Door
Bram Boos
op 24-10-2011 22:10
gewijzigd op 24-10-2011 22:16
9.822 views
Vandaag op school zijn we achter een vrij ernstig lek van een bekend webshop script gekomen. Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Ook kan ik alle producten van alle webshops welke dat script draaien verwijderen of verhogen.
Mijn bedoeling is niet om schade toe te brengen of om privacy te schenden maar het ging er meer om dat meer dan 1000 webshops dat systeem hebben aangekocht en nu een probleem hebben.
Nu is mijn vraag wat ik beter kan doen, naar het bedrijf stappen wat het script heeft gemaakt of naar de webshop eigenaren gaan? En moet ik dit anoniem doen of gewoon onder mijn eigen naam? En wat als ze het niet interreseert? Naar de media stappen, of alleen dreigen om naar de media te stappen?
Ik ga geen gegevens van het desbetreffende bedrijf, de webshops of de naam van het syteem vrijgeven.
Bram, direct contact opnemen met de ontwikkelaar is het het netste wat je kunt doen. Op het moment dat zij hier binnen een redelijke tijd (2 weken) niet op hebben gereageerd, herinnering sturen. Nog steeds niets? Publiekelijk kenbaar maken :-)
Bram, direct contact opnemen met de ontwikkelaar is het het netste wat je kunt doen. Op het moment dat zij hier binnen een redelijke tijd (2 weken) niet op hebben gereageerd, herinnering sturen. Nog steeds niets? Publiekelijk kenbaar maken :-)
Het gaat om een ernstig lek, ik zou zeggen 2 DAGEN.
Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
@Ozzie: het strafbare feit is het volgende. TS zegt: Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Dit is zonder meer een strafbaar feit hoe edel de hackers motieven ook zijn!! Indien gewenst kan ik de betreffende wetsteksten wel aanleveren!
[edit]Er wordt hier veel te lichtzinnig over gedacht.
Een lek kun je alleen constateren door het te testen... je kunt ook alleen maar weten of een deur wel of niet op slot zit door eraan te trekken. Stel ik ga, om mijn buurt te beschermen tegen inbraken, bij iedereen controleren of de achterdeur wel op slot zit.. en stel dat ik een achterdeur vind die open is. Als ik dan vervolgens de eigenaar erop attendeer dat hij z'n achterdeur op slot moet doen omdat het risico bestaat dat er wordt ingebroken, dan ben ik in geen geval strafbaar. Uiteraard moet Bram de gegevens wel weer verwijderen (nadat hij de lek heeft aangekaart bij de maker van de webshop of eventueel bij webwereld) en ze niet doorspelen aan iemand anders.
Aad B op 25/10/2011 19:03:37
[quote="Ozzie PHP op 25/10/2011 09:41:05"]
Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
@Ozzie: het strafbare feit is het volgende. TS zegt: Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Dit is zonder meer een strafbaar feit hoe edel de hackers motieven ook zijn!! Indien gewenst kan ik de betreffende wetsteksten wel aanleveren!
[edit]Er wordt hier veel te lichtzinnig over gedacht.
je bent wel degelijk strafbaar: je bent in het bezit van persoonlijke gegevens waar de eigenaren geen toestemming voor hebben gegeven. nu is het de vraag: heb jij het opgeslagen, verspreidt, of direct verwijderd. nu is het ook de vraag hoe je bent binnengekomen: per ongeluk of moedwillig? en is dit aantoonbaar?
een goeie advocaat kan je hiermee een flinke boete aanlullen.
In het kader van "risico beperking" van het vrijkomen van privacy gevoelig zal het recht in het voordeel van Bram uitpakken. Recent voorbeeldje. Alberto Stegeman van Undercover in Nederland heeft een spermadonor met een erfelijke overdraagbare aandoening betrapt en in beeld gebracht. De betreffende persoon wilde de uitzending voorkomen vanwege de schending van de privacy. De rechter oordeelde anders, namelijk dat het maatschappelijk belang en het beschermen van burgers prevaleert. In dit geval idem dito. Recht bestaat welisaar uit wetten en regels, maar draait daarnaast ook om redelijkheid en billijkheid. Dus voor Bram niks aan de hand.
Het hangt ervan af welke recher je treft, de een kan soms veel meelevender zijn dan de ander die je met een glimlach een boete aansmeert omdat hij zo'n hekel heeft aan facebook omdat per ongeluk zijn geheime relatie met iemand daarop kwam te staan:)
@Ozzie: In het strafrecht is er geen sprake van redelijkheid en billijkheid. Wat hier plaatsgevonden heeft valt onder strafrecht en de metaforen over de keukendeur zijn leuk maar onzin. Omdat je maar door blijft zeuren dat er allemaal niets aan de hand is hieronder de tekst uit de wet en het is en blijft strafbaar, wat TS heeft gedaan valt onder lid b)
Artikel 138ab
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
Je moet je vooraf heel goed indekken om er onderuit te komen en lektober en Alberto Stegeman dekken zich vooraf in, documenteren vooraf en lichten vooraf veelal jusitie in.
