'Zevenhonderd documenten van Klacht.nl-gebruikers waren in te zien via Google'

Bij de site Klacht.nl was sprake van een datalek, waardoor documenten op de site via Google gevonden konden worden. Volgens RTL Nieuws gaat het om ongeveer zevenhonderd documenten van gebruikers, zoals kopieën van rijbewijzen en bankafschriften.

Bij weer andere documenten ging het om kopieën van incassobrieven, belastingaangiftes, vliegtickets en aankoopbonnen, aldus RTL. Die waren in te zien omdat de directory met uploads te benaderen was. Het zou veelal gaan om recente documenten, uit 2017 en dit jaar. Op de site kunnen mensen een klacht indienen over een organisatie. Volgens RTL gingen gebruikers ervan uit dat geüploade documenten alleen zichtbaar zouden zijn voor de betreffende organisatie.

Een woordvoerder van de klachtensite zei in eerste instantie tegen RTL dat gebruikers zelf verantwoordelijk zijn voor het uploaden van de bestanden, maar de site zou later alsnog de directory hebben afgeschermd. De woordvoerder zegt het incident 'heel vervelend' te vinden. Inmiddels is ook het klachtenformulier aangepast. Daar staat nu dat gebruikers geen persoonlijke informatie naar de site moeten uploaden.

Inmiddels zijn de documenten niet meer via Google te vinden. RTL zegt met publicatie gewacht te hebben tot de documenten ook daar waren verdwenen.

IT-banen

Reacties (85)

henkjobse 12 maart 2018 16:46

Zou dit niet bij de Autoriteit Persoonsgegevens gemeld moeten worden als datalek: https://autoriteitpersoon...ing/meldplicht-datalekken

Belangrijke factor is daarbij:

U hoeft niet ieder datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk.

BSN nummers en soortgelijke zijn bijzondere persoonsgegevens en zou het melden rechtvaardigen.

Elefant @henkjobse • 12 maart 2018 17:20

Persoonlijk vind ik dat ook Google een forse boete moet krijgen voor het verspreiden van prive informatie. Als ik iets op Facebook openbaar deel dat de wet overtreedt wordt ik ook aan het kruis genageld. Dat moet ook voor Google gelden. Wij staan Google toe om alles maar binnen te halen en publiekelijk beschikbaar te maken zonder dat ze daar toestemming voor hebben. Dat is idioot. Google zou alleen informatie van sites mogen halen na expliciete toestemming. Dat Google geen barst geeft om eigendomsrechten blijkt ook wel hoe ze boeken ongevraagd hebben gescand. Het wordt echt tijd dat de wetten flink worden aangescherpt om ons te beschermen tegen de vraatzucht van multinationals. Ook die arrogante houding moeten ze ze eens snel afleren. Of je houdt je aan de lokale wet of je pakt je boeltje maar op. Het wordt tijd wij weer eens ons nationale belang boven het winstbejag van multinationals gaan stellen.

robvanwijk

Netwerk en systeembeheer
Privacy

@Elefant • 12 maart 2018 17:40

Google zou alleen informatie van sites mogen halen na expliciete toestemming.

Leuke theorie, maar dat werkt in de praktijk van geen kanten. Nagenoeg iedereen wil nou juist wel gevonden worden, dus zelfs als er zo'n instelling is zal alle server-software die default op "ja" zetten.

Daarnaast, als je iets openbaar op Internet zet (en Google kan niet achterhalen of dat opzettelijk of keihard prutswerk is), dan geef je daarmee toestemming aan de hele wereld (inclusief Google) om die informatie op te halen.

Er is wel een opt-out (via robots.txt), die gewoon prima werkt.

TL;DR: Google heeft in dit geval helemaal niets fout gedaan: niet juridisch, niet moreel.

==========================================

En het belangrijkste: dat het in de index van Google terecht is gekomen is niet de kern van het probleem; dat is alleen een gevolg. Het echte probleem is dat de informatie voor iedereen op te vragen was. Als je dat probleem oplost, dan is het gevolg (dat Google erbij kan) ook meteen opgelost.

Step5 @robvanwijk • 12 maart 2018 19:32

Google heeft het waarschijnlijk ook alleen geïndexeert omdat het een link volgt

sebastienbo @Step5 • 13 maart 2018 05:29

Wat betekend zelf verantwoordelijk zijn voor uploaden ?
Uploaden is toch een werkwoord, zodra het verstuurd is, staat het op de servers van de bestemmeling en die hoort toch alles te doen om het te beschermen?
Die verantwoordelijkheid mag hij toch niet afwimpelen?

[Reactie gewijzigd door sebastienbo op 24 juli 2024 18:59]

Elefant @robvanwijk • 12 maart 2018 18:29

Als iedereen gevonden wil worden dan willen ze daar ook wel expliciet toestemming voor geven.

Dat vraag ik me af. We zouden de informatie die we met Google willen delen moeten scheiden van de site inhoud zelf. Daarmee ben je ook gelijk af van veel gemanipuleer om sites hoger in de ranking te krijgen en Googles excuus om alles te bekijken om tot een betere ranking te komen.

Juist dat gemanipuleer van google wie wat te zien krijgt is erg gevaarlijk omdat iedereen in een eigen bel wordt opgesloten. Dat maakt het ook mogelijk voor Google om informatie te verstoppen zonder dat mensen die er gericht naar zoeken iets merken. Omgekeerd krijg je dingen voor je neus geschoteld die Google wil dat jij of een bepaalde groep of iedereen leest. Daarmee kan je bijvoorbeeld verkiezingen effectief beinvloeden of stemming maken.

Maar ik denk eerlijk gezegd ook dat het nooit gaat lukken om bedrijven als Google en Facebook echt te temmen, daarom denk dat de overheid nationale alternatieven moet scheppen die aantrekkelijk zijn. Dat is volgens mij helemaal niet zo moeilijk, zie hier wat ideeen. Er is alleen politieke wil nodig. Het voordeel is dat je hun monopolie breekt en je gelijk werkgelegenheid schept.

Vayra @Elefant • 12 maart 2018 19:06

daarom denk dat de overheid nationale alternatieven moet scheppen die aantrekkelijk zijn.

In een wereld die een dorp is geworden dankzij internet wil je nationale alternatieven. Dat is een paradox en bij voorbaat kansloos.

