image

Verdachte datadiefstal festivals: ik kon inloggen met wachtwoord Welkom01

woensdag 24 april 2024, 09:26 door Redactie, 32 reacties

Een 28-jarige Amsterdamse man die wordt verdacht van het stelen van persoonsgegevens van honderdduizenden festivalgangers, artiesten en crewleden van dancefestivals, zegt dat hij met het wachtwoord 'Welkom01' op een admin-account kon inloggen dat hem toegang tot het systeem van het Enschedese softwarebedrijf NextSelect gaf. Dit Evi-systeem was ontwikkeld voor festivalorganisators ID&T Group en Support Group.

De man, die als ict'er werkzaam is, liet tegenover de rechter weten dat hij wilde kijken of hij zich nog een dag extra op de gastenlijst van een festival kon zetten, zo meldt RTV Oost. "Ik zag in het e-mailverkeer waar de server vandaan kwam en het wekte mijn interesse dat er bepaalde beveiligingsprotocollen niet goed waren opgevolgd. Dat wekte mijn interesse: kan ik hier in komen?", aldus de man in de rechtbank. Na meerdere pogingen kreeg hij toegang. "Met de inlog administrator en Welkom01 was ik in hun systeem."

Vervolgens kopieerde hij gegevens van de server. Het zou gaan om de gegevens van een half miljoen festivalbezoekers, crewleden en artiesten. Het Enschedese bedrijf NextSelect zegt dat het door de aanval 47.000 euro schade heeft geleden. De Support Group eist een schadevergoeding van 50.000 euro. De man heeft voor zover bekend niets met de buitgemaakt persoonsgegevens gedaan.

De Amsterdamse man heeft bekend schuldig te zijn. Het wachtwoord van zijn Macbook wil hij niet aan justitie afstaan, zo laat RTV Oost verder weten. Het Openbaar Ministerie heeft een gevangenisstraf van twintig maanden geëist, waarvan vijf voorwaardelijk. De rechtbank doet volgende maand uitspraak in de zaak.

Reacties (32)
24-04-2024, 09:32 door Anoniem
Dan wordt zijn Macbook ingenomen volgens de wet.
Maar het bedrijf valt ook wel wat te verwijten; zo'n idioot wachtwoord en gegevens langdurig bewaren...
24-04-2024, 10:10 door Anoniem
Lijkt me vanzelfsprekend dat dit bedrijf ook een schadevergoeding mag gaan betalen aan de mensen waarvan het de data heeft laten lekken, nalatigheid mag best bestraft worden.
24-04-2024, 10:15 door linuxpro - Bijgewerkt: 24-04-2024, 10:27
Als dat zo is moeten er wat mensen bij NextSelect op hun donder krijgen... die 28-jarige man verdient een prijs geen straf. En dat ie zo zichzelf backstage toegang gegeven heeft zegt ook iets over de kennelijk afwezige screening op mensen die backstage rondlopen. Kortom, het 'verkeerd' en 'kwaad' lijkt niet zozeer bij die 28 jarige man te liggen.

Komt bij dat als ze nu schade claimen van 48.000 ze die dus beter hadden besteden aan het opleiden van hun personeel mbt security zaken, wie zet er een systeem online met admin/Welkom01 ...

Update: net even op hun linkedin gekeken, merendeel wat er werkt lijken studenten te zijn. Zegt ook wel iets over de kwaliteit.
24-04-2024, 10:22 door Anoniem
Dan verdien je ook wel om "gehackt" te worden. Admin rechten geven aan een niet beheerder, geen ww complexiteit afdwingen, niet om de zoveel weken/maanden een nieuwe ww afdwingen en geen 2FA gebruiken.
24-04-2024, 10:30 door Anoniem
Uiteraard niet handig van hem maar ook slecht van de festivalorganisatie. Daarbij vind ik de straf wel heel erg hoog als hij verder geen schade heeft aangericht. Maar dat komt wsh omdat hij geen openheid van zaken geeft door zijn Mac niet te open te stellen?
24-04-2024, 10:40 door Anoniem
Wat hij niet had moeten doen was het kopieren van gegevens van de server (half miljoen festivalbezoekers, crewleden en artiesten). Dat was een beetje dom....
24-04-2024, 10:44 door Anoniem
Heeft justitie al "Welkom01" geprobeerd!?
24-04-2024, 10:49 door Anoniem
Andere sites vermelden dat de beste man ook zichzelf backstage toegang heeft gegeven en een parkeerplek voor het Awakenings festival. Dat is toch wel wat meer dan even rondkijken.
24-04-2024, 11:32 door Anoniem
Het Enschedese bedrijf NextSelect zegt dat het door de aanval 47.000 euro schade heeft geleden. De Support Group eist een schadevergoeding van 50.000 euro.

