'Onlineback-ups Hema-usb-sticks waren publiekelijk toegankelijk'

De bestanden die gebruikers van usb+-geheugensticks van de HEMA via het daartoe bestemde back-up-programma online plaatsten, waren voor iedereen in te zien, ontdekte de Haagse hackerspace Revspace. HEMA heeft de sticks uit de handel gehaald.

Wie onlineopslag bij de usb-stick gebruikte, heeft in theorie zijn naam, adres, telefoonnummer, wachtwoord en inhoud van bestanden op straat gegooid, claimt Revspace op basis van eigen onderzoek. Gebruikers moeten volgens de hackers rekening houden met identiteitsdiefstal.

Kopers van de usb+-geheugensticks konden met een programma op de stick onlineback-ups maken van bestanden. De software maakte daarvoor mappen op de stick aan waarvan de inhoud automatisch gesynchroniseerd werd. Gebruikers moesten zich daarvoor aanmelden via een site waarvan de verbinding niet goed beveiligd was. De registratiegegevens werden opvallend genoeg gemaild naar een Gmail-adres, vanaf het adres info@appstore.com. Het domein Appstore.com is feitelijk in handen van Apple, die niets met de procedure van doen heeft.

De geïnstalleerde Windows-applicatie communiceerde intern in het geheel onversleuteld met de servers van Amazon, op wiens S3-opslag de bestanden terechtkwamen. "Iedereen die je verbinding kan aftappen, kan dus meelezen: je netwerkbeheerder, je internetprovider, opsporingsdiensten, maar ook mensen met je wifi-wachtwoord", schrijft Revspace.

De software op de server bevatte meerdere beveiligingslekken en was onder andere kwetsbaar voor sql-injectie. Downloaden van de bestanden van gebruikers was echter al 'kinderspel', in de woorden van Revspace, voor iedereen die de gebruikersnaam en bestandsnaam kende of kon raden: via https-adressen waren ze te bereiken.

Ten slotte lag de broncode van de serverapplicatie, inclusief belangrijk wachtwoord, op straat. De HEMA maakt gebruik van de diensten van een leverancier voor de usb-sticks. De HEMA zou al in juli op de hoogte zijn gebracht, maar nog altijd zouden zich diverse beveiligingsproblemen bij de leverancier voordoen. Wel zijn de usb-sticks inmiddels uit de handel genomen en is de registratie van nieuwe gebruikers gestopt. Tegenover Nu.nl meldt de HEMA contact te hebben met de leverancier en een onafhankelijk adviesbureau "om er zorg voor te dragen dat dit product voldoet aan de eisen die wij en onze klanten hieraan mogen stellen."

HEMA USB+

IT-banen

Reacties (120)

Anoniem: 221563 30 oktober 2015 15:38

Kortom, de Hema had een 'modern idee' maar zijn bij het verkeerde bureau uitgekomen. Fout in die keuze zal of met geld te maken hebben gehad, of door de afwezigheid van de juiste ICT kennis.

Ik vraag me eerlijk gezegd meer af welk bureau hier achter zit en dus verantwoordelijk is voor deze flinke fouten.

Anoniem: 70599 @Anoniem: 221563 • 30 oktober 2015 15:45

HEMA is verantwoordelijk. Zijn het fouten van het "bureau"? Het is een bepaalde implementatie waar HEMA, mag ik hopen, impliciet mee akkoord is gegaan.

Anoniem: 221563 @Anoniem: 70599 • 30 oktober 2015 15:50

Wat je in de praktijk vaak ziet bij ICT projecten is dat er meer wordt beloofd dan geleverd. Ik vermoed dat dat hier ook het geval zal zijn. Dan is het bureau fout ja. De consument moet het verhalen bij de HEMA, maar de HEMA moet dit gewoon weer verhalen bij het betreffende bureau dat het systeem heeft verkocht.

Het bureau is sowieso in de fout gezien ze overduidelijk niet de regels van het CBP volgen.

Anoniem: 70599 @Anoniem: 221563 • 30 oktober 2015 15:57

Het is geen product van het bureau. Kijk maar naar de advertentie. HEMA besteed uit met behoud van eigen merknaam. HEMA moet audits plegen op producten die ze ontwikkelen. Het is geen Philips stickje, het is een hema stickje.

Zo werkt het overal. Jij zet Office365 in voor je HRM diensten? Dan ben jij verantwoordelijk en niet microsoft. De aanklager gaat niet bij MS aankloppen.

In het geval van het stickje is tevens onduidelijk het wel een firma betreft die ook maar enige verantwoording hoeft af te leggen mbt persoonsgegevens.

