image

OM eist celstraf tegen ict'er voor stelen data honderdduizenden festivalgangers

dinsdag 23 april 2024, 16:36 door Redactie, 14 reacties

Het Openbaar Ministerie heeft tegen een 28-jarige man uit Amsterdam die wordt verdacht van het stelen van persoonsgegevens van honderdduizenden festivalgangers, artiesten en crewleden van dancefestivals een gevangenisstraf van twintig maanden geëist, waarvan vijf voorwaardelijk. Het gaat om festivals georganiseerd door The Support Group en ID&T.

Volgens het OM wist de man, die als zelfstandig ict’er werkzaam is, op het systeem binnen te dringen waarop de gegevens aanwezig waren. "Dat deed hij onder meer door het gebruikersaccount van een leidinggevende van ID&T -een administrator met de meest verregaande gebruikersrechten - te kraken. Zo kon hij de broncode naar zich toe trekken, de database beheren en kon hij beschikken over een enorme hoeveelheid gegevens", aldus het Openbaar Ministerie.

Met de toegang tot het systeem gaf de man zichzelf ook backstagetoegang tot het Awakenings-festival en kon hij parkeerplekken aanvragen. Daarnaast kon hij gegevens van festivalgangers bekijken, downloaden of aanpassen. "Aan deze hack ging een maandenlange voorbereiding vooraf. Het was goed opgebouwd, met een enorme digitale buit als opbrengst", zo liet de officier van justitie vandaag voor de rechtbank in Almelo weten. "Hier was absoluut geen sprake van een kwajongensstreek."

Reacties (14)
23-04-2024, 17:37 door Anoniem
De vraag is dan.. Waarom heeft een leidinggevende vergaande administrator rechten nodig om zijn werk te doen? Daar heb je toch techies voor die onder je werken?

Vooral omdat leidinggevenden misschien geen clue hebben hoe ze een veilig wachtwoord moeten bedenken en naar de helpdesk lopen als ze weer eens niet in kunnen loggen.
23-04-2024, 20:51 door Anoniem
Hier is absoluut sprake van nalatigheid in de beveiliging van persoonsgegevens. Ik lees niet dat de "hacker" echt geld heeft verdiend aan de "hack" of de informatie heeft verkocht. Ik zou een celstraf voor ID&T logischer vinden.
23-04-2024, 20:58 door Anoniem
"Dat deed hij onder meer door het gebruikersaccount [...] te kraken.[..]", aldus het Openbaar Ministerie. Spreken over "kraken" wanneer het meest belangrijke wachtwoord "welkom01" was lijkt me op zijn minst een poging de publieke opinie te beinvloeden.
23-04-2024, 23:31 door Anoniem
Door Anoniem: De vraag is dan.. Waarom heeft een leidinggevende vergaande administrator rechten nodig om zijn werk te doen? Daar heb je toch techies voor die onder je werken?

Vooral omdat leidinggevenden misschien geen clue hebben hoe ze een veilig wachtwoord moeten bedenken en naar de helpdesk lopen als ze weer eens niet in kunnen loggen.

Dat krijg je wanneer de directie blijft volharden dat zij de baas zijn en overal bij moeten kunnen. Dit is mede de reden dat spearphishing zo succesvol is.
24-04-2024, 06:30 door Anoniem
Door Anoniem: "Dat deed hij onder meer door het gebruikersaccount [...] te kraken.[..]", aldus het Openbaar Ministerie. Spreken over "kraken" wanneer het meest belangrijke wachtwoord "welkom01" was lijkt me op zijn minst een poging de publieke opinie te beinvloeden.
Dat zwakke wachtwoord wordt door security.nl of de OM-pagina waar het artikel naar linkt niet genoemd. Hier staat het wel:
https://www.rtvoost.nl/nieuws/2344693/man-28-hackt-enschedees-softwarebedrijf-gegevens-half-miljoen-festivalbezoekers-op-straat

