OM beschuldigt man van het 14.000 keer plegen van computervredebreuk
Het Openbaar Ministerie heeft tegen tegen een 27-jarige man uit Arnhem een gevangenisstraf van 30 maanden en een geldboete van 10.000 euro geëist wegens grootschalig misbruik van accounts van webwinkels. Volgens het OM staat vast dat de man grote hoeveelheden inloggegevens heeft gekocht om daarmee op de accounts van webwinkelklanten in te loggen en in hun naam bestellingen te plaatsen.
In totaal beschikte de man over de inloggegevens van bijna 3,8 miljoen verschillende accounts. De officier van justitie stelt dat de man met deze inloggegevens 14.000 keer computervredebreuk heeft gepleegd, door op de accounts van slachtoffers in te loggen. Daarbij zou de man gebruik hebben gemaakt van verschillende apps en plug-ins om bij bepaalde websites de geldigheid van de inloggegevens te controleren. Het OM laat weten dat de verdachte keurig bijhield welk account per keer gebruikt kon worden.
Verschillende mensen deden aangifte van misbruik van hun account. Van negen mensen is volgens de officier van justitie in elk geval vast komen te staan dat zij zijn gedupeerd. Het exacte aantal slachtoffers is niet bekend. Naast de slachtoffers zijn ook de webshops zelf gedupeerd, zo stelde de officier van justitie. Volgens haar is daarom een onvoorwaardelijke celstraf van 30 maanden en een geldboete van 10.000 euro op zijn plaats.
#1 wanneer de man inloggegevens kon bemachtigen die 'human readable' zijn, is er aan de meest basale vorm van security op het gebied van wachtwoorden niet voldaan.
#2 de systemen van de webwinkels konden gehacked worden, dat is natuurlijk ook al erg vervelend maar zeker ook tegen nalatig grenzend aan.
#3 nadat deze persoon de gegevens had bemachtigd, hadden al deze webshops natuurlijk:
#3a de wachtwoorden moeten blokkeren
#3b de site moeten beveiligen
#3c de wachtwoorden alsnog beveiligen met bijv hashing, salting en peppering.
#4 diverse inlogpogingen vanaf het zelfde adres bij klanten die geografisch uit elkaar liggen is erg verdacht, geen triggering geweest?
Oja, en dan nog een scriptkiddy die met zijn WW een wachtwoord bestand koopt... zucht..
#3a de wachtwoorden moeten blokkeren
#3b de site moeten beveiligen
#3c de wachtwoorden alsnog beveiligen met bijv hashing, salting en peppering...
#1 wanneer de man inloggegevens kon bemachtigen die 'human readable' zijn, is er aan de meest basale vorm van security op het gebied van wachtwoorden niet voldaan.
#2 de systemen van de webwinkels konden gehacked worden, dat is natuurlijk ook al erg vervelend maar zeker ook tegen nalatig grenzend aan.
#3 nadat deze persoon de gegevens had bemachtigd, hadden al deze webshops natuurlijk:
#3a de wachtwoorden moeten blokkeren
#3b de site moeten beveiligen
#3c de wachtwoorden alsnog beveiligen met bijv hashing, salting en peppering.
#4 diverse inlogpogingen vanaf het zelfde adres bij klanten die geografisch uit elkaar liggen is erg verdacht, geen triggering geweest?
Oja, en dan nog een scriptkiddy die met zijn WW een wachtwoord bestand koopt... zucht..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