[Reactie gewijzigd door Anoniem: 70599 op 24 juli 2024 00:12]

the_shadow @Anoniem: 70599 • 30 oktober 2015 16:03

Dat zegt NightFox89 toch ook? Jij als consument kan HEMA verantwoordelijk houden voor eventuele fouten. HEMA moet daarop een vergoeding geven/whatever, maar kan op haar beurt wel weer dit gaan verhalen bij de leverancier die zij zelf in de arm hebben genomen. Als consument heb je daar niets mee te maken, maar achter de schermen zal dat wel de afhandelprocedure worden.

Anoniem: 70599 @the_shadow • 30 oktober 2015 16:11

Ja, maar de vraag is of dat kan. Als jij niet zelf audit, en dat pas nu achteraf gaat doen. Tevens hebben wij geen inzicht in het contract. Wellicht past de huidige oplossing perfect binnen die kaders.

Daar is niets van te zeggen. Maar HEMA blijft verantwoordelijk. Binnen het contract misschien niet, maar daar hoeft deze discussie niet over te gaan.

watercoolertje @the_shadow • 30 oktober 2015 16:12

HEMA moet daarop een vergoeding geven/whatever, maar kan op haar beurt wel weer dit gaan verhalen bij de leverancier die zij zelf in de arm hebben genomen.

Alleen als die fout zitten natuurlijk

Dat weten we niet, misschien is dit wel precies wat HEMA heeft gekocht en afgesproken, en dan doet het bureau gewoon zijn werk.

gday

@watercoolertje • 1 november 2015 01:55

Ook dan speel je als leverancier een dubieuze rol: je moet als opdrachtnemer ook je opdrachtgever adviseren én zijn klanten/gebruikers beschermen.

Anoniem: 669464 @Anoniem: 221563 • 30 oktober 2015 22:32

Inderdaad, mooie gelegenheid voor het CBP om een boete uit te delen. Dit had je gewoon makkelijk kunnen voorkomen met een simpele audit van een paar duizend euro.

mae-t.net @Anoniem: 70599 • 30 oktober 2015 15:54

Administratieve verantwoordelijkheid en feitelijke verantwoordelijkheid zijn twee verschillende dingen. In dit geval berust de eerste bij de HEMA, die mij net iets te vaak steken heeft laten vallen op diverse gebieden om er nog zaken mee te willen doen, terwijl de tweede berust bij het "bureau".

Aangezien andere producten van de betreffende leverancier waarschijnlijk dezelfde of vergelijkbare fouten bevatten, lijkt het me wel degelijk relevant om te weten om welk bedrijf dat gaat.

Anoniem: 70599 @mae-t.net • 30 oktober 2015 16:05

Ook de administratie is de verantwoordelijkheid van HEMA. TENZIJ je als gebruiker in zee gaat met een andere firma, EN je een agreement moet accepteren bij het draaien van de software. ANDERS is er maar 1 overeenkomst en dat is de koopovereenkomst met HEMA.

mae-t.net @Anoniem: 70599 • 30 oktober 2015 16:16

Dat schrijf ik toch? Ik verwijs naar de eerstgenoemde verantwoordelijkheid; Het is (uitsluitend) de administratieve verantwoordelijkheid van de HEMA. Daar moet je zoals jij schrijft dus ook als consument aankloppen.

De feitelijke verantwoordelijkheid voor de fout ligt echter bij de leverancier, die de fout begaan heeft. Daar moet je zoals jij schrijft weliswaar niet als consument aankloppen, maar die dient wel geïdentificeerd te worden voor de consument en HEMA zal daar toch ook verhaal moeten halen.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 00:12]

Anoniem: 70599 @mae-t.net • 30 oktober 2015 17:58

Met het laatste stuk ben ik het niet perse eens. Je weet niet of het een fout is van de leverancier. Misschien is het een prima functionerende dienst, maar waren de specs vanuit HEMA niet in lijn met de huidige verwachtingen.

mae-t.net @Anoniem: 70599 • 31 oktober 2015 01:44

In lijn met de huidige verwachtingen? Je bedoelt dat de specs geen goed werkend product konden opleveren en dat de leverancier daar niets over gezegd heeft? Dat zou misschien kunnen, maar hoe fout is een leverancier die op aangeven van zijn afnemer willens en wetens een ondeugdelijk product levert? Omdat de afnemer geen verstand van zaken heeft, lijkt het me voor de hand liggend dat het de taak van de leverancier is om de afnemer hierover in te lichten. Pas als ze dat gedaan hebben en de afnemer (HEMA) heeft besloten dat te negeren, dan treft HEMA blaam.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 00:12]

