image

Amerikaan aangeklaagd voor diefstal van creditcarddata via SQL-injection

vrijdag 29 mei 2020, 17:07 door Redactie, 6 reacties

Een 28-jarige Amerikaanse man is in de Verenigde Staten aangeklaagd voor het stelen en verhandelen van creditcardgegevens en witwassen. Volgens het Amerikaanse openbaar ministerie zocht de man samen met handlangers op internet naar kwetsbare computernetwerken en wist hij via SQL-injection creditcardgegevens en andere persoonlijke identificeerbare informatie van deze netwerken te stelen.

Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

De buitgemaakte creditcard- en persoonsgegevens werden vervolgens op internet verkocht. Het geld dat hiermee werd verdiend probeerde de verdacht wit te wassen, aldus de aanklacht. De Amerikaan werd vorig jaar maart al aangehouden op een luchthaven in New York. Op de computers en andere digitale media die hij bij zich had werden honderdduizenden gestolen creditcardnummers aangetroffen.

De Amerikaan is aangeklaagd voor het verkrijgen van ongeautoriseerde toegang tot computernetwerken, waarop een maximale gevangenisstraf van vijf jaar en een boete van 250.000 dollar staat, en witwassen. Hiervoor kan de man maximaal twintig jaar achter de tralies verdwijnen en een boete van 500.000 dollar krijgen. Tevens zou de man, wanneer schuldig bevonden, het geld dat hij met de misdrijven heeft verdiend moeten afstaan.

Reacties (6)
29-05-2020, 17:39 door Anoniem
Worden de ontwikkelaar en beheerder van de databases nou ook aangeklaagd voor dramatische nalatigheid (gezien het feit dat SQL Injection nu toch dik 20 jaar een bekende en eenvoudig te voorkomen kwetsbaarheid is)...???
29-05-2020, 17:44 door Anoniem
Rare bewoording van "netwerken via SQL-injectie bestelen". SQL-injectie is een database-ding, niet een netwerk-ding. Blijkt in het origineel te zitten, waarin verder ook vooral meer aangedikte sensatietaal dan inhoud te vinden is, zoals helaas gebruikelijk bij wat doorgaat voor justitie in die contreien.

Manneke is aangehouden op het vliegveld. Pro tip: Niet je laten verleiden naar de VS te reizen als je in wederrechtelijk verkregen kredietkaartgegevens handelt. Je zou toch denken dat de criminelen dat ondertussen doorhebben.
29-05-2020, 17:55 door Anoniem
Door Anoniem: Worden de ontwikkelaar en beheerder van de databases nou ook aangeklaagd voor dramatische nalatigheid (gezien het feit dat SQL Injection nu toch dik 20 jaar een bekende en eenvoudig te voorkomen kwetsbaarheid is)...???
Dus als er bij iemand ingebroken is, is die persoon verantwoordelijk in plaats van de dief? Je kan een pand toch beveiligen?
29-05-2020, 18:13 door Anoniem
Door Anoniem:
Door Anoniem: Worden de ontwikkelaar en beheerder van de databases nou ook aangeklaagd voor dramatische nalatigheid (gezien het feit dat SQL Injection nu toch dik 20 jaar een bekende en eenvoudig te voorkomen kwetsbaarheid is)...???
Dus als er bij iemand ingebroken is, is die persoon verantwoordelijk in plaats van de dief? Je kan een pand toch beveiligen?
Yup, dat kan, maar als je dat slecht doet, zal de verzekering misschien niet uit betalen. Omdat ook in de sloten wereld bekend is welke veilig zijn en welke niet. Ik vraag me af of mijn verzekering uitkeert als ik mijn deur open laat staan. Mocht dit niet het geval zijn, dan wordt ik (de eigenaar, niet de dief) toch ook gestraft?

Dus ja, zowel de crimineel is strafbaar, en ik zeg de programmeur/software leverancier ook. Misschien is dit laakbaar, en niet strafbaar.

TheYOSH
31-05-2020, 14:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Worden de ontwikkelaar en beheerder van de databases nou ook aangeklaagd voor dramatische nalatigheid (gezien het feit dat SQL Injection nu toch dik 20 jaar een bekende en eenvoudig te voorkomen kwetsbaarheid is)...???
Dus als er bij iemand ingebroken is, is die persoon verantwoordelijk in plaats van de dief? Je kan een pand toch beveiligen?
Yup, dat kan, maar als je dat slecht doet, zal de verzekering misschien niet uit betalen. Omdat ook in de sloten wereld bekend is welke veilig zijn en welke niet. Ik vraag me af of mijn verzekering uitkeert als ik mijn deur open laat staan. Mocht dit niet het geval zijn, dan wordt ik (de eigenaar, niet de dief) toch ook gestraft?

Dus ja, zowel de crimineel is strafbaar, en ik zeg de programmeur/software leverancier ook. Misschien is dit laakbaar, en niet strafbaar.

TheYOSH

Idd, dat is het punt. SQL Injection in 2020 == een huis zonder voordeur bouwen.
Kan je als koper van het huis misschien nog onwetendheid claimen, de bouwer heeft geen enkel excuus.
31-05-2020, 19:14 door Anoniem
Eigenlijk zou een echt veilig gecodeerde website bij hosting 20% korting moeten krijgen,
maar omdat het nog niet zo werkt hebben we al die voortgezette narigheid voortdurend.
Jammer, niet? Was er niets te hacken geweest, had die Amerikan nu ook niet in de "slammer" gezeten.
Maar ja SQL injectie levert nu eenmaal zeer negatief karma op.

Iedereen kan zich in tegenmaatregelen verdiepen:
https://www.hacksplaining.com/prevention/sql-injection

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.