Onderzoeker vindt database personen met 'veiligheidsrisico'

Een onderzoeker claimt op Reddit dat hij een database in handen heeft van personen met een 'verhoogd veiligheidsrisico', onder wie mensen met vermeende banden met terrorisme. Het zou gaan om een lijst van Thomson Reuters, die door banken voor financiële screening gebruikt wordt.

De onderzoeker, Chris Vickery, heeft Motherboard inzage gegeven in de lijst. De database bevat 2,24 miljoen entries, onderverdeeld in categorieën als 'politiek', 'militair', 'criminaliteit - drugs' en 'terrorisme'. Het zou gaan om een kopie van de 'World-Check'-database van Thomson Reuters uit halverwege 2014.

Vickery maakt niet bekend hoe hij aan de database komt, maar claimt dat het niet om een hack maar om een lek gaat, en niet via Thomson Reuters zelf. Hij vraagt via Reddit-gebruikers om meningen of hij de database vrij moet geven.

World-Check is volgens Motherboard gebaseerd op publieke informatie en klanten kunnen de database gebruiken om personen financieel te screenen. Privacywetten stellen strikte voorwaarden aan het verzamelen, verwerken en analyseren van informatie, zoals voor de lijst is gebeurd. In een bericht van februari belichtte Vice het bestaan van World-Check, waarbij de site ernaar verwees onder de noemer 'terrorisme-zwartelijst'.

In een verklaring aan Motherboard stelt Thomson Reuters dat het probleem bij een derde partij lag, die op de hoogte is gebracht en de lijst offline heeft gehaald. Het bedrijf weerspreekt dat het om een 'zwarte lijst' gaat en stelt dat het financiële data verzamelt uit openbare bronnen, die organisaties kunnen gebruiken om te voldoen aan regelgeving. Het bedrijf dat is gespecialiseerd in informatiediensten, claimt zesduizend klanten uit 170 landen te hebben voor World-Check, waaronder meer dan driehonderd overheidsdiensten, negen van de top tien grote advocatenkantoren en 49 van de 50 grootste banken.

IT-banen

Reacties (15)

zetmolm 29 juni 2016 17:47

Het gaat om een lijst met mensen met een 'verhoogd risico'. Terroristen en andere criminelen zijn maar een klein onderdeel van de lijst. Zo staat iedereen die wereldwijd een enigszins in het oog lopende politieke functie bekleedt (de zogenaamde PEPs, 'politically exposed persons') ook op de lijst, waaronder de leden van onze regering. Nu kun je hierover misschien van mening verschillen, maar Rutte en de zijnen beschouw ik nou niet direct als criminelen die gelyncht moeten worden, laat staan als terroristen.

Het is dus ook niet zo dat je leven per definitie verziekt is wanneer je op die lijst staat, dat hangt o.a. af van de categorie waaronder je valt. En WorldCheck verwijdert wel degelijk mensen van de lijst als het risico niet meer bestaat.

Er bestaan publiek toegankelijk lijsten van (vermeende) terroristen en drugsdealers e.d. Je kunt bijv. zo'n lijst downloaden van de site van Amerikaanse ministerie van financiën. World Check gebruikt die openbare lijsten ook, maar voegt op basis van eigen research allerlei categorieën en namen toe. Daarbij gebruiken ze inderdaad open bronnen. Simpel gezegd, als ze in de krant lezen dat Donald Duck burgemeester is geworden van Duckstad, zetten ze Donald Duck op de lijst, met de categorie PEP.

De kans dat je onterecht op de lijst komt is niet zo groot. De kans dat een instelling verkeerd omgaat met de lijst bestaat wel. Zo bevat de lijst niet alleen namen, maar ook verdere identificerende informatie (bijv. geboortedatum, land). Als je toevallig Osama Bin Laden heet maar in 1990 in Nederland geboren bent, is er in principe niks aan de hand, maar als een instelling die op de World Check-lijst geabonneerd is niet verder kijkt dan de naam, kun je toch een probleem hebben.

bbob

Netwerk en systeembeheer

@zetmolm • 29 juni 2016 18:28

Probleem met openbaar maken van zo een lijst is dat die een eigen leven gaat krijgen. Mensen die verder niet de achtergrond informatie hebben die bij die lijst hoort kunnen verkeerde conclusies gaan trekken over personen op de lijst.

