Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Servers grote failliete computerwinkel waren te koop met alle data er nog op

De servers en harde schijven van de Canadese failliete computerwinkel Netlink Computer Inc., of NCIX, werden te koop aangeboden zonder dat deze schoongeveegd waren. Op de systemen stonden onder andere details van creditcardbetalingen.

Travis Doering van PrivacyFly ontdekte de opslagmedia uit de inboedel van NCIX, dat vorig jaar failliet ging, toen hij reageerde op een Craigslist-advertentie voor een 'NCIX Database Server' voor 1500 dollar. Toen hij een afspraak maakte met de verkoper, bleek dat die man, Jeff, de gehele serverfarm van NCIX van de oostkust onder zijn hoede had. Jeff zou een afspraak hebben gehad met de verhuurder van een opslagplek, die nog geld van NCIX tegoed had. Jeff zou broncode en databases mogen kopiŰren en in ruil daarvoor de hardware verkopen.

Hij had al vijfhonderd desktops en andere zakelijke hardware van het bedrijf verkocht, maar had nog de beschikking over driehonderd desktops van het hoofdkantoor en de vestigingen, achttien Dell PowerEdge-servers, twee back-upservers van Supermicro, 109 harde schijven uit servers en tegen de vijfhonderd andere harde schijven.

Doering mocht van Jeff de inhoud van de opslagmedia bekijken en hij constateerde onder andere dat deze nog persoonlijke informatie bevatte van Steve Wu, de oprichter van NCIX, waaronder foto's van zijn familie en escortdames. In databases trof Doering persoonsgegevens van honderdduizenden klanten van de winkelketen aan, waaronder onversleutelde wachtwoorden en creditcardbetalingen. Het ging om gegevens van 2007 tot en met 2017. Doering heeft niet alles kunnen bekijken maar denkt dat vrijwel alle gegevens van NCIX nog op de hardware aanwezig zijn, waaronder ook broncode en vertrouwelijke bedrijfsgegevens. Jeff vroeg hem 35.000 dollar voor de hele ict-inboedel.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

21-09-2018 • 14:30

152 Linkedin Google+

Submitter: Frikandel

Reacties (152)

Wijzig sortering
Volgens mij is het zo dat een klantenbestand ook gewoon onder de boedel valt. Het kan heel goed zijn dat als de ene partij failliet gaat, de concurrent aan de overkant van de straat vervolgens het klantenbestand van de gefailleerde partij overneemt. Uiteraard dient die partij dan wel zich aan (een deel van) de voorwaarden te houden waaronder die klanten hun gegevens aan de oorspronkelijke partij hebben afgestaan, maar dat verder afdwingen zal de curator zich zelden druk over maken (waarom zou 'ie?).

In dit geval zijn er servers verkocht, en zat daar 'toevallig' ook een klantenbestand bij. Is weliswaar niet netjes, maar denk dat als het om faillisementen gaat dit niet per se nieuw is.

Jammer? Absoluut. Moeten we dat misschien anders willen? Allicht. Maar voor nu wel realiteit...

Edit: Dit is met de komst van de AVG/GDPR in Nederland en omstreken wel minder vanzelfsprekend geworden, maar hoe dat in Canada zit weet ik niet. Ook onder de GDPR is het nog steeds mogelijk. Bijvoorbeeld uit deze paper een stukje uit de conclusie:
De verkoop zal derhalve in het gros van de gevallen gebaseerd moeten worden op een zorgvuldige afweging van belangen. Daarnaast moet de curator nagaan of het doel van de verkoop verenigbaar is met de doeleinden waarvoor de gegevens in de eerste plaats verzameld zijn.
De uitkomst van deze toetsen is afhankelijk van de omstandigheden van het geval. De overdracht van het klantenbestand in het kader van een doorstart zal in beginsel toegestaan zijn. De verkoop van het klantenbestand als los activum is een stuk onzekerder. Onder meer speelt een rol voor welke doeleinden de koper de gegevens gaat verwerken en of de nodige waarborgen zijn genomen.

[Reactie gewijzigd door Freeaqingme op 21 september 2018 15:00]

Blogje van ICT-just Arnoud Engelfriet over het veilen van een klantenbestand van een failliet bedrijf:
https://blog.iusmentis.co...t-klantenbestand-mag-dat/

Mag dat? Antwoord: Ja
(tenminste in 2013, misschien is het met de nieuwe wetgeving nu anders..)
Hier is echter geen sprake van verkoop van een klantenbestand mÚt contractsinformatie maar alleen van NAW-gegevens. Het enige doel daarvoor dat ik kan bedenken is acquisitie, kijken of die klanten nu interesse in jouw bedrijf hebben. En omdat het NAW-gegevens zijn (en niet NAWE, met e-mailadres erbij) lijkt dat wel te mogen. Het spammen op papier is immers niet verboden.

