Dan wordt zijn Macbook ingenomen volgens de wet.
Maar het bedrijf valt ook wel wat te verwijten; zo'n idioot wachtwoord en gegevens langdurig bewaren...

Lijkt me vanzelfsprekend dat dit bedrijf ook een schadevergoeding mag gaan betalen aan de mensen waarvan het de data heeft laten lekken, nalatigheid mag best bestraft worden.

Als dat zo is moeten er wat mensen bij NextSelect op hun donder krijgen... die 28-jarige man verdient een prijs geen straf. En dat ie zo zichzelf backstage toegang gegeven heeft zegt ook iets over de kennelijk afwezige screening op mensen die backstage rondlopen. Kortom, het 'verkeerd' en 'kwaad' lijkt niet zozeer bij die 28 jarige man te liggen.

Komt bij dat als ze nu schade claimen van 48.000 ze die dus beter hadden besteden aan het opleiden van hun personeel mbt security zaken, wie zet er een systeem online met admin/Welkom01 ...

Update: net even op hun linkedin gekeken, merendeel wat er werkt lijken studenten te zijn. Zegt ook wel iets over de kwaliteit.

Dan verdien je ook wel om "gehackt" te worden. Admin rechten geven aan een niet beheerder, geen ww complexiteit afdwingen, niet om de zoveel weken/maanden een nieuwe ww afdwingen en geen 2FA gebruiken.

Uiteraard niet handig van hem maar ook slecht van de festivalorganisatie. Daarbij vind ik de straf wel heel erg hoog als hij verder geen schade heeft aangericht. Maar dat komt wsh omdat hij geen openheid van zaken geeft door zijn Mac niet te open te stellen?

Wat hij niet had moeten doen was het kopieren van gegevens van de server (half miljoen festivalbezoekers, crewleden en artiesten). Dat was een beetje dom....

Heeft justitie al "Welkom01" geprobeerd!?

Andere sites vermelden dat de beste man ook zichzelf backstage toegang heeft gegeven en een parkeerplek voor het Awakenings festival. Dat is toch wel wat meer dan even rondkijken.

Zo werkt het in NL niet met schade vergoedingen, je kunt niet meer schade vergoeding eisen dan je ook hebt geleden.

Daarbij ben ik van mening dat NextSelect een zwaardere straf verdiend dan de 28-jarige Amsterdamse man voor grove nalatigheid en het lekken van persoonsgegevens.

Ze hebben ook nog niets geleerd van inbraak en nemen beveiliging nog steeds niet serieus:
Website: https://internet.nl/site/nextselect.nl/2752439/

Mailserver: https://internet.nl/mail/nextselect.nl/1222736/


De AP zou moeten ingrijpen bij zo'n club. Keihard.

Precies. Hij had kunnen volstaan met de constatering dat hij dat kon doen (desnoods gegevens van één persoon, bijvoorbeeld zichzelf, van de server kopiëren als bewijs - "proof of concept").

Zie ook de discussies hierover in de reacties onder:
https://www.security.nl/posting/837232/Juridisch+adviseur+krijgt+taakstraf+voor+illegaal+inloggen+op+Outlook+werkgever,
voorafgegaan door:
https://www.security.nl/posting/834678/ ("Hoge Raad oordeelt dat website geen geautomatiseerd werk is")

Als er geen mensen waren zoals deze verdachte, dan zouden al die honderdduizenden festivalgangers, artiesten en crewleden nog steeds niet weten hoe slecht hun persoonsgegevens door de organisatoren worden beschermd, en dan zouden de organisatoren ook geen aanleiding hebben gezien om nu eindelijk iets te gaan doen ten behoeve van adquate bescherming.

Zoals ik eerder heb aangevoerd, dit is vergelijkbaar met het op straat leggen van documenten met geheim te houden gegevens, en vervolgens degene bestraffen die de documenten opraapt en erin leest.

Alleen al gezien de belachelijke wachtwoord-"beveiliging" (wachtwoord "Welkom01"), zou ik, als ik de politie of de aanklager was, kiezen voor het seponeren van de zaak, of ontslag van rechtsvervolging of iets dergelijks. Als ik mijn raam op de begane grond aan de straatkant wagenwijd laat openstaan terwijl ik ergens uit logeren ga, en er blijkt wat van mijn inboedel te zijn gestolen (zonder sporen van braak), dan komt de politie ook echt niet voor mij in actie.