Op EU-niveau zou het nog wel kunnen, maar zelfs dat ga je niet redden tenzij je die service voor iedereen toegankelijk maakt. Wereldwijd dus.

Politieke wil heeft hier niets mee te maken. Dankzij politieke wil krijg je van die trieste clubs zoals de onlangs gelanceerde EU-gedachtenpolitie, en mensen die zich daardoor laten leiden. Dat is net zo erg, zo niet veel erger dan het kwaad dat je bestrijdt.

Om Google's datahonger te bestrijden heb je maar één ding nodig en dat is een beetje gezond verstand en bewustwording. Nadenken over wat je doet, en zo. Dat dat niet aan iedereen is besteed, is evident, maar het alternatief is een samenleving inrichten op de minst capabele figuren die erin rondlopen. Dat lijkt me nog veel onwenselijker. En er zijn al maatregelen genomen om die bewustwording bij mensen te kweken, denk aan de verplichte meldingen omtrent privacy die je af en toe zonder blikken of blozen wegklikt...

[Reactie gewijzigd door Vayra op 24 juli 2024 18:59]

Blokker_1999

Datalek
Netwerk en systeembeheer
Privacy

@Elefant • 12 maart 2018 17:50

Krijg ik toestemming van U om je comment te lezen?

Je verspreid iets openbaar op een website en komt dan klagen omdat iemand het gezien heeft en vindbaar maakt. En neen Google haalt niet zomaar alles binnen. Elke websitebeheerder kan perfect aangeven welke paginas wel en niet mogen bekeken worden door Google (en andere zoekmachines). En de meeste volgen die regels ook netjes.

Dus ja, eigenlijk hebben ze die toestemming wel. Je moet je trouwens eens inbeelden hoe moeilijk jij ooit iets op het net gaat vinden als zoekmachines zoal Google niet zouden bestaan. Zoek maar eens iets over een onderwerp waar je nog niets over weet.

En ik geloof dat wat die boeken betreft Google enkel maar volledige boeken doorzoekbaar maakt waarvan het copyright is vervallen. Noem trouwens eens wat wetten die ze zwaar met de voeten treden. De grootte multinationals mogen dan vaak wel de rand van het legale opzoeken en er soms lichtjes overgaan, over het algemeen zijn ze nog redelijk braaf.

Elefant @Blokker_1999 • 12 maart 2018 18:40

Dat jij een boek of tijdschrift mag lezen wil toch ook niet zeggen je het op internet mag zetten waar iedereen het kan lezen? Jij mag mijn teksten lezen, maar daarom mag Google ze nog niet verder verspreiden zonder mijn toestemming. Ik begrijp niet waarom jij dat raar vindt. Ja Larry en Serge mogen het hier lezen, maar ze mogen het niet in hun computer stoppen, om aan mijn profiel toe te voegen. Of daar informatie uit te halen voor mijn profiel. Noch mogen ze zulke informatie direct of indirect ongevraagd verpreiden, vind ik .

Waarom zou alles wat ik schrijf in de zoekmachine van Google moeten komen? Daar zit ik helemaal niet op te wachten. Vind jij het prettig dat je ongevraagd op straat wordt gevolgd en gefotografeerd door iemand die een dossier over je aanlegt en de foto's openbaar maakt? Dat mag helemaal niet. Maar Google doet dat wel. Daarbij vind ik een particuliere site geen openbare ruimte maar hooguit een een semi-openbare ruimte waar nog strengere eisen gelden. Daar mag je alleen informatie verzamelen met toestemming van de beheerder en zelfs dan mag je niet publiceren zonder toestemming van de persoon waarover je informatie verzamelt.

Weet jij wel hoe absurd streng de privacy wetten zijn voor werkgevers? Ze mogen bijna geen informatie over hun werknemers bewaren. Boetes zijn gigantisch. Waarom mag Google dan alles maar wel doen. Klopt niets van. Tijd om dit te veranderen.

[Reactie gewijzigd door Elefant op 23 juli 2024 05:11]

Blokker_1999

Datalek
Netwerk en systeembeheer
Privacy

@Elefant • 12 maart 2018 18:51

Google verspreid ze ook niet verder. Ze geven alleen aan waar ze gevonden kunnen worden. Google doet daat ook niet aan profilering. Ze tracken je op vele manieren, maar niet op wat je op andere sites post.

En een site is geen ruimte. Het internet is geen publiek domein. Deze site is private eigendom, gehost op private servers en de eigenaars van deze site beslissen wie toegang krijgt tot wat. Dat jij je post hier neerzet betekend ook direct dat jij akkoord gaat met hoe deze beheerders daarmee omspringen. En als zij ervoor kiezen om deze posts vindbaar te maken in zoekmachines zoals Google, dan hebben zij dat recht. En dan heb jij de keuze: posten en vindbaar maken of niet posten.

Jij blijft er maar vanuit gaan dat die toestemming er niet is. Kijk eens naar http://tweakers.net/robots.txt . Daar geven ze heel netjes aan wat niet geïndexeerd mag worden. En spijtig voor U, maar je posts staan er niet tussen.

Elefant @Blokker_1999 • 13 maart 2018 13:20

Ze profileren wel degelijk. Bedrijven als Facenook en Google volstaan niet met informatie binnen te slepen, maar willen alles logisch bij elkaar brengen tot een zinvol profiel waarmee ze adverteerders gericht kunnen laten adverteren maar dat ook heel goed voor andere doeleinden is te gebruiken. Dat is juist hun kracht. Je hebt weinig aan een berg ongerelateerde informatie.

Nee Google en Facebook weten wat jouw voorkeuren zijn, wat jouw mening is, met wie je in contact staat, waar je werkt, wie je familie is, met wie je het meeste tijd doorbrengt, waar je tijd doorbrengt enz. De Communistische Stasi waren amateurs bij wat Google en Facebook doen. Met vijftig likes kunnen ze je voorkeuren al beter inschatten dan je vrienden. Met vijfhonderd likes kennen ze jou beter dan jij jezelf. Het werd door Trump gebruikt om mensen hele persoonlijke verkiezingsboodschappen te brengen die inspeelden op hun diepere verlangens.

