Nederlandse hacker op Trump account

Helemaal mee eens. Een screenshot is triviaal te vervalsen, dat weet hij ook.
Menig Tweaker kan deze website herbouwen in HTML en exact dezelfde claims maken.

David Mulder schreef op donderdag 22 oktober 2020 @ 17:30:
(...), maar die Trump zelf beweert te hebben geschreven.

Waar wordt deze bewering gemaakt?

David Mulder schreef op donderdag 22 oktober 2020 @ 17:30:

Puur doordat je jezelf een ethische hacker noemt maakt dat je nog niet een ethische hacker. Een hacker die stelt "Ik heb mogelijk een tweet geplaatst die erg negatief is voor een politicus terwijl er momenteel een verkiezing gaande is" is 100% "malicious intent". Dit is een geval van "Nederlandse hacker zinspeelt dat hij Amerikaanse verkiezingen heeft geprobeerd te beïnvloeden.".

Eens, en ik denk dat er goede discussie onder het artikel bezig is over de ethische implicaties en werkwijze. Dat gezegd hebbende vind ik het absoluut terecht Victor Gevers een ethisch hacker te noemen. Hij doet het jaren als werk, en hij is een bekende naam in de hackersscene vanwege uitgerekend zijn werk rondom responsible disclosure en voorlichting over dat onderwerp. Hij is absoluut een ethisch hacker die misschien in dit geval iets minder ethisch heeft gehandeld. Over dat laatste ben ik in dit geval neutraal en dat laat ik graag aan lezers over, maar ik vind niet dat je op basis van deze ene actie kunt zeggen dat Victor Gevers geen 'ethisch hacker' is. Die term heeft geen vaste definitie, ik vind het hier meer dan van toepassing.

Ten tweede: Het verhaal voelt enigszins zwak en klinkt alsof het mogelijk wijzer zou zijn om "claimt" of iets dergelijks in de titel te zeggen. Heb niet het hele artikel gelezen van Vrij Nederland, maar de enigste referentie naar bewijs die ik kon vinden was


[...]


Dus als ik het goed begrijp is het gehele verhaal gebaseerd op 1) Screenshots en 2) een tweet die hij achteraf claimt te hebben geschreven, maar die Trump zelf beweert te hebben geschreven.

Eens, het is een raar verhaal. Het feit dat het er zo stellig staat is deels omdat, net als ik boven schreef, Victor Gevers een reputatie heeft hier de waarheid over te spreken (hij hackte het account bv al eerder), maar belangrijker, dat zowel Vrij Nederland als de Volkskrant met experts hebben gesproken die de claim 'credible' achten.

Het verhaal rammelt sowieso aan alle kanten, net als in 2016. En het hele verhaal wordt nu idd ook nog eens ontkend door Twitter. En daar hecht ik toch wel waarde aan, want datzelfde Twitter heeft wel toegegeven dat medewerkers misbruik hadden gemaakt van hun toegang. Dat was veel kwalijker. Maar dan zouden ze liegen over de hack van een account met zogenaamd een kut wachtwoord en 2FA, terwijl dat verplicht is bij verified accounts, uitgeschakeld...? Dat zou Twitter totaal niet aan te rekenen zijn... Maar daar zouden ze dan over liegen?

Als het verhaal wél waar is en die tweet geplaatst is, dan is er helemaal niets ethisch aan wat ie gedaan heeft; dus dat kan sowieso wel gecorrigeerd worden. Er is veel teveel mis met het verhaal en wederom, net als de vorige keer, geen enkel bewijs. De vorige x was ook al gezegd: DM dan wat mediaoutlets ofzo met je naam erbij. Dat is een stuk verantwoordelijker en levert bewijs. Nu hebben we echter weer niets... Behalve wederom photoshopbare shit.

Ik denk dat het onzin is en Tweakers helaas een nepnieuws artikel heeft geplaatst.

@TijsZonderH Die “eerdere hack”, bedoel je dan die in 2016...? Want daar was toen ook geen enkel bewijs voor en werd tegengesproken... Daar kan je geen betrouwbaarheid aan ontlenen.