Zo werkt het in NL niet met schade vergoedingen, je kunt niet meer schade vergoeding eisen dan je ook hebt geleden.

Daarbij ben ik van mening dat NextSelect een zwaardere straf verdiend dan de 28-jarige Amsterdamse man voor grove nalatigheid en het lekken van persoonsgegevens.

Ze hebben ook nog niets geleerd van inbraak en nemen beveiliging nog steeds niet serieus:
Website: https://internet.nl/site/nextselect.nl/2752439/

Mailserver: https://internet.nl/mail/nextselect.nl/1222736/


De AP zou moeten ingrijpen bij zo'n club. Keihard.
Door Anoniem: Wat hij niet had moeten doen was het kopieren van gegevens van de server (half miljoen festivalbezoekers, crewleden en artiesten). Dat was een beetje dom....
Precies. Hij had kunnen volstaan met de constatering dat hij dat kon doen (desnoods gegevens van één persoon, bijvoorbeeld zichzelf, van de server kopiëren als bewijs - "proof of concept").
Proof of concept (POC or PoC), also known as proof of principle, is a realization of a certain idea, method or principle in order to demonstrate its feasibility, or viability, or a demonstration in principle with the aim of verifying that some concept or theory has practical potential. A proof of concept is usually small and may or may not be complete.

Zie ook de discussies hierover in de reacties onder:
https://www.security.nl/posting/837232/Juridisch+adviseur+krijgt+taakstraf+voor+illegaal+inloggen+op+Outlook+werkgever,
voorafgegaan door:
https://www.security.nl/posting/834678/ ("Hoge Raad oordeelt dat website geen geautomatiseerd werk is")

Als er geen mensen waren zoals deze verdachte, dan zouden al die honderdduizenden festivalgangers, artiesten en crewleden nog steeds niet weten hoe slecht hun persoonsgegevens door de organisatoren worden beschermd, en dan zouden de organisatoren ook geen aanleiding hebben gezien om nu eindelijk iets te gaan doen ten behoeve van adquate bescherming.

Zoals ik eerder heb aangevoerd, dit is vergelijkbaar met het op straat leggen van documenten met geheim te houden gegevens, en vervolgens degene bestraffen die de documenten opraapt en erin leest.

Alleen al gezien de belachelijke wachtwoord-"beveiliging" (wachtwoord "Welkom01"), zou ik, als ik de politie of de aanklager was, kiezen voor het seponeren van de zaak, of ontslag van rechtsvervolging of iets dergelijks. Als ik mijn raam op de begane grond aan de straatkant wagenwijd laat openstaan terwijl ik ergens uit logeren ga, en er blijkt wat van mijn inboedel te zijn gestolen (zonder sporen van braak), dan komt de politie ook echt niet voor mij in actie.

De rechter zou hierin zéér verzachtende omstandigheden moeten zien, plus het element van een "klokkenluiderseffect" van het handelen van de man mee moeten nemen als compenserend element. Het is mij niet duidelijk waarop de geëiste "schadevergoedingen" gebaseerd zijn. Wat voor schade heeft de man dan aangericht? Het valt de betreffende firma's zelf aan te rekenen als ze eventueel "reputatieschade" oplopen. Ze hebben kennelijk nooit aandacht gehad voor hoe het systeem in de praktijk werkte en werd gebruikt.

