Ernstig lek gevonden, en nu?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: 1 2 3 volgende »

Bram Boos

Bram Boos

24/10/2011 22:10:39
Quote Anchor link
Vandaag op school zijn we achter een vrij ernstig lek van een bekend webshop script gekomen. Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Ook kan ik alle producten van alle webshops welke dat script draaien verwijderen of verhogen.

Mijn bedoeling is niet om schade toe te brengen of om privacy te schenden maar het ging er meer om dat meer dan 1000 webshops dat systeem hebben aangekocht en nu een probleem hebben.

Nu is mijn vraag wat ik beter kan doen, naar het bedrijf stappen wat het script heeft gemaakt of naar de webshop eigenaren gaan? En moet ik dit anoniem doen of gewoon onder mijn eigen naam? En wat als ze het niet interreseert? Naar de media stappen, of alleen dreigen om naar de media te stappen?

Ik ga geen gegevens van het desbetreffende bedrijf, de webshops of de naam van het syteem vrijgeven.
Gewijzigd op 24/10/2011 22:16:23 door Bram Boos
 
PHP hulp

PHP hulp

28/03/2024 12:39:30
 
- Ariën  -
Beheerder

- Ariën -

24/10/2011 22:16:50
Quote Anchor link
Wat je het beste kan doen is gewoon onder je eigen naam contact zoeken met dat bedrijf, team die de webshop onderhoudt.

Ook zou ik er op aandringen dat ze bij de volgende update alle plaintext-passwoorden vernietigen en de gebruikers een nieuwe laten geven. Het verbaast me dat er nog steeds laks om wordt als het om beveiliging gaat van webshops en scripts die erop draaien.

De webshopeigenaren moet je niet benaderen, die kunnen er vaak niks aan doen en ga jij eventjes 1000 mails sturen naar hen? Dat bedrijf moet gewoon asap een update uitbrengen.
 
Ozzie PHP

Ozzie PHP

24/10/2011 22:29:06
Quote Anchor link
Wellicht een mailtje sturen naar Brenno de Winter van webwereld.nl?
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)

http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1
 
- Ariën  -
Beheerder

- Ariën -

24/10/2011 22:33:01
Quote Anchor link
Ozzie PHP op 24/10/2011 22:29:06:
Wellicht een mailtje sturen naar Brenno de Winter van webwereld.nl?
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)

http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1

Wil je 1.000 klanten van dat bedrijf duperen? Geef eerst het bedrijf even de tijd om het te fixxen en het op te lossen. Als ze laks reageren, kan je altijd nog het in de media gooien, hoewel het altijd de vraag is wat de uitwerking is.
Gewijzigd op 24/10/2011 22:33:42 door - Ariën -
 
Bram Boos

Bram Boos

24/10/2011 22:39:33
Quote Anchor link
Het probleem is dat het script volgensmij aan verschillende andere partijen onder doorverkooprechten is verkocht en de laatste update stamt uit 2009. Ik ben dus bang dat het bedrijf gaat reageren dat zij daar niet verantwoordelijk voor zijn.

Ik heb er over na zitten denken om naar webwereld te stappen maar het gaat nooit lukken om al die webshops te updaten voor het einde van oktober.
 
PHP Scripter

PHP Scripter

24/10/2011 23:07:03
Quote Anchor link
Bram, ik vindt het wel interessant om te weten hoe je bent 'binnengekomen'. Uiteraard wordt het bedrijf niet vermeld! :)
 
- Ariën  -
Beheerder

- Ariën -

24/10/2011 23:09:13
Quote Anchor link
Ik vermoed een simpele(?) SQL injection. ;-)
 
Aad B

Aad B

25/10/2011 09:37:31
Quote Anchor link
Om te beginnen heb je iets gedaan wat strafbaar is, hoe edel je motieven ook zijn. Je hebt iets gedaan waardoor er nu een enorme verantwoording op je rust. Je moet op korte termijn de maker/bedrijf van de websoftware inlichten en hen zeer kort de tijd geven om te reageren waarbij je zou kunnen laten merken dat je webwereld/lektober in gaat lichten. Wanneer je onvoldoende reactie krijgt zou je toch ook maar beter de betreffende webwinkel kunnen inlichten. Nogmaals, je hebt iets gedaan wat strafbaar is, vergelijk het met een openstaande bankkluis waaruit je ook niet zomaar de inhoud mee mag nemen.
 