[ Voor 8% gewijzigd door WhatsappHack op 22-10-2020 20:19 ]

Ik zou als Tweakers echt uitkijken dat jullie niet per ongeluk de nieuwe Rian van Rijbroek hebben uitgenodigd op jullie meetup. Het verhaal uit 2016 rammelt aan alle kanten en het verhaal vandaag is ook zeer ongeloofwaardig.

Ik ken de man verder niet, en weet niet precies welke reputatie hij heeft, maar ik zou maar eens heel grondig gaan kijken of er niet nog andere leugens te vinden zijn, en wat zijn daadwerkelijke bijdrage is binnen de organisaties waar hij actief is. Hij zou niet de eerste con artist zijn die door de grootsheid van z'n verhalen het kritisch denkvermogen van z'n publiek omzeilt.

Wijzig op z'n minst de kop van jullie nieuwsbericht naar een claim in quotes, want feitelijk is het allerminst.

[ Voor 19% gewijzigd door Aftansert op 22-10-2020 22:45 ]

Over de vorige hack heb ik helemaal niks kunnen vinden eerder dan ongeveer anderhalve maand geleden. In de tijdlijn die ik daarvan heb gevonden ging het om 27 oktober 2016, wat precies een twaalf dagen voor de verkiezingen is. Het nieuws van deze keer is ook twaalf dagen voor de verkiezingen uitgekomen. Dat dat precies even lang is is echt heel vergezocht, maar beide voorvallen hebben in ieder geval vlak voor de verkiezingen plaatsgevonden en niet op de vele andere momenten in de tussenliggende vier jaar. Waarom nu?

In beide gevallen komt 'ie niet met beter bewijs dan "screenshots" die ook maar beperkt ingezien mogen worden door een paar grote, "digibete" nieuwsmedia met een groot bereik en makkelijk publiek, terwijl bijv. Tweakers gepasseerd wordt. Dit terwijl 'ie in het interview wel aangeeft deze keer meer digitaal bewijs achtergelaten te hebben omdat 'ie de eerste keer niet geloofd werd, en ik moet zeggen dat ik persoonlijk ook niet onder de indruk was van de screenshots van de eerste keer. Als 'ie daadwerkelijk een tweet geplaatst zou hebben, had 'ie bijvoorbeeld beter/ook een DM naar zichzelf kunnen sturen, dat is ongeveer zo concreet als dat je digitale bewijslast kan maken. Als het allemaal waar is, maakt dat qua bewijslast tegen hem ook geen verschil. Hij heeft de actie, voor zover die heeft plaatsgevonden, opgeëist dus mocht het waar zijn is hij sowieso de sjaak.

Onder "responsible disclosure" vind ik in ieder geval niet het (vermeend) plaatsen van tweets op de POTUS-account in verkiezingstijd vallen, en ook niet het groots uitpakken met (tweemaal) zulk nieuws en wat vage, onverifieerbare hintjes, in diezelfde verkiezingstijd. Als dit niet politiek gemotiveerd is, waarom had het dan niet over een weekje of twee gekund? Het wachtwoord was immers al aangepast dus het puur technische aspect is gepasseerd en er is kennelijk naar hem geluisterd. Er is zelfs een reactie teruggekomen op zijn melding.

De timing en media-aandacht zijn een ethische hacker onwaardig. Of je nou voor of tegen Trump bent, dit soort nieuws is heel schadelijk zo vlak voor verkiezingen, in een wereld waar ondertussen 95% al aan elkaar hangt van social media-waarheden. Dan is het extra belangrijk dat er ongelofelijk zorgvuldig gekeken wordt of het bewijs wel waterdicht is, en ook of het belangrijk genoeg nieuws is om per se nog voor de verkiezingen te publiceren. Nou hebben een hoop andere nieuwssites dat al gedaan, want het is tegenwoordig een keiharde race om de eerste te zijn en "clicks", maar dat is geen reden om daar blind op mee te hobbelen. Nu ben je als nieuwswebsite keihard mee aan het doen aan het veranderen van een publieke opinie gebaseerd op misschien wel iemands fantasie. Nu is het verhaal als zijnde waar geplaatst op Tweakers, terwijl het prima zou kunnen zijn dat een kritische blik op het bewijs niet eens tot een publicatie geleid had als hij hiermee naar jullie redactie was gegaan ipv Vrij Nederland, de Volkskrant en dergelijke.