De rechter zou hierin zéér verzachtende omstandigheden moeten zien, plus het element van een "klokkenluiderseffect" van het handelen van de man mee moeten nemen als compenserend element. Het is mij niet duidelijk waarop de geëiste "schadevergoedingen" gebaseerd zijn. Wat voor schade heeft de man dan aangericht? Het valt de betreffende firma's zelf aan te rekenen als ze eventueel "reputatieschade" oplopen. Ze hebben kennelijk nooit aandacht gehad voor hoe het systeem in de praktijk werkte en werd gebruikt.

Haha! Je hebt mijn dag opgevrolijkt.

M.J.

"Vervolgens kopieerde hij gegevens van de server." .. tsja, dat is niet handig gedaan.

Tja het is natuurlijk een oliedom wachtwoord. Maar hij heeft wel misbruik gemaakt van de gegevens. Als er ergens een deur openstaat dan wil dat niet zeggen dat je naar binnen mag gaan en alles mag meenemen.

Het is natuurlijk absoluut slecht beveiligd, ze hadden minimaal het wachtwoord naar welkom02 kunnen wijzigen.
Maar het feit blijft dat hij zichzelf wederrechtelijk toegang heeft verschaft tot het systeem en daar de data heeft gestolen, dat het zo makkelijk ging maakt de daad niet goed.
Diefstal blijft diefstal, zelfs als je je raam open laat staan al wordt inbraak dan eerder insluiping want ook gewoon strafbaar is.

Schadevergoeding ja. Gevangenisstraf is in dit geval overdreven omdat de man niks met de persoonlijke gegevens heeft gedaan, het festival geen maatschappelijk belang dient en de organisatie had duidelijk hun beveiliging niet op orde.

Gevangenisstraf in dit soort lichte vergrijpen is m.i. een afschrikking voor klokkenluiders in het algemeen. Overdreven.

Exact zeker van iemand in de IT mag je verwachten dat deze vertrouwelijk met informatie omgaat en ten alle tijden binnen de wetgeving blijft. Het enkel proberen herhaaldelijk in te loggen hier zou een uitsluiting van systemen tot gevolg hebben en gesprek met HR en officiele waarschuwing voor werk wordt hervat. Het werkelijk toegang verkrijgen tot data zou een enkeltje politie worden na van het terein zijn verwijderd met ontslag op staande voet.

Dit figuur had echter vanaf begin al het idee om te proberen de data te manipuleren en er is dus ook geen sprake van pure nieuwsgierigheid. De straf maat is terecht. Sterker nog dit soort personen dienen een beroepsverbod voor het leven te krijgen als het aan mij was.

Dat neemt niet weg dat er ook boetes moeten worden afgegeven richting de fesitval beheerders voor het absoluut imbeciele beveiliging beleid.

Welja, "beroepsverbod voor het leven", zullen we dat dan ook maar doen als een ICTer door rood licht rijdt? Zo houden we Nederland samen veilig. /not.

Het straffen van een hacker die geen schade heeft aangericht zal leiden tot nog meer systemen zonder serieuze beveiliging. Een paradijs voor criminelen, dat is wat we dan krijgen. Welke criminelen? Nou, de gebruikelijke criminelen natuurlijk plus al die ICTers met een beroepsverbod die geen andere mogelijkheid meer hebben om brood op de plank te krijgen.

Heeeej, heeft de systeembeheerder van Gemeente Hof van Twente een nieuwe baan?

Het zou veel passender zijn wanneer NextSelect voor de rechter zou moeten verschijnen. Neem aan dat de AP en justitie nu deze toko helemaal gaan doorlichten?

Deze testen zeggen niks over de veiligheid, je zou beter moeten weten.