Ozzie PHP

Ozzie PHP

25/10/2011 09:41:05
Quote Anchor link
Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
 
Kees Schepers

kees Schepers

25/10/2011 09:48:10
Quote Anchor link
Aad heeft misschien ergens een beetje gelijk want waarschijnlijk heb je moeten inbreken om erahter te komen dat het lek is maar het bedrijf kan nu nooit bewijzen dat het door jou 'inbreken' schade heeft opgelopen want dat is niet zo.

Als je naar het bedrijf gaat zou ik er wel gewoon een vergoeding voor vragen voor het vrijgeven van informatie. Dat is heel normaal en in dit soort zaken moet je niet te sociaal zijn. Jij bent helemaal niet verplicht de informatie aan hun verschaffen.

En gelukkig is er in Nederlands persvrijheid dus je mag ook naar de media stappen, ik denk ook wel dat zij jou erin begleiden wat wel en niet kan. Het kan overigens goed zijn voor je imago voor als je gaat freelancen of een bedrijf start. Erik Duindam is ook naar de media gestapt nadat hij een lek gevonden had in de Microsoft site en dat heeft hem niet slecht gedaan zullen we maar zeggen.

Mocht je toch bang zijn zorg in iedergeval dat je een goede rechtsbijstand verzekering hebt haha ;)
 
Ozzie PHP

Ozzie PHP

25/10/2011 09:58:09
Quote Anchor link
Vandaag in Nieuwsuur: hacker Bram B. op de vlucht.

óf

Vanavond in Pauw en Witteman: Bram Boos vertelt over digitaal lek en gevolgen voor privacy.

:)
 
Chris -

Chris -

25/10/2011 13:07:39
Quote Anchor link
Bram, direct contact opnemen met de ontwikkelaar is het het netste wat je kunt doen. Op het moment dat zij hier binnen een redelijke tijd (2 weken) niet op hebben gereageerd, herinnering sturen. Nog steeds niets? Publiekelijk kenbaar maken :-)
 
Pim -

Pim -

25/10/2011 13:11:01
Quote Anchor link
Waarom zou je het niet doorgeven aan webwereld? Dan regelen zij het contact met de aanbieders en kan je meteen op wat naamsbekendheid rekenen.

Verder is pastebin.com ook echt een goede oplossing, hoor ;)
 
Ozzie PHP

Ozzie PHP

25/10/2011 13:13:04
Quote Anchor link
Chris Horeweg op 25/10/2011 13:07:39:
Bram, direct contact opnemen met de ontwikkelaar is het het netste wat je kunt doen. Op het moment dat zij hier binnen een redelijke tijd (2 weken) niet op hebben gereageerd, herinnering sturen. Nog steeds niets? Publiekelijk kenbaar maken :-)

Het gaat om een ernstig lek, ik zou zeggen 2 DAGEN.
 
Aad B

Aad B

25/10/2011 19:03:37
Quote Anchor link
Ozzie PHP op 25/10/2011 09:41:05:
Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
@Ozzie: het strafbare feit is het volgende. TS zegt: Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Dit is zonder meer een strafbaar feit hoe edel de hackers motieven ook zijn!! Indien gewenst kan ik de betreffende wetsteksten wel aanleveren!
Edit:
Er wordt hier veel te lichtzinnig over gedacht.
Gewijzigd op 25/10/2011 19:06:37 door Aad B
 
