedrijf gerunt wordt door een oudere die een ander bedrijf kreeg in te huren bij aanleg wifi, dan ben je toch enorm genaaid door zo'n 'security engineer'? stel je voor dat hotel per definitie van te voren ook nog kreeg te waarschuwen dat gebruik wifi voor eigen aansprakelijkheid/rekening komt, is wel heel zuur dat iemand daar dan zo mee om krijgt te gaan. stel je daar bovenop ook nog voor dat de wifi misschien ook nog gratis aangeboden werd!

zo'n security engineer moet wat anders doen dan de blits uithangen over de rug van niet betrokkenen om zich bijvoorbeeld misschien wel sociaal te profileren bij zo'n 'security conventie'. tussen aanhalingstekens, want het meeste van die conventie was niet zozeer bedoeld om security te verstevigen maar om 'de hacker' uit te hangen, meer een soort 'lan party' dus.

aan de andere kant leidt de vaak onbekendheid van veel mensen met zulke problemen en de nog magere juridische kaders omtrent digitale misstanden alsmede de corrupte implementatie van digitale techniek nog tot dusdanig instabiliteit die ook de security engineer in kwestie niet aan te rekenen is, dat zonder schade, eventueel misbruik door derden, de boete en zelfs detentie wel laat zien dat de rechtsstaat in singapore lange vingers aan spullen die anderen toebehoren zeer serieus neemt.

dat mag ik wel fijn vinden. privacy afspraken zijn per slot niet alleen geldend als je technische know how gekregen hebt omtrent hoe je privacy moet beschermen. sommige (vooral wanabe) 'hackers' lijken tegenwoordig wel te denken dat wanneer ze iemand treffen op het netwerk die geen of nauwelijks know how van digitale privacy bescherming gekregen heeft, zo'n privacy hun eigendom is. alsof rechtsongelijkheid de geldende afspraken zijn, en je geen dief zou zijn wanneer je heel veel verstand gekregen hebt van stelen.

Ja, ja, het werk voor anderen gaan doen, die tijd is wat mij betreft wel voorbij. Als je je zaakjes nu nog niet goed regeld hebt (lees geld uitgeven aan goed installatie bedrijf, ipv het uitbesteden aan het 'slimme' zoontje van de baas) moet je maar op de blaren gaan zitten.