Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Adult Friend Finder, een Amerikaanse datingsite voor mensen die naar 'casual seks' op zoek zijn, is volgens de Britse zender Channel 4 gekraakt. Aanvallers zouden daarbij de gegevens van 3,9 miljoen Adult Friend Finder-leden hebben buitgemaakt.

Onder de buitgemaakte gegevens zouden naast persoonsgegevens als namen en e-mailadressen ook de opgegeven seksuele voorkeur van gebruikers zijn. Ook zou zijn vastgelegd of gebruikers op zoek zijn naar een buitenechtelijke relatie. Dat meldt Channel 4, dat claimt dat de aanvallers de hack bespreken op een forum dat enkel via anonimiseringssoftware toegankelijk is.

Een aanvaller met de naam ROR[RG] zou de gegevens op het forum hebben geplaatst. Het zou daarbij gaan om gegevens van 3,9 miljoen van de 63 miljoen leden van de casual-datingwebsite. Ook leden die hun account hadden verwijderd, komen voor in de database, stelt Channel 4.

Kwaadwillenden zouden op het forum hebben aangegeven slachtoffers te willen bestoken met spammail; een van de leden van de website, wier gegevens voorkwamen in de gelekte database, zegt tegenover Channel 4 inmiddels mails met virussen te hebben ontvangen. Ook is de kans aanwezig dat ze met de verzamelde informatie identiteitsfraude proberen te plegen.

Opvallend is het percentage vrouwen dat in de database voorkomt. Hoewel Adult Friend Finder op zijn voorpagina gebruikers met foto's van aantrekkelijke vrouwen probeert te verleiden om lid te worden, komen er maar weinig vrouwen voor in de database. Van de 27.000 uitgelekte Britse accounts is slechts 6 procent vrouw.

Moderatie-faq Wijzig weergave

Reacties (49)

Voor de mensen die willen weten of hun email adres / username er bij staat. Kan je dat checken op de volgende website: https://haveibeenpwned.com/

(stond in een stuk over de hack op Arstechnica)
"Ook leden die hun account hadden verwijderd, komen voor in de database"

Baart me zorgen. Recentelijk een grote clean-up gedaan en mijn account laten verwijderen bij veel sites. Hopelijk gaan zij niet hetzelfde met hun data om
Baart me zorgen. Recentelijk een grote clean-up gedaan en mijn account laten verwijderen bij veel sites. Hopelijk gaan zij niet hetzelfde met hun data om
Vaak wordt een account niet werkelijk verwijderd. Immers is het veel makkelijker om een account alleen op inactief te stellen. Een website wilt bijvoorbeeld nog steeds factuurgegevens van een klant op kunnen vragen tot vijf jaar na de laatste, waarvoor een koppeling met de persoonsgegevens vereist blijft.

Een deactivatie ziet er bijvoorbeeld zo uit (SQL):
UPDATE customers SET active = 0 WHERE customerId = 123456;

Met een enkele query is een account gedeactiveerd. Als je een account effectief zou willen verwijderen en je hebt een relationele database met vreemde sleutels waarvan de integriteit wordt afgedwongen, dan zou je ook uit alle gerelateerde tabellen de betreffende records moeten verwijderen wanneer deze gelinkt zijn met de klantentabel. Dit is veel extra meerwerk met weinig toegevoegde waarde voor de eigenaar van de database. En een complexer datamodel met een scheiding tussen te archiveren gegevens en operationele gegevens is voor veel bedrijven de moeite niet waard, en zo blijft de data dus in het systeem staan.

Data toevoegen en voor langere tijd opslaan zijn goedkope en simpele acties, zeker met deze kleine hoeveelheden. Al heb je capaciteit tekort, dan gooi je er gewoon meer hardware tegenaan. Data mutatie is echter kostbaar en meer onderhevig aan onderhoud en gevoeliger voor fouten, omdat je er data mee kan verliezen. Een enkele waarde veranderen (actief naar inactief) en die actie mogelijk loggen in een aparte tabel is goedkoper dan een account met alle bijbehorende informatie daadwerkelijk verwijderen.

