- DenBolle.nl - http://www.denbolle.nl -

Hacken ?

Je kan van cracken en hacken veel werk maken, tweaken als hobby hebben, en pieren en poeren als werk, maar soms krijg je dingen in de schoot geworpen.

In een grijs verleden heb  ik eens een gmail account aangemaakt, en wat later is dat mailboxje in een wat comateuze toestand terecht gekomen, mede door de privacy regels die Google hanteert.
Hieronder zul je in een paar stappen zien dat het aanpassen van gegevens, of het achterhalen van gegevens soms erg simpel is, of sterker te simpel.

Wat gebeurt er:

Ik krijg vanuit dat comateuze mailboxje een mail geforwarded. “Oh ja, dat is ook zo.. ”  schiet er door me heen. En volgens dat mailtje heb ik mijn gegevens van de golfclub aangepast.

Golfclub, ik ?  Eens lezen…

[1]

Mail van de golfclub

Ah, tikfoutje denk je dan. Gmail box weer levend gemaakt, en hoppa, even een bericht aan chef maillijst van die golfclub sturen.
Dat wordt niet heel snel opgepakt, maar dat is niet erg want even later krijg ik de golfclub nieuwsbrief door de digitale deur gedrukt, waar netjes een ‘afmeld’knop in zit. Dus twee mensen wakker maken. De ene is chefmaillijst (en heeft al een mail) en de ander krijgt geen nieuwsbrief meer (want ik ga op afmelden drukken).
Even afmelden, een druk op de knop. [2]
Dan kom je via de doorlink (waar een serieus beveiligingsprobleem in zit) :

[3]

en even inlogcode en password doorlinken, gebruikersgemak.

op de vangpagina, waar je je kan afmelden. En meer..

[4]

Afmelden, en je gegevens aanpassen.

En je kan dan een hoop makkelijk aanpassen :

[5]

Makkelijk, alles bij elkaar..

En zonder ook maar een tegenwerping heb ik allerlei mogelijkheden, en in het kader “gemak dient de mens” eens kijken welk email adres de beste golfer gebruikt, en wellicht dat ik dat moet aanpassen. Klant is koning nietwaar..

[6]

Wie zou ik willen zijn en waar zou ik willen wonen ?

Uiteraard zijn de gegevens niet aangepast, of vertrouwelijke gegevens bekeken. Wel is de eigenaar op de mobiel gebeld, en is doorgegeven dat z’n publieke data enigzins op straat komt te liggen door een te servicegerichte golfclub. Dan even een belletje naar de beheerder van de site en die gaat direct actie ondernemen.

Is er hier sprake van computer criminaliteit ?

Volgens de wet niet direct, immers ik heb geen ‘hordes’ hoeven nemen om bij deze gegevens te komen, maar als je naar de geest van de wet computercriminaliteit kijkt ‘ u heeft gegevens gezien, bereikt of anderszins onder ogen gehad waarvan u te goeder trouw niet kan aannemen dat het voor u bestemd is” zou het best nog anders kunnen uitpakken.

Mijn stelling : dit is geen computer criminaliteit, maar een serieuze beveiligingsfout, ik ben niet strafbaar.

Roept u maar !