Als ik dingen op een site kan plaatsen is het een ruimte, inderdaad een privaat ruimte die onder voorwaarden betreden mag worden. Maar ze zijn ook semi-openbaar net als restaurants. Een restauranthouder mag niet alles doen waar hij zin in heeft. Daarom mag er niet meer gerookt worden in "openbare gelegenheden" en is alcoholverkoop aan voorwaarden gebonden enz.

ik begrijp hoe het nu is, en ook hoe het historisch gegroeid is, maar dat zie ik graag veranderen. Maar de meeste mensen schijnen niet meer out of the box te kunnen/willen denken. Als het zo is dan is het nu een maal zo. Dat vind ik onverstandig omdat de zaak scheef is gegroeid en verder scheef groeit.

Ik lees steeds maar: zo is de wet. Alsof wij niet meer in staat zijn om nieuwe wetten te maken of wetten te veranderen. Ja wat Google doet is nu legaal, dat ontken ik helemaal niet, Ik vind dat het illegaal moet worden op basis van ethische, politieke, economische overwegingen. Ik vind dat wij het anders moeten gaan structureren. Dat kan. Wij kunnen het Internet nationaal opzetten zoals wij dat willen. Wij kunnen het veel veiliger, profijtelijker voor onze burgers en bedrijven maken. Bedrijven als Google en Facebook creeren boven alles enorme afhankelijkheid die tegen je keert.

Helaas kunnen/willen veel experts niet verder denken. Toen een Duitse minister een alternatief zocht voor kernenergie om elektriciteit op te wekken en aan zonneenergie dacht, kreeg hij van de experts te horen dat dat nooit meer dan 3% van de elektriciteitsbehoefte kon dekken. Zelfs Green Peace kwam niet verder dan 5%. Toen hij door ging vragen kwam hij er achter dat niemand ook maar een onderzoek kon laten zien waaruit dit bleek. Ze bleken elkaar allemaal veilig na te praten. Hij zette zijn eigen zin door, werd voor gek verklaard, en nu wordt 50% van de elektriciteit ermee opgewekt. Met Musk is het het zelfde verhaal. Mensen die de fundamenten durven onderzoeken.

Je hoeft geen raketgeleerde te zijn om te zien dat de machtsconcentraties zoals die nu ontwikkelen heel verkeerd gaan aflopen en dat het tot uitholling van onze nationale belangen en welvaart leiden. Dingen kunnen best anders, kijk eens naar Japan, een land met een hele moderne industrie die echter nooit veel werk heeft gemaakt van kantoorautomatisering maar dingen liever simpel handmatig hield. Zij laten zich niet gek maken door alle hoogdravende marketingverhalen van voordelen die in praktijk niet of nauwelijks materialiseren. Duitsland idem, ze werken er uren korter dan de Amerikanen, maar hun arbeidsproductiviteit is stukken hoger. Waarom? Omdat ze niet vele uren per dag online doorbrengen, maar gewoon werken.

Begrijp goed dat neoliberalisten/corporaties alles wat riekt naar nationalisme als gevaar voor hun belangen beschouwen en liefst afschilderen als herleving van gevaarlijk neonazisme. De onderliggende strijd is, wie is de baas in een land, het eigen volk, of grote buitenlandse en internationale machten. Waarom hebben wij ons eigenlijk van grootmacht Spanje losgemaakt? Hoe kan zo een klein landje nou op eigen benen staan? Waar haalden onze voorouders die moed vandaan? Wat dwaas.

Wij hebben Google en Facebook niet nodig. Dat is alleen maar de illusie die ze spinnen. En als je ze lang genoeg macht geeft dan wordt het inderdaad zo omdat je ze alles laat overnemen. En ze zijn niet dom hoor, ze beinvloeden de media actief in hun voordeel, zoals zo veel grote bedrijven.

[Reactie gewijzigd door Elefant op 24 juli 2024 18:59]

Finraziel

@Elefant • 12 maart 2018 18:56

Waar staat dat Google het openbaar maakt? Google maakt het vindbaar, maar voor zover ik in kan schatten moest je nog altijd naar de klacht.nl zelf (via de link van Google dan weliswaar) om het betreffende document te zien. Google toont wellicht een paar regels, maar dat is ook wel zo handig om een beetje te kunnen zien wat iets is voor je er op klikt. Ik wil niet zeggen dat we alles wat Google doet maar goed moeten vinden, maar wat jij voorstelt lijkt het einde van search engines te zijn.

watercoolertje @Elefant • 12 maart 2018 20:24

Vind jij het prettig dat je ongevraagd op straat wordt gevolgd en gefotografeerd door iemand die een dossier over je aanlegt en de foto's openbaar maakt?

Met het verschil dat als jij een site bezoekt (wat gelijk staat aan het bezoeken van een openbare plek) Google je helemaal niet kan achtervolgen (tenzij de eigenaar van de site dat bepaald en Analytics plaatst).

Maar jij laat wat (openbaar) achter (een reactie in geschrift wat openbaar op te vragen is), alsof je ergens op een openbare plek gratify spuit en dan gaat klagen dat mensen er foto's van hebben gemaakt

Je vergelijking gaat dus gewoon niet op...

mae-t.net @Elefant • 13 maart 2018 13:01

Een toegankelijke particuliere site is geen semi-openbare ruimte, maar gewoon een etalage aan een drukke straat.

bangkirai @Blokker_1999 • 12 maart 2018 18:33

Elke websitebeheerder kan perfect aangeven welke paginas wel en niet mogen bekeken worden door Google (en andere zoekmachines). En de meeste volgen die regels ook netjes.

Probleem is dat dingetjes als robots.txt of htm tag noindex NIET betekend, dat de informatie veilig is, absoluut niet.
Alleen denken veel websitebeheerders, dat misschien wel??

watercoolertje @bangkirai • 12 maart 2018 20:18

Klopt, alleen het ging om het afschermen van Google en dat kan dus gewoon.

mae-t.net @watercoolertje • 13 maart 2018 12:56

Met robots.txt scherm je niets af. Je vraagt alleen maar beleefd of ze het misschien niet willen opslaan.

watercoolertje @mae-t.net • 13 maart 2018 18:13

Je schermt wel degelijk af dat je content niet te vinden is in een zoekmachine, wat is precies je punt en hoe is dat relevant op discussie die hier gevoerd word omtrent het wel/niet indexeren en tonen van content in Google?

HenkEisDS @Elefant • 12 maart 2018 17:36

Ik ben het niet met je eens, maar ik snap je gedachtegang wel. Punt is dat je zelf kiest om iets pubiekelijk beschikbaar te maken door het te hosten op een voor het publiek beschikbare website. Dat google dit indexeert is normaal en goed vind ik.

Wat google wel als feature zou moeten hebben is een soort van waarschuwingssysteem als ze vermoeden dat ergens persoonsgegevens staan. Dit zouden ze dan misschien niet kunnen tonen totdat de website eigenaar expliciet in zijn robots.txt heeft gezet dat het gewenst is dat dit geindexeert wordt.

Onbegrijpelijk dat je omlaag gemod wordt. Dat mensen het niet met je eens zijn zou hier los van moeten staan.

Mellow Jack @HenkEisDS • 12 maart 2018 17:56

Wat google wel als feature zou moeten hebben is een soort van waarschuwingssysteem als ze vermoeden dat ergens persoonsgegevens staan. Dit zouden ze dan misschien niet kunnen tonen totdat de website eigenaar expliciet in zijn robots.txt heeft gezet dat het gewenst is dat dit geindexeert wordt.

Ik denk dat een feature zoals dat het probleem nog groter maakt... Nu zie je door een scan van Google dat de site een probleem heeft. Dit probleem is veel groter dan alleen robots.txt. degene die deze site heeft gemaakt zou, naar mijn mening, het recht niet mogen hebben om dit soort sites te maken... Wat een amateurisme, een fout geconfigureerde robots.txt zou niet meer moeten veroorzaken dan een log file vol met access denied (als je bijv listen überhaupt wilt toestaan BTW)

Zonder Google (of andere zoek sites) hadden we dus een site vol lekken zonder dat het publiek dit weet

[Reactie gewijzigd door Mellow Jack op 24 juli 2024 18:59]

HenkEisDS @Mellow Jack • 12 maart 2018 21:38

Maar denk je niet dat het probleem minder impact zou hebben omdat niemand die persoongegevens uberhaupt kan vinden?

Ik denk dat sitebeheerders veel beter hun best zouden doen als Google ze niet eens in de index meeneemt als een soort straf als ze tijdens het crawlen persoonsgegevens vinden die niet expliciet vermeld staan als 'personal info: allow' met een soort reason code in robots.txt.

Aan de andere kant zullen luie beheerders alles op allow zetten om dit te omzeilen.

Hoe dan ook denk ik dat de rol van google hierin groter moet zijn.

Mellow Jack @HenkEisDS • 12 maart 2018 23:47

Eens, maar in de situatie dat iets als dit wordt gehost op een Azure omgeving.

Vrijwel alle Azure ip adressen en domeinnamen zijn publiekelijk bekend. Dan bedoel ik niet www.jouwsite.nl maar www.hierSlaatAzureMijnFilesOp.com. zo'n omgeving staat by default open en moet je heel slim dichtzetten (heel slim valt mee want Microsoft maakt referentie ontwerpen).

Deze ip adressen worden gescand door kwaadwillende en sjah de rest kan je wel verzinnen

Wat ik hiermee probeer te zeggen, ik heb liever dat Google dit vind dan dat dit niet bekend is en kwaadwillende jaren lang meekijken zonder dat iemand iets door heeft.

Ik blijf het gevaarlijk vinden. Het gemak hoe je tegenwoordig iets kan opzetten. Thuis met bijvoorbeeld Wordpress op een WAMP servertje of gewoon even wat dienstjes bij elkaar klikken op AWS of Azure. Het is en blijft een vak apart... Infrastructuur goed en veilig opzetten kan je niet zomaar dumpen bij elke software engineer die waarschijnlijk nog 100 andere "belangrijkere" dingen voor de klant moet maken

HenkEisDS @Mellow Jack • 13 maart 2018 00:09

Mwah, ik vind dat iedereen de mogelijkheid moet hebben om massaal aan te klooien online zonder ciso te zijn. Zou innovatie enorm remmen als dat niet meer zou kunnen.

Dat er een betere bewustwording moet komen mbt veiligheid, zeker als je persoonsgegevens verwerkt, vind ik wel. Daarom vind ik mijn google straf idee zo sterk, want ik denk dat google prima in staat is 99% van de beveiligingsproblemen te detecteren. Of google dan weer zo ver moet gaan om xss fouten te peilen of andere ‘hack’ scans moet gaan uitvoeren weet ik niet, maar dat lijkt me dan goed voer voor discussie.

controvi @HenkEisDS • 13 maart 2018 08:33

Ik denk dat mensen hier teveel be google neerleggen.
Webmasters en marketeers zijn dol op google en willen dat zoveel mogelijk van de website gevonden wordt door google.
Ze houden de webdevs bezig met allerlei details die ervoor zouden moeten zorgen dat ze google nog meer naar hun website toe lokken.

Of te wel, google doet gewoon wat hij altijd doet en hoort te doen.

Wat iedereen voorstelt om te zeggen dat google hier meer mee moet doen is juist counterproductive.
Want zo maak je de webdevs lui omdat ze er van uit gaan dat google hun data ook in de gaten houd.
Dit levert uit eindelijk alleen maar meer issues op.

Dus ik zeg, geef de webdevs van klacht.nl een schop onder de reed en laat ze beter opletten wat ze doen.
JIJ bent als webdev verantwoordelijk voor wat je programmeert en opslaat en toegankelijk maakt.
End of story.

Iedereen weet wat google doet en waar je op moet letten.
Plus wat ik niet lees is dat het net zo goed bing, yahoo of andere zoekmachine had kunnen zijn of allemaal.

ps. 99% van de beveiligingsproblemen detecteren? ook al zou dat kunnen is zou dat in dit geval niet geholpen hebben wat dit was geen beveiligingsprobleem.
als je gewoon iets openbaar hebt staan is dat nee beveiligingsprobleem maar een fout van de webdev

lonaowna @Elefant • 12 maart 2018 17:23

Klacht.nl heeft deze informatie gedeeld met Google. Het is hun schuld, niet die van Google.

DutchHammer @Elefant • 12 maart 2018 17:34

Niet met je eens, Google indexeert alles wat openbaar is. Het is van de zotte dat dit soort documenten via het internet te benaderen zijn.