Een klokkenluider is hij sowieso niet, die term slaat op mensen die van binnen een organisatie iets aan de kaak stellen, en hij kwam van buiten. Hij heeft gegevens van een half miljoen mensen gekopieerd en dat gaat een serieuze stap verder dan alleen met een steekproef verifiëren of hij toegang heeft. Dat hij niets met die gegevens heeft gedaan is mooi, maar als hij er ook niets mee wilde doen, waarom heeft hij dan de hele bulk gekopieerd? Hij heeft niet zelf zijn bevindingen gemeld maar is ontdekt toen een medewerker opmerkte dat de serverbelasting erg hoog was en dat onderzocht werd. Hij heeft ook gegevens gewijzigd en zichzelf backstage-toegang tot een festival gegeven.

Het kan nog steeds meer naïviteit dan kwaadaardigheid zijn, maar hij is wel zo ver gegaan dat hij zich deze aanklacht (want dat is het, het is nog geen rechterlijke uitspraak) op zijn hals heeft gehaald.

Iemand die ethisch hacker (ik denk dat je dat bedoelde toen je klokkenluider schreef) wil worden doet er verstandig aan om het volgende te lezen, inclusief de onderaan die pagina gelinkte documenten, en niet naïef aan te nemen dat alles geoorloofd is:
https://www.om.nl/onderwerpen/cybercrime/coordinated-vulnerability-disclosure---ethisch-hacken

Als iemand bewust zonder enige noodzaak door rood rijdt en het is bewezen pak het rijbewijs mij part maar voor het leven af op grond van ernstig in gevaar brengen van andere weggebruikers.

Als een politieman steelt zet hem uit zijn ambt. Als een brandweerman brand sticht zet hem uit zijn ambt. Als een ITer inbreekt op een omgeving zet hem uit zijn ambt. Als je opleiding hebt gevolgd om iets naar wet uit te voeren dan heb je ook kennis genomen van de verantwoordelijkheid die daarbij hoort.

We hebben het over bewuste wetsovertredingen niet over per ongeluk. De intentie was er vanaf begin om te zien of hij de informatie kon aanpassen zonder toestemming. Vervolgens heeft hij ook nog van een half miljoen mensen een datalek veroorzaakt. Of hij nu wel of niet wat met die informatie heeft gedaan doet er niet toe dit behoort tot een datalek en dat betekend dat een half miljoen mensen moeten zijn gecontacteerd.

Hij heeft de bedrijven niet gewaarschuwd over de beveiliging situatie er was dus ook geen sprake van een greyhat (wat ook geen excuus was geweest) en in zijn pleidooi zegt hij dat hij spijt heeft maar niet dat hij door had zo fout bezig te zijn "terwijl hij software-engineer is of hopelijk was". Hoe had hij het ervaren als het zijn geschreven software was waar was op ingebroken.

Naast het gepleegde feit ook connecties naar meerdere hackers groepen wat ze al hebben ontdekt denk ik dat zodra ze toegang hebben tot zijn systeem (wat gaat gebeuren) er nog wel meer sht naar boven komt drijven. Dat is een aanname mind you maar op dit moment is de geloofwaardigheid van dit individue 0,0 en nee verkeren in hackers groepen zelf is niet bewijs voor enige activiteit ik verkeer voor OSINT ook tig keer in die kanalen maar ik ga geen hacks plegen tenzij het een geautoriseerde redteaming event is.


Als jou argument is dat een crimineel meer de criminaliteit opzoekt omdat hij uit zijn functie is gezet waar hij al crimineel gedrag in vertoonde dan heb je naar mijn mening geen echt sterk argument gepresenteerd. Dat is beweren dat een inbreker meer inbraken gaat doen omdat hij uit zijn functie als beveiliger is gezet en te boek staat als eerst genoemde.

Prima als hij spijt heeft komt er nog iets goed uit. Ik zou hem persoonlijk echter nooit van mijn levensdagen nog maar vertrouwen met enig systeem.

Er is helemaal niemand ergens naar binnen gegaan en er is ook niets meegenomen. Er is iets aan de server GEVRAAGD en de server heeft de informatie zelf verstrekt.

Het grote probleem.

Men gaat pas aan security doen nadat er wat gebeurd is.

En zelfs dan moet het zo goedkoop mogelijk.