Ik vind het ook flinke een Rian van Rijbroek-vibe hebben. Maar mijn mening is mijn mening en daar hoef je je niet veel van aan te trekken.

Edit: omdat ik het artikel van de Volkskrant nog niet gelezen had en nu wel:

TijsZonderH schreef op donderdag 22 oktober 2020 @ 20:15:
[...]

de Volkskrant met experts hebben gesproken die de claim 'credible' achten.

Het zal wel laat zijn en ik mijn hersenen doen het vast niet meer goed, maar

A hard disk owned by presidential candidate Joe Biden’s son was supposedly stolen or hacked – also because Hunter Biden used an easy to guess password (Hunter02). Gevers is familiar with leaked databases of old passwords and searched these for Hunter Biden’s data. After analysing these old databases, he felt that the information was incorrect. Hunter Biden used other passwords. Gevers: ‘I could tell that it wasn’t his password.’

Ik hoef hopelijk niet uit te leggen waarom deze passage me direct naar Google stuurde . Als ik zoek naar "biden" "hunter02" of naar "hunter biden" "hunter02" dan vind ik alleen maar referenties naar dit artikel, dus... hoe komen ze er dan bij dat dat het vermeende wachtwoord was? Dat is toch gewoon een meme? Sorry, maar dit maakt het hele artikel voor mij juist een stuk minder credible. En wat heeft heel die passage überhaupt voor zin? Klinkt alleen maar als een manier om interessant te doen over iets "ongerelateerds". Tussen aanhalingstekens, want in politieke zin is dit gewoon een "Trump gebruikt simpele/domme wachtwoorden, Biden ('s familie) niet".

Ook is zijn verhaal niet consequent. Tegen de Volkskrant zegt hij

On Friday morning, almost absentmindedly, Gevers tries a number of passwords and their variations. On the fifth attempt: bingo! He tries ‘maga2020!’ (short for make America great again) and suddenly finds himself in the Twitter account of the American President. He is flabbergasted. Gevers: ‘I expected to be blocked after four failed attempts. Or at least would be asked to provide additional information.’ None of that.

Bij Vrij Nederland tel ik er toch echt zes:

Toch probeert Gevers nog een paar wachtwoorden:
!IWillAmericaGreatAgain!
MakeAmericaGreatAgain
MakeAmericaGreatAgain!
Maga2020
Maga2020!
maga2020!

Dingen die je kennelijk tot in zo'n detail weet te beschrijven, herinner je je toch niet twee keer verschillend? De rare fout in de eerste poging daargelaten dan, dat zal wel een foutje op of onderweg naar de redactie van VN geweest zijn. Maar als we het toch over dat eerste wachtwoord hebben, waar komt me dat bekend van voor? Oh ja, de Volkskrant!

And perhaps use a somewhat longer password. Gevers even suggests one: !IWillMakeAmericaGreatAgain2020!, and adds instructions for activating two-step verification. ‘But I didn’t get a reply.’

WTF ben je voor "security-expert", "ethical" of "responsible" persoon als je iemand aanraadt om bijna precies het eerste wachtwoord wat je zelf gokte te gaan gebruiken?

[ Voor 34% gewijzigd door DataGhost op 23-10-2020 04:45 ]

@TijsZonderH

Na je inhoudelijke bericht is er nog een en ander geschreven. Puur uit nieuwsgierigheid, is het standpunt van Tweakers niet gewijzigd?

Herman schreef op vrijdag 23 oktober 2020 @ 11:57:
@TijsZonderH

Na je inhoudelijke bericht is er nog een en ander geschreven. Puur uit nieuwsgierigheid, is het standpunt van Tweakers niet gewijzigd?

Er is heel veel geschreven dat ook weer deels weerlegd is. Ik ben het er zeker mee eens dat er nog vraagtekens open staan maar op dit moment zie ik geen reden het stuk compleet te veranderen. Zeker niet als ik ook meeneem dat we een updateartikel hebben geschreven en er veel goede discussie onder die artikelen staat.