Sta je op zo een lijst vanwege fucntie moet je misschien weer verklaren waarom je op die lijst komt. Op internet hoeft maar 1 iemand tegenwoordig iets te roepen en de copy paste pers neemt het over en je bent ineens dader van iets waarbij iets ook nog eens niet beschreven wordt.

Mathijs @zetmolm • 29 juni 2016 21:44

En WorldCheck verwijdert wel degelijk mensen van de lijst als het risico niet meer bestaat.

Ja, maar als je op deze uitgelekte database staat dus niet wanneer deze openbaar wordt gemaakt.
Daar sta je dan tot in den treuren op, voor iedereen gratis zichtbaar, want die verandert nooit meer.

Dus ik vind niet dat deze onderzoeker tot publicatie over moet gaan.

The Zep Man

Netwerk en systeembeheer

29 juni 2016 17:03

Het bedrijf weerspreekt dat het om een 'zwarte lijst' gaat en stelt dat het financiële data verzamelt uit openbare bronnen, die organisaties kunnen gebruiken om te voldoen aan regelgeving.

Dat de databron met informatie van publiekelijk beschikbare bronnen is samengesteld maakt het niet alsof de databron qua beveiliging maar als publiekelijk beschouwd moet worden. Zo werkt het verwerken van persoonsgegevens niet.

Deze databron is zeer gevoelig. Als je erop staat (terecht of onterecht) dan kan dat je complete leven verzieken. Als ze deze lijst al niet geheim kunnen houden, houden ze zich dan wel aan de overige 'strikte voorwaarden' bij het beheren van de lijst?

Let ook op dat het wel eens onmogelijk zou kunnen zijn om een persoon van deze lijst te halen. Bijvoorbeeld: organisatie X heeft kopie 1 van deze lijst en krijgt op een later moment een up-to-date kopie 2. Er staat organisatie X niets in de weg om alleen de nieuwe nieuwe personen van kopie 2 toe te voegen aan kopie 1, om vervolgens de gecombineerde verzameling te gebruiken voor besluitvorming.

De database bevat 2,24 miljoen entries, onderverdeeld in categorieën als 'politiek', 'militair', 'criminaliteit - drugs' en 'terrorisme'.

Als deze lijst uitlekt, dan kunnen die 2,24 miljoen mensen mogelijk nergens meer aan de bak komen. Ben je ooit toen je jong was opgepakt voor een jointje (niet geheel ondenkbaar in de VS) zeg dan maar gedag tegen toekomstig werk.

Wie bepaalt trouwens of iemand een politiek veiligheidsrisico is? Dat lijkt mij zeer gevoelig (en gevaarlijk).

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:32]

Verwijderd @The Zep Man • 29 juni 2016 18:58

Ben je ooit toen je jong was opgepakt voor een jointje (niet geheel ondenkbaar in de VS) zeg dan maar gedag tegen toekomstig werk.

Je moet iets meer werk verzetten als wat softdrugs gebruiken om op deze lijst te komen.

CivLord

@Verwijderd • 30 juni 2016 08:02

Maar hoe staan de criminelen er op?
Stel dat topcrimineel Jan Jansen volstrekt terecht op die lijst staat. Hoe wordt het onderscheid gemaakt met mijn buurman Jan Jansen die zijn hele leven nog nooit iemand kwaad heeft gedaan?
Er zijn genoeg voorbeelden in de pers verschenen dat personen met een Arabisch klinkende naam geweigerd werden van een vlucht omdat die naam erg leek op één van de vele schrijfwijzen van de naam van een terrorisme verdachte.

Fly-guy

@The Zep Man • 29 juni 2016 17:42

Als deze lijst uitlekt, dan kunnen die 2,24 miljoen mensen mogelijk nergens meer aan de bak komen. Ben je ooit toen je jong was opgepakt voor een jointje (niet geheel ondenkbaar in de VS) zeg dan maar gedag tegen toekomstig werk

Ik denk dat dat wel mee gaat vallen.

Even snel gezocht kom ik op een artikel uit 2008 waarin staat dat op dat moment er 2 miljoen mensen in de Amerikaanse gevangenissen zitten. Vast niet allemaal uit de VS, maar durf wel te stellen ene groot gedeelte daarvan. Van die 2 miljoen is 25% daar voor een drugs gerelateerd vergrijp, dus 500.000 mensen. En dat dus op het moment van onderzoek, 2008. Dus er zijn zat mensen die daarvoor veroordeeld zijn en hun straf inmiddels uitgezeten hebben.

Het totale aantal mensen wat ooit veroordeeld is voor drugs gerelateerde zaken in de VS zal derhalve waarschijnlijk de 2,24 miljoen van de lijst ver overstijgen, wat geen basis geeft voor je opmerking dat een veroordeling voor slechts een jointje je op deze lijst doet belanden.

Iblies 29 juni 2016 17:05

Eerste waar ik aan moest denken was er BKR.
https://nl.wikipedia.org/wiki/Bureau_Krediet_Registratie

Daar zijn dus meer dan 800 bedrijven bij aangesloten. Kan me voorstellen dat in de US ook een dergelijk systeem dat gehacked is.

dbram 29 juni 2016 17:23

Och ja, ik dacht dat die lijsten destijds publiek waren ?

Worldcheck, eulist, worldlist. Je moet betalen bij sommige providers om regelmatig updates te krijgen en er bestaat software om die lijsten te laten matchen met databases van je eigen klanten.

Maar de lijsten zelf waren destijds in ieder geval publiek beschikbaar...

Edit:
Correctie, de worldcheck dus niet publiek, maar wel bereikbaar voor iedereen die ervoor wil betalen...

Edit:
Correctie:
Enkel beschikbaar voor bepaalde financiële instellingen en wordt als confidentieel beschouwd.

[Reactie gewijzigd door dbram op 23 juli 2024 00:32]

Danster 29 juni 2016 17:36

In een bericht van februari belichtte Vice het bestaan van World-Check, waarbij de site er naar verwees onder de noemen 'terrorisme-zwartelijst'.

World-check bestaat al heel lang dus ik snap niet waarom dit opeens nieuw is. Misschien voor breed publiek maar specifieke sites voor specifieke bedrijven zijn er in allerlei vormen en maten. Bij ons bedrijf gebruiken we dit al zeker sinds 2004. De bronnen zijn divers, van intrerpol to you name it.

https://en.wikipedia.org/wiki/World-Check

todeko 30 juni 2016 15:52

Veel van deze data is al openbaar: kijk maar naar de SDN lijst van OFAC: https://www.treasury.gov/...N-List/Pages/default.aspx

Nitramuse 29 juni 2016 17:25

Wow, wow, wow. Chill ff uit. Als deze data vrijkomt dan worden die mensen gelynched, daar kan je van opuit gaan.

En wat als je daar onterecht op staat, wat is de criteria om op die lijst te komen. Eén overtreding die nergens op slaat? Of mensen die miljoenen verduisteren of banden met terrorisme hebben?

Als het allemaal heavy hitters zijn, dan is de wereld misschien beter af. Maarja, waar trek je die lijn? Misschien is dit wel een digitale A-bomb, misschien is het nep...

CivLord

@Nitramuse • 30 juni 2016 08:06

Als het allemaal heavy hitters zijn, dan is de wereld misschien beter af. Maarja, waar trek je die lijn? Misschien is dit wel een digitale A-bomb, misschien is het nep...

En hoe zit het met iedereen die toevallig dezelfde naam heeft als iemand op de lijst?

mutley69 29 juni 2016 21:37

Als je uithaalt naar een bedrijf - dan ben je een trol. Wel - wat staat in dit artikel - men verzamelt data en men stopt die personen als gevaarlijk in een databank.
Moeten we blij zijn?
Ik denk het niet.
Vandaar ook dat je geen enkel bedrijf mag vertrouwen. En laten we eerlijk blijven - de meeste it-bedrijven doen er echt alles aan om dat vertrouwen te beschadigen - een beetje eerbied voor het individu is erg ver zoek.
Is die lijst echt - dat kan je pas uitvissen als je 'm kan doorploegen. Wetende dat ik elke website die ik bezoek bombardeer met slechte termen - en hun databanken met vuilnis bezoedel - is de kans groot dat ik op die lijst sta. So be it! Dat is gewenst - want het is valse informatie.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (15)

Sorteer op:

Weergave: