Belg bouwt 'leak checker' voor NMBS-datalek - update
De Belg Frederic Jacobs heeft een website gebouwd waarop treinreizigers kunnen nagaan of hun persoonlijke gegevens op de website van de NMBS online toegankelijk waren. Vorige maand waren klantgegevens op de NMBS-site enige tijd vrij toegankelijk.
Eind december werd bekend dat NMBS-website een datalek bevatte. Een internetgebruiker postte op een forum een link die toegang gaf tot klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een 'beperkt' datalek. Enkele dagen later werd echter bekend dat er mogelijk 1,5 miljoen persoongegevens toegankelijk waren. Een deel van de data zou dubbel in de database staan, maar desondanks zouden de gegevens van honderdduizenden klanten van NMBS Europe op straat zijn komen te liggen.
Inmiddels is door de Belg Frederic Jacobs onder de naam SNCB Leak Check een website opgericht waarop treinreizigers kunnen nagaan of hun persoongegevens toegankelijk waren. Daarbij kan gezocht worden op voor- en achternaam, of een e-mailadres. Data als adres en telefoonnummer worden niet getoond na het ingeven van een zoekopdracht maar wel wordt aangegeven of er een 'hit' is.
Aan De Tijd laat Jacobs weten bezorgd te zijn over online databeveiliging. Ook meent hij dat treinreizigers het recht hebben om te controleren of hun gegevens toegankelijk waren door de fout van de NMBS. De Belgische spoorvervoerder distantieert zich echter van de website en stelt dat 'elke verspreiding van privégegevens illegaal is'. Ook zou de NMBS bekijken of het juridische mogelijkheden heeft om de SNCB Leak Checker aan te pakken.
Update 18:40: De website is offline gehaald vanwege 'privacyredenen'. De ontwikkelaar zegt de code desgevraagd te willen delen met de NMBS.
Reacties (65)
site is reeds offline gehaald voor privacyredenen
In een blogpost laat Frederic Jacobs weten dat er niemand hem officieel gecontacteerd heeft, maar zegt hij dat de Privacy Comission het initiatief niet ondersteunt:
Ook zegt hij dat hij de source code graag aan de NMBS zelf doorspeelt zodat zij de applicatie zelf kunnen draaien.Although no one has contacted me officially yet. I took the website down.
This follows the fact that the Privacy Commission didn’t support the initiative.
Tot slot geeft hij nog enkele nuttige links door om meer over het topic te weten te komen:If the SNCB / NMBS wants to host it it will be my great pleasure to give them the source code.
Toch vraag ik me af hoe zo'n leak check site, mits juist geïmplementeerd, inbreuk maakt op iemand's privacy. Je hebt de data zelf namelijk niet permanent nodig als je alle gegevens hasht of gebruik maakt van een Bloom filter. Uiteraard heb je de gegevens wel eenmalig nodig en technisch gezien is het downloaden ervan strafbaar, maar het lijkt me stug dat ze iedereen gaan vervolgen die de gegevens hebben gedownload en die vervolgens hebben vernietigd, helemaal als je de slachtoffers ermee een zinnige dienst verleent.
De site is alweer offline door aandringen van de "Privacy Commission" welke niet achter het initiatief stonden.
Edit: flamingworm was iets eerder
Edit: flamingworm was iets eerder
[Reactie gewijzigd door Junia op woensdag 2 januari 2013 18:10]
Je post past helaas vooral het predikaat "lomp", maar wat mij betreft wel ontopic.
Je zinnen beginnen met hoofdletters doet sowieso wat beter aan, maar dat terzijde.
Ik vind het ook te gek voor woorden dat de NMBS hier duidelijk steeds aan het downplayen is, waarschijnlijk bedoeld als damage control, maar vervolgens is het natuurlijk van de gekke dat ze nu gaan kijken of deze man juridisch vervolgd kan worden. Zorg dat je je boeltje op orde hebt NMBS, steek de hand in eigen boezem en ga niet kinderachtig doen.
Het was blijkbaar vrij eenvoudig om bij de gegevens te komen en ik ben dan ook benieuwd of de NMBS hetgeen zij de poster op de site verwijten niet op henzelf van toepassing is, want god weet wat er met die persoonsgegevens gebeurd is en door deze fout hebben ze de gegevens immers zelf beschikbaar gemaakt. Dat ze het niet wisten maakt het alleen maar erger!
Ik zou het in ieder geval totaal niet acceptabel vinden met zo'n verhaal afgescheept te worden.
De fout lag bij de NMBS en niet anders dan dat.
Hulde voor de maker van deze check, want blijkbaar kun je de NMBS je gegevens niet toevertrouwen.