@TijsZonderH Alleen presenteert het originele artikel het nog als feit, zowel in titel als artikel. Moet de titel daar niet in quotes gezet worden (of beter nog iets als: “Nederlandse ethische hacker beweert weer ingebroken te hebben op Twitter-account van Donald Trump”) en een update geplaatst worden met een link naar het nieuwe artikel? Je hebt een update gepost maar niet gelinkt daar... Er is nu zo verschrikkelijk veel bijgekomen aan informatie dat suggereert dat het een enorm onzinverhaal is, inclusief reacties die hij geeft waarmee hij z’n eigen ruiten ingooit en/of zichzelf volledig tegenspreekt, dat het wel beter zou zijn als Tweakers het originele artikel, als het al niet geheel teruggetrokken wordt wat mij eigenlijk wel terecht lijkt, dusdanig aanpast dat het niet meer als feit gepresenteerd wordt. Ook voor die claim uit 2016 is geen enkel bewijs, maar ook daarover suggereert het artikel dat dit een feit zou zijn en dát hij het ook gehackt zou hebben. Het leest zo weg en dat lijkt me niet de bedoeling.

Zag net bovenop alle problemen die er al zijn met dit verhaal ook dit voorbij komen: https://www.vice.com/en/a...itter-trump-hack-evidence Komt er ook nog bij.

Het is gewoon 99.9% zeker dat het complete bullshit is, dat moet duidelijk gemaakt worden imho. Face it, hij heeft jullie nepnieuws laten plaatsen; best thing you can do is fix it. Ik zou zeggen verwijder dat hele nepnieuws artikel, maar op z’n minst moet het veel duidelijker gemaakt worden dat het een (vage) claim is; zeker geen feit en de update boven of onder het artikel plaatsen.

[ Voor 9% gewijzigd door WhatsappHack op 23-10-2020 13:24 ]

Het lijkt me het allermakkelijkst als je de bewijzen gewoon opvraagt en inziet, en daar als techredactie met genoeg lijntjes naar Tweakerwaardige experts een behoorlijk oordeel over velt. Lijkt me niet heel onredelijk gezien hij ook als spreker naar jullie event komt, waarin dit zelfs ontopic zou kunnen zijn. Dan neem je in ieder geval een deel van de onzekerheid over het verhaal weg (of niet) en dan kan de discussie zich wat mij betreft gaan richten op het gebruik van "responsible disclosure" en "mediabom in verkiezingstijd" in hetzelfde artikel.
En waarom de bewijzen niet openbaar kunnen ontgaat me volledig, als het verhaal wel openbaar kan, zeker als je als auteur niet geloofd werd, daar salty over was en hebt aangegeven beter bewijs gemaakt te hebben.

Ik heb niet zo'n grote twitter-following, misschien geen publieke reputatie als ethical hacker en ook geen lijntjes met grote media, maar hoe is dit anders dan dat ik zou zeggen dat het wachtwoord van een t.net redacteur "tijs2020!" was, ik daarmee misschien wel of misschien geen artikel over "maga2020!" heb geplaatst, dat ik daar screenshots van heb die ze bij Viva en Bokt in hebben mogen zien en dat t.net natuurlijk alles ontkent?

Ik bedoel...

[ Voor 7% gewijzigd door DataGhost op 23-10-2020 13:50 ]

TijsZonderH schreef op vrijdag 23 oktober 2020 @ 13:06:
[...]
Er is heel veel geschreven dat ook weer deels weerlegd is. Ik ben het er zeker mee eens dat er nog vraagtekens open staan maar op dit moment zie ik geen reden het stuk compleet te veranderen. Zeker niet als ik ook meeneem dat we een updateartikel hebben geschreven en er veel goede discussie onder die artikelen staat.

Er resteert geen bewijs om te weerleggen. Een screenshot is na te maken (zie hierboven) en dus niet betrouwbaar, Ronald Prins maakt een generiek statement, en de auteur van het artikel van VNL en Matthijs Koot leveren alleen hun naam.

Vanuit het perspectief van integriteit en geloofwaardigheid is het geen gek idee om op safe te spelen en de artikelen in te trekken. Als blijkt dat het achtergehouden bewijsmateriaal daadwerkelijk deugt, dan heb je sowieso iets sappigs om over te schrijven

Is het raden van iemands wachtwoord hetzelfde als hacken?