WimmieV @Elefant • 12 maart 2018 17:51

Als ik hier prive info neerzet kun je Google toch niet de schuld geven dat je het vind via hun zoekmachine ?

Of is dat een rare gedachte...

WillySis

Privacy

@Elefant • 12 maart 2018 19:20

Google laat gewoon een robot los die alles opzoekt wat openbaar beschikbaar is en indexeert dat. De inhoud van de directory of de bestanden ziet niemand is dit proces. Natuurlijk kan men een bot maken die slim genoeg is om privacy-gevoelige informatie kan herkennen en buiten de index kan houden.
Dat is echter niet de doelstelling. Google biedt een goede opt-out, dus is het eenvoudig om een directory buiten de index te houden. Er bestaan echter ook bots met minder goede bedoelingen die het internet juist afzoeken naar identiteitspapieren.

Het punt is dat de bestanden helemaal niet publiekelijk zichtbaar horen te zijn. Ook zonder Google hadden mensen het kunnen vinden en misbruiken. Misschien is het juist dankzij Google dat het "lek" (eerder een grove fout) ontdekt werd. Misschien is de schade hierdoor juist beperkt.

Ik ben geen groot fan van de dataverzamelwoede van Google. Je hebt gelijk dat ze zich aan de wet moeten houden en liefst ook niet het grijze gebied moeten gebruiken. In dit geval gaat Google echter totaal vrijuit.

DarkForce @Elefant • 12 maart 2018 20:15

Persoonlijk vind ik dat ook Google een forse boete moet krijgen voor het verspreiden van prive informatie.

Google heeft direct of indirect de opdracht gekregen om de inhoud te indexeren. Als nergens een verwijzing wordt gemaakt naar de betreffende upload directory, dan indexeert Google deze dan dus ook gewoonweg niet.

De zoekmachine is niets meer of minder dan een doodeenvoudige zoekmachine die afhankelijk is van een submit of verwijzing. Met submit wordt bedoeld, iedere malloot kan een website of pagina binnen een website laten indexeren door Google. Verwijzing kan bijvoorbeeld door een link binnen de website of zelfs linkruil.

Moraal van het verhaal. Er is maar één schuldige en daar begint en eindigt het dan dus ook direct... Wie dit is? Klacht.nl ! Niets meer of minder. Google verspreid namelijk helemaal niets maar doet precies wat men verwacht dat een zoekmachine behoort te doen. Tenzij Google in dezen een beveiliging omzeilt om zaken te kunnen indexeren.

KoenvZuijlen @Elefant • 13 maart 2018 00:14

Host Google het zelf? Dacht het niet. Het enige wat Google doet is pagina's indexeren en benaderbaar maken via een zoekmachine. Als site A met persoonsgegevens loopt te strooien omdat ze niet afraden dat te uploaden en vervolgens het nalaten om de map met uploads onbenaderbaar te maken voor de gewone sitebezoeker dan is site A degene die fout zit. Pure onzin dus, een boete voor Google.

Bench @Elefant • 13 maart 2018 06:49

En wat heeft Google hier mee te maken ?
Google is een zoekmachine en niet diegene die het 1 op internet heeft gezet en 2 niet diegene die het publiekelijk maakte.

robbinwehl @Elefant • 13 maart 2018 08:56

Ja google, pas de indexering eens aan..
lol

rduinmayer @Elefant • 13 maart 2018 12:35

Google laat de pijnlijke fouten zien van andere sites. Lang leve Google.

RobinF @henkjobse • 12 maart 2018 16:48

Volgensmij ook. RTL zegt "onder andere om bankafschriften, incassobrieven, rijbewijzen en paspoort- en burgerservicenummers.", dat zijn sowieso "persoonsgegevens van gevoelige aard"

ShellGhost @henkjobse • 12 maart 2018 16:57

Ja. Dit moet gemeld worden.

HenkEisDS @henkjobse • 12 maart 2018 17:42

Ja. En het zou het AP sieren als ze hiervoor een boete uitdelen. Hoeft geen giga bedrag te zijn, denk niet dat deze site een vetpot is voor de eigenaren, maar een paar duizen euro toch zeker.

t link @HenkEisDS • 13 maart 2018 12:54

nee, niet een lichte boete. gewoon keihard optreden hiertegen. zeker als er in de verklaring staat dat het de gebruikers "hun eigen verantwoordelijkheid is" terwijl dat het wettelijk gezien niet is, en volgens hun eigen privacy policy ook gewoon niet. een celstraf voor extreme nalatigheid lijkt me meer gepast, want dit soort fouten ruineren gewoon mensenlevens d.m.v identiteitsfraude etc. Dit soort fouten moeten we niet meer accepteren als maatschapij, het is ongelofelijk duidelijk wat je moet beschermen. hier is nieteens een basis bescherming getroffen.

quote: https://www.klacht.nl/privacy-policy/
Verstrekking aan derden

Wij verstrekken uw klacht en uw persoonsgegevens aan het bedrijf waarop uw klacht ziet. Dit doen wij zodat het bedrijf contact met u op kan nemen om de klacht op te lossen. Verder zullen wij de door u verstrekte gegevens niet aan andere partijen verstrekken, indien u hiervoor geen toestemming heeft gegeven, tenzij dat noodzakelijk is in het kader van de uitvoering van de overeenkomst die u met ons sluit of indien dit wettelijk verplicht is.

[Reactie gewijzigd door t link op 24 juli 2024 18:59]

fortfort @henkjobse • 12 maart 2018 21:26

Ondertussen verkoopt KvK jaarlijks meer dan 1 miljoen bsn nummers. Verstopt als belastingnummer van zzpers

Bench @fortfort • 13 maart 2018 06:50

fortfort @Bench • 13 maart 2018 07:21

ik zou zeggen zoek eens een zzper en kijk naar het b01 nummer

CivLord

Privacy

@fortfort • 13 maart 2018 08:11

Maar die zzp-ers zijn ook verplicht om die BSN's zelf te verspreiden op hun website (wanneer ze die hebben) en op hun facturen.