Je zinnen beginnen met hoofdletters doet sowieso wat beter aan, maar dat terzijde.
Ik vind het ook te gek voor woorden dat de NMBS hier duidelijk steeds aan het downplayen is, waarschijnlijk bedoeld als damage control, maar vervolgens is het natuurlijk van de gekke dat ze nu gaan kijken of deze man juridisch vervolgd kan worden. Zorg dat je je boeltje op orde hebt NMBS, steek de hand in eigen boezem en ga niet kinderachtig doen.
Het was blijkbaar vrij eenvoudig om bij de gegevens te komen en ik ben dan ook benieuwd of de NMBS hetgeen zij de poster op de site verwijten niet op henzelf van toepassing is, want god weet wat er met die persoonsgegevens gebeurd is en door deze fout hebben ze de gegevens immers zelf beschikbaar gemaakt. Dat ze het niet wisten maakt het alleen maar erger!
Ik zou het in ieder geval totaal niet acceptabel vinden met zo'n verhaal afgescheept te worden.
De fout lag bij de NMBS en niet anders dan dat.
Hulde voor de maker van deze check, want blijkbaar kun je de NMBS je gegevens niet toevertrouwen.
Jij leest dit blijkbaar verkeerd, want die persoon heeft de website op eigen initiatief neergehaald omdat de privacycommissie dit niet ondersteunde.
Ik zeg daar niks over in mijn post? Ik doelde op de zin
Het is natuurlijk wel terecht dat ze ertegen ageren, de betrouwbaarheid van de man is een gok, maar dat is de betrouwbaarheid van de NMBS ook en da's nog veel erger als je het mij vraagt.
Hoe je het ook went of keert: die site is een gevolg van een fout bij het bedrijf, zonder die fout was die site er ook niet geweest.Ook zou de NMBS bekijken of het juridische mogelijkheden heeft om de SNCB Leak Checker aan te pakken.
Het is natuurlijk wel terecht dat ze ertegen ageren, de betrouwbaarheid van de man is een gok, maar dat is de betrouwbaarheid van de NMBS ook en da's nog veel erger als je het mij vraagt.
[Reactie gewijzigd door SuBBaSS op donderdag 3 januari 2013 01:56]
Daar zijn ook Europese directieven rond en volgens de wet van die 'achtelijke belgen' is het ook mogelijk inzage te krijgen in de gegevens die rond je verzameld werden op simpele vraag. Geven ze die niet, dan is de NMBS - opnieuw - strafbaar.
Het kan helpen om wat achtergrond te hebben in de materie voor je een compleet ongefundeerde mening ventileert.
Trouwens, ook volgens de Nederlandse wet ben je strafbaar als je de gegevens doorzoekbaar maakt leerde ik hier net. Lijkt me ook logisch gezien de Europese directieven hierrond.
Het kan helpen om wat achtergrond te hebben in de materie voor je een compleet ongefundeerde mening ventileert.
Trouwens, ook volgens de Nederlandse wet ben je strafbaar als je de gegevens doorzoekbaar maakt leerde ik hier net. Lijkt me ook logisch gezien de Europese directieven hierrond.
[Reactie gewijzigd door VUB op donderdag 3 januari 2013 01:47]
Ik snap niet waarom de NMBS hier juridische stappen wil tegen ondernemen.
Ik vind het juist goed dat ik op zijn minst op deze manier kan zien of mijn adres gelekt is of niet.
Jammer genoeg is dit dan ook het geval voor zowat mijn hele familie.
Ik snap ook niet waarom ik nog geen excuseer mailtje heb ontvangen van NMBS.
/offtopic: staat de dump eigenlijk online? Heb die nergens gezien...
Ik vind het juist goed dat ik op zijn minst op deze manier kan zien of mijn adres gelekt is of niet.
Jammer genoeg is dit dan ook het geval voor zowat mijn hele familie.
Ik snap ook niet waarom ik nog geen excuseer mailtje heb ontvangen van NMBS.
/offtopic: staat de dump eigenlijk online? Heb die nergens gezien...
De site is zelf een nieuw datalek. Als ik als ijverige spammer zou willen weten wie in mijn bestand NMBS klanten zijn vond ik daar het antwoord.
PS: Je hebt natuurlijk gelijk dat je als klant inzage wil. Maar dat zou de NMBS moeten leveren, niet een goedwillende amateur met onbekende beveiligingsstatus.
PS: Je hebt natuurlijk gelijk dat je als klant inzage wil. Maar dat zou de NMBS moeten leveren, niet een goedwillende amateur met onbekende beveiligingsstatus.