[Reactie gewijzigd door The Zep Man op 22 mei 2015 16:02]

Desalniettemin is het bedrijven wel verplicht om klantdata desgevraagd te verwijderen, ipv alleen te deactiveren.
Zijn webwinkels verplicht klantgegevens te verwijderen?
Juridische vraag: wanneer kan ik persoonsgegevens wissen?

Zie Artikel 36, lid 1., Wet bescherming persoonsgegevens
"Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen."

Dit is natuurlijk alleen van toepassing in NL.

[Reactie gewijzigd door assembler op 22 mei 2015 16:13]

Misschien een stomme vraag, maar what if... jouw web applicatie en database op een server staan in de cloud in een datacenter buiten Nederland? Jouw bedrijf is Nederlands, maar jouw dienst die je aanbiedt host je buiten de landsgrens.
Als je een op Nederlanders gerichte dienst aanbeid heb je je te houden aan de Nederlandse wet (Iets oversimplificatie maar goed) Beste voorbeeld is Facebook, gehost in Ierland maar Nederlandse taal ondersteuning amongst other things zorgt er voor dat ze zich ook aan de Nederlandse wetgeving moeten houden
toch volgens de Nederlandse overheid, de Belgische heeft vorige week hier nog een rel over gehad met als excuus van FB dat ze in Ierland zitten
Inderdaad, op de site van de overheid is een standaard brief te downloaden die je naar bedrijven kunt sturen al je wilt dat zij jou gegevens verwijderen. Echter een uitzondering hierop zijn de factuur gegevens, deze zijn ze weer verplicht 5 jaar te bewaren.
AFF is in tegenstelling wat het artikel aangeeft, een deel Nederlandse site
Delen ervan zijn ondergebracht in Nederland zoals servers.
Ook Zijn onderdelen van het bedrijf op papier gevestigd in Nederland.

Maar wat betreft het verwijderen van data, dat is natuurlijk onzin.
Wij zijn verplicht om data/factuur/betaal gegevens, 5 jaar te bewaren.
Accounts worden gewoon gedeactiveerd/gesloten.

Als ik gegevens niet kan overleggen van klanten dan ben ik mooi zuur.
allemaal lekker dubbel en zuur
Het is gewoon toegestaan om bijvoorbeeld klanten die hun account hebben opgezegd nog altijd te benaderen voor promotionele activiteiten om ze als klant weer terug te winnen. Er is dus een legitiem doel om iemand persoonsgegevens te blijven verwerken. Daarom dus is het ook legitiem om die gegevens nog vast te houden.
Een soortgelijke regeling bestaat in het DPA 1998 voor de Commonwealth.
Zie Artikel 36, lid 1., Wet bescherming persoonsgegevens
"Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen."

Dit is natuurlijk alleen van toepassing in NL.
"Voor het doel van mijn webwinkel/dienst (jou als klant lastig vallen tot ver na de deactivatie van jouw account) zijn de gegevens die ik heb volledig en ter zake, en verzameld en bewaard volgens wettelijke voorschriften."

Ga daar maar tegen procederen als enkeling. En dan is het inderdaad alleen van toepassing in Nederland. Met andere woorden: leuke wetgeving, maar nutteloos in de praktijk.

[Reactie gewijzigd door The Zep Man op 22 mei 2015 16:49]

Lees ook het volgende stukje in jouw quote van het wetsartikel:
voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt
In dat stukje lees ik: "Bedrijven moeten jouw informatie op verzoek verwijderen als het niet relevant is voor de bedrijfsvoering of in strijd is met de wet." In het kader van bewaarplicht voor de belastingdienst en het hebben van een correcte administratie, etc. is het wel degelijk toegestaan om jouw gegevens te bewaren. In Nederland zijn bedrijven dit gewoon wettelijk verplicht en dus is klanteninformatie noodzakelijk voor de bedrijfsvoering.

Bedrijven kunnen er uiteraard voor kiezen om deze informatie dan naar een seperaat archief te verplaatsen, maar de vraag is hoeveel bedrijven dat dan doen aangezien dit - voor zover ik weet - niet verplicht is.

[Reactie gewijzigd door Laurens-R op 22 mei 2015 16:59]

Weet dat verwijderen een andere betekenis heeft dan vernietigen.
Of nieuwsbrieven versturen met "we hebben nieuwe functies, wil je niet terugkomen"?
Of nieuwsbrieven versturen met "we hebben nieuwe functies, wil je niet terugkomen"?
Dat is inderdaad een sterke indicatie dat een account niet verwijderd is. ;) Als je informatie op Internet plaatst, dan moet je ervan uitgaan dat je de controle erover kwijt bent. Voor sommige informatie is dit niet erg (zoals deze post op Tweakers.net :), maar bij gevoelige persoonsgegevens (zoals seksuele geaardheid, de hint dat je ooit vreemd wilde gaan van je echtgeno(ot/te)) moet je jezelf tweemaal achter de oren krabben.

[Reactie gewijzigd door The Zep Man op 22 mei 2015 15:56]

Totdat de Persgroep Tweakers verpatst aan een partij waar je minder blij van wordt.
Totdat de Persgroep Tweakers verpatst aan een partij waar je minder blij van wordt.
Zolang T.net maar niet ongemerkt posts van mij gaat wijzigen zie ik daar geen problemen mee. En ook hebben zij geen gevoelige persoonsgegevens van mij, Stefan uit Utrecht die op Tweakers.net zit met accountnaam DanTheBanjoman. ;)

[edit]
Met een lichte zoek en match op het Internet gebaseerd op de genoemde gegevens weet ik nu al heel veel over je. Dit bewijst alleen maar des te meer hoe voorzichtig je met je eigen gegevens moet omgaan.

[Reactie gewijzigd door The Zep Man op 22 mei 2015 16:56]

[...]
Zolang T.net maar niet ongemerkt posts van mij gaat wijzigen zie ik daar geen problemen mee.
Misschien doen ze dat wel.. Dat is de definitie van ongemerkt. :+
Yup Facebook doet dat ook. Net nog geprobeerd met een account die ik 3 jaar geleden heb verwijderd op Facebook en ik kon zo weer inloggen alsof ik nooit was weg geweest..

Ik ben voorstander van een wet waarbij websites die uit commercieel oogpunt ( Lees geld verdiend ) data opslaan van klanten dat zij aan de minimale eisen moeten voldoen.

Bv :

- Geen platte opslag van wachtwoorden
- Accounts die worden verwijderd ook echt weg zijn
- Klanten moeten de optie hebben om te kunnen opzeggen via hun beheer paneel.
- Aantoonbare veiligheids upgrades

etc etc.

Zodra je hier aan voldoet krijg je toestemming om data van klanten te mogen opslaan.

Niet voor de huis tuin en keuken gebruiker.
Wachtwoorden als platte tekst opslaan is in geen enkele situatie de bedoeling. Huis en tuin gebruiker of niet.
Of records verplaatsen naar een andere tabel, als je alle data wilt gebruiken kun je altijd nog een union doen. Kan namelijk best zijn dat je net zoveel of zelfs meer inactieve gebruikers hebt en dan scheelt dat best.
Ook handig bij misdrijven. Dan hebben ze het ip adres van de persoon nog, ook al heeft die persoon zijn account al lang verwijderd.
Er zijn veel sites die dit doen, ook in jou eigen voordeel. Mocht je binnen een bepaalde tijd besluiten terug te willen naar een website waarvan je het account verwijderd hebt, dan kan het account wat je had opnieuw geactiveerd worden en ben je geen dingen kwijt.. Natuurlijk worden verwijderde accounts niet tot in den treure bewaard, waarschijnlijk zal er een limiet op zitten van een half jaar tot een jaar, maar dat durt ik niet met zekerheid te zeggen.
Misschien beter om eerst je account te wijzigen met incorrecte data, daarna pas 'verwijderen'. Desinformatie toedienen dus ;-)
die 6% zijn mannen die zich als vrouw uitgeven.
Als je een vaste relatie hebt en je toch op dat soort sites begeeft, zou je kunnen weten dat er een risico inzit dat het problemen oplevert.
Dat geeft maar aan dat zulk soort sites voor vrouwen bijna alleen maar fake profielen hebben om mannen te lokken.
Opvallend is het percentage vrouwen dat in de database voorkomt. Hoewel Adult Friend Finder op zijn voorpagina gebruikers met foto's van aantrekkelijke vrouwen probeert te verleiden om lid te worden, komen er maar weinig vrouwen voor in de database.
Dit is toch bij al die sites zo? Vooral sites die locaties (bij jou in de buurt) onder foto's plaatsen. Dan was het vroeger altijd lachen om te zien hoeveel locaties je kon vinden bij 1 foto.

Dit is natuurlijk een leuke site om persoonsgegevens van te stelen om ze vervolgens te gaan gebruiken bij chantage praktijken. U bent getrouwd en op Adult Friend Finder, voor X bedrag vertellen we het niet aan uw vrouw.
Dat gaat vast gebeuren, het zal me in elk geval niks verbazen als bijvoorbeeld ransomware die kant op ontwikkelt...
6% vrouw, tijd voor de reclame code commisie 8)7
Gezien de manier waarop men online praat over online daten, geloof ik dat dat misschien nog wel het geval is op ELKE site!
In elk geval op betaalde sites. Op gratis sites is het verassend genoeg vaak anders.
6% Vrouwen op homo contactsites?
Opvallend is het percentage vrouwen dat in de database voorkomt.
Ik was even verrast na deze zin. Ik dacht dat hierop zou volgen dat er daadwerkelijk een aanzienlijk aantal vrouwen op die site zitten...
Hoeveel % van die 6% zal daadwerkelijk degene zijn die het profiel suggereert? 6%?
Opvallend is het percentage vrouwen dat in de database voorkomt. Hoewel Adult Friend Finder op zijn voorpagina gebruikers met foto's van aantrekkelijke vrouwen probeert te verleiden om lid te worden, komen er maar weinig vrouwen voor in de database. Van de 27.000 uitgelekte Britse accounts is slechts 6 procent vrouw.
Joh, en dat bewijst maar weer dat grotendeels de profielen op zulke websites gewoon fake, selectief en ter entertainment zijn. :P
We hebben een webshop en zijn verplicht de wetten te volgen en de privacy policy is dan ook een onderdeel waar staat dat we niks mogen delen met 3de en wanneer een request gevraagd wordt om hun account te verwijderen wij dat moeten navolgen.

In opencart systemen lukt dat ook, alleen het vage van alles is, In de back-end gebeurd dat ook alleen zoals vele zeggen wordt het niet in de sql verwijderd. Maar en doorsnee eigenaar weet dat niet en zal dus niet zo gemakkelijk/ snel een sql specialist inhuren om dat voor hem te doen.

Gelukkig heb ik er wel verstand van en kan dat allemaal zelf, maar voor andere eigenaren begrijp ik best wel dat dit frustatie oploopt, en weet dan niet het dan geregeld is met de wetgeving.
Ik wacht nog steeds op wetgeving die de consument beter gaat beschermen tegen websites die hun zaken niet goed voor elkaar hebben. Er wordt elke keer naar mijn mening te makkelijk gesproken over dat de consument maar moet zorgen dat ze aparte email adressen en ww per site moeten hebben.

Het is de verantwoordelijkheid van een website dat gegevens op een veilige wijze worden beheerd. En dat door een eventuele hack de data onleesbaar is. Een schadevergoeding per gehackt account of zeer hoge boetes.

Nu kan iedereen op een goedkope manier de data opslaan zonder dat er consequenties zijn wanneer deze data wordt gestolen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True