Leuk dat er white hat hacker vacatures zijn, maar als ik wil werken wanneer en waar ik wil/kan, en wil verdienen wat ik me waard vindt, gaat dat feest niet door:

Je gaat zoiets ook niet doen op basis van uurtje factuurtje. Een klus moet betaald worden naar wat je komt brengen.

Wees dus niet zo dom om een bedrijf wat geld heeft te beveiligen aan 1 week werk aan 80 euro per uur, maar reken voor zoiets minstens 20.000 euro.

Dan pas kan de security markt een gezonde markt worden.

Cool. Maar ga toch even na hoe OM en rechters hiermee omgaan voor je je gedrag hierop baseert. Als ze je niet volledig gelijk geven kan je dat beter doorhebben voordat je iets doet waar je voor vervolgd kan worden.

Er is ingelogd (incoming traffic dus infiltratie)
Er is zonder autorisatie privacy gevoelige informatie gekopieerd naar buiten (exfiltratie) met de permissie daarvoor.

Uiteraard verstrekt de server de informatie dat is het hele idee van een server. Informatie deling met personen of andere systemen en software. Dat wil niet zeggen dat het mocht van de datacontroller, processor of data subjects.

Als iemand een auto steelt via de originele remotekey, dongle dan heeft de auto precies gedaan wat het moest doen toen het de deur opende en de dief kon wegrijden maar geen enkele rechter gaat dan oordelen dat er niet is ingebroken in de auto en dat deze niet is gestolen.

Stel iemand vergeet zijn deur op slot te doen, of laat de sleutel in het slot zitten. Als je dan alle spullen uit huis steelt, dan is dat gewoon strafbaar. Waarom zou dit bij ICT dan anders moeten zijn?

Er is een verschil tussen internet en backstage. Internet is als de straat. Backstage op een festivalterrein is wat anders. Het is belangrijk dat de verantwoordelijkheid voor de gegevensbeveiliging niet uitsluitend bij diegene wordt gelegd die op "straat" gegevens aantreft, maar ook bij diegene die de gegevens op "straat" zet.

Het is vreemd en onterecht dat wel degene die de gegevens vindt, strafrechtelijk vervolgd wordt, terwijl degene die de gegevens LAAT stelen, alleen te maken heeft met een tandeloze AP die niet handhaaft en ook geen straf mag uitdelen. Op die manier wordt het risico bij de zwakste partij gelegd, en krijgt de sterkste partij een soort vrijbrief om gegevens op straat te laten vallen. Terwijl die sterkste partij wel de "verwerkingsverantwoordelijke" heet te zijn.

Kortom, dit is weer eens een gevalletje afwentelen van de verantwoordelijkheid en de strafbaarheid naar buitenstaanders.

Handig gelobbied door de digitaliseringslobby. "Databeschikbaarheid über alles", schijt aan de bescherming van persoonsgegevens.

Omdat iedere analogie met open deurtjes, naar binnen gaan, en fysiek spullen wegnemen volledig mank gaat. Zo werkt het simpelweg niet in een netwerk.

Dat het niet is toegestaan dat men informatie inziet/kopieert waar men niet toe gerechtigd is, is een ander verhaal.

Ja, maar deze gegevens waren niet "op straat" gezet. Er zat een veel te zwak slot op, maar ze zaten wel degelijk achter een gesloten deur. De verdachte heeft meerdere pogingen gedaan voordat hij erin slaagde om in te loggen. Dat had hem natuurlijk helemaal niet moeten lukken, maar het punt is dat hij wel degelijk een slot open heeft gekregen en ook wist dat hij daarmee bezig was. Hij trof niet zomaar wat op straat aan, hij is naar binnen gegaan en heeft daar moeite voor gedaan. Dat is wat het strafbaar maakt.

Het een valt onder Nederlands strafrecht en het andere onder de Europese AVG. Het is niet gek dat dat niet samen in één zaak wordt behandeld. Zelfs als het allebei onder het Nederlandse strafrecht zou zijn gevallen waren het verschillende zaken geweest, want bij strafrecht staat niet de de ene civiele partij tegenover de andere, daar staat altijd het Openbaar Ministerie tegenover een verdachte. Dat zwakke wachtwoord is niet afhankelijk van die inbraak, dat was er ook zonder die inbraak, dat is een gescheiden zaak. Maar de AVG valt helemaal niet binnen wat het OM mag oppakken, het OM is er voor strafrecht, en als een AVG-zaak voor de rechter komt dan komt het niet voor een strafrechter. Dit kan op geen enkele manier in dezelfde zaak belanden.

Dat de AP zo tandeloos is als die is hebben we te danken aan de kabinetten-Rutte die daar sinds de invoering van de AVG voortdurend minder geld voor beschikbaar hebben gesteld dan nodig was. Desondanks hoop ik dat de festivalgangers wiens gegevens niet veilig bleken hierover massaal klagen bij AP. Er lijkt meer niet goed te zitten (waarom kon een leidinggevende van het ene bedrijf bij data van het andere bedrijf, bijvoorbeeld?) en zelfs voor een overbelaste AP kan dit een mooie voorbeeldzaak zijn die heel duidelijk maakt dat zwakke wachtwoorden echt niet door de beugel kunnen en dat daar een pittig prijskaartje aan hangt.

Ik hoop dat je inmiddels iets duidelijker wordt wat er wél aan de hand is.

Heeft een lobby-organisatie dat slechte wachtwoord voorgeschreven, dan?

Ja, praat maar allemaal weer recht wat krom is. Dat we allemaal maar weer rustig verder gaan slapen. Een wachtwoord als Welkom01 is geen slot, dat is gewoon op straat zetten. Jij kiest jouw vergelijking met een slot om de verantwoordelijkheid van de verwerkingsverantwoordelijken te bagatelliseren. Want het zat toch achter een "slot"! Zo kan je alles weg- en kleinpraten.

Ik snap prima wat er aan de hand is en ook hoe het juridisch in elkaar geknutseld is. Jij verschuilt je achter de juridische kleine lettertjes, je wilt niet verder kijken dan je juridische neus lang is. Mijn naam is haas want we hebben de regeltjes gevolgd.

Nee, want dan zou het zijn: "onhandig gelobbied". Tuurlijk doen ze het zo dat ze hun handen in onschuld kunnen wassen en met de vinger naar uitvoerenden kunnen wijzen.

Niemand verdient het om gehackt te worden! Net zo zeer dat geen enkele bewoner het verdient om bij in te breken, ook niet als de voordeur op een kier staat!

Je maakt er iets heel anders van dan ik schreef.
En zelfs met dat schokkend zwakke wachtwoord moest iemand doelbewust wachtwoorden uitproberen voordat die binnen was. Dat is zelfs met een ontstellend zwak wachtwoord niet meer per ongeluk binnenlopen maar doelbewust een beveiliging doorbreken, hoe zwak die beveiliging ook is. Ik heb geen moment ontkend dat het wachtwoord veel te zwak was, maar tegelijkertijd heeft iemand die wel degelijk kon zien dat er een beveiliging was doelgericht geprobeerd om daar binnen te komen, en dat is gelukt. Dat is iets fundamenteel anders dan per ongeluk ergens binnenlopen waar je niet hoort te zijn.

Ga jij als je langs huizen loopt proberen of deuren wel goed op slot zitten en vind je dat als jij met een maar een klein beetje handigheid wel binnen kan komen dat je daar ook recht op hebt? Ik niet.
Nee. Wat ik deed is duidelijk maken dat er twee dingen niet in orde zijn: zowel het zwakke wachtwoord als het misbruik maken daarvan. Snap je dat als ik zeg dat het ene niet deugt ik daarmee niet zeg dat het andere wel deugt? En ik heb duidelijk gemaakt dat die twee dingen in ons juridische systeem niet in dezelfde zaak worden afgehandeld en dat je daarom in één zaak maar één van de twee kanten behandeld ziet worden. Dat kan je raar vinden, daar kan je het mee oneens zijn, maar dat is wel hoe het werkt in de praktijk, en je kan behoorlijk op je smoel gaan als je doet alsof dat voor jou niet geldt.
Onzin. Lees nog eens wat ik schreef en probeer het deze keer te begrijpen.