Je kan van cracken en hacken veel werk maken, tweaken als hobby hebben, en pieren en poeren als werk, maar soms krijg je dingen in de schoot geworpen.
In een grijs verleden heb ik eens een gmail account aangemaakt, en wat later is dat mailboxje in een wat comateuze toestand terecht gekomen, mede door de privacy regels die Google hanteert.
Hieronder zul je in een paar stappen zien dat het aanpassen van gegevens, of het achterhalen van gegevens soms erg simpel is, of sterker te simpel.
Wat gebeurt er:
Ik krijg vanuit dat comateuze mailboxje een mail geforwarded. “Oh ja, dat is ook zo.. ” schiet er door me heen. En volgens dat mailtje heb ik mijn gegevens van de golfclub aangepast.
Golfclub, ik ? Eens lezen…
Ah, tikfoutje denk je dan. Gmail box weer levend gemaakt, en hoppa, even een bericht aan chef maillijst van die golfclub sturen.
Dat wordt niet heel snel opgepakt, maar dat is niet erg want even later krijg ik de golfclub nieuwsbrief door de digitale deur gedrukt, waar netjes een ‘afmeld’knop in zit. Dus twee mensen wakker maken. De ene is chefmaillijst (en heeft al een mail) en de ander krijgt geen nieuwsbrief meer (want ik ga op afmelden drukken).
[2]
Dan kom je via de doorlink (waar een serieus beveiligingsprobleem in zit) :
op de vangpagina, waar je je kan afmelden. En meer..
En je kan dan een hoop makkelijk aanpassen :
En zonder ook maar een tegenwerping heb ik allerlei mogelijkheden, en in het kader “gemak dient de mens” eens kijken welk email adres de beste golfer gebruikt, en wellicht dat ik dat moet aanpassen. Klant is koning nietwaar..
Uiteraard zijn de gegevens niet aangepast, of vertrouwelijke gegevens bekeken. Wel is de eigenaar op de mobiel gebeld, en is doorgegeven dat z’n publieke data enigzins op straat komt te liggen door een te servicegerichte golfclub. Dan even een belletje naar de beheerder van de site en die gaat direct actie ondernemen.
Is er hier sprake van computer criminaliteit ?
Volgens de wet niet direct, immers ik heb geen ‘hordes’ hoeven nemen om bij deze gegevens te komen, maar als je naar de geest van de wet computercriminaliteit kijkt ‘ u heeft gegevens gezien, bereikt of anderszins onder ogen gehad waarvan u te goeder trouw niet kan aannemen dat het voor u bestemd is” zou het best nog anders kunnen uitpakken.
Mijn stelling : dit is geen computer criminaliteit, maar een serieuze beveiligingsfout, ik ben niet strafbaar.
Roept u maar !