Anoniem: 70599 @mae-t.net • 31 oktober 2015 07:47

Nee, ik bedoel. Dat het zomaar kan zijn dat HEMA nu pas heldere verwachtingen heeft van het product, nu alle shit over hen heen komt.
En zo simpel als jij het schetst werkt het niet. Als je als afnemer jezelf van de domme houdt, dan is het niet zo dat de schuld automatisch naar de leverancier van HEMA gaat.
Maar het is allemaal speculeren. De details krijgen wij nooit te horen hier op Tweakers. Dit wordt achter gesloten deuren geregeld. Het enige waar we wellicht wel iets van horen, is hoe het uitpakt met de consumenten VS HEMA. Al schat ik die betreffende consumenten niet al te hoog in, en denk ik dat de meesten niet eens in de gaten hebben wat er gaande is.
Ondanks dat ik vind dat HEMA de volledige blaam treft, hoop ik niet dat ze teveel imageschade oplopen. Er werken immers duizenden mensen bij dit toch al noodlijdende bedrijf.

mae-t.net @Anoniem: 70599 • 31 oktober 2015 14:45

Sorry voor de verwarrende formulering. Ik bedoel met de afnemer de afnemer van de leverancier, HEMA is in die zinsneden dus de afnemer en de fabrikant is de leverancier die aan HEMA levert. Dat de klant van de HEMA verhaal moet halen bij de HEMA is duidelijk.

Ik ben het dus met je eens dat HEMA alle administratieve blaam treft op consumentenniveau en ze zich als verantwoordelijke opzich wel in hun product hadden moeten verdiepen om niet belazerd te worden door een prutserige leverancier. Als die leverancier inderdaad prutste dan moeten ze daar op hun beurt de schade weer op verhalen (dan bepaal niet jij maar de rechter of de verwachtingen klopten - wij kunnen dat niet weten, ik vernoed dat de HEMA erin is getuind omdat een goede leverancier gewoon geen rommel aan ze had verkocht, jij vermoed dat dat niet zo is als ik het goed lees - waarmee je verantwoordelijkheid weghaalt uit de keten die daar mijnsinziens wel ook thuishoort).

Hoe dan ook, hoop ik dat de duizenden werknemers (op het beleidsbepalende management en eventueel een paar slapende inkopers na) een mooie baan bij de concurrent kunnen vinden.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 00:12]

Anoniem: 70599 @mae-t.net • 31 oktober 2015 18:38

Ik zeg dat het zomaar zo kan zijn. Niet dat het zo is. Eerlijk gezegd maakt me dat ook niet zoveel uit. Het interessante stuk zit hem in HEMA vs consument.

Picaroon @Anoniem: 70599 • 30 oktober 2015 19:51

Ik verwacht dat het een typisch voorbeeld is van het volgende

Anoniem: 703546 @Anoniem: 70599 • 30 oktober 2015 20:20

Ik ben geen rechter, het lijkt mij wel dat HEMA voor haar klantgegevens verantwoordelijk is, ongeacht de infra. Maar los daarvan, zou een bedrijf als HEMA niet een cloud oplossing moeten aanbieden zonder gedegen audits uit te (laten) voeren bij de leverancier(s). Als het nu gaat om de foto afhandeling (die ze volgens mij volledig binnenshuis uitvoeren, correct me if i'm wrong) of om deze data opslag (stuk minder transparant vormgegeven voor de HEMA klant), beiden moeten op het kwaliteitsniveau van het proces worden gecontroleerd, door HEMA, of door een onafhankelijke instantie.

Anoniem: 525224 @Anoniem: 221563 • 30 oktober 2015 16:04

Het punt van de Hema is.. ze hebben gi-gan-tisch veel white label producten en diensten.
Zoals het fotoalbum (waarschijnlijk is dit dan juist weer in-house); verzekeringen et cetera.

Ik vraag me af, wie er daadwerkelijk voor verantwoordelijk is.. ik denk dat het rijtje afgegaan moet worden, waarbij Hema op de eerste plaats staat.

Het nadeel van white label services; eventuele problemen zijn lastig op te lossen, of zelfs te traceren.