[Reactie gewijzigd door TheekAzzaBreek op woensdag 2 januari 2013 18:20]
Er worden helemaal geen juridische stappen genomen. De programmeur heeft deze site volledig op eigen initiatief neergehaald omdat de privacycommissie niet akkoord was met deze tool.
Site is offline.
Knap van de NMBS! De wereld op zijn kop, zij hebben de data gelekt maar ze gaan de website die geen gegevens vrijgeeft aanpakken.
Mijn prive gegevens zijn blijkbaar ook gelekt .... dankzij de NMBS en niet dankzij Jacobs.
Als we logisch denken, wie zou ik verantwoordelijk stellen de NMBS of Jacobs?
Mijn prive gegevens zijn blijkbaar ook gelekt .... dankzij de NMBS en niet dankzij Jacobs.
Als we logisch denken, wie zou ik verantwoordelijk stellen de NMBS of Jacobs?
Hun eerste reactie na publicatie van het lek, was om de persoon die het lek gevonden heeft uit te kafferen. Dan minimaliseren ze het lek. Vervolgens willen ze de persoon vervolgen die hun klanten de mogelijkheid geeft om na te kijken welke gegevens eventueel gelekt zijn.
"Shoot the messenger. All of them"
Mijn naam staat er tussen. Ondertussen nog altijd geen verontschuldigingen of wat dan ook van de NMBS ontvangen. Overigens, volgens de uitleg van de NMBS stond dat bestand daar om hun klanten nieuwjaarsgroeten te sturen. Afgezien van het feit dat dat wel een bijzonder flauw excuus is, is het ook een leugen.
"Shoot the messenger. All of them"
Mijn naam staat er tussen. Ondertussen nog altijd geen verontschuldigingen of wat dan ook van de NMBS ontvangen. Overigens, volgens de uitleg van de NMBS stond dat bestand daar om hun klanten nieuwjaarsgroeten te sturen. Afgezien van het feit dat dat wel een bijzonder flauw excuus is, is het ook een leugen.
Die had ik nog niet gehoord 
. Maar het is niet alleen een flauw excuus, het gaat hun ook in lastige schoentjes zetten voor de rechtbank. Laat ze maar eens verklaren waarom ze hier 1. onrechtmatig een bestand voor aanleggen (moet met goedkeuring privacycommissie), 2. geen beveiliging voor voorzien hebben (zijn ze natuurlijk ook al verantwoordelijk voor volgens de wet) en 3. waarom er dan in godsnaam geboortedata, telefoonnumers, mail, etc instonden.
Tenzij ze hun boodschap natuurlijk via mail wilden versturen. Oeps, dan hebben we een punt 5 want je mag niet ongevraagd gaan mailen voor reclamedoeleinden (en ik heb ze in ieder geval daartoe niet gemachtigd. Dat laat ik geen enkel bedrijf toe).
. Maar het is niet alleen een flauw excuus, het gaat hun ook in lastige schoentjes zetten voor de rechtbank. Laat ze maar eens verklaren waarom ze hier 1. onrechtmatig een bestand voor aanleggen (moet met goedkeuring privacycommissie), 2. geen beveiliging voor voorzien hebben (zijn ze natuurlijk ook al verantwoordelijk voor volgens de wet) en 3. waarom er dan in godsnaam geboortedata, telefoonnumers, mail, etc instonden. Tenzij ze hun boodschap natuurlijk via mail wilden versturen. Oeps, dan hebben we een punt 5 want je mag niet ongevraagd gaan mailen voor reclamedoeleinden (en ik heb ze in ieder geval daartoe niet gemachtigd. Dat laat ik geen enkel bedrijf toe).
Site is vannochtend offline gehaald. Misschien iets sneller dit plaatsen?
Dus geven ze hun schuld toe van het lek en stellen ze daarbij dat dit ongeacht de methode (onbedoeld of niet) illegaal is. Met de intentie van SNCB Leak Check Website aan te pakken vragen ze eigenlijk om zelf aangepakt (aangeklaagd) te worden.quote: NieuwsartikelDe NMBS distantieert zich echter van de website en stelt dat 'elke verspreiding van privégegevens illegaal is.
Daarnaast verspreid de heer Jacobs bijna geen privegegevens. Men moest al voor en achternaam kennen of het emailadres. Waardoor voorkennis nodig was van 1 van deze zaken. Zodoende kon men niet (behoudens een lek op de SNCB Leak Check website) alle gegevens afhalen.
[Reactie gewijzigd door Soggney op donderdag 3 januari 2013 11:28]
Het is in België bij wet verboden je toegang te verschaffen tot gegevens indien je - logischerwijs - kan weten dat je geen toegang mag hebben (en vermoed dat dit ook in NL zo is??). Dat geldt ook voor het bevragen van de gegevens. Dat op zich is dus al strafbaar. Daarnaast kan je natuurlijk nagaan wie al dan niet klant is bij de NMBS (in de veronderstelling dat het om klanten gaat natuurlijk). Of dat nu een privé-gegeven is, is een andere discussie natuurlijk.