En er is verder geen bewijs voor, zo blijkt. Behalve wat screenshots, maar die wil hij niet delen. Klinkt als een goed onderbouwd verhaal!

Ja ik snap natuurlijk wel dat Tweakers een spreker die juist op hun Security event komt spreken over een paar dagen nu liever niet afvallen/tegen de borst stoten, dat zou misschien niet goed overkomen voor het event en wellicht nemen mensen hem een stuk minder serieus of wil ie niet meer komen. Maarja... Ik vind de juistheid van het nieuws toch veel belangrijker dan een event en het artikel presenteert het nu gewoon als feiten terwijl het uiterst discutabel is to say the least.

De titel is genuanceerd en er staat een update bij het artikel.

@WhatsappHack Dat hij komt spreken heeft er niets mee te maken. Bij de eerste claim van enkele maanden geleden over het kunnen inloggen in 2016 nam ik al contact met Gevers op en stuurde hij me de originele screenshots. Daar hebben we ook over bericht. Hij heeft zich in de afgelopen jaren een betrouwbare en serieuze ethische hacker getoond met een goede naam 'in het wereldje'. Wel hadden we in de berichtgeving een slag om de arm moeten houden. Dat is nu aangepast.

@TijsZonderH @Olaf Dank voor de aanpassingen, dat is al een stuk beter
Een link naar het nieuwe artikel met de tegenspraak in die update onderin zou wel fijn zijn.
Ik vind zelf overigens dat de passage "Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump" ook genuanceerd moet worden met "die CLAIMDEN in 2016 in wisten te breken ...", gezien ook daar nooit echt bewijs voor is geleverd; maar afijn.

De pest is:
1.) Dat je een naam en reputatie hebt, betekent niet dat zo iemand er geen misbruik van maakt of we te snel iets van ze aannemen. Door wat uitspraken die hij tegen media heeft gemaakt, blijkt dat zijn verhaal een politieke ondertoon heeft. Dat maakt het nog onbetrouwbaarder eigenlijk en maakt dat het geen zuivere objectieve koffie meer is.
2.) Als het wél allemaal waar is van deze hack, ondanks dat er nul bewijs is en alles er tot dusver juist extreem sterk op wijst dat het helemaal *niet* is gebeurd, dan is hij dus geen ethische hacker want hij heeft z'n toegang misbruikt. Het is of 't een of 't ander, can't have it both ways.

Een paar makkelijk te manipuleren screenshots als bewijs voor een hack in 2016 en dan nu dezelfde fout maken door geen enkel proper bewijs te maken en aan te leveren, ik blijf erbij dat het een fantasie van dhr. Gevers is; zowel nu als dat verhaal over 2016, totdat er werkelijk bewijs boven tafel komt. Het verhaal is nu niet plausibel, er zitten teveel fouten/problemen aan vast en uitspraken van dhr. Gevers nemen die twijfel niet weg maar leveren enkel meer vragen/problemen op met zijn verhaal. Ik geloof best dat hij normaliter betrouwbaar is en wellicht zelfs ethisch werkt (dit verhaal doet me heel eerlijk twijfelen, want als je public tweets gaat plaatsen die enorme schade kunnen aanrichten dan ben je alles behalve ethisch bezig... Hij lijkt er echter trots op te zijn.), maar ik geloof niet dat dit werkelijk heeft plaatsgevonden en denk dat hij hier gewoon zijn reputatie misbruikt om een geinig verhaal te lanceren. (Dat kan ik overigens best waarderen, don't get me wrong - het moet alleen niet herhaaldelijk als feit gepresenteerd worden in anders serieuze media... Daar heb ik wel een probleem mee.) En "bewijs kan niet" accepteer ik niet natuurlijk, zeker niet met het verhaal over mogelijke vervolging; want als je wel tegen de Secret Service en tig kranten schuld bekend was je daar echt niet bang voor en dan maakt het nu hoe dan ook niet meer uit.

Hoe dan ook, dat gezegd hebbende - dank voor het aanbrengen van enige nuance, hoop dat die link er nog bijgezet wordt en die passage over 2016 mag misschien nog wat liefde krijgen omdat dat ook nooit bewezen is.

[ Voor 11% gewijzigd door WhatsappHack op 23-10-2020 17:25 ]