Ex-Disney-medewerker bekent wijzigen allergie-informatie in menusysteem
Een 39-jarige voormalige medewerker van Disney World heeft in de VS bekend dat hij na zijn ontslag vorig jaar inbrak op het menusysteem van zijn ex-werkgever en daar onder andere allergie-informatie aanpaste. Zo werd bij verschillende menuonderdelen vermeld dat die veilig waren voor mensen met een pinda-allergie, terwijl die in werkelijkheid dodelijk hadden kunnen zijn, aldus de aanklacht.
De man was als menuproductiemanager werkzaam voor Disney World, maar werd vorig jaar juni ontslagen. Na zijn ontslag gebruikte hij de bij hem bekende inloggegevens om op het menusysteem in te loggen en aanpassingen door te voeren. Disney World werkt voor het betreffende systeem niet met unieke inloggegevens per medewerker, maar gebruikt 'non-individualized credentials' waar meerdere medewerkers mee inloggen. De inloggegevens werden niet na het ontslag van de verdachte gewijzigd, waardoor die hier nog steeds mee kon inloggen.
Volgens de aanklacht wijzigde de man onder andere de fontbestanden van het menusysteem en voegde beledigingen aan menu's toe. Het aanpassen van de allergeneninformatie was veel gevaarlijker. Zo voegde de man aan verschillende menu's informatie toe dat bepaalde items veilig waren voor mensen met een pinda-allergie, terwijl dit voor deze personen dodelijk zou kunnen zijn, zo staat in de aanklacht. De aangepaste menu's werden op tijd ontdekt voordat ze naar de restaurants van Disney World gingen, zo staat in de aanklacht.
De verdachte heeft nu bekend schuldig te zijn aan computerfraude en identiteitsdiefstal, zo laat het Amerikaanse ministerie van Justitie weten. Voor computerfraude kan de rechter een gevangenisstraf van maximaal tien jaar opleggen. Op 'aggravated identity theft' staat een gevangenisstraf van minimaal twee jaar. Er is nog geen datum bekend wanneer de rechter vonnis zal wijzen.
Dit had redelijk fout kunnen gaan!
Met die Disney+ Voorwaarden had je als nabestaande geen poot om op te staan inderdaad...
Absurd dat het legaal is.
~FF
Het is dan nog steeds vreemd waarom de ex-werknemer er gebruik van kon maken.
Het ging uiteindelijk niet fout omdat Disney controleerde of de informatie op het menu wel juist was voor ze het gewijzigde menu in gebruik namen. Dat zijn controles die hoe dan ook nodig zijn, omdat ook werknemers fouten kunnen maken.
Maar omdat ze de fouten pas ontdekte nadat ze de menu's al gedrukt hadden lijkt het meer op geluk dat ze het nog op tijd ontdekt hebben.
Het ging uiteindelijk niet fout omdat Disney controleerde of de informatie op het menu wel juist was voor ze het gewijzigde menu in gebruik namen. Dat zijn controles die hoe dan ook nodig zijn, omdat ook werknemers fouten kunnen maken.
Maar omdat ze de fouten pas ontdekte nadat ze de menu's al gedrukt hadden lijkt het meer op geluk dat ze het nog op tijd ontdekt hebben.
Kan natuurlijk dat ze bij ontvangst de drukproeven controleren.
Dat moet je _toch_ doen, niet klakkeloos aannemen dat je (evt 4 ogen gecontroleerde bronbestanden) precies goed gedrukt zijn.
Drukkerij verwerkings fout, of botweg oud/verkeerd bestand dat de drukmachine inging.
Dan is het alleen een kostenverhaal afhankelijk van waar de fout gemaakt werd of de drukker of jij de nieuwe run moet betalen.
Het was niet heel subtiel :
naast de allergie info wijzigingen.
Klink nogal als een piswoeste laag-IQer . (of neuro divergente) die even losging. Ik denk dat het aspect 'bewuste poging tot doodslag/mishandeling op random allergische bezoekers' niet echt speelde - of dat vervolging daarvoor het niet zou halen.
Absurd dat het legaal is.
~FF
Of wordt om een medische noodzaak, en gevonden donor codicil aangebracht op het lichaam, dat reizen naar bepaalde gebieden een boel werk voor de politie oplevert.
Mensen met dodelijke voedsel-allergie zijn doorgaans goed geïnformeerd, en eten geen satékroketten, tenzij ze de EU of ambachtelijke fabrikant vertrouwen.
Ooit was er een Amerikaanse toerist in Amsterdam doodgevallen na het nuttigen van een satékroket.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?