Anoniem: 382732 @Anoniem: 525224 • 31 oktober 2015 11:00

White label services zijn niet het probleem. Het probleem is gebrek aan domeinkennis. Men heeft zich gewoon verkeken op wat er bij iets als een cloudopslagdienst komt kijken. Het zou zo maar kunnen dat hun leverancier exact volgens HEMA requirements heeft geleverd. Je zou een ICT leverancier hoogstens kunnen verwijten (al is verwijten een te sterk woord hiervoor) dat ze als deskundigen een algemene retailer beter hadden moeten of kunnen adviseren.

weszz 30 oktober 2015 15:37

"Tegenover Nu.nl meldt de HEMA contact te hebben met de leverancier en een onafhankelijk adviesbureau "om er zorg voor te dragen dat dit product voldoet aan de eisen die wij en onze klanten hieraan mogen stellen."

Zou je dit niet doen VOORDAT je het in de verkoop doet?

Blokker_1999

Netwerk en systeembeheer

@weszz • 30 oktober 2015 15:41

Je gaat er voor een deel van uit dat die leverancier weet waarmee hij bezig is en zijn zaken op orde heeft. Wanneer we alle vertrouwen in de wereld overboord gaan beginnen gooien (iets waar sommige tweakers toch meer en meer op lijken aan te sturen door alles in iedereen in vraag te stellen) dan kun je het internet evengoed gewoon afsluiten.

Room42 @Blokker_1999 • 30 oktober 2015 15:55

Probleem met dit soort producten is dat het altijd goedkoop moet. HEMA verkoopt dit niet als serieus product maar als leuke gimmick voor de nodige impuls-aankopen voor de slenterende klant.
Ik geloof ook nooit dat hier een product designer van de HEMA bij betrokken is geweest, maar dat het gewoon een random inkoper is die een goede partij op de kop heeft weten te tikken. HEMA doet daar een smeuïg sausje marketing overheen (leuke kleurtjes, pakkende teksten) en klaar.

lepel @Room42 • 30 oktober 2015 16:30

Volgens mij betrekt HEMA vrijwel nooit een product designer bij hun producten en is het meeste gewoon white-label spul dat goedkoop ingekocht word.

Anoniem: 172410 @lepel • 30 oktober 2015 19:43

Dat klopt niet. Hema doet juist het overgrote deel van zijn producten zelf. Dat is te lezen op de website, maar weet ik toevallig ook omdat ik een product ontwikkeld heb voor Hema. Dat is altijd de drijvende kracht van de franchise geweest. Eigenlijk alles is ontworpen en getest door Hema (en de ontwerpers in dienst van). Hierin verschilt Hema dan ook danig van bijvoorbeeld Blokker of Xenos. Dat zijn veel meer dozenschuivers.

Alleen producten die te complex zijn kopen zij in bij anderen en daar plakken ze dan hun eigen label op. Helaas blijkt uit dit incident dat de expertise ook niet groot genoeg is om goed in te kunnen schatten of een product deugt. Ondertussen is het wel extreem schadelijk voor de Hema-naam, want het gros van de mensen snapt niet dat dit een ander soort product voor de Hema is dan een theedoek, kopje of wekker. Met die uitzonderingen op de regel gaan ze nu helaas onderuit.

Het is duidelijk dat Hema al een tijdje experimenteert met de formule, omdat dergelijke winkels moeten blijven vernieuwen om bij te blijven. Hema moet echter oppassen dat ze de zaken waardoor ze een begrip is geworden niet rap afbreekt. Schoenmaker blijf bij je leest, zou ik bijna zeggen.

robvanwijk

Netwerk en systeembeheer

@Anoniem: 172410 • 31 oktober 2015 14:32

quote: http://www.hema.nl/hema/over-hema
Al voordat het woord ‘huismerk’ werd uitgevonden, maakte HEMA alle artikelen al zelf: 100% HEMA.

Leuk dat ze een groot deel zelf maken, maar dan moeten ze toch nog even tot 100% leren tellen als het slechts een groot deel is.

Om het jou nóg makkelijker te maken, kiest HEMA alleen de beste basisartikelen en test die zelf, zodat jij dat niet meer hoeft te doen. Dat geldt voor de bekende HEMA helden én voor alle nieuwe producten en diensten waarmee HEMA blijft verrassen.

Ook dit is, gegeven het nieuwsbericht, simpelweg niet waar.

En voor de gein nog even hun code of conduct erbij gepakt:

We respect the privacy of our customers and employees and protect their personal data.

Hmm... juist ja.

Oftewel: je kunt wel een boel roepen en het leuk laten klinken, maar de echte test is of het ook daadwerkelijk gebeurt. Dit is een voorbeeld van een situatie waarin ze zich niet houden aan uitgangspunten die ze zeer hoog in het vaandel hebben (die "we maken alles zelf" heb ik ook in koeienletters op de muur van filialen zien staan bijvoorbeeld)...