SinergyX 12 maart 2018 16:51

Ik zou zeggen, dien een klacht in

https://www.klacht.nl/klacht-nl/
Ze behandelen dus blijkbaar ook klachten tegen zichzelf

Leuk detail: 99% van alle klachten opgelost. Beoordeeld als nr. # 1 van 1 Klachtensite

Maar wat zou een AP hiervan vinden? Nu staat er wel:
Voeg geen persoonlijke documenten toe zoals rijbewijzen, rekeningafschriften of documenten waarop uw BSN nummer zichtbaar is. (Max 50 Mb)
Maar volgens mij ging dit toch een stuk verder dan enkel BSN?

Finraziel

@SinergyX • 12 maart 2018 19:07

Dat oplospercentage is sowieso een schertsvertoning, of eigenlijk heel klacht.nl. Zij profileren zichzelf als een centraal punt om je klacht te melden en de klacht lekker publiek te zetten, met andere woorden het bedrijf aan de schandpaal te nagelen... en dat bedrijf moet vervolgens betalen aan klacht.nl om de klacht af te handelen!!!!
Ik vind dit rieken naar je reinste afpersing en er zijn dan ook diverse bedrijven die weigeren om daar op in te gaan. Die staan dus op een 0% oplospercentage en worden verketterd op die site, want ze weigeren zich te laten chanteren.

WillySis

Privacy

@SinergyX • 12 maart 2018 17:17

Er zijn voldoende gevallen denkbaar waar je wel een bewijs moet uploaden waar een adres of BSN nummer zichtbaar is. De meeste mensen beseffen dat niet eens en zullen dat zelden doorstrepen. Soms vraagt men zelfs om een bewijs van betaling. Dat mag ook een rekeningafschrift zijn.
De melding van Klacht.nl is dus niet voldoende.

rootpowered 12 maart 2018 16:39

Niet zo mooi. Wat ik mij dan wel eens afvraag, staat zoiets dan ook al op https://archive.org o.i.d.? Of gaat dat niet zo snel?

robvanwijk

Netwerk en systeembeheer
Privacy

@rootpowered • 12 maart 2018 17:29

Wat ik mij dan wel eens afvraag, staat zoiets dan ook al op https://archive.org o.i.d.? Of gaat dat niet zo snel?

Als ik me goed herinner houdt archive.org zich, ook met terugwerkende kracht, aan robots.txt. Dus als domein.nl/geheim/filename.ext per ongeluk op te vragen was, dan los je het echte probleem op door die directory dicht te zetten, maar je voegt die directory óók toe als "disallow" aan je robots.txt. De eerstvolgende keer dat archive.org dat inleest zal voortaan niet alleen de spider er vanaf blijven (niet dat het uitmaakt, die krijgt toch een 403), maar worden ook alle pagina's die in het verleden zijn opgehaald geblokkeerd (of verwijderd? geen idee).

Edit:
Bovenstaande klopt niet meer. Zoals @jimshatt hieronder uitlegt heeft archive.org hun aanpak in april 2017 veranderd. Je zou mijn oplossing alsnog kunnen gebruiken voor eventuele andere spiders, maar voor archive.org specifiek zul je moeten mailen naar info@archive.org.

[Reactie gewijzigd door robvanwijk op 23 juli 2024 17:19]

jimshatt @robvanwijk • 13 maart 2018 09:23

Het lijkt erop dat dit niet meer zo is, of dat ze in ieder geval van plan zijn robots.txt niet meer te respecteren. Zie: https://blog.archive.org/...rk-well-for-web-archives/

RobinF @rootpowered • 12 maart 2018 16:47

Wel als je het via archive.org hebt opgevraagd/toegevoegd. Volgensmij scraped archive.org niet heel veel/niets zelf

jozuf @RobinF • 12 maart 2018 17:09

Mijn persoonlijke site is toch echt gescraped zonder dat ik het ooit heb aangevraagd. Nou kan iemand anders dat gedaan hebben maar die kans is wel behoorlijk klein.
En mijn site is qua bezoekers vrij minuscuul.

[Reactie gewijzigd door jozuf op 24 juli 2024 18:59]

The Third Man @RobinF • 12 maart 2018 18:12

Dat klopt van geen kant, ze scrapen juist wel zelf zodat je er niet aan hoeft te denken. Ideaal voor spontaan verdwenen sites.

Do you collect all the sites on the Web?

No, the Archive collects web pages that are publicly available. We do not archive pages that require a password to access, pages that are only accessible when a person types into and sends a form, or pages on secure servers. Pages may not be archived due to robots exclusions and some sites are excluded by direct site owner request.

Why isn't the site I'm looking for in the archive?

Some sites may not be included because the automated crawlers were unaware of their existence at the time of the crawl. It's also possible that some sites were not archived because they were password protected, blocked by robots.txt, or otherwise inaccessible to our automated systems. Site owners might have also requested that their sites be excluded from the Wayback Machine.

Opt-out dus, niet opt-in.

[Reactie gewijzigd door The Third Man op 24 juli 2024 18:59]

RoestVrijStaal @rootpowered • 12 maart 2018 16:51

Hangt ervan af. Naar mijn weet werken de populaire archiveersites altijd on-demand en hebben ze geen bot draaien die alles wat los en vast zit indexeert.

Dat neemt niet weg dat zulke informatie niet gecrawld wordt door private databedrijven of individuen die op hetzelfde gestuit zijn en het crawlen "omdat het later van pas kan komen".

Tja, vervelend is het wel, maar in zoverre ik me het kan herinneren werd er al in 2016 door Postbus 51 onder onze neuzen gewreven dat je gevoelige data in kopieën van gevoelige documenten onherkenbaar moet maken. Sommige mensen zijn nou eenmaal hardleers.

Van de andere kant vraag ik me af of Klacht.nl wel een vernietigingsbeleid had van data dat irrelevant is geworden als bijvoorbeeld een klacht beslecht is.

burne @RoestVrijStaal • 12 maart 2018 17:04

Postbus 51 is al in 2012 gestopt als informatiekanaal van de overheid. Sindsdienis rijksoverheid.nl het enige centrale informatiekanaal.

Krulliebol @RoestVrijStaal • 12 maart 2018 17:57

al in 2016

MrAndy9797 12 maart 2018 16:51

Kun je daarvoor een klacht bij hun schrijven?