Los daarvan vind ik het een nobel idee om mensen de mogelijkheid te geven om na te gaan of hun gegevens verspreid werden en zou ik het een bizarre gedachte vinden dat de NMBS daarom juridische stappen zou ondernemen. Maar aangezien ik er zelf ook al mee in aanraking kwam, verwacht ik wel een juridisch vervolg...
Los daarvan vind ik het een nobel idee om mensen de mogelijkheid te geven om na te gaan of hun gegevens verspreid werden en zou ik het een bizarre gedachte vinden dat de NMBS daarom juridische stappen zou ondernemen. Maar aangezien ik er zelf ook al mee in aanraking kwam, verwacht ik wel een juridisch vervolg...
[Reactie gewijzigd door VUB op woensdag 2 januari 2013 18:27]
De gegevens in kwestie stonden via een publieke link online zonder enige vorm van bescherming. Ik denk dus niet dat er in die richting iets misdaan is.
Ik vind het ook een nobel idee, er wordt geen informatie gegeven buiten 'gelekt' of niet. Als het van de NMBS afhangt, wordt het natuurlijk allemaal in de doofpot gestopt, dergelijke initiatieven geven hier net wat meer nodige ruchtbaarheid aan.
Ik vind het ook een nobel idee, er wordt geen informatie gegeven buiten 'gelekt' of niet. Als het van de NMBS afhangt, wordt het natuurlijk allemaal in de doofpot gestopt, dergelijke initiatieven geven hier net wat meer nodige ruchtbaarheid aan.
Daar denkt de Belgische overheid toch anders over. Een quote van http://www.belgium.be/nl/...tercriminaliteit/hacking/:De gegevens in kwestie stonden via een publieke link online zonder enige vorm van bescherming. Ik denk dus niet dat er in die richting iets misdaan is.
Overigens is dat in Nederland niet anders volgens jurist Arnoud Engelfriet: 'Lekken kersttoespraak is strafbaar'.Zelfs het hacken van een informaticasysteem dat niet of nauwelijks beveiligd is, is strafbaar.
[Reactie gewijzigd door Tribits op woensdag 2 januari 2013 18:56]
Maar hier is toch helemaal geen sprake van hacken? Het was een publieke onbeveiligde url die op een normaal forum werd gepost. Als het klikken op een dergelijke link al strafbaar is ...
Er is een constitutief element om hier een misdrijf van te maken. Zo moet je je ook doelbewust toegang verschaffen. Kom je er toevallig op terecht en zie je dat je de gegevens niet hoort te zien, dan sluit je de site af en is er geen probleem.
Hacken van gegevens is NIET nodig om er voor vervolgd te worden. Stel dat jij je deur laat openstaan terwijl je weg bent. Hoewel geargumenteerd kan worden dat dit ongelooflijk stom is, blijft degene die daardoor toegang tot je woning verschaft om de boel leeg te roven strafbaar.
Hier kan je moeilijk argumenteren dat de jongen niet wist dat hij geen toegang mocht hebben, aangezien hij de toel net bewust online gooide om ervoor te zorgen dat men kon zien of de gegevens onterecht gepubliceerd werden.
Hacken van gegevens is NIET nodig om er voor vervolgd te worden. Stel dat jij je deur laat openstaan terwijl je weg bent. Hoewel geargumenteerd kan worden dat dit ongelooflijk stom is, blijft degene die daardoor toegang tot je woning verschaft om de boel leeg te roven strafbaar.
Hier kan je moeilijk argumenteren dat de jongen niet wist dat hij geen toegang mocht hebben, aangezien hij de toel net bewust online gooide om ervoor te zorgen dat men kon zien of de gegevens onterecht gepubliceerd werden.
[Reactie gewijzigd door VUB op woensdag 2 januari 2013 19:56]
Leegroven is uiteraard strafbaar, het is immers diefstal. In dit geval wordt er echter niets geroofd of gestolen of beschadigd. Zou je het dan niet eerder beschouwen als binnenkijken? En is dat dan wel strafbaar?
De tool is dan vergelijkbaar met hem vragen 'heb jij mijn spullen daar zien staan?' opdat je zou weten of je al dan niet iets te vrezen hebt.
De tool is dan vergelijkbaar met hem vragen 'heb jij mijn spullen daar zien staan?' opdat je zou weten of je al dan niet iets te vrezen hebt.
Dan blijft het huisvredebreuk, inbreuk op de persoonlijke levensfeer. Een huis behoort nog altijd tot de privésfeer 
. Jij mag je deur openzetten, maar dat betekent niet dat je anderen uitnodigt om binnen te komen. Al wordt een 'blaming the victim' aanpak wel eens gebruikt door advocaten. Gelukkig blijft er de wet.
Maar natuurlijk is het niet exact hetzelfde, al lijkt de link me toch niet zo uit de lucht gegrepen. Misschien had ik beter een wat uitgebreider verhaal opgegangen (je schrijft een boek, laat het manuscript liggen en iemand schrijft het over omdat die kon binnenwandelen nadat je de deur openliet ;-). Niets letterlijk gestolen, wel gekopieerd). Blijft nog altijd wel verschillen hebben. Onze wetgeving moest zich niet voor niets aanpassen aan de digitale wereld (een - net zoals bij alle wetgeving - ongoing process overigens).
In ieder geval, volgens de privacywetgeving is het wel degelijk strafbaar. Het feit dat iemand de gegevens slecht (of niet) beveiligt geeft je nog niet het recht die te downloaden en te analyseren. Je maakt je alleen mee schuldig.
. Jij mag je deur openzetten, maar dat betekent niet dat je anderen uitnodigt om binnen te komen. Al wordt een 'blaming the victim' aanpak wel eens gebruikt door advocaten. Gelukkig blijft er de wet. Maar natuurlijk is het niet exact hetzelfde, al lijkt de link me toch niet zo uit de lucht gegrepen. Misschien had ik beter een wat uitgebreider verhaal opgegangen (je schrijft een boek, laat het manuscript liggen en iemand schrijft het over omdat die kon binnenwandelen nadat je de deur openliet ;-). Niets letterlijk gestolen, wel gekopieerd). Blijft nog altijd wel verschillen hebben. Onze wetgeving moest zich niet voor niets aanpassen aan de digitale wereld (een - net zoals bij alle wetgeving - ongoing process overigens).
In ieder geval, volgens de privacywetgeving is het wel degelijk strafbaar. Het feit dat iemand de gegevens slecht (of niet) beveiligt geeft je nog niet het recht die te downloaden en te analyseren. Je maakt je alleen mee schuldig.
[Reactie gewijzigd door VUB op woensdag 2 januari 2013 21:38]
Neen, dat mag je niet. Je bent strafbaar in België als je je voordeur van je huis of deur van je auto niet op slot doet.Dan blijft het huisvredebreuk, inbreuk op de persoonlijke levensfeer. Een huis behoort nog altijd tot de privésfeer
Wat is dat nou voor onzin. Dus je deur moet ten alle tijden op slot zitten? Hoe ga je dan naar binnen? Of wordt de soep stiekem toch niet zo heet gegeten als hij door jou wordt opgediend en is er een enorme nuancering van toepassing op je stelling, bijv. dat hij niet op slot hoeft als je thuis cq in de buurt bent? (Dit nog even naast het feit dat ik überhaupt over de validiteit van je stelling twijfel)
Want het lijkt me niet dat je strafbaar bent als je de deur even open laat staan terwijl je bijv. iets in je auto aan het laden bent. In tussentijd kan iemand anders wel mooi naar binnen lopen. En ja, dat heet in Nederland huisvredebreuk en is op zijn beurt weer strafbaar, en ik gok dat dat in België niet anders is.
Want het lijkt me niet dat je strafbaar bent als je de deur even open laat staan terwijl je bijv. iets in je auto aan het laden bent. In tussentijd kan iemand anders wel mooi naar binnen lopen. En ja, dat heet in Nederland huisvredebreuk en is op zijn beurt weer strafbaar, en ik gok dat dat in België niet anders is.
[Reactie gewijzigd door .oisyn op donderdag 3 januari 2013 00:45]
Naar die wet ben ik dan toch benieuwd. Referenties? Of gaat het om gemeentelijke reglementjes en de lachwekkende GAS-toestanden? Lijkt me iets dat niet bepaald stand zal houden voor een hogere rechtbank. Er wordt dan wel hard gefocust op preventie etc., maar dat is nog iets anders als het strafbaar maken.
Niettemin altijd bereid om iets bij te leren...
Niettemin altijd bereid om iets bij te leren...
Ik denk niet dat er een wet is die je verbied om je huis niet vast te maken. Een eventuele verzekering kan daar uiteraard wel anders over denken.
Er is wél een wet die je verplicht je wagen op slot te doen als je die verlaat. Meer nog, ik ben daar ooit voor beboet, weliswaar samen met een overtreding voor verkeerd parkeren. Dat kost je 50 euro ..
Er is wél een wet die je verplicht je wagen op slot te doen als je die verlaat. Meer nog, ik ben daar ooit voor beboet, weliswaar samen met een overtreding voor verkeerd parkeren. Dat kost je 50 euro ..
Het is inderdaad strafbaar maar praktisch gezien ga je niet zo rap een boete krijgen. Het is eerder "Ah uw auto was niet gesloten en uw GPS is gestolen? Jammer dan!".
Waar de agenten wel echt op letten is of je geen dure dingen tentoonstelt in je auto, een laptop op de achterbank = een briefje onder de ruitenwisser.
OT: Veel mensen overdrijven hier. Net alsof ze die meneer de doodstraf willen geven omdat hij die tool heeft gemaakt. Volgens mij spelen ze volgens het better safe then sorry systeem en vertrouwen ze de integriteit van de applicatie niet helemaal (al dan niet terecht) en vrezen ze verdere lekken.
Waar de agenten wel echt op letten is of je geen dure dingen tentoonstelt in je auto, een laptop op de achterbank = een briefje onder de ruitenwisser.
OT: Veel mensen overdrijven hier. Net alsof ze die meneer de doodstraf willen geven omdat hij die tool heeft gemaakt. Volgens mij spelen ze volgens het better safe then sorry systeem en vertrouwen ze de integriteit van de applicatie niet helemaal (al dan niet terecht) en vrezen ze verdere lekken.
Tot voor kort mochten ze die goederen in een onafgesloten wagen zelfs in beslag nemen, maar als ik me niet vergis is die wet ondertussen aangepast. Niettemin, ook al wordt daar een boete aan gekoppeld, het ontslaat de dader niet van zijn misdrijf. Die zaken staan los van elkaar (tenzij dan als grond voor verzachtende omstandigheden, maar dat is altijd bewegen op drijfzand voor een advocaat).
De doodstraf is nogal overroepen, een straf kan sowieso al in vraag gesteld worden. Feit is wel dat áls het voor de rechtbank komt (maar ik ben er niet van overtuigd dat het parket hier een hoge prioriteit zal aan geven) hij zijn straf niet kan ontlopen. De vereiste voorwaarden zijn immers nagenoeg bewezen en een rechter heeft dan wel een mate van speling, maar hij moet nog steeds de wet volgen. En de privacywetgeving is in deze zaak zeer duidelijk. Daarnaast is er nog de wet op de databanken etc.
Overigens, ik zou ten zeerste betwijfelen of het louter om de integriteit van de applicatie gaat. Ik kwam in het verleden al genoeg - onprettig - in aanraking met de privacycommissie om beter te weten. Hoewel het zeker een lovend initiatief is, trek ik sommige drijfveren toch in twijfel. Als wetenschapper word ik er nl ook aan handen en voeten door gebonden, terwijl wij sowieso nooit schade mogen toebrengen (en dus geen gegevens willen verspreiden). Dat gaat soms echt belachelijk ver. Zo moet van onderzoek vooraf bekend zijn wat verzameld wordt, hoe dat opgeslagen wordt en hoe dit beveiligd wordt. Tot daar kan ik hen zelfs nog goed volgen. Ook wetenschappers moeten bewust met data omgaan. De privacycommissie publiceert vervolgens je onderzoek, met deze details op hun site.
Lastiger wordt het wanneer je 'undercover' onderzoek doet naar criminele fenomenen. Dat open en bloot doen heeft nl soms belangrijke ristricties in mijn ogen (niet zoveel mensen vertellen open en bloot over wat ze mispeuteren). Je moet al behoorlijk creatief uit de hoek komen om compleet geen persoonlijke gegevens te noteren dan. En dat is dus helemaal niet toegelaten, tenzij je wil dat je 'undercover' onderzoek netjes gepubliceerd wordt op hun site. Zelfs al ga je die nooit bekend maken (dat zou je sowieso al in diskrediet brengen als wetenschapper en fin de carriere zijn).
De doodstraf is nogal overroepen, een straf kan sowieso al in vraag gesteld worden. Feit is wel dat áls het voor de rechtbank komt (maar ik ben er niet van overtuigd dat het parket hier een hoge prioriteit zal aan geven) hij zijn straf niet kan ontlopen. De vereiste voorwaarden zijn immers nagenoeg bewezen en een rechter heeft dan wel een mate van speling, maar hij moet nog steeds de wet volgen. En de privacywetgeving is in deze zaak zeer duidelijk. Daarnaast is er nog de wet op de databanken etc.