Dat ze niet de expertise in huis hebben om een online-dienst fatsoenlijk te testen, prima, daar kan ik helemaal inkomen. Maar misschien is het dan beter om het niet halve bak "zelf te testen" (en in de winkel te leggen), maar je te realiseren dat je niet de kennis en kunde hebt om het grondig te testen, dus geen basis hebt waarop je je hand ervoor in het vuur durft te steken en dan te moeten besluiten het niet in de winkel te leggen. Als je op die manier erg veel producten of zeer lucratieve producten misloopt kun je overwegen om die kennis alsnog aan te trekken natuurlijk.

[Reactie gewijzigd door robvanwijk op 24 juli 2024 00:12]

Anoniem: 382732 @lepel • 31 oktober 2015 11:02

Als je naar de producten kijkt kan je zien dat het niet klopt wat je zegt. Een heel groot deel van het assortiment heeft een duidelijke HEMA uitstraling. Dat lukt je nooit als je alleen maar white label spul inkoopt.

nst6ldr @Blokker_1999 • 30 oktober 2015 15:48

Second opinions zijn helemaal niet zo ongewoonlijk hoor. Het gebeurd vaker dat infosec specialisten worden betrokken bij testprocedures, helemaal als het projecten betreft waar het risico tot financiele- en imagoschade groot is.

Anoniem: 175233 @nst6ldr • 30 oktober 2015 16:25

InfoSec specialisten bij een product van €9,95 bij de HEMA? Dat geloof je toch zeker zelf niet?!

Viince1 @Anoniem: 175233 • 31 oktober 2015 16:19

Ik snap echt de relatie niet tussen een productprijs en het gebruik/toepassen van informatiebeveiliging. Is die er?

Tyrian @Viince1 • 1 november 2015 20:40

Er is wel een verband. Een USB-stick van € 9,95 valt te categoriseren als een goedkoop product. Marges zijn betrekkelijk klein en om dergelijke producten goedkoop in de markt te zetten is het belangrijk om de kosten laag te houden. Goede informatiebeveiliging kost tijd en expertise en beide kosten (veel) geld. Dat kan al snel het verschil maken tussen een product met winst of een product met verlies.

nst6ldr @Anoniem: 175233 • 30 oktober 2015 16:39

Leek me niet heel onduidelijk maar vooruit:

"helemaal als het projecten betreft waar het risico tot financiele- en imagoschade groot is."

Financiële schade: mensen die schade berokkenen door het gebruik van dit product en deze dienst kunnen dat terugverhalen op Hema.
Imagoschade: zie artikel. Mensen zullen niet zo snel meer iets vergelijkbaars kopen van Hema.

Dus zo gek is het écht niet. Als je een product wilt neerzetten (zij het zelf ontwikkelen of opdracht geven tot [...]) dan zal je het zeker moeten overwegen, het alternatief is het bovenstaande.

ta_chi79 @Anoniem: 175233 • 30 oktober 2015 17:56

Er is/komt een wet waardoor bij datalekken hoge boetes opgelegd kunnen worden bij verwijtbaar handelen.
Een beetje bedrijf wil liever geen 450.000 euro afstaan voor een handjevol USB sticks van 9.95, dus voorzichtigheid is geboden bij het aanbieden van zo'n beetje alle ICT producten en diensten.

laptopleon @Anoniem: 175233 • 30 oktober 2015 21:16

Als het een product is waar er grote aantallen van verkocht worden over heel de aarde – en dat zou goed kunnen aangezien de Hema's van deze wereld hun inboedel vaak bij dezelfde handjevol fabrikanten halen – hoeft een degelijke screening weinig invloed op de prijs te hebben.

atlaste @Blokker_1999 • 30 oktober 2015 16:11

Een vriend en goede manager zei ooit eens "verwachtingen zijn dood". Wat hij ermee bedoelde is dat je geen dingen moet verwachten, maar het expliciet moet maken.

Als je verwacht dat iedere externe partij waarnaar je software uitbesteed goed zijn werk doet (wat je impliceert in je comment), kom je in de meeste gevallen bedrogen uit. Het feit is gewoon dat de meeste IT detachteerders en project-bureaus die ik ken (en ik ken er vele tientallen in Nederland) NIET goed hun werk doen. Outsourcing in het buitenland heb ik niet heel veel betere ervaringen mee overigens. Let wel, de goede mensen lopen wel rond, en de goede bureau's zijn er echt wel -- je moet alleen wel even zoeken en weten waar je op moet letten (en meestal kosten die ook best wat geld).