Niet zo heel netjes dat dit gebeurd. Maar het is gebeurd en ze hebben het wel op de juiste manier opgelost naar mijn mening. Al had het niet moeten gebeuren natuurlijk. Maar de manier waarop men het oplost is wel netjes. Heb het persoonlijk niet zo op dat vroegtijdig publiceren alvorens dingen opgelost zijn. Brengt onnodig extra gevaar met zich mee.

ShellGhost @MrAndy9797 • 12 maart 2018 16:59

Juiste manier opgelost? Door eerst te zeggen dat gebruikers zelf verantwoordelijk zijn voor wat ze uploaden?
Nee. De juiste manier was geweest om meteen die directory dicht te zetten.

MrAndy9797 @ShellGhost • 12 maart 2018 17:09

Doelde meer op het 'oplossen' alvorens 'publiceren'.

Verder staat het wel duidelijk op de website in het stappenplan. Simpel in 3 stappen...
Stap 1
Maak uw klacht online zichtbaar
Meld uw klacht en maak hem zichtbaar op
internet en in de resultaten van Google.

Ben je wel een beetje naïef als je dan nog persoonlijke documenten gaat uploaden met de verwachting dat het afgeschermd is. Het staat er zelfs bij geschreven, op de 1e pagina, direct in beeld. En deze tekst is niet aangepast na het oplossen van het probleem.

Ook al verwacht je het niet en is het nu wel correct afgesloten, het blijft er 'letterlijk' staan in het stappenplan

[Reactie gewijzigd door MrAndy9797 op 24 juli 2024 18:59]

friend @ShellGhost • 12 maart 2018 17:58

Inderdaad, zo'n opmerking zegt genoeg over de organisatie achter de site. Ze hebben totaal niet nagedacht over het gebruik en beveiligen van persoonsgegevens, terwijl zij dit wel verplicht waren en nu het fout gaat schuiven ze de schuld af op de gebruikers. Kwalijk. Helaas zijn de consequenties van dergelijk gedrag minimaal, zodat ze (en andere organisaties) er weinig van zullen leren.

Finraziel

@MrAndy9797 • 12 maart 2018 19:03

De juiste manier om het op te lossen is alle getroffen gebruikers aanschrijven en het lek melden bij de ACM. Ik zie hier niet dat ze dat gedaan hebben. Het lek oplossen is juist het allerminste wat verwacht mag worden, als ze dat niet gedaan hadden dan was het helemaal mooi geweest. Beetje absurd om ze daar voor te prijzen.

PcDealer 12 maart 2018 17:31

Waarom moet er überhaupt iets geüpload worden,naar klacht.nl? Ik heb dat nooit hoeven doen en toch werd er door het bedrijf op de klacht gereageerd.

WhiteDog @PcDealer • 12 maart 2018 22:10

Lijkt me toch wel handig dat je met een aantal documenten kan bewijzen dat je klacht authentiek is (en dat je op zijn minst klant bent bij bedrijf X). Op valse klachten zit ook niemand te wachten.

PcDealer @WhiteDog • 12 maart 2018 22:24

De beklaagde kan ook vragen om proof naar een e-mailadres te sturen van de beklaagde zelf, zonder tussenkomst van de klacht.nl.

Zoals ik reeds schreef heb ik het nooit hoeven doen.

[Reactie gewijzigd door PcDealer op 24 juli 2024 18:59]

Bench @WhiteDog • 13 maart 2018 07:10

En dan upload je gewoon ducumenten met je BSN nummer ? Het geen waar de staat je voor behoed ?

Luinwethion 12 maart 2018 17:05

Oké je wilt een verhaal over een bedrijf kwijt, prima.

Maar ik vraag mij af als een klacht.nl wel een geschikte plek is om voor zowel de bedrijf als voor de consument om klachten te behandelen, je gaat sowieso persoonlijke info delen, en hier waren consumenten en bedrijven blijkbaar niet op de hoogte dat gedeelte informatie openbaar was.

Nu wordt je wel gewaarschuwd dat je geen persoonlijke informatie te uploaden.... Maar in bepaalde gevallen zou je alsnog iets moeten sturen via mail of via DM van Facebook/Twitter. Kun je dan gelijk op een meer directe manier contact opnemen met het desbetreffende bedrijf, sneller en veiliger ook.

Martin1997 @Luinwethion • 13 maart 2018 08:38

De "kracht" van een site als dit is dat een klacht openbaar is en iedereen dit kan lezen. Hierdoor worden klachten vaker opgelost. Ik begrijp je punt; ik zal ook niet zo snel een klacht erop zetten.

Vigilate 12 maart 2018 17:32

Ik begrijp het gewoon niet. Er zijn zo veel lekken, hacken en andere blunders geweest vanuit bedrijven en overheid dat het 'grappig' begint te worden.

Als bedrijf kijk je toch ook naar de media? Dan ga je toch ook een keer na denken van 'oh.. is het bij mij allemaal goed geregeld?', zéker op het moment dat je met zulke gevoelige informatie moet omgaan.

Misschien denk ik te makkelijk of te naïef over maar ik kan er niet tegen dat dit waarschijnlijk af wordt gedaan met een 'sorry' terwijl dit makkelijk te voorkomen was.

CivLord

Privacy

@Vigilate • 13 maart 2018 08:24

Het probleem is dat geen van de software die dergelijke bedrijven gebruiken inherent veilig is. Alles is afhankelijk van de juiste configuratie die de eindgebruikers zelf moeten instellen.
Ik lees hier vaak dat de oorzaak van een probleem vaak wordt neergelegd bij het bedrijf, omdat dat de boel slordig heeft geïmplementeerd, maar dat bedrijf is geen internetbeveiligingsbedrijf. Ze doen aan een bepaalde vorm van dienstverlening en gebruiken daar een stuk softwarematig gereedschap voor. Eisen dat zij zelf alle kennis in huis hebben om hun gereedschap veilig in te stellen is hetzelfde als eisen dat een bouwvakker alle technische kennis in huis heeft om de elektronica in zijn boormachine in te regelen voordat hij deze veilig kan gebruiken.
Ik sta er telkens verbaasd over hoe makkelijk er aangenomen wordt dat iedereen die met software of internet werkt daar ook maar een expert in moet zijn.

IngamerX @CivLord • 13 maart 2018 10:16

Vergis je niet. Een overgroot deel is simpelweg ook niet bereid om te investeren in security. Die kennismarkt is nu eenmaal niet goedkoop.

