Kennis verkopen

[bloem123]

Beste,

Ik kwam een tijdje geleden per toeval achter een beveiligingslek in een website van een redelijk groot bedrijf. Hierdoor is het mogelijk bedrijfsresultaten, personeelsgegevens, verslagen etc. te lezen en aan te passen. Kortom, het is informatie die niet beschikbaar zou moeten zijn voor de buitenwereld!

Het bekijken en misbruiken van deze gegevens lijkt me strafbaar. Nu vroeg ik me echter af of het verkopen van informatie over het beveiligingslek ook strafbaar is? Ik bedoel hiermee uiteraard aan het bedrijf zelf, niet aan andere bedrijven/personen.
Indien het niet strafbaar is, is dit dan een goed idee? Waarom wel, waarom niet?

Vriendelijke groet,
Bloem

[Vandebos]

Het allereerste wat me in het hoofd schiet is het woordje chantage. Kapitalisme ok (hou ook van mijn bankrekening), maar overdrijven is eveneens weer uit den boze.

Ik zou het persoonlijk zeer eenvoudig houden en het bedrijf in kwestie eens contacteren met een schrijven, waarin u meldt dat u toevallig een ernstig veiligheidsprobleem in hun website hebt ontdekt dat hen blootstelt aan mogelijke industriële spionage en manipulatie. U verzoekt hen vriendelijk u te contacteren zodat met hen kan afspreken zodat u in persoon hen op deze problemen en de oplossing kan wijzen.

Of anders volledig vergeten. Tot slot bent u ook niet zeker dat de data waar u toegang tot hebt niet gewoon een data repository is waar niemand ooit gebruik van maakt. (uitgenomen de secretaresse dit het opslaat...)

[Franciscus]

Als dat bedrijf erachter komt en ze geven het door aan de CCU dan ziet het er slecht uit voor u.
Als dat bedrijf iets Amerikaans is en ze vragen de hulp van Amerikaanse diensten dan ziet het er HEEL slecht uit voor u.
Het beste is de firma asap in kennis te stellen.

[Lanox]

Ik vraag me als leek af hoe je hier "per toeval" achter komt.

[Vandebos]

Dat gebeurd wel eens. Hebben jaren geleden ook een dergelijk incident gehad waarbij een nieuwe intranet toepassing onbedoeld toegang verschafte tot meer dan enkel de public share.

[bartvdv]

Los van het feit dat het een strafbaar feit zou zijn... zoals ze het beschrijft gaat het niet om een fout/bug in een programma, maar gewoon om een reeks bestanden die ze toevallig lijkt gevonden te hebben tijdens het googelen of door ergens te klikken op een webpagina. De bestanden zijn bijvoorbeeld niet rechtstreeks beschikbaar vanaf de website voor de buitenwereld, tenzij je de link kent, maar zoekrobots vinden ze wel en lijsten ze op. Zo vind je nogalwat informatie over ledenlijsten e.d. Maar of die informatie echt gevoelig is? 'Men' is nogal nonchalant op dat gebied. Maar dat was vroeger eigenlijk ook al zo... auteurscontracten op floppy's enz. Dus ofwel over zwijgen ofwel eenvoudig melden.

[EvilFreD]

zoals ze het beschrijft gaat het niet om een fout/bug in een programma, maar gewoon om een reeks bestanden die ze toevallig lijkt gevonden te hebben tijdens het googelen of door ergens te klikken op een webpagina. De bestanden zijn bijvoorbeeld niet rechtstreeks beschikbaar vanaf de website voor de buitenwereld, tenzij je de link kent, maar zoekrobots vinden ze wel en lijsten ze op.

Ik kwam een tijdje geleden per toeval achter een beveiligingslek in een website van een redelijk groot bedrijf. Hierdoor is het mogelijk bedrijfsresultaten, personeelsgegevens, verslagen etc. te lezen en aan te passen. Kortom, het is informatie die niet beschikbaar zou moeten zijn voor de buitenwereld!

Ziet er niet uit als alleen maar een link die per ongeluk op de resultatenpagina van een zoekrobot verschenen is.

[Sirius legal]

Het is ook mij onduidelijk hoe je "per toeval" achter een beveiligingslek komt. Als je er inderdaad naar gezocht hebt, is er wellicht sprake van hacking en in dat geval kan je maar beter de zaak laten rusten, want als je het bedrijf in kwestie contacteert, zal de CCU snel op de hoogte zijn. Hacking is een misdrijf waar aanzienlijke straffen opstaan, zowel geldboetes als gevangenisstraffen.

Als je er inderdaad toevallig op gevallen bent, kan je natuurlijk altijd het bedrijf in kwestie contacteren, maar vergeet maar dat je hiervoor "betaald" zal worden. Enerzijds zal het bedrijf dit zeker als chantage beschouwen en anderzijds zullen ze onmiddellijk een scan van hun IT laten maken door hun internet IT-dienst op zoek naar het lek. Als zij het vinden is het gratis hersteld. Weinig reden dus om jou te betalen...

Noteer overigens dat je zelf die gegevens NIET mag inkijken of verwerken en dat je erg grote risico's neemt door dat wel te doen. Als in de eerstkomende X tijd confidentiële bedrijfsgegevens uitlekken, zal jij de eerste zijn die verdacht wordt en dan heb je de poppen aan het dansen. Als het over gegeven gaat die geld waard zijn, hangen er serieuze schadeclaims boven jouw hoofd...

Eén raad dus: be very very careful voor je wat dan ook doet in deze situatie!

[EvilFreD]

En dan is ook nog eens je IP adres traceerbaar en vervolgens alle andere handelingen die je de afgelopen tijd gepleegd hebt.
Dus ook het plaatsen van het bericht hier op het forum waar je je intenties bekend maakte.
Je zít maw dus al met een probleem.

[Gebruiker21]

Nu niet overdrijven. Je zou eens moeten weten hoeveel bedrijven (meestal bedrijfjes) hun inter- en intranet baseren op bestaande frameworks, maar de default admin passwoorden "vergeten" te veranderen. Ik zou ze de kost niet willen geven. Als je dan zo'n framework "herkent" (wat niet zo moeilijk is, kijk bijvoorbeeld naar fora die het phpBB framework gebruiken, die haal je er zo uit) en het default wachtwoord gebruikt, ben je dan aan het hacken?

Ik geef een voorbeeldje: websites gebaseerd op het DotNetNuke framework. Probeer maar eens in te loggen op die sites met login "admin" en wachtwoord "dnnadmin" (default admin wachtwoord). Je zal versteld staan op hoeveel sites je als admin kan inloggen. Is dit hacking? Dit is flagrante nalatigheid van de webmaster, zou ik zo zeggen.

Ik zeg nu niet dat je daar geld moet uitkloppen, maar zeggen dat je al in de problemen zit omdat je op zo'n site even het default wachtwoord geprobeert hebt, dat is wel wat overdreven. Je kan dan altijd zeggen dat je zelf zo'n site hebt, en je gewoon even in de war was en dacht dat je op je eigen site bezig was, nietwaar?

[Lightning]

@Gebruiker21: Op een site bewust proberen in te breken door het uitproberen van paswoorden is hacking.

[Gebruiker21]

@Gebruiker21: Op een site bewust proberen in te breken door het uitproberen van paswoorden is hacking.

Je mag een rechter eens proberen uitleggen dat je door simpelweg één wachtwoord in te tikken en binnen te raken, aan het "hacken" bent.

Die rechter zal zich ook wel afvragen hoe het komt dat je zonder énige moeite, zonder meerdere pogingen, gewoon kan inloggen.

Ik weet niet wat de wet onder "hacking" verstaat, maar moet er niet énige vorm van moeite gedaan worden, voor je over "hacking" kan spreken?

[Lightning]

De portaalsite "Justitie" zegt het volgende over hacking:

Hacking is een zeer vaag begrip. Zelfs informatici verschillen van mening over de precieze betekenis van het woord. Hacking is ongeoorloofd binnendringen in een computersysteem. Met de inbraak is meestal kwaad opzet gemoeid. Maar ook onopzettelijk een verbinding tot stand brengen en die verbinding vrijwillig behouden, wordt als hacking beschouwd. Zelfs het hacken van een informaticasysteem dat niet of nauwelijks beveiligd is, is strafbaar.

@TS: Probeer vooral geen munt te slaan uit uw "toevallige" ontdekking. Zoals anderen reeds zegden, chantage/afpersing zou u wel eens zuur kunnen opbreken.

[Vandebos]

op een site die niet de jouwe is het standaard admin wachtwoord uitproberen weerspiegelt intentie. Meer hoeft niet bewezen te worden om poging tot hacken te claimen.

Wat zou jij doen als je iemand met een oude master sleutel van het merk van je wagen deze ziet proberen op de deuren van je wagen in de hoop een oud slot aan te treffen?

[EvilFreD]

En dan is het ook nog eens te hopen dat het geen Nederlands bedrijf betreft, want daar is -anders dan in België- de voorbereiding van een misdrijf óók strafbaar.
Als je al van mening bent dat hier niet gehacked is geworden, dan is er iig een misdrijf in voorbereiding vanwege het kenbaar maken van de intentie het bewuste bedrijf te chanteren.
Voor andere landen kan dit eveneens gelden.