Om even "niet goed" expliciet te maken voor toekomstige reacties op mijn verhaal die het hier natuurlijk niet mee eens zijn. Ik zie dagelijks bad coding practices, mensen die aannames maken die niet kloppen, mensen die niet begrijpen hoe de basis van security werkt, programmeurs die vinden dat ze niet hoeven te testen, SQL injectie, programmeurs die vanwege requirements security dingen (zoals bijv. cross-side scripting) zonder uberhaupt na te denken uitzetten, etc, etc. Ik kan nog uren doorgaan met de lijst Niet Goed.

Dat neemt overigens allemaal niet weg dat ik het in hoofdlijnen gewoon met je eens ben!

Het is zo simpel. Als je een auto koopt, moet je erop kunnen vertrouwen dat het slot werkt en het ding niet explodeert , als je een auto laat repareren, moet je erop kunnen vertrouwen dat na afloop het ding weer rijdt -- en als je software koopt, moet je erop kunnen vertrouwen dat professionals hun werk goed doen.

Het issue hierbij bij de eerder genoemde IT bedrijven is vooral het laatste woord "professionals".

Anoniem: 382732 @atlaste • 31 oktober 2015 11:05

Ik wil niet zeggen dat de meesten hun werk niet goed doen. Ik zou eerder zeggen dat de meesten doen wat de opdrachtgever vraagt. Je gaat in principe geen dingen implementeren die niet in de requirements staan. Als een klant dat dan toch verwacht is dat een probleem van de klant en niet van de leverancier. Als je wel dingen gaat leveren die niet gespecificeerd zijn dan is het einde zoek.

atlaste @Anoniem: 382732 • 2 november 2015 16:28

Nee. Sorry hoor, maar ik vind echt dat ik heel veel meer mag verwachten van iemand die HBO / WO opgeleid is. We hebben het hier over professionals.

svenslootweg @atlaste • 30 oktober 2015 16:55

En dit wordt alleen maar erger. Ik noem een MongoDB-hype en startup-cultuur...

Dreamvoid @svenslootweg • 30 oktober 2015 17:07

Zoveel erger wordt het niet, door de hele geschiedenis heen loopt een rode draad van slordigheid, fraude en beschaamd vertrouwen.

atlaste @svenslootweg • 30 oktober 2015 18:51

Ik moet even lachen om je comment.

Vwb. startups. De beste experts EN de grootste idioten tref ik daar aan. That said, die tref ik ook aan in de grote bedrijven en bij de middelgrote / grote detacheerders. Volgens mij maakt de grootte van het bedrijf niet zo veel uit voor kwaliteit.

Ultimo staat en valt het volgens mij allemaal met de kwaliteit van de mensen. Goede mensen leveren goed werk, prutsers leveren prutswerk. Vaak gaat dat samen met geld, omdat goede mensen toch wel genoeg werk hebben en daarom ook maar gewoon een aardig tarief vragen.

Hoe je kwaliteit van mensen moet toetsen... ik laat ze meestal gewoon een whiteboard volkrassen met programmeer-dingen. Onderwerp maakt me niet zo veel uit. En dan kijk ik gewoon hoeveel fouten ze maken en hoe problematisch die zijn.

herbalx @Blokker_1999 • 30 oktober 2015 16:05

Dit heeft niet direct betrekking op de leverancier maar de producent.

Je kunt dergelijke fouten dan ook niet neerleggen bij de Hema of haar reseller. Ik vindt het daarom ook niet dat de naam van de Hema zo nadrukkelijk in elk artikel wordt vernoemt, terwijl het product bij elke retailer in de schappen had kunnen liggen.

Ondanks dat mag je er niet vanuit gaan dat een producent weet waar hij of zij mee bezig is, er zijn tal van manieren waarop je de kwaliteit van de productie of het ontwikkel en productie proces kan beoordelen. Nagaan of de producent haar product heeft laten onderwerpen aan een pentest of vulnerability assesment is één van de wijze waarop daar meer inzicht in verkregen had kunnen worden.

Wanneer de producent haar product op dergelijke wijze had laten testen was 80% van de kwetsbaarheden al aan het licht gekomen voor dat het product in de schappen zou liggen bij de Hema.

Echter doet het ontbreken van een merknaam en de genoemde contact informatie vermoeden dat het hier on een goedkoop chinees product gaat.

Anoniem: 126717 @herbalx • 30 oktober 2015 19:24

Dit heeft niet direct betrekking op de leverancier maar de producent.