Overigens, ik zou ten zeerste betwijfelen of het louter om de integriteit van de applicatie gaat. Ik kwam in het verleden al genoeg - onprettig - in aanraking met de privacycommissie om beter te weten. Hoewel het zeker een lovend initiatief is, trek ik sommige drijfveren toch in twijfel. Als wetenschapper word ik er nl ook aan handen en voeten door gebonden, terwijl wij sowieso nooit schade mogen toebrengen (en dus geen gegevens willen verspreiden). Dat gaat soms echt belachelijk ver. Zo moet van onderzoek vooraf bekend zijn wat verzameld wordt, hoe dat opgeslagen wordt en hoe dit beveiligd wordt. Tot daar kan ik hen zelfs nog goed volgen. Ook wetenschappers moeten bewust met data omgaan. De privacycommissie publiceert vervolgens je onderzoek, met deze details op hun site.
Lastiger wordt het wanneer je 'undercover' onderzoek doet naar criminele fenomenen. Dat open en bloot doen heeft nl soms belangrijke ristricties in mijn ogen (niet zoveel mensen vertellen open en bloot over wat ze mispeuteren). Je moet al behoorlijk creatief uit de hoek komen om compleet geen persoonlijke gegevens te noteren dan. En dat is dus helemaal niet toegelaten, tenzij je wil dat je 'undercover' onderzoek netjes gepubliceerd wordt op hun site. Zelfs al ga je die nooit bekend maken (dat zou je sowieso al in diskrediet brengen als wetenschapper en fin de carriere zijn).
Als je je deur open laat staan dan mogen anderen naar binnen.
Er is pas sprake van een strafbaar feit nadat de bewoner de 'bezoeker' heeft gesommeerd te vertrekken.
Althans, zo is het in Nederland.
Er is pas sprake van een strafbaar feit nadat de bewoner de 'bezoeker' heeft gesommeerd te vertrekken.
Althans, zo is het in Nederland.
Heb je een referentie voor die wet? Zo is het nl helemaal niet in België. Ik zou graag eens bekijken hoe die wet dan tot stand kwam (wat de motivatie was), want dit lijkt me een vreemde constructie...
Die opmerking dat het ook hacken is als er geen beveiliging omzeild wordt laat weinig ruimte open voor interpretatie. Het wordt misschien een ander verhaal als je oprecht in de veronderstelling bent dat het om opzettelijk openbaar gemaakte gegevens gaat maar daar was hier geen sprake van. Het was de gebruikers op het betreffende forum duidelijk dat deze gegevens door een beveiligingsfout toegankelijk waren. Bovendien werd uit de gegevens zelf ook wel duidelijk dat het niet om publieke data ging.Maar hier is toch helemaal geen sprake van hacken? Het was een publieke onbeveiligde url die op een normaal forum werd gepost. Als het klikken op een dergelijke link al strafbaar is ...
Dat het alleen om die reden al strafbaar is gaat misschien in tegen het algemene beeld van hacken en de opvatting dat daar altijd een beveiliging voor moeten worden omzeild. De Nederlandse wet spreekt overigens over computervredebreuk. Daarbij gaat het vooral om wederrechtelijke toegang, dus zonder toestemming van de rechthebbende, niet over toegang na het doorbreken van een beveiliging.
De Belgische wet spreekt ook over computervredebreuk. Samengevat komt dit neer op jezelf toegang verschaffen tot gegevens waarvan je weet dat je er geen toegang toe mag hebben, of die nu beveiligd is of niet.
Wettelijk gezien maakt het feit of de gegevens publiek staan of niet weinig uit. Het kan als grond voor 'verzachtende omstandigheden' gebruikt worden, maar of dat iets uitmaakt hangt gewoon af van de rechter in kwestie. Verzachtende omstandigheden zorgen ook nooit voor kwijtschelding van de straf, enkel een inperking.
Zelfs zonder dat de NMBS klacht indient kan de jongen dus vervolgd worden. Stelt de NMBS zich bovendien nog burgerlijke partij, dan wordt die kans alleen maar groter. Qua schadevergoeding die de NMBS kan eisen, zal het echter allemaal wel meevallen. Die schade moet immers ook bewezen worden :-). Over het strafrechtelijk luik maak ik me meer zorgen.
Op zich vind ik die wet ook wel logisch omdat ze er poogt voor te zorgen dat - zoals in dit geval - slecht beveiligde (lees: niet) data zich niet zonder meer kan verspreiden. Niettemin was het verspreiden van gegevens niet de opzet van de jongen en bovendien zijn weinigen op de hoogte van dit gegeven waardoor ze natuurlijk in dit gegeven faalt.
Dura lex sed lex . Laat overigens duidelijk zijn dat de NMBS hier zelf ook een aantal wetten overtrad die ongetwijfeld een staartje krijgen. Naar wat ik opvang - maar dat is natuurlijk subjectief - zitten er aardig wat data in die mensen nooit gecommuniceerd hebben naar dit bedrijf. En zelfs als ze die uit een gouden of witte gids gingen halen, dan nog mogen ze die niet zonder meer in een databank stoppen.
Zelfs zonder dat de NMBS klacht indient kan de jongen dus vervolgd worden. Stelt de NMBS zich bovendien nog burgerlijke partij, dan wordt die kans alleen maar groter. Qua schadevergoeding die de NMBS kan eisen, zal het echter allemaal wel meevallen. Die schade moet immers ook bewezen worden :-). Over het strafrechtelijk luik maak ik me meer zorgen.
Op zich vind ik die wet ook wel logisch omdat ze er poogt voor te zorgen dat - zoals in dit geval - slecht beveiligde (lees: niet) data zich niet zonder meer kan verspreiden. Niettemin was het verspreiden van gegevens niet de opzet van de jongen en bovendien zijn weinigen op de hoogte van dit gegeven waardoor ze natuurlijk in dit gegeven faalt.
Dura lex sed lex
. Laat overigens duidelijk zijn dat de NMBS hier zelf ook een aantal wetten overtrad die ongetwijfeld een staartje krijgen. Naar wat ik opvang - maar dat is natuurlijk subjectief - zitten er aardig wat data in die mensen nooit gecommuniceerd hebben naar dit bedrijf. En zelfs als ze die uit een gouden of witte gids gingen halen, dan nog mogen ze die niet zonder meer in een databank stoppen.[Reactie gewijzigd door VUB op woensdag 2 januari 2013 19:39]
Ik relativeer het ook wel even omdat iedereen de Gouden of Witte gids kan raadplegen, doch email adres, geboortedatum etc zijn bij mijn weten iets wat ik niet graag te grabbel gooi.
Het feit dat ik met mijn normaal non-kom-maar-op-spam email adres geregistreerd sta bij hen kan ik niet om lachen. Als ik nu via daar ook spam ga binnenkrijgen weet ik genoeg.
Wie weet wat is er nog allemaal gelekt via deze weg?
Het feit dat ik met mijn normaal non-kom-maar-op-spam email adres geregistreerd sta bij hen kan ik niet om lachen. Als ik nu via daar ook spam ga binnenkrijgen weet ik genoeg.
Wie weet wat is er nog allemaal gelekt via deze weg?
SNCB = NMBSMet de intentie van SNCB aan te pakken vragen ze eigenlijk om zelf aangepakt (aangeklaagd) te worden.
Ik begrijp niet waarom de Privacy Commissie ervoor heeft gezorgd dat de site nu weer offline is gehaald. Hiermee kunnen mensen checken of hun persoonsgegevens gestolen zijn. Dat mensen zelf hun gegevens invoeren op de site van Jacobs doen ze toch uit vrije wil? Dat hun gegevens zijn gestolen, is niet uit vrije wil gebeurd.
Ik vind het jammer dat de site dan ook offline is gehaald, hopelijk komt deze snel weer online.
Ik vind het jammer dat de site dan ook offline is gehaald, hopelijk komt deze snel weer online.
Op zich moet je elke gegevensbank met informatie over de privé-sfeer al aangeven bij de Privacy Commissie. (Wet 8 december 1992) Alleen al op basis daarvan hadden ze die site kunnen aanpakken.
[Reactie gewijzigd door Jack77 op woensdag 2 januari 2013 18:51]
Gelukkig er niet bij, gisteren gecheckt.
Gisteren was die site nog online, en ik stond er op. Wel bleek dat enkel mijn e-mailadres toegankelijk was, maar mijn adres niet.
Vervolgens heb ik ook mijn moeder opgezocht, maar daarvan was helemaal niets gelekt: de combinatie van naam en achternaam werd niet gevonden in de files.
Nochtans neemt zij al vele jaren de trein naar haar werk, terwijl ik maar 2 jaar van de trein gebruik heb moeten maken (tot in een auto had).
Vervolgens heb ik ook mijn moeder opgezocht, maar daarvan was helemaal niets gelekt: de combinatie van naam en achternaam werd niet gevonden in de files.
Nochtans neemt zij al vele jaren de trein naar haar werk, terwijl ik maar 2 jaar van de trein gebruik heb moeten maken (tot in een auto had).
Ik vermoed dat het ermee te maken heeft of je ooit tickets online besteld hebt.
Mijn gegevens zijn gelekt
; ik bestel (vanaf nu misschien "bestelde") mijn tickets steeds online.
Mijn gegevens zijn gelekt
; ik bestel (vanaf nu misschien "bestelde") mijn tickets steeds online.Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