Door Anoniem: Heeft justitie al "Welkom01" geprobeerd!?
Haha! Je hebt mijn dag opgevrolijkt.

M.J.
24-04-2024, 11:51 door Anoniem
"Vervolgens kopieerde hij gegevens van de server." .. tsja, dat is niet handig gedaan.
24-04-2024, 12:02 door Anoniem
Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.
24-04-2024, 12:15 door Anoniem
Het is natuurlijk absoluut slecht beveiligd, ze hadden minimaal het wachtwoord naar welkom02 kunnen wijzigen.
Maar het feit blijft dat hij zichzelf wederrechtelijk toegang heeft verschaft tot het systeem en daar de data heeft gestolen, dat het zo makkelijk ging maakt de daad niet goed.
Diefstal blijft diefstal, zelfs als je je raam open laat staan al wordt inbraak dan eerder insluiping want ook gewoon strafbaar is.
24-04-2024, 12:30 door Anoniem
Schadevergoeding ja. Gevangenisstraf is in dit geval overdreven omdat de man niks met de persoonlijke gegevens heeft gedaan, het festival geen maatschappelijk belang dient en de organisatie had duidelijk hun beveiliging niet op orde.

Gevangenisstraf in dit soort lichte vergrijpen is m.i. een afschrikking voor klokkenluiders in het algemeen. Overdreven.
24-04-2024, 12:46 door Anoniem
Door Anoniem: Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.
Exact zeker van iemand in de IT mag je verwachten dat deze vertrouwelijk met informatie omgaat en ten alle tijden binnen de wetgeving blijft. Het enkel proberen herhaaldelijk in te loggen hier zou een uitsluiting van systemen tot gevolg hebben en gesprek met HR en officiele waarschuwing voor werk wordt hervat. Het werkelijk toegang verkrijgen tot data zou een enkeltje politie worden na van het terein zijn verwijderd met ontslag op staande voet.

Dit figuur had echter vanaf begin al het idee om te proberen de data te manipuleren en er is dus ook geen sprake van pure nieuwsgierigheid. De straf maat is terecht. Sterker nog dit soort personen dienen een beroepsverbod voor het leven te krijgen als het aan mij was.

Dat neemt niet weg dat er ook boetes moeten worden afgegeven richting de fesitval beheerders voor het absoluut imbeciele beveiliging beleid.
24-04-2024, 13:00 door Anoniem
Door Anoniem:
Door Anoniem: Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.
Exact zeker van iemand in de IT mag je verwachten dat deze vertrouwelijk met informatie omgaat en ten alle tijden binnen de wetgeving blijft. Het enkel proberen herhaaldelijk in te loggen hier zou een uitsluiting van systemen tot gevolg hebben en gesprek met HR en officiele waarschuwing voor werk wordt hervat. Het werkelijk toegang verkrijgen tot data zou een enkeltje politie worden na van het terein zijn verwijderd met ontslag op staande voet.

Dit figuur had echter vanaf begin al het idee om te proberen de data te manipuleren en er is dus ook geen sprake van pure nieuwsgierigheid. De straf maat is terecht. Sterker nog dit soort personen dienen een beroepsverbod voor het leven te krijgen als het aan mij was.

Dat neemt niet weg dat er ook boetes moeten worden afgegeven richting de fesitval beheerders voor het absoluut imbeciele beveiliging beleid.

Welja, "beroepsverbod voor het leven", zullen we dat dan ook maar doen als een ICTer door rood licht rijdt? Zo houden we Nederland samen veilig. /not.

Het straffen van een hacker die geen schade heeft aangericht zal leiden tot nog meer systemen zonder serieuze beveiliging. Een paradijs voor criminelen, dat is wat we dan krijgen. Welke criminelen? Nou, de gebruikelijke criminelen natuurlijk plus al die ICTers met een beroepsverbod die geen andere mogelijkheid meer hebben om brood op de plank te krijgen.
24-04-2024, 13:02 door Anoniem
Met de inlog administrator en Welkom01 was ik in hun systeem."