Je kunt dergelijke fouten dan ook niet neerleggen bij de Hema of haar reseller. Ik vindt het daarom ook niet dat de naam van de Hema zo nadrukkelijk in elk artikel wordt vernoemt, terwijl het product bij elke retailer in de schappen had kunnen liggen.

Je vergeet iets, dat klant hoort te weten dat ze wellicht met de billen bloot (letterlijk) op het internet liggen. Als er gezegd wordt dat USB-sticks van het merk &%$#& getroffen zijn zegt ze dat niets. Weten zij veel dat ze er eentje hebben?

Caelestis @Blokker_1999 • 30 oktober 2015 15:56

En daarom hebben we bijvoorbeeld dingen als rijbewijzen en APK's. We vertrouwen ons mede mens niet dat ze voertuigen kunnen besturen en onderhouden maar vertrouwen dat met een papiertje ze de basis principes van veiligheid kennen en toepassen.

Nou is het internet niet een plek waar je tegen elkaar kunt botsen en gewonden en doden veroorzaken maar dat neemt niet weg dat als je een product wilt leveren je eerst moet nadenken over wat voor product je wil maken en hoe het moet werken.
Kan je het de leverancier kwalijk nemen als je bestelling plaatst met een omschrijving als "goedkoopste usb stick met online opslag" en zij dan niet standaard beveiliging meeleven omdat er niet voor betaald is?
Je krijgt namelijk de keus of je het over laat aan de leverancier voor extra geld of zet zelf je eigen beveiliging op het product maar door pure onkunde gewoon het product in de winkel gooien zonder beveilig in zijn geheel omdat dat het goedkoopste oplossing was moet gewoon strafbaar zijn net als zonder rijbewijs rond rijden.

sjettepetJR. @Blokker_1999 • 30 oktober 2015 16:01

heb hier toevallig een bonnetje van de Hema liggen, waar op staat dat ze alles zelf ontwerpen en testen. niet dus.

Soldaatje @sjettepetJR. • 30 oktober 2015 16:21

Juist wel, ze hebben de sticks wel zelf getest, dat is juist het probleem!
"plug stick in, map opent, hij doet het!"

weszz @Blokker_1999 • 30 oktober 2015 16:13

Ja en nee, vertrouwen zou je doen als het gaat om een pluchen speelgoed beertje waarvan het al jaren op de markt is. NIET als het gaat om een redelijk onbekend product en dan helemaal niet als het gaat om de consumenten markt en betrekking heeft op 'online'

Anoniem: 70599 @weszz • 30 oktober 2015 16:06

Inderdaad. Dat moet je zelfs doen.

weszz @Anoniem: 70599 • 30 oktober 2015 16:12

Zoiets meende ik ook, dat ALLES wat van een onbekende of niet geheel betrouwbare afkomst gecheckt moet worden door een derde. Merk dat de laatste tijd de Hema er sowieso de kantjes vanaf loopt

dasiro @weszz • 30 oktober 2015 21:38

grappig dat klanten zelf hun eisen mogen stellen

Johan9711 30 oktober 2015 16:24

Het ergste is nog wel dat deze sticks in de praktijk nog gewoon in de schappen liggen. Ik was net toevallig in de hema (voor een USB stick, die ik daar uiteindelijk niet heb gekocht), en ze lagen er nog gewooon. (een stuk of 10)

Theodor @Johan9711 • 30 oktober 2015 16:44

Zou er geen kopen,zelf paar maanden geleden 2 gekocht puur omdat ik een tegoedbon had.
Helaas zijn ze al overleden....dus rommel

Anoniem: 149075 @Theodor • 30 oktober 2015 16:55

Je wilde zeker een HA VM booten en failover kunnen doen naar AWS

PhrackTheLord @Theodor • 30 oktober 2015 19:54

Daarom heb je natuurlijk de online backup!

Netrunner @Johan9711 • 30 oktober 2015 16:29

"Het ergste is nog wel dat deze sticks in de praktijk nog gewoon in de schappen liggen."

Ja want dat is een representatieve steekproef.

Roytoch @Netrunner • 30 oktober 2015 18:01

Maakt toch niet uit of het bij 1 vestiging is of bij 2000? Dit product moet gewoon uit de handel worden genomen.

Anoniem: 382732 @Roytoch • 31 oktober 2015 11:01

Een aantal HEMA winkels zijn van franchisers. Daar heeft HEMA minder invloed op.

williamvdh 30 oktober 2015 15:45

Op de URL uit de advertentie staat niets, behalve een "404 pagina niet gevonden" melding. Moet de HEMA hier geen waarschuwing laten zien en een gratis verzekering tegen identiteitsfraude aanbieden? Of hebben ze dat al op een andere plaats gedaan?

Armin

Netwerk en systeembeheer

@williamvdh • 30 oktober 2015 21:28

Moet de HEMA hier geen waarschuwing laten zien en een gratis verzekering tegen identiteitsfraude aanbieden

Dat laatste is inderdaad de mode in de VS bij datadiefstallen. Ook bij hacks die geen identiteitsdiefstal kunnen veroorzaken. Dus het is echt een mode-gimmick aan het worden.

In Nederland is identiteitsdiefstal veel en echt heel veel moeilijker. Simpelweg omdat wij een GBA hebben. Slecht voor de privacy, maar goed voor de veiligheid in deze context. Amerikanen hebben meer privacy tov hun overheid dan wij Nederlanders, maar daarom zijn ze wel gevoeliger voor identiteitsdiefstal.

In Nederland kan je zelfs met volledige adres, geboortedatum, BSN en telefoonnummer nog steeds geen zaken als belastingtoeslagen aanvragen en bankrekeningen openen doen. In de VS nog wel, al is dat nu ook aan het veranderen.

Dus ik denk dat HEMA gewoon de dienst offline haalt en dat daarmee voor heb de kous af is.

Deem 30 oktober 2015 15:38

Is niet de eerste keer dat Hema USB gerelateerde producten moet terugroepen. Eerder waren dat als de Powerbanks, en nu dan die USB sticks.

torp @Deem • 30 oktober 2015 16:29

Kortom, de tweede keer. Je eerste zin is wel erg suggestief. Ook is het verband niet zo groot, immers bij de Powerbanks ging het niet om security. Wel om veiligheid.

[Reactie gewijzigd door torp op 24 juli 2024 00:12]

Spookie 30 oktober 2015 15:39

Dit vind ik dus de reden waarom sommigen bedrijven bepaalde diensten niet moeten aanbieden, als ze hierin niet hierin de kennis en kunde heeft..

Iedereen moet online, alles in de cloud hebben zonder ook maar impact te hebben. Ik ben benieuwd wat hiervan het gevolg is, en hoeveel mensen gebruiken, en als ze terug komen binnen kort ook weer gaan gebruiken.

Jammer dat dit niet van te voren getest is.

[Reactie gewijzigd door Spookie op 24 juli 2024 00:12]

glatuin 30 oktober 2015 15:39

"Echt Hema" daar ga je ook heen voor veilige cloud opslag. Leuk dit soort acties maar ik ben bang dat dit soort bedrijven te weinig kennis hebben om dit soort producten in de schappen te leggen. Probleem is waarschijnlijk ook de prijs. Op de USB sticks zit te weinig marge om een Hema IT-er de security te laten onderzoeken.

Anoniem: 149075 30 oktober 2015 15:59

Ik weet uit zeer betrouwbare Hema bron dat Hema niet meer bij zijn leest is. Ze proberen op iedere mogelijk manier alles te verkopen, gaan op hun bek, leren er van en de volgende manager die het er weer doorheen pusht zonder na te denken en daar gaan ze weer.

Het probleem bij Hema is dat er veel gezinnen van dit bedrijf afhankelijk zijn en daar doen ze hun best voor. De gedachte van de Hema is zo slecht niet nog maar ze hebben te weinig kunde en teveel showboys lopen die het niet weten maar pretenderen van wel.

Hema is ook onderheving aan de klant die niet meer komt als je geen USB kabel in je schappen hebt liggen, die vinden ze dan te duur dus moet er iets exra's bij wat een ander niet heeft.

Het is de economie, de klant koopt overal tegen de laagte prijs en Hema probeert niet om te vallen.

It's a sad world, nee en dit is geen marktwerking dus laat die reactie maar achterwege

robbinwehl 30 oktober 2015 16:25

De key van je complete amazon s3 bucket in de software implementeren wat er als plaintext uit te halen is noem ik echt amateuristisch.

Mavamaarten 30 oktober 2015 16:35

Waarom je ooit 1GB online-opslag zou nemen bij een USB stick van 8/16GB ontgaat mij ook. Betaal dan een paar euro meer en koop een USB stick die 2x zo groot is?
Dingen opslaan in de Cloud is sowieso privacygevoeliger, en daar heb ik die paar euro wel voor over.

Op dit item kan niet meer gereageerd worden.

'Onlineback-ups Hema-usb-sticks waren publiekelijk toegankelijk'

Lees meer

De diskGenie op de pijnbank gelegd

IT-banen

Reacties (120)

Sorteer op:

Weergave: