Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Servers grote failliete computerwinkel waren te koop met alle data er nog op

De servers en harde schijven van de Canadese failliete computerwinkel Netlink Computer Inc., of NCIX, werden te koop aangeboden zonder dat deze schoongeveegd waren. Op de systemen stonden onder andere details van creditcardbetalingen.

Travis Doering van PrivacyFly ontdekte de opslagmedia uit de inboedel van NCIX, dat vorig jaar failliet ging, toen hij reageerde op een Craigslist-advertentie voor een 'NCIX Database Server' voor 1500 dollar. Toen hij een afspraak maakte met de verkoper, bleek dat die man, Jeff, de gehele serverfarm van NCIX van de oostkust onder zijn hoede had. Jeff zou een afspraak hebben gehad met de verhuurder van een opslagplek, die nog geld van NCIX tegoed had. Jeff zou broncode en databases mogen kopiëren en in ruil daarvoor de hardware verkopen.

Hij had al vijfhonderd desktops en andere zakelijke hardware van het bedrijf verkocht, maar had nog de beschikking over driehonderd desktops van het hoofdkantoor en de vestigingen, achttien Dell PowerEdge-servers, twee back-upservers van Supermicro, 109 harde schijven uit servers en tegen de vijfhonderd andere harde schijven.

Doering mocht van Jeff de inhoud van de opslagmedia bekijken en hij constateerde onder andere dat deze nog persoonlijke informatie bevatte van Steve Wu, de oprichter van NCIX, waaronder foto's van zijn familie en escortdames. In databases trof Doering persoonsgegevens van honderdduizenden klanten van de winkelketen aan, waaronder onversleutelde wachtwoorden en creditcardbetalingen. Het ging om gegevens van 2007 tot en met 2017. Doering heeft niet alles kunnen bekijken maar denkt dat vrijwel alle gegevens van NCIX nog op de hardware aanwezig zijn, waaronder ook broncode en vertrouwelijke bedrijfsgegevens. Jeff vroeg hem 35.000 dollar voor de hele ict-inboedel.

Door Olaf van Miltenburg

Nieuwscoördinator

21-09-2018 • 14:30

152 Linkedin Google+

Submitter: Frikandel

Reacties (152)

Wijzig sortering
Het bedrijf mag je gegevens ook niet verkopen. Enkel in de vorm van een doorstart en/of overname is het logisch dat de gegevens meegenomen worden. Natuurlijk is het een grijze zone want hoe meer gegevens hoe groter de overname prijs ...
Dacht je? De AVG beschermt niet alleen in de EU, maar ook gegevens óver Europeanen. Een Canadees bedrijf valt dus zeker onder de AVG.

Nu kun je zeggen, is dat te handhaven? Waarschijnlijk wel. Dat Canadeze bedrijf wil blijkbaar zaken doen met de EU, anders hadden ze die gegevens niet.
Het hangt ervan af denk ik, als ze geen vestigingen in de EU hebben en alleen via internet verkopen dan wordt het lastig om te handhaven. Welke middelen heeft de EU dan om zo'n toko aan te pakken? Ik denk zelf niet veel.

De AVG/GDPR mag dan wel ook over data gaan van EU-burgers, maar handhaving kan alleen als ze sancties kunnen opleggen.
Als die Canadezen zaken willen doen in Europa, dan komt daar vermoedelijk geld of zaken aan te pas. Beiden kan de EU dan beslag op leggen.
Als het betreffende bedrijf geen zakelijke activiteiten onderneemt op Europees grondgebied, maar EU-inwoners wel bestellingen doen via hun website en betalingen lopen via bv een Amerikaanse paymentprovider, dan zou de EU alleen de betreffende pakketjes kunnen tegenhouden bij de douane. Met uiteraard niet-blije klanten tot gevolg. Indirect kan er wel iets gedaan worden, maar direct niet lijkt mij tenzij er een handelsovereenkomst is met Canada waarin dat geregeld is.
Wat dat betreft zijn ze in America heel makkelijk. Alles wat op servers van het bedrijf staat, is eigendom van het bedrijf. Ik vind het ook maar een raar idee dat de oprichter prive foto's en vooral foto's van escort dames op servers van het bedrijf zet. Dat is gewoon not done.
Het is niet gewoon ''not done'' maar gewoon stom van die eigenaar/oprichter!
GDPR verbiedt het verhandelden van persoonsgegevens zonder expliciete toestemming van EU burgers.
[...]

En als er toch data op staat, wie wil de AP dan gaan beboeten? het bedrijf? die is falliet, de curator? die verkoopt in opdracht van de schuldeisers, de schuldeisers? die weten van niks en hebben nooit wat te maken gehad met die hardware.
AP kan maatregelen nemen tegen degene die onterecht persoonsgegevens verwerkt. Ik denk niet dat iemand die onverwacht in het bezit komt een probleem heeft. Maar als je de gegevens tegenkomt, en er is geen gegronde reden om te bezitten/gebruiken, dan zal je ze wel moeten verwijderen.
Dit is weer een punt op mijn lijst na hacken gegevens van sites waar je gebruik van hebt gemaakt. Zelf oplossen, betaalmiddel3n gebruikt op de bewuste failliete site opheffen en gebruikte paswoorden op andere sites veranderen. Werk, maar beter dat dan achteraf beroofd.
Zie jij een curator schijven veilig wipen?
Een curator die voor eigen rekening (zijn eigen salaris komt ook uit boedel) een gespecialiseerd bedrijf inhuren?

Tweedehandse servers leveren geen drol op. Kosten voor laten wipen met garantie is duur.

Ik heb heel vaak tweedehandse servers en netwerk apparatuur gekocht met alles er op.
Bij mijn weten gaat de deur gewoon op slot en wordt die verzegeld na een faillissement. Gebeurt regelmatig dat je na een faillissement digitale spullen koopt zonder dat ze (goed) gewist zijn. Zou een verplichte standaardprocedure moeten zijn.
Ja, maar niet 'toevallig' als bijkomstigheid van het verkopen van hardware. Ook is het klantenbestand (vooral icm met aankoopinformatie) van een bedrijf ter grootte van NCIX wel iets meer waard dan 35.000 dollar.
In praktijk voldoet met een marker kapot erop schrijven en hem in de prullenbak gooien.

De kans dat iemand je afval gaat doorspitten is klein, de kans dat hij er een harde schijf uitvist waar kapot op geschreven staat, de connector niet beschadigd is in de afvalverwerking, hem gaat testen en dan nog iets met de data doet is praktisch 0.

Echter, draai je gewoon zo'n programma, dan heb je daarna een prima schone harde schijf i.p.v. schroot.

Dit soort discussies zijn vrijwel geheel theoretisch. Misschien is het maar goed ook dat onze overheid liever een paar MBO-stagairs met hamers te keer laat gaan dan geld spendeert aan de boel volledig correct doen.

Zelf heb ik recent ook nog wat tijd met een schaar en oude 5.25" floppies doorgebracht. Ook enigzins een verspilling van tijd, de kans dat iemand die vindt, toevallig nog een lezer heeft, en ze niet vanzelf stuk zijn gegaan is 0. En ook niet 100% veilig.
Ja, leuk, als jouw data vrij nietszeggend is.
Niemand die echt zit te wachten op foto's van Henk en zijn plantenverzameling.

Maar databases van bedrijven, en vooral met persoonlijke informatie wil men nog wel eens een stapje harder zetten.
Hier ligt in het magazijn een grote kist met HDD's uit de databasemachine's die ondertussen afgeschreven zijn.
Als we er weer een stuk of 100/150 hebben, komt eerder vernoemde mobiele shredder voor de deur, en gaan ze door dat ding.
Leuk om te zien, lopende band die de hdd's naar die molen brengt, en een opvangbak erachter met metaalsnippers.
Yep ... Veel mensen realiseren zich niet maar data word over alle platen geschreven. Als de platen maar iets verschoven zijn tegenover elkaar, dan kan je geen data uitlezen.

Het is om die reden dat bij een data recovery bedrijf ze wel eens vloeken als ze een swap moeten doen van de platen naar een donor HD case ( omdat de motor vast zit in de case ).

Laat staan wanneer de schrijven beschadigt zijn...

> In de praktijk?

Ik zou zeggen dat dit in de praktijk kan voorkomen op hoog niveau. Bijvoorbeeld spionage tussen landen en dat men daar niet op zou neerkijken om eventjes een "vernietigde" harddisk proberen te reconstrueren.

Er is een reden waarom die eisen van een overheid komen... Zij doen het tegenover andere landen, en verwachten dat andere landen het tegenover hun doen. Gevolg dat je dan standaarden hebt dat harde schijven moeten 100 overschreven worden voor ze vernietigd worden. Bij grote geheime projecten zou me niet verbazen dat ze dat echt doen maar bij de rest van de diensten ...
Ik zou schred ook niet gebruiken om een filesystem zelf te wissen, maar echt de fysieke disks wissen. Ook dit is
natuurlijk geen garantie omdat disks zelf ook bepaalde redundantie hebben ingebouwd. Een low level format is met moderne disks ook heel lastig.
Met een triple wipe zijn de kosten voor recovery al groter dan de waarde van de data. Met 7 keer wipe met verschillende datapatronen staat er echt niets meer op.
Als je het doet met een ubuntu bootable en je dd-ed met if=/dev/zero kost het je ook zero :P :*)
Tja, maar waarom weer xo nofig bij media..........
Omdat als de media erbij komt er wel actie word ondernomen...

Container bedrijf gaat 2x de fout in.
Afval is betaald door de vorige persoon. ik mag nog een keer betalen voor zelfde afval want dat dat papier was niet bepaald aan de lichte kant.

Zorgverlener gooit privé gegevens min of meer op straat (mag sowieso niet in bouwafval container naar mijn idee zijn gecertificeerd bedrijven voor dat papieren data netjes word vernietigd) van vele mensen als die info in verkeerde handen komt kan je fraude plegen zoveel je wil.
Dit is helaas hoe het gaat. Ook in Nederland.
Een failliet bedrijf gaat ook niet om met de data en spullen van anderen.. Dit is gewoon de harde realiteit van wat er kan gebeuren als een bedrijf failliet gaat. In feite moet zelfs de inboedel verkocht worden as-is..
tis echt niet alleen een sensatie verhaal. In weze stond/staat de volledige geschiedenis van alle klanten en medewerkers van het bedrijf inclusief alle gevoelige gegevens die daar bij horen (creditcard, addressen, SSN, noem de hele rits maar op, meer dan genoeg om identiteitsfraude te plegen) op Craigslist (zegmaar marktplaats, maar dan daaro) voor de hoogste bieder. Tenminste dat is wat ik ervan begrepen heb.

En als ik het verder ook goed begrepen heb is die hele meuk al meerdere keren digitaal verkocht, dus zijn er meerdere random partijen waarvan we geen idee hebben wie het zijn die al die data hebben.

Best wel een dingetje lijk me zo....
https://youtu.be/5BpCK0l6LXw

Er is al een WAN show geweest waar er aandacht aan is gegeven
Precies! Dit wilde ik ook linken, Linus en iedereen die die video had gezien wist al dat er niet veel soeps was.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True