Heeeej, heeft de systeembeheerder van Gemeente Hof van Twente een nieuwe baan?
24-04-2024, 13:19 door Anoniem
Het zou veel passender zijn wanneer NextSelect voor de rechter zou moeten verschijnen. Neem aan dat de AP en justitie nu deze toko helemaal gaan doorlichten?
24-04-2024, 14:22 door Anoniem
Door Anoniem:
Het Enschedese bedrijf NextSelect zegt dat het door de aanval 47.000 euro schade heeft geleden. De Support Group eist een schadevergoeding van 50.000 euro.

Zo werkt het in NL niet met schade vergoedingen, je kunt niet meer schade vergoeding eisen dan je ook hebt geleden.

Daarbij ben ik van mening dat NextSelect een zwaardere straf verdiend dan de 28-jarige Amsterdamse man voor grove nalatigheid en het lekken van persoonsgegevens.

Ze hebben ook nog niets geleerd van inbraak en nemen beveiliging nog steeds niet serieus:
Website: https://internet.nl/site/nextselect.nl/2752439/

Mailserver: https://internet.nl/mail/nextselect.nl/1222736/


De AP zou moeten ingrijpen bij zo'n club. Keihard.

Deze testen zeggen niks over de veiligheid, je zou beter moeten weten.
24-04-2024, 14:39 door Anoniem
Door Anoniem: Schadevergoeding ja. Gevangenisstraf is in dit geval overdreven omdat de man niks met de persoonlijke gegevens heeft gedaan, het festival geen maatschappelijk belang dient en de organisatie had duidelijk hun beveiliging niet op orde.

Gevangenisstraf in dit soort lichte vergrijpen is m.i. een afschrikking voor klokkenluiders in het algemeen. Overdreven.
Een klokkenluider is hij sowieso niet, die term slaat op mensen die van binnen een organisatie iets aan de kaak stellen, en hij kwam van buiten. Hij heeft gegevens van een half miljoen mensen gekopieerd en dat gaat een serieuze stap verder dan alleen met een steekproef verifiëren of hij toegang heeft. Dat hij niets met die gegevens heeft gedaan is mooi, maar als hij er ook niets mee wilde doen, waarom heeft hij dan de hele bulk gekopieerd? Hij heeft niet zelf zijn bevindingen gemeld maar is ontdekt toen een medewerker opmerkte dat de serverbelasting erg hoog was en dat onderzocht werd. Hij heeft ook gegevens gewijzigd en zichzelf backstage-toegang tot een festival gegeven.

Het kan nog steeds meer naïviteit dan kwaadaardigheid zijn, maar hij is wel zo ver gegaan dat hij zich deze aanklacht (want dat is het, het is nog geen rechterlijke uitspraak) op zijn hals heeft gehaald.

Iemand die ethisch hacker (ik denk dat je dat bedoelde toen je klokkenluider schreef) wil worden doet er verstandig aan om het volgende te lezen, inclusief de onderaan die pagina gelinkte documenten, en niet naïef aan te nemen dat alles geoorloofd is:
https://www.om.nl/onderwerpen/cybercrime/coordinated-vulnerability-disclosure---ethisch-hacken
24-04-2024, 15:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.
Exact zeker van iemand in de IT mag je verwachten dat deze vertrouwelijk met informatie omgaat en ten alle tijden binnen de wetgeving blijft. Het enkel proberen herhaaldelijk in te loggen hier zou een uitsluiting van systemen tot gevolg hebben en gesprek met HR en officiele waarschuwing voor werk wordt hervat. Het werkelijk toegang verkrijgen tot data zou een enkeltje politie worden na van het terein zijn verwijderd met ontslag op staande voet.

Dit figuur had echter vanaf begin al het idee om te proberen de data te manipuleren en er is dus ook geen sprake van pure nieuwsgierigheid. De straf maat is terecht. Sterker nog dit soort personen dienen een beroepsverbod voor het leven te krijgen als het aan mij was.

Dat neemt niet weg dat er ook boetes moeten worden afgegeven richting de fesitval beheerders voor het absoluut imbeciele beveiliging beleid.

Welja, "beroepsverbod voor het leven", zullen we dat dan ook maar doen als een ICTer door rood licht rijdt? Zo houden we Nederland samen veilig. /not.

Het straffen van een hacker die geen schade heeft aangericht zal leiden tot nog meer systemen zonder serieuze beveiliging. Een paradijs voor criminelen, dat is wat we dan krijgen. Welke criminelen? Nou, de gebruikelijke criminelen natuurlijk plus al die ICTers met een beroepsverbod die geen andere mogelijkheid meer hebben om brood op de plank te krijgen.
Als iemand bewust zonder enige noodzaak door rood rijdt en het is bewezen pak het rijbewijs mij part maar voor het leven af op grond van ernstig in gevaar brengen van andere weggebruikers.

Als een politieman steelt zet hem uit zijn ambt. Als een brandweerman brand sticht zet hem uit zijn ambt. Als een ITer inbreekt op een omgeving zet hem uit zijn ambt. Als je opleiding hebt gevolgd om iets naar wet uit te voeren dan heb je ook kennis genomen van de verantwoordelijkheid die daarbij hoort.

We hebben het over bewuste wetsovertredingen niet over per ongeluk. De intentie was er vanaf begin om te zien of hij de informatie kon aanpassen zonder toestemming. Vervolgens heeft hij ook nog van een half miljoen mensen een datalek veroorzaakt. Of hij nu wel of niet wat met die informatie heeft gedaan doet er niet toe dit behoort tot een datalek en dat betekend dat een half miljoen mensen moeten zijn gecontacteerd.

Hij heeft de bedrijven niet gewaarschuwd over de beveiliging situatie er was dus ook geen sprake van een greyhat (wat ook geen excuus was geweest) en in zijn pleidooi zegt hij dat hij spijt heeft maar niet dat hij door had zo fout bezig te zijn "terwijl hij software-engineer is of hopelijk was". Hoe had hij het ervaren als het zijn geschreven software was waar was op ingebroken.

Naast het gepleegde feit ook connecties naar meerdere hackers groepen wat ze al hebben ontdekt denk ik dat zodra ze toegang hebben tot zijn systeem (wat gaat gebeuren) er nog wel meer sht naar boven komt drijven. Dat is een aanname mind you maar op dit moment is de geloofwaardigheid van dit individue 0,0 en nee verkeren in hackers groepen zelf is niet bewijs voor enige activiteit ik verkeer voor OSINT ook tig keer in die kanalen maar ik ga geen hacks plegen tenzij het een geautoriseerde redteaming event is.


Als jou argument is dat een crimineel meer de criminaliteit opzoekt omdat hij uit zijn functie is gezet waar hij al crimineel gedrag in vertoonde dan heb je naar mijn mening geen echt sterk argument gepresenteerd. Dat is beweren dat een inbreker meer inbraken gaat doen omdat hij uit zijn functie als beveiliger is gezet en te boek staat als eerst genoemde.

Prima als hij spijt heeft komt er nog iets goed uit. Ik zou hem persoonlijk echter nooit van mijn levensdagen nog maar vertrouwen met enig systeem.
24-04-2024, 15:37 door Anoniem
Door Anoniem: Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.

Er is helemaal niemand ergens naar binnen gegaan en er is ook niets meegenomen. Er is iets aan de server GEVRAAGD en de server heeft de informatie zelf verstrekt.
24-04-2024, 16:31 door Anoniem
Het grote probleem.

Men gaat pas aan security doen nadat er wat gebeurd is.

En zelfs dan moet het zo goedkoop mogelijk.


Leuk dat er white hat hacker vacatures zijn, maar als ik wil werken wanneer en waar ik wil/kan, en wil verdienen wat ik me waard vindt, gaat dat feest niet door:

Je gaat zoiets ook niet doen op basis van uurtje factuurtje. Een klus moet betaald worden naar wat je komt brengen.

Wees dus niet zo dom om een bedrijf wat geld heeft te beveiligen aan 1 week werk aan 80 euro per uur, maar reken voor zoiets minstens 20.000 euro.

Dan pas kan de security markt een gezonde markt worden.
24-04-2024, 17:21 door Anoniem
Door Anoniem: Er is helemaal niemand ergens naar binnen gegaan en er is ook niets meegenomen. Er is iets aan de server GEVRAAGD en de server heeft de informatie zelf verstrekt.
Cool. Maar ga toch even na hoe OM en rechters hiermee omgaan voor je je gedrag hierop baseert. Als ze je niet volledig gelijk geven kan je dat beter doorhebben voordat je iets doet waar je voor vervolgd kan worden.
24-04-2024, 17:42 door Anoniem
Door Anoniem:
Door Anoniem: Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.

Er is helemaal niemand ergens naar binnen gegaan en er is ook niets meegenomen. Er is iets aan de server GEVRAAGD en de server heeft de informatie zelf verstrekt.
Er is ingelogd (incoming traffic dus infiltratie)
Er is zonder autorisatie privacy gevoelige informatie gekopieerd naar buiten (exfiltratie) met de permissie daarvoor.

Uiteraard verstrekt de server de informatie dat is het hele idee van een server. Informatie deling met personen of andere systemen en software. Dat wil niet zeggen dat het mocht van de datacontroller, processor of data subjects.

Als iemand een auto steelt via de originele remotekey, dongle dan heeft de auto precies gedaan wat het moest doen toen het de deur opende en de dief kon wegrijden maar geen enkele rechter gaat dan oordelen dat er niet is ingebroken in de auto en dat deze niet is gestolen.
24-04-2024, 18:08 door Anoniem
Stel iemand vergeet zijn deur op slot te doen, of laat de sleutel in het slot zitten. Als je dan alle spullen uit huis steelt, dan is dat gewoon strafbaar. Waarom zou dit bij ICT dan anders moeten zijn?
24-04-2024, 21:04 door Anoniem
Door Anoniem: Stel iemand vergeet zijn deur op slot te doen, of laat de sleutel in het slot zitten. Als je dan alle spullen uit huis steelt, dan is dat gewoon strafbaar. Waarom zou dit bij ICT dan anders moeten zijn?

Er is een verschil tussen internet en backstage. Internet is als de straat. Backstage op een festivalterrein is wat anders. Het is belangrijk dat de verantwoordelijkheid voor de gegevensbeveiliging niet uitsluitend bij diegene wordt gelegd die op "straat" gegevens aantreft, maar ook bij diegene die de gegevens op "straat" zet.

Het is vreemd en onterecht dat wel degene die de gegevens vindt, strafrechtelijk vervolgd wordt, terwijl degene die de gegevens LAAT stelen, alleen te maken heeft met een tandeloze AP die niet handhaaft en ook geen straf mag uitdelen. Op die manier wordt het risico bij de zwakste partij gelegd, en krijgt de sterkste partij een soort vrijbrief om gegevens op straat te laten vallen. Terwijl die sterkste partij wel de "verwerkingsverantwoordelijke" heet te zijn.

Kortom, dit is weer eens een gevalletje afwentelen van de verantwoordelijkheid en de strafbaarheid naar buitenstaanders.

Handig gelobbied door de digitaliseringslobby. "Databeschikbaarheid über alles", schijt aan de bescherming van persoonsgegevens.
24-04-2024, 21:37 door Anoniem
Door Anoniem: Stel iemand vergeet zijn deur op slot te doen, of laat de sleutel in het slot zitten. Als je dan alle spullen uit huis steelt, dan is dat gewoon strafbaar. Waarom zou dit bij ICT dan anders moeten zijn?

Omdat iedere analogie met open deurtjes, naar binnen gaan, en fysiek spullen wegnemen volledig mank gaat. Zo werkt het simpelweg niet in een netwerk.

Dat het niet is toegestaan dat men informatie inziet/kopieert waar men niet toe gerechtigd is, is een ander verhaal.
25-04-2024, 17:25 door Anoniem
Door Anoniem:
Door Anoniem: Stel iemand vergeet zijn deur op slot te doen, of laat de sleutel in het slot zitten. Als je dan alle spullen uit huis steelt, dan is dat gewoon strafbaar. Waarom zou dit bij ICT dan anders moeten zijn?

Er is een verschil tussen internet en backstage. Internet is als de straat. Backstage op een festivalterrein is wat anders. Het is belangrijk dat de verantwoordelijkheid voor de gegevensbeveiliging niet uitsluitend bij diegene wordt gelegd die op "straat" gegevens aantreft, maar ook bij diegene die de gegevens op "straat" zet.
Ja, maar deze gegevens waren niet "op straat" gezet. Er zat een veel te zwak slot op, maar ze zaten wel degelijk achter een gesloten deur. De verdachte heeft meerdere pogingen gedaan voordat hij erin slaagde om in te loggen. Dat had hem natuurlijk helemaal niet moeten lukken, maar het punt is dat hij wel degelijk een slot open heeft gekregen en ook wist dat hij daarmee bezig was. Hij trof niet zomaar wat op straat aan, hij is naar binnen gegaan en heeft daar moeite voor gedaan. Dat is wat het strafbaar maakt.

Het is vreemd en onterecht dat wel degene die de gegevens vindt, strafrechtelijk vervolgd wordt, terwijl degene die de gegevens LAAT stelen, alleen te maken heeft met een tandeloze AP die niet handhaaft en ook geen straf mag uitdelen. Op die manier wordt het risico bij de zwakste partij gelegd, en krijgt de sterkste partij een soort vrijbrief om gegevens op straat te laten vallen. Terwijl die sterkste partij wel de "verwerkingsverantwoordelijke" heet te zijn.
Het een valt onder Nederlands strafrecht en het andere onder de Europese AVG. Het is niet gek dat dat niet samen in één zaak wordt behandeld. Zelfs als het allebei onder het Nederlandse strafrecht zou zijn gevallen waren het verschillende zaken geweest, want bij strafrecht staat niet de de ene civiele partij tegenover de andere, daar staat altijd het Openbaar Ministerie tegenover een verdachte. Dat zwakke wachtwoord is niet afhankelijk van die inbraak, dat was er ook zonder die inbraak, dat is een gescheiden zaak. Maar de AVG valt helemaal niet binnen wat het OM mag oppakken, het OM is er voor strafrecht, en als een AVG-zaak voor de rechter komt dan komt het niet voor een strafrechter. Dit kan op geen enkele manier in dezelfde zaak belanden.

Dat de AP zo tandeloos is als die is hebben we te danken aan de kabinetten-Rutte die daar sinds de invoering van de AVG voortdurend minder geld voor beschikbaar hebben gesteld dan nodig was. Desondanks hoop ik dat de festivalgangers wiens gegevens niet veilig bleken hierover massaal klagen bij AP. Er lijkt meer niet goed te zitten (waarom kon een leidinggevende van het ene bedrijf bij data van het andere bedrijf, bijvoorbeeld?) en zelfs voor een overbelaste AP kan dit een mooie voorbeeldzaak zijn die heel duidelijk maakt dat zwakke wachtwoorden echt niet door de beugel kunnen en dat daar een pittig prijskaartje aan hangt.

Kortom, dit is weer eens een gevalletje afwentelen van de verantwoordelijkheid en de strafbaarheid naar buitenstaanders.
Ik hoop dat je inmiddels iets duidelijker wordt wat er wél aan de hand is.

Handig gelobbied door de digitaliseringslobby. "Databeschikbaarheid über alles", schijt aan de bescherming van persoonsgegevens.
Heeft een lobby-organisatie dat slechte wachtwoord voorgeschreven, dan?
25-04-2024, 17:42 door Anoniem
Door Anoniem:
Ja, maar deze gegevens waren niet "op straat" gezet. Er zat een veel te zwak slot op, maar ze zaten wel degelijk achter een gesloten deur.