Het is inderdaad een ontstellend zwak wachtwoord, maar dit is strafrecht, en strafrecht gaat over hoe de dader over de schreef gaat. Het gaat erom dat er een beveiliging was, hoe zwak die ook was. Zelfs een zwakke beveiliging is een onmiskenbaar signaal dat je er niks te zoeken hebt, en je gaat over de schreef als je toch doorzet. Nou wordt bij cybercrime wél ethisch hacken erkend door het OM, maar daarvan is hier duidelijk ook geen sprake, daarvoor had de dader heel snel moeten stoppen en moeten melden dat de beveiliging zwak was, en hij is juist doorgegaan. Die omstandigheden maken het strafbaar.

Daarmee is niet gezegd dat goede beveiliging er niet toe doet, de gevolgen zijn namelijk niet beperkt tot wat het strafrecht ermee doet. Voor een verzekeraar kan het een wereld van verschil maken of ze gammele of sterke beveiliging hebben toegepast, en zo'n zwak wachtwoord kan de betrokken organisaties een smak geld kosten. Voor de reputatie van het slachtoffer kan het ook een wereld van verschil maken: die honderdduizenden wiens persoonsgegevens achterover zijn gedrukt hebben een goede reden om pisnijdig te zijn op een organisatie die zulke zwakke beveiliging hanteert, en iedereen die er kennis van neemt kan zich ook afvragen of ze wel een kaartje willen kopen bij een van de festivalorganisaties die dit systeem gebruiken. En als iemand vanwege dat zeer zwakke wachtwoord voor iemand met administrator-rechten een klacht bij de Autoriteit Persoonsgegevens indient, of als die dit zelf oppakt, kan dat mogelijk tot een forse boete leiden.
24-04-2024, 09:29 door Anoniem
Heel vervelend dat ze al die info uberhaupt langdurig opslaan.
Ik heb niet veel met festivals, maar weet nu dat ik dat ook beter niet kan doen ten behoeve van mijn privacy.
Er zouden vragen moeten worden gesteld waarom zoveel mensen nog steeds in hun systeem zaten.
24-04-2024, 09:32 door Anonym0u53
Door Anoniem: De vraag is dan.. Waarom heeft een leidinggevende vergaande administrator rechten nodig om zijn werk te doen? Daar heb je toch techies voor die onder je werken?

Vooral omdat leidinggevenden misschien geen clue hebben hoe ze een veilig wachtwoord moeten bedenken en naar de helpdesk lopen als ze weer eens niet in kunnen loggen.

Typisch gevalletje van een gebrek aan security besef. Dit gaat zo vaak mis. Doet me denken aan de hack op de Universiteit Maastricht jaren terug. Niet bijster verstandig om geregeld als domein admin remote in te loggen om werkzaamheden te doen.
24-04-2024, 09:35 door Anonym0u53 - Bijgewerkt: 24-04-2024, 09:35
Door Anoniem: Hier is absoluut sprake van nalatigheid in de beveiliging van persoonsgegevens. Ik lees niet dat de "hacker" echt geld heeft verdiend aan de "hack" of de informatie heeft verkocht. Ik zou een celstraf voor ID&T logischer vinden.

Nalatigheid is één ding. Maar al zou er zonder wachtwoord toegang zijn geweest tot gevoelige gegevens, dan geeft dat geen carte blanche voor mensen om deze gegevens te stelen. Je kunt verschillende analogieën maken. Als jij je huisdeur niet op slot doet, geeft dat dan het recht om je inboedel te stelen? In dit geval, als jij de sleutel van je huisbaas jat of kopieert, geeft dat dan jou het recht om diens huis leeg te roven?

Het antwoord is duidelijk ontkennend.
24-04-2024, 10:09 door linuxpro
Eh, dus nextselect klikt wat in elkaar voor oa ID&T en zegt dan dat het niet hun systemen zijn die geraakt zijn. Ik snap 'm niet. Als je wat in elkaar klikt dan ben je daar op zijn minst mede verantwoordelijk voor en niet alleen functioneel maar ook technisch en security-wise.

Ik weet niet wat hij met de buitgemaakte data gedaan heeft ofzo maar op zich was mijn eerste reactie wel dat ik er om moest lachen om jezelf backstage toegang en P plek te geven tijdens festivals. Als dat zo lukt stelt de screening e.d. ook geen bal voor. Jammer van de ontkennende en verantwoordelijkheid ontwijkende reactie van nextclick eh nextselect..
24-04-2024, 10:26 door linuxpro
Door Anoniem: "Dat deed hij onder meer door het gebruikersaccount [...] te kraken.[..]", aldus het Openbaar Ministerie. Spreken over "kraken" wanneer het meest belangrijke wachtwoord "welkom01" was lijkt me op zijn minst een poging de publieke opinie te beinvloeden.

Verwacht van het OM dan ook niet dat ze gehinderd worden door enige technische kennis...
24-04-2024, 10:30 door linuxpro
Door Anonym0u53:
Door Anoniem: De vraag is dan.. Waarom heeft een leidinggevende vergaande administrator rechten nodig om zijn werk te doen? Daar heb je toch techies voor die onder je werken?

Vooral omdat leidinggevenden misschien geen clue hebben hoe ze een veilig wachtwoord moeten bedenken en naar de helpdesk lopen als ze weer eens niet in kunnen loggen.

Typisch gevalletje van een gebrek aan security besef. Dit gaat zo vaak mis. Doet me denken aan de hack op de Universiteit Maastricht jaren terug. Niet bijster verstandig om geregeld als domein admin remote in te loggen om werkzaamheden te doen.

Als je op hun linkedin pagina kijkt is t merendeel student wat er rondloopt..
24-04-2024, 12:02 door Anoniem
Wat een feestbeest
24-04-2024, 14:43 door Anoniem
Door Anonym0u53:
Door Anoniem: Hier is absoluut sprake van nalatigheid in de beveiliging van persoonsgegevens. Ik lees niet dat de "hacker" echt geld heeft verdiend aan de "hack" of de informatie heeft verkocht. Ik zou een celstraf voor ID&T logischer vinden.

Nalatigheid is één ding. Maar al zou er zonder wachtwoord toegang zijn geweest tot gevoelige gegevens, dan geeft dat geen carte blanche voor mensen om deze gegevens te stelen. Je kunt verschillende analogieën maken. Als jij je huisdeur niet op slot doet, geeft dat dan het recht om je inboedel te stelen? In dit geval, als jij de sleutel van je huisbaas jat of kopieert, geeft dat dan jou het recht om diens huis leeg te roven?

Het antwoord is duidelijk ontkennend.
Aan de andere kant; als ik mijn auto parkeer met de sleutels er nog in, krijg ik (terecht) een prent omdat ik aanleiding geef tot diefstal.
15-09-2024, 12:48 door Anoniem
Voor de volledigheid, de uitspraak van de Rechtbank Overijssel van 7 mei 2024: https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBOVE:2024:2424

Volgens mij waren ID&T, The Support Group en NextSelect niet zo blij met het feit dat het Openbaar Ministerie hier een nieuwsbericht over heeft geschreven dat vervolgens door de media is opgepakt.

Het is interessant om de bewezenverklaring naast de valse beweringen van de benadeelde partijen te leggen.

Bronnen:
https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBOVE:2024:2424
https://tweakers.net/nieuws/221174/om-eist-20-maanden-cel-tegen-hacker-die-bij-data-honderdduizenden-mensen-kon.html
https://tweakers.net/nieuws/221190/nederlands-systeem-festivalsoftware-was-beveiligd-met-wachtwoord-welkom01.html
https://www.rtvoost.nl/nieuws/2344693/man-28-hackt-enschedees-softwarebedrijf-gegevens-half-miljoen-festivalbezoekers-op-straat
https://web.archive.org/web/20240424082844/https://nextselect.nl/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.