Onderwerp: Goed aangedaan een security fout te melden!?

Ik heb vandaag bij toeval bij één van de bedrijven waar ik klant ben een nogal grote (naar mijn mening) beveiligings fout gevonden

Ik kan/kon zo ALLE DOMEINEN DIE HIJ GEREGISTREERD HAD in minder dan 5 sec. over laten zetten op mijn naam, het password wijzigen en hoppa alles verhuizen naar andere provider.

Uiteraard heb ik dit niet gedaan en heb ik dit per e-mail direct aan het bedrijfje gemeld. Ik heb toen ik hierachter kwam ook gelijk de verbinding met die server verbroken.

Nu hoor je wel is van die rare verhalen dat bedrijven zelfs mensen die er bij toeval achter komen aanklagen om wat voor reden dan ook.

Vooral in de VS dan...maar zou een bedrijf mij nu ook kunnen aanklagen!?

Ik heb naar mijn mening niets verkeerd gedaan.
Ik had natuurlijk ook mijn mond dicht kunnen houden en alles laten zoals het is. Maar dan komt er vanzelf wel is iemand anders achter die misschien wel kwade bedoelingen heeft...

Dus, kan een bedrijf mij hierom iets maken of niet...zou het wel erg raar vinden maar ik vraag het voor de zekerheid maar even...

Lijkt me niet, je hebt ze juist op de exploits gewezen

Nee, omdat je niets verkeerds hebt gedaan. Je hebt geen dingen gedaan die niet mogen, ze moeten er juist blij mee zijn.

Oké, ff voor de duidelijkheid:

Ik heb van hun nog geen reply terug, ik denk ook niet dat ze boos worden, want daar is natuurlijk helemaal geen reden voor

Tja, je hebt natuurlijk zonder toestemming jezelf toegang verschaft tot bepaalde gegevens waarvan je een redelijk vermoeden kon hebben dat ze niet voor jou bestemd waren. Dit heet computervredebreuk en is strafbaar.

Echter, ik zou er niet teveel over inzitten, de kans dat je vervolgt wordt is op basis van bovenstaand verhaal vrijwel nul.

Gelukkig leven we nog steeds in Nederland. In Amerika maken ze er gelijk gebruik van door schadeclaims in te dienen. Ook al is er niets gebeurd. Maak ook gebruik van anonymous remailers om dit soort dingen te melden zodat je eventuele kwaadgeaarden op afstand kan houden. Meld de lek ook wat later als je ip te traceren is (een week ofzo) zodat het zoeken in de logs wat lastiger wordt, vaak roteren deze en als je geluk hebt is er geen backup van de logs. Dit is beetje een gewetenskwestie omdat dan de lek nog een week open staat..

Maar vooralsnog denk ik niet dat je iets te vrezen hebt!

Zoals bij zovelen in de AV staat is het niet 'goed' om je toegang te verschaffen op zo'n manier. Maar als dit gebeurt en je zou uitleggen hoe je dit gedaan hebt zou ik, als het bij mij zou gebeuren, niet echt kwaad zijn. Zolang je geen data kopieert, veranderd of opslaat denk ik niet dat ik er kwaad over zou worden (of de server moet natuurlijk crashen door het gebruik van de exploit).

Origineel geplaatst door Unexplained
Tja, je hebt natuurlijk zonder toestemming jezelf toegang verschaft tot bepaalde gegevens waarvan je een redelijk vermoeden kon hebben dat ze niet voor jou bestemd waren. Dit heet computervredebreuk en is strafbaar.

Het is maar net hoe letterlijk je de Wet neemt en op welke manier WouS al toegang tot het systeem had (legaal, bijvoorbeeld een shellaccount op een server?), volgens artikel 138a moet er een beveiliging doorbroken worden, of je voorgedaan hebben als een ander:

Art. 138a.

1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij:

a. daarbij enige beveiliging doorbreekt of

b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.

3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van de telecommunicatie-infrastructuur of van een telecommunicatie-inrichting die wordt aangewend voor dienstverlening aan het publiek, indien de dader vervolgens

a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;

b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

Link: http://www.win.tue.nl/~aeb/jura/Stra...2/titel_5.html

Stel dat WouS de domeinen naar zijn eigen naam zou overschrijven, dan rikeert hij een gevangenisstraf van 4 jaar, maar in Nederland zal dat wel niet zo'n vaart lopen .

PS: Zijne er nog meer relevante wetsartikelen?