Ozzie PHP

Ozzie PHP

25/10/2011 19:37:34
Quote Anchor link
Een lek kun je alleen constateren door het te testen... je kunt ook alleen maar weten of een deur wel of niet op slot zit door eraan te trekken. Stel ik ga, om mijn buurt te beschermen tegen inbraken, bij iedereen controleren of de achterdeur wel op slot zit.. en stel dat ik een achterdeur vind die open is. Als ik dan vervolgens de eigenaar erop attendeer dat hij z'n achterdeur op slot moet doen omdat het risico bestaat dat er wordt ingebroken, dan ben ik in geen geval strafbaar. Uiteraard moet Bram de gegevens wel weer verwijderen (nadat hij de lek heeft aangekaart bij de maker van de webshop of eventueel bij webwereld) en ze niet doorspelen aan iemand anders.

Aad B op 25/10/2011 19:03:37:
Ozzie PHP op 25/10/2011 09:41:05:
Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
@Ozzie: het strafbare feit is het volgende. TS zegt: Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Dit is zonder meer een strafbaar feit hoe edel de hackers motieven ook zijn!! Indien gewenst kan ik de betreffende wetsteksten wel aanleveren!
Edit:
Er wordt hier veel te lichtzinnig over gedacht.

[/quote]
 
Jeroen VD

Jeroen VD

25/10/2011 19:39:33
Quote Anchor link
je bent wel degelijk strafbaar: je bent in het bezit van persoonlijke gegevens waar de eigenaren geen toestemming voor hebben gegeven. nu is het de vraag: heb jij het opgeslagen, verspreidt, of direct verwijderd. nu is het ook de vraag hoe je bent binnengekomen: per ongeluk of moedwillig? en is dit aantoonbaar?
een goeie advocaat kan je hiermee een flinke boete aanlullen.
 
Ozzie PHP

Ozzie PHP

25/10/2011 19:44:05
Quote Anchor link
In het kader van "risico beperking" van het vrijkomen van privacy gevoelig zal het recht in het voordeel van Bram uitpakken. Recent voorbeeldje. Alberto Stegeman van Undercover in Nederland heeft een spermadonor met een erfelijke overdraagbare aandoening betrapt en in beeld gebracht. De betreffende persoon wilde de uitzending voorkomen vanwege de schending van de privacy. De rechter oordeelde anders, namelijk dat het maatschappelijk belang en het beschermen van burgers prevaleert. In dit geval idem dito. Recht bestaat welisaar uit wetten en regels, maar draait daarnaast ook om redelijkheid en billijkheid. Dus voor Bram niks aan de hand.
 
Victor -

Victor -

25/10/2011 19:55:45
Quote Anchor link
Het hangt ervan af welke recher je treft, de een kan soms veel meelevender zijn dan de ander die je met een glimlach een boete aansmeert omdat hij zo'n hekel heeft aan facebook omdat per ongeluk zijn geheime relatie met iemand daarop kwam te staan:)
 
Ozzie PHP

Ozzie PHP

25/10/2011 19:57:08
Quote Anchor link
Victor - op 25/10/2011 19:55:45:
Het hangt ervan af welke recher je treft

Dat zal in de praktijk nogal meevallen, ook al doet men in de media graag anders geloven. In dit geval is de uitkomst duidelijk.
 
Aad B

Aad B

25/10/2011 20:02:27
Quote Anchor link
@Ozzie: In het strafrecht is er geen sprake van redelijkheid en billijkheid. Wat hier plaatsgevonden heeft valt onder strafrecht en de metaforen over de keukendeur zijn leuk maar onzin. Omdat je maar door blijft zeuren dat er allemaal niets aan de hand is hieronder de tekst uit de wet en het is en blijft strafbaar, wat TS heeft gedaan valt onder lid b)

Artikel 138ab

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.

Je moet je vooraf heel goed indekken om er onderuit te komen en lektober en Alberto Stegeman dekken zich vooraf in, documenteren vooraf en lichten vooraf veelal jusitie in.
 

Pagina: 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.