Etc.etc.
Ja, praat maar allemaal weer recht wat krom is. Dat we allemaal maar weer rustig verder gaan slapen. Een wachtwoord als Welkom01 is geen slot, dat is gewoon op straat zetten. Jij kiest jouw vergelijking met een slot om de verantwoordelijkheid van de verwerkingsverantwoordelijken te bagatelliseren. Want het zat toch achter een "slot"! Zo kan je alles weg- en kleinpraten.

Kortom, dit is weer eens een gevalletje afwentelen van de verantwoordelijkheid en de strafbaarheid naar buitenstaanders.
Ik hoop dat je inmiddels iets duidelijker wordt wat er wél aan de hand is.
Ik snap prima wat er aan de hand is en ook hoe het juridisch in elkaar geknutseld is. Jij verschuilt je achter de juridische kleine lettertjes, je wilt niet verder kijken dan je juridische neus lang is. Mijn naam is haas want we hebben de regeltjes gevolgd.

Handig gelobbied door de digitaliseringslobby. "Databeschikbaarheid über alles", schijt aan de bescherming van persoonsgegevens.
Heeft een lobby-organisatie dat slechte wachtwoord voorgeschreven, dan?
Nee, want dan zou het zijn: "onhandig gelobbied". Tuurlijk doen ze het zo dat ze hun handen in onschuld kunnen wassen en met de vinger naar uitvoerenden kunnen wijzen.
26-04-2024, 14:50 door Anoniem
Door Anoniem: Dan verdien je ook wel om "gehackt" te worden. Admin rechten geven aan een niet beheerder, geen ww complexiteit afdwingen, niet om de zoveel weken/maanden een nieuwe ww afdwingen en geen 2FA gebruiken.

Niemand verdient het om gehackt te worden! Net zo zeer dat geen enkele bewoner het verdient om bij in te breken, ook niet als de voordeur op een kier staat!
27-04-2024, 11:01 door Anoniem
Door Anoniem: Ja, praat maar allemaal weer recht wat krom is. Dat we allemaal maar weer rustig verder gaan slapen.
Je maakt er iets heel anders van dan ik schreef.
Een wachtwoord als Welkom01 is geen slot, dat is gewoon op straat zetten.
En zelfs met dat schokkend zwakke wachtwoord moest iemand doelbewust wachtwoorden uitproberen voordat die binnen was. Dat is zelfs met een ontstellend zwak wachtwoord niet meer per ongeluk binnenlopen maar doelbewust een beveiliging doorbreken, hoe zwak die beveiliging ook is. Ik heb geen moment ontkend dat het wachtwoord veel te zwak was, maar tegelijkertijd heeft iemand die wel degelijk kon zien dat er een beveiliging was doelgericht geprobeerd om daar binnen te komen, en dat is gelukt. Dat is iets fundamenteel anders dan per ongeluk ergens binnenlopen waar je niet hoort te zijn.

Ga jij als je langs huizen loopt proberen of deuren wel goed op slot zitten en vind je dat als jij met een maar een klein beetje handigheid wel binnen kan komen dat je daar ook recht op hebt? Ik niet.
Jij kiest jouw vergelijking met een slot om de verantwoordelijkheid van de verwerkingsverantwoordelijken te bagatelliseren. Want het zat toch achter een "slot"! Zo kan je alles weg- en kleinpraten.
Nee. Wat ik deed is duidelijk maken dat er twee dingen niet in orde zijn: zowel het zwakke wachtwoord als het misbruik maken daarvan. Snap je dat als ik zeg dat het ene niet deugt ik daarmee niet zeg dat het andere wel deugt? En ik heb duidelijk gemaakt dat die twee dingen in ons juridische systeem niet in dezelfde zaak worden afgehandeld en dat je daarom in één zaak maar één van de twee kanten behandeld ziet worden. Dat kan je raar vinden, daar kan je het mee oneens zijn, maar dat is wel hoe het werkt in de praktijk, en je kan behoorlijk op je smoel gaan als je doet alsof dat voor jou niet geldt.
Kortom, dit is weer eens een gevalletje afwentelen van de verantwoordelijkheid en de strafbaarheid naar buitenstaanders.
Onzin. Lees nog eens wat ik schreef en probeer het deze keer te begrijpen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.