Wel is het een eis dat de koper de klanten bij zijn mailing informeert hˇe hij aan de NAW-gegevens komt, en ze een opt-out biedt.
Deze argumentatie is wel erg mager: "Het is niet verboden op papier te spammen, dus het is toegestaan een klantenbestand te veilen." In principe mag je persoonsgegevens alleen verzamelen als daar een wettelijke grondslag voor is. Het feit dat er geen verbod is is op papieren spam lijkt mij geen grondslag.
Ik sta altijd een beetje te kijken van mensen die AVG aangrijpen alsof dat een absoluut iets is, natuurlijk is dat niet zo. Het verbiedt veel vormen van automatisch opnemen en verwerken, maar dat wil niet zeggen dat een bedrijf niet jou gegevens mag verwerken.

Ten eerste zodra jij toestemming geeft (en wed maar dat er ergens in de algemene voorwaarde staat dat jij toestemming geeft) dan mag een bedrijf jou gegevens opnemen, dus een klantenbestand opbouwen. Sowieso een klantenbestand opbouwen is niks mis mee, je kan dat ook niet verbieden, zou absurd zijn, zoiets is nodig voor het normale functioneren van het bedrijf en hoort bij de inboedel.

De verkoop van die gegevens (zoals Engelfriet al probeert duidelijk te maken) is redelijk context afhankelijk. In het stuk wordt er gesproken in de context van een doorstart. Zowel het AVG als de WBP eisen een grondslag voor het verwerken van de gegevens. het AVG gaat zelfs eens stukje verder en definieert 6 grondslagen, waaronder: "Gerechtvaardigd belang".

Een gerechtvaardigd belang is dus iets wat: "aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten". Bij een overname of doorstart dan is dat gerechtvaardigd belang duidelijk aanwezig. Bij een brute verkoop van de inboedel is dat belang er niet, dus een dergelijk verkoop van een database is in de EU niet toegestaan.

Het WBP had ook een dergelijke constructie, overname van een bedrijf of een doorstart is toegestaan, maar voor verder verwerking door een derde moet het doel hiervan verenigbaar zijn met het oorspronkelijke doel. Voor een brute verkoop bestaat geen enkele grondslag tenzij de kopende partij op een of andere manier iets gaat doen waardoor ze de activiteiten en overeenkomsten van de verkopende partij voorzetten (hoe is mij onduidelijk). Maar nogmaals, het gaat hier om America.

/edit:

Sowieso is het hele verhaal redelijk shady. Zover ik weet is de hele inboedel van NCIX geveild. "Jeff" zegt zelf al dat de servers van NCIX waren, dus is dit iets wat de curatoren hebben gemist? Maar goed, ze stonden blijkbaar op een gehuurde plek en "Jeff" mocht de servers van de verhuurder verkopen en hij mocht de data houden........ Die verhuurder heeft daar helemaal niks over te zeggen.

Maar dan gaat "Jeff" nog even verder en zegt hij dat hij workstations heeft verkocht, hoe kom je aan workstations als het gaat om een serverfarm? Daarnaast, ook in Canada mag je niet zomaar de spullen van een andere verkopen ook al staan ze op een plek die je verhuurd, daar is een gerechtelijke uitspraak voor nodig voor het recht om de spullen te verwijderen cq vernietigen (dus recht van eigendom wordt niet overgedragen, je mag de spullen alleen weggooien).

Het hele verhaal klinkt nogal shady en ik denk dat ze in Canada er nog het een en andere over hebben te zeggen.

[Reactie gewijzigd door SizzLorr op 22 september 2018 09:34]

Dat, en het fysiek vernietigen van harddisks die nog courant zijn is kapitaalvernietiging en draagt onnodig bij aan de berg e-waste.
Vals alternatief, of je de schijf nou triple wipet of fysiek vernietigt maakt niets uit voor de "datasecurity" (als je het een tussen aanhalingstekens zet, dan ook het ander),

Als een simpele WD RE3 schijf in productie 7 jaar aan een stuk blijft lopen, is een veel duurdere schijf niet na 3 jaar waardeloos. Zoiets wis je en verkoop je aan een hobbyist o.i.d.

De lengte van het recyclingcircuit maakt wel degelijk uit in de hoeveelheid "milieuschade".

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True