CivLord

Privacy

@IngamerX • 13 maart 2018 10:22

Maar waarom zou het nodig moeten zijn om extra te investeren in security? Waarom is het zo van de plank al niet secure?
Wat zou jij er van vinden wanneer je een auto koopt, dat je eerst nog langs een speciale garage moet om je auto veilig voor het verkeer te maken? Dat zou je van de zotte vinden. Maar voor computers, software en internet vind je het blijkbaar vanzelfsprekend.

IngamerX @CivLord • 13 maart 2018 10:56

Tja, was het leven maar zo eenvoudig.

Waarom gebeuren er nog ongelukken op de weg? We hebben toch echt wel de tech en kennis om dat voor eens en altijd op te lossen?

Helaas man, hier zie je maar dat het niet aan de software ligt maar aan menselijk handelen bij de configuratie van de software.

Security is niet alleen techniek, maar ook kennis, kunde en uiteraard altijd een dosis gezond verstand.

CivLord

Privacy

@IngamerX • 13 maart 2018 11:14

Ik denk dat je mijn punt niet begrijpt.

Iedere jojo kan een willekeurige auto kopen en daarmee de weg op gaan. Dat gaat in vrijwel alle gevallen goed.
Wanneer diezelfde jojo een willekeurig softwarepakket koopt voor een website en daar een website mee maakt, staat die in vrijwel alle gevallen wagenwijd open.
Wanneer je een auto koopt heb je niet een extra deskundige nodig om alles zo in te stellen dat de auto veilig is, dat is allemaal in de fabriek al voor je geregeld. Maar een website wordt wel standaard onveilig geleverd en moet achteraf door een extra deskundige alsnog veilig gemaakt worden.

Vigilate @CivLord • 13 maart 2018 22:04

Expert is een groot woord. Je hoeft geen expert te zijn om te weten dat een publieke map precies betekend wat het is: publiek.

Zeker wanneer je als bedrijf met zulke gevoelige informatie werkt (het gaat hier niet om de naam van de huiskat), moet je er toch op vertrouwen dat er enige kennis aanwezig is om die gevoelige informatie op een goede en fatsoenlijke manier te behandelen.

Overigens moet het van twee kanten komen. Wanneer een gebruiker een ID upload, kan hij/zij/het ook kiezen om bepaalde dingen weg te laten.

MrDummy 12 maart 2018 17:52

Klacht tegen Klacht.nl, het moet niet gekker worden...

Wel slordig gedaan van beheer of website developer, om directory open en zichtbaar te maken, of inhoud is niet onzichtbaar / gelocked tegen normaal lezen.

jeroenvisser101 12 maart 2018 20:11

Zo moeilijk is het toch ook niet om de permissions op je S3 bucket goed te regelen? Toch zie ik steeds vaker dat het met juist dat soort simpele dingen mis gaat. Je kunt via DuckDuckGo nog steeds gevoelige informatie zoals bankgegevens vinden in excerpts uit de bestanden die openbaar stonden. Bijzonder slordig... https://duckduckgo.com/?q=site:klacht.s3.amazonaws.com

Noelkaak 12 maart 2018 16:42

Ik vraag me af of ze hiervoor nog "gestraft" zullen worden. De gebruiker is er namelijk weer de dupe van. Het lijkt soms wel dat het duurder is voor een organisatie als je gecontroleerd word en het voldoet niet aan de eisen. Dan dat er een keer wel wat gebeurt.

Stoelpoot @Noelkaak • 12 maart 2018 16:46

Ik hoop het wel. Zeker Klacht.nl, waar je vaak minder technisch onderlegde mensen ziet, moet een zekere verantwoordelijkheid willen nemen op het gebied van gebruikersbescherming.

Stoelpoot @HKLM_ • 12 maart 2018 17:01

Dat is logisch als je jezelf een beetje in privacy / gegevensbescherming hebt verdiept. Maar hier is buiten de vakgebieden die hier mee te maken hebben weinig educatie en bewustwording over. Mensen snappen niet wat een server is, of hoe het internet werkt. Dan kan je nooit erover nadenken dat als je een bestand upload naar Klacht.nl, dat Google daar opeens bij kan. Laat staan een compleet vreemde. Waar staat dat dan? Je ziet het niet terug bij je klacht als je niet ingelogd bent.

Je hebt het over met de tijd meegaan, maar bij consumentenproducten is het 'anno 2018' normaal om zo veel mogelijk technische implementaties, die bij deze hacks misbruikt worden, te misbruiken. De huidige computerervaring is apps, iconen en integratie. Het idee dat er achter die app nog andere toegangspunten kunnen zijn wordt steeds verder verborgen. Een bestandssysteem? Archaïsch. Op school, waar jou de kennis om te leven 'anno 2018' wordt bijgebracht? Gewoon een open wifi netwerk. De digitale lesmethode waarvan het wachtwoord kwijt is? Log dan maar bij Pietje in, zolang je maar geen antwoorden invult.

En zo gaat het sinds het begin der digitalisering, waardoor die basiskennis bijna nooit buiten het IT-domein is gekomen.

oef! @Stoelpoot • 12 maart 2018 17:47

Mwah. Je hoeft geen verstand van de achterliggende techniek te hebben om je te beseffen dat je niet zomaar je identiteitsbewijs moet uploaden. Ik kan mezelf niet eens herinneren dat ik dat ooit gedaan heb en ik kan me niet voorstellen dat een willekeurige website er om zou vragen tenzij het malicious is.

Het feit dat Google de documenten kon indexeren is gewoon een blunder van klacht.nl

mae-t.net @Stoelpoot • 13 maart 2018 12:53

Je vergeet dat het advies om zorgvuldig om te gaan met dat soort documenten, veel ouder is dan het internet. Je hoeft in principe niets anders te doen dan toen.

Stoelpoot @mae-t.net • 13 maart 2018 13:26

Maar de manier waarop is een stuk minder oud. Als de server in een afgesloten serverruimte staat, staat dit volgens ouderwetse maatstaven veiliger dan menig archiefkast. Maar dat klopt natuurlijk helemaal niet. En niemand zal daar over nadenken als de ontwikkelaars het over het hoofd zien.

Op dit item kan niet meer gereageerd worden.

'Zevenhonderd documenten van Klacht.nl-gebruikers waren in te zien via Google'

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: