Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers dringen 'onbeveiligde' klantdatabase Gearbest binnen

Onderzoekers van VPNMentor wisten naar eigen zeggen verschillende delen van de database van de Chinese webwinkel Gearbest binnen te dringen en troffen daar gegevens over bestellingen, betalingen en klanten aan.

Het team van VPNMentor, geleid door de Israëlische beveiligingsonderzoeker Noam Rotem, kon na de inbraak bij persoonsgegevens van bestellingen, betalingen en klantdata waaronder paspoortinformatie en accountwachtwoorden. In totaal ging het om meer dan 1,5 miljoen database entries
die het team deze maand wist te ontdekken. Volgens de onderzoekers was de Elasticsearch-database niet beschermd en waren veel gegevens zoals wachtwoorden niet versleuteld.

Als voorbeeld van hoe kwalijk het is om als webwinkel een database bloot te geven meldt VPNMentor dat het persoonsgegevens van kopers van seksspeeltjes kon inzien, die in sommige landen in grote problemen kunnen komen als dat bij autoriteiten bekend wordt.

De onderzoekers kregen ook url-toegang tot het Kafka-databeheersysteem van Gearbest en moederbedrijf Globalegrow. Dit zou kwaadwillenden de gelegenheid geven hele delen van servers uit te schakelen. De onderzoekers hadden Gearbest enkele dagen de gelegenheid gegeven te reageren maar kregen nog geen reactie.

Door Olaf van Miltenburg

Nieuwscoördinator

14-03-2019 • 21:34

101 Linkedin Google+

Submitter: MartyDog_NL

Reacties (101)

Wijzig sortering
Oke, dit is best scary. Ging even op onderzoek uit en nu zelf een onbeveiligde KAFKA-server gevonden van Alibaba.

https://imgur.com/6sfTukJ

Gearbest lijkt dus niet de enige te zijn. Ik kan je vertellen: het is kinderlijk eenvoudig om er achter te komen. Je hebt alleen wat basiskennis nodig. Lijkt er ook op dat de database niet versleuteld is: https://imgur.com/xknspqm.

10 minuten verder en ik vind er alleen maar meer; niet alleen maar databaseservers van Alibaba of AliExpress, maar ook van andere partijen die KAFKA-servers draaien. Dat hele KAFKA lijkt by default wel zo lek als een zeef. Sommigen hebben wel een wachtwoord ter authenticatie, maar ook dat lijkt wel erg simpel in elkaar gezet zonder 2FA of wat dan ook.

Tot nu toe niet interessanters kunnen vinden, maar daarvoor zou je dieper moeten graven.

[Reactie gewijzigd door AnonymousWP op 14 maart 2019 22:41]

Kafka is een stream-processing platform. Niet een database.

En 2FA in de context van kafka is totaal onzinnig. Kafka is in de eerste plaats een M2M toepassing en daar heeft 2FA geen nut.
Heb je misschien iets meer uitleg wat je doet en wat KAFKA is? Dit zegt mijn persoonlijk niks. Wat zie je en wat kun je checken? Verder op wordt gepraat dat er iets te verwijderen valt, maar het lijkt me toch raar dat een database verwijdert kan worden door externe?
Uuuh nee. Kafka is geen database management software.
Apache Kafka is een stream processing platform (let op geen stream in de zin van YouTube of zo).
https://en.m.wikipedia.org/wiki/Apache_Kafka
Dit wordt veelal gebruikt bij iot of datalakes. Het wordt ook weleens gebruikt om een elasticsearch cluster te voorzien van data. Dit wordt dan weer gebruikt om zaken te cachen voor webapplicaties.
Als ik data daar af ga halen ben ik sowieso fout bezig. Niet echt slim om te doen in mijn opinie.
Ik heb ook de server gevonden waar je het over hebt, maar onthoud dat als de "Organization" listed is als "Hangzhou Alibaba Advertising Co.,Ltd." het ook niet direct betekend dat direct iets volwaardigs van alibaba gehacked is...
Het is er niet 1, maar wel 3-4. Ja, het is onderdeel van Alibaba, wat niet per direct betekent dat het van AliExpress is. Feit is dat ik een heel cluster kan verwijderen, aanpassen of zelfs clusters kan toevoegen waarbij ik kwaadaardige data zou kunnen linken.
Mogelijk zijn het zelfs gewoon test servers of vergeten machines, er staat nogmaals zover als ik 1,2,3 zie niets extreem kritieks op. Opzich niet heel wenselijk maar ook niet een directe ramp./

Ik vind het gewoon niet goed van je dat je direct begint te schreeuwen van "wow shit zelfs alibaba is vet insecure" en dat het dan gaat over een absoluut waardeloze server.

Dit is als schreeuwen dat KPN gehacked is omdat er een lege vergeten FTP server is met RW access.

[Reactie gewijzigd door smiba op 14 maart 2019 22:26]

Ik weet niet welke servers jij ziet, maar ik kon nog verder doorklikken en referenties naar andere delen vinden. Ik zei alleen dat ik het best eng vond dat dit zo allemaal zonder wachtwoord was beveiligd en dat ik andere clusters kan koppelen. Test of niet, maakt niet uit. Trouwens: het lijkt er nu op dat de verbindingen geweigerd worden, dus zou het geen testserver zijn (lijkt er eerder op dat ze nu expres de server down gehaald hebben).
Ik kom op Shodan ook regelmatig verkeerd geconfigureerde Elastic servers tegen. Laatst nog van een internationale oppascentrale inclusief geboortedata en gps coördinaten van kinderen.

IoT servers die open en bloot staan waardoor je alle domotica (inclusief garagedeuren en verwarming) van een woning kunt bedienen etc.

Veel mensen en bedrijven zijn gewoon extreem laks in het beveiliging van hun zaken (en in deze gevallen gaat het ook echt om de basis die al ontbreekt qua beveiliging)
Ik zie vanuit Gearbest nog geen enkele communicatie hierover. Een zeer kwalijke zaak wanneer dit klopt.
We repeatedly contacted both Gearbest and Globalegrow to inform them of this breach, and to let them when we would be publishing this article. They had several days’ notice. Unfortunately, our repeated attempts to ask these companies to step up and protect their users have been unsuccessful. At the time of publication, we were yet to receive a response.

[Reactie gewijzigd door Bor op 14 maart 2019 21:41]

Het kan laksheid zijn (en dat denk ik stiekem zelf ook), maar enkele dagen reactie tijd is wel erg kort voor een bedrijf. Een simpelheid als de chief security officer die op vakantie is kan er al voor zorgen dat ze niet op tijd reageren omdat er niemand is die genoeg op de hoogte is om een inhoudelijke reactie te geven. En nee, niet elk bedrijf heeft een compleet security team rondlopen.

Google geeft normaliter 90 dagen tijd in verband met vulnerabilities, dat lijkt me hier ook op zijn plaats. (Ook al is het dan een slechte config en geen bug.)

Door binnen enkele dagen te publiceren geef je ze niet voldoende kans om te reageren en het te fixen. Daarmee breng je de gebruikers extra in gevaar, aangezien elk zichzelf respecterende scriptkiddie nu zal proberen om ook even een elastic search te doen...

Ofwel: met dit soort "onderzoeken" komt ook een verantwoordelijkheid. Zo als ik het nu lees wil VPNMentor gewoon zo snel mogelijk publiciteit voor zichzelf, en dat krijgen ze natuurlijk veel minder met een probleem dat inmiddels verholpen is...
Er is een verschil tussen vulnerabillity en je data op straat gooien. De sec officer op vakantie en je bedrijf ligt stil. Het is geen ZZP'er. Als het niet overgedragen is dan is de CEO gewoon de volgende.
Er is geen enkel excuus om die server niet binnen 30 seconden van het internet te halen en op onderzoek te gaan. Ook al mis je omzet. Er is geen excuus. Geen enkel excuus voor dit gedrag.
Er is geen excuus. Geen enkel excuus voor dit gedrag.
Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.

We weten niet hoe ze contact hebben opgenomen: een mailtje naar de helpdesk? Naar iemand die waarschijnlijk maar amper Engels kent en de mail simpelweg heeft afgedaan als spam/phising?

Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.

Maar zonder onderbouwing van hoe de communicatie is verlopen en een tijdslijn daarin reken ik het VPNMentor nog steeds aan dat ze niet wat meer tijd hebben genomen voor de disclosure. Zij weten ook hoe dit soort dingen werken bij veel bedrijven. Op deze manier zetten ze het lek in een spotlight, terwijl ze niet eens weten of hun "communicatie" de juiste personen wel heeft bereikt.

Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.

Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.
[...]
Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.
En juist daarom moeten we als IT-ers de wereld buiten de IT beschermen tegen dit soort ongeloofelijk stomme fouten.
[...]Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.
GearBest is een internetbedrijf, IT is hun core business. Hoe kun je dan niemand hebben rondlopen die snapt wat een open database betekend als zogezegd de CISO op vakantie is?
[...]Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.
5 minuten is niet gelijk aan een paar dagen. Bij het AP moet je ook melden binnen 4 (dacht ik) dagen na ontdekken van het lek. Dat betekend: random onderzoeker mailt naar jou op maandag dat je server een SQL lek bevat, dan start de teller. Ongeacht of jouw CISO op vakantie is of niet moet jij dan uiterlijk donderdag een notificatie naar het AP gedaan hebben waarin jij wilt aantonen dat:
Je het lek zsm kan dichten/gedicht hebt.
Je een onderzoek hebt gestart om te bepalen of het lek misbruikt is.
Zo ja, welke gegevens zijn benaderd en welke klanten benadeeld zijn.

Als jij een van deze onderdelen mist vergroot je ontzettend de kans dat je klanten moet inlichten wat elk bedrijf wilt voorkomen. Deze onderzoek geeft aan nog niet eens één reactie te hebben ontvangen met: Bedankt voor het melden, wij pakken dit op en gaan onderzoeken hoe we dit zo snel mogelijk dicht kunnen zetten.

Staat een beetje in schraal contrast hé? Een volledig onderzoek of in ieder geval een ACK sturen binnen een paar dagen.
[...]Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.
Het toevoegen van een username/password is strafbaar. Dan kan je opgepakt worden voor computervredebreuk. Dat risico wil je niet lopen als beveiligingsonderzoeker want dan krijg je nergens meer een baan. + de mogelijkheid tot verhalen van de schade indien GearBest een paar uur/dagen offline gaat.
Dit is geen IT ding. Dus ik snap je reactie niet. Er is nogal een verschil tussen een potentieel lek (daar waar je 90 dagen krijgt om te repareren) en klantnamen op straat leggen zoals hier gebeurt. Als je dat onderscheid niet kunt maken dan hoop ik niet dat je in je werkende leven een rol van betekenis speelt in het klant data proces (bijvoorbeeld data protectionisme officier in de zin van gdpr).
Als chief security officer niet reageren binnen een paar dagen als er een massive breach is omdat je op vakantie zou zijn.... Het moet niet gekker worden.

Er werd ook niet gevraagd om een oplossing, zoals bij Google, maar in ieder geval om erkenning en het opzetten van een communicatielijn.

[Reactie gewijzigd door armageddon_2k1 op 14 maart 2019 22:07]

Maar hoe weet iemand dat het om een massive breach gaat als degene die de kennis heeft op dat moment een paar dagen niet aanwezig is, en degene die het bericht gelezen heeft gewoonweg niet weet wat de impact is (of zelfs gewoon niet eens begrijpt wat er aan de hand is).
Het is allemaal niet zo simpel, en dan is het ook nog zo dat wij niet weten HOE ze contact hebben opgenomen.
De securitybaas is niet de enige die verstand van zaken heeft mag ik hopen. Daarnaast heb je hier protocollen voor. Je doet alsof hier 2 mensen zijn die de it draaien maar het is een groot bedrijf. Als groot bedrijf moet je zorgen dat je een soort meldcentrum hebt voor veiligheidsissues en duidelijke protocollen.

Maar, eens, makkelijker praten van de zijlijn. Doet niets af van het feit dat het gebrek aan communicatie niet goed is.
Enkele dagen is inderdaad weinig tijd om zo iets aan te vliegen. Maar ze hadden wel kunnen reageren, en in overleg kunnen gaan wanneer het onderzoek gepubliceerd kon worden.
De gdpr eist bijvoorbeeld binnen 72 uur een melding. Nu is de gdpr niet van toepassing maar je hebt 3 dagen om het te melden. Als je intern niet eens die drie dagen haalt hoe kun je dan ooit aan de wet voldoen?
denk zeker dat het laksheid is
security komt hier zeker niet op de eerste plaats
is al een aantal jaren bekend dat Gearbest wachtwoorden in plaintext opslaat
http://plaintextoffenders...tcom-consumer-electronics
Kan, maar ik vind het net zo kwalijk dat deze 'onderzoekers' het al na een paar dagen bekend maken. Probleem is natuurlijk bij zulke bedrijven dat je vaak te maken krijgt bij berichten met bots of een onwetende helpdesk, niet bij mensen die ook daadwerkelijk hier iets mee kunnen doen. Naast dat het bij dit soort bedrijven vaak ook lang duurt voor ze uberhaupt reageren (hun mailbox staat natuurlijk wel even een stukje voller dan die van een doorsnee persoon).
Ik vind dat ze minstens een paar weken hadden moeten wachten met het publiceren van deze informatie.
Werk zelf op een support afdeling van een groot it hardware en services bedrijf en heb op zich niets te maken met onze websites of portals. Maar als een klant een melding zou doen over mogelijk security issue van die sites wordt er direct en snel gereageerd naar de melder en vervolgens intern geescaleerd naar zowel legal als security afdeling. Ook al zou mijn eigen manager op vakantie zijn of de SVP van security: actie wordt genomen en zeker aan de melder wordt een terugkoppeling gedaan dat het in onderzoek is.
En als de melding betrekking zou hebben op een product dat ik wel zelf ondersteun (in mijn geval netwerk switches) dan deels hetzelfde maar doe ik ook actief onderzoek of de melding reeel is of mogelijk een opzettelijke keuze (eg klant heeft zelf telnet aangezet en klaagt dat telnet poort open staat of specifiek anonymous rest-api toegestaan): dan is het geen product fout maar een configuratie optie.
En weet zeker dat al mn collegas van frontline/1st level bij een dergelijke melding ofwel naar hun manager stappen of melding direct escaleren, en als dan 2e lijn support tech er niet is zullen ze desnoods hem/haar/hun overslaan en mij vragen (3e lijns)... niemand zal een melding over mogelijke security breach negeren of paar dagen laten wachten.
En kan me niet voorstellen dat het bij andere grote bedrijven anders is.
Toevieging: en er zijn ook specifieke procedures hoe om te gaan met veiligheids communicatie; dat kan een (al dan niet valse) bommelding zijn, directe bedreiging maar ook dit soort meldingen. En minimaal 1x per jaar wordt je tijdens verplichte training hierop attent gemaakt. En je moet die training ook daadwerkelijk elk jaar doen. (Vooral over ethisch zaken doen en verbod op omkoping, disriminatie etc. Maar ook allerhande gevaren waar je je bewust van moet zijn. En het wordt ook actief bijgehouden of je de (herhaal) training op tijd doet... en managers checken dit actief omdat hun manager ook checkt of iedereen indirect onder hem/haar de cursus doet... er is maar 1 persoon die er mogelijk onderuit komt en dat is michael omdat hij als oprichter en (meerderheids) eigenaar/aandeelhouder geen baas boven hem heeft. Maar vermoed dat zelfs hijzelf de training elk jaar doet om t goede voorbeeld te geven

[Reactie gewijzigd door tonkie_67 op 15 maart 2019 00:45]

Gelukkig staan bedrijven zoals Cisco wel bekend om hun integriteit ...
Juist ja, daarom koop ik bij Amazon, want die betalen hun medewerkers zo goed!
Wat is dat nu voor een onzin opmerking, alsof kopen via bol.com of amazon beter is.
Ja inderdaad, meuk als Xiaomi, OnePlus en nog meer van die troep. Snap niet dat mensen dit kopen!

/sarcasm off, ze verkopen genoeg spullen van Chinese merken die wél goed bekend staan. Dat is ook één van de redenen dat ik er regelmatig spullen gekocht heb.
Password managers zouden nu misschien maar moeten checken of gearbest gebruikers hun wachtwoord daarvoor vaker gebruiken....
Een online password manager bedoel je? Dat gaat niet zo makkelijk, daar voor is namelijk toegang tot de passwords nodig en die zijn in een password manager als het goed is niet voor de leverancier inzichtelijk.
1password doet dit in zekere zin. Ze controleren of je email eventueel in een Have I Been Powed breach staat.

Dit zou echter ook kunnen met wachtwoorden d.m.v. hashing. In plaats van de plain text wachtwoorden, worden hashes vergeleken. Zo kan veilig worden gecontroleerd of je wachtwoord eventueel is uitgelekt.
Bij Dashlane krijg je zelfs een melding als je email accounts een nieuwe vermelding in haveibeenpwned hebben gekregen.
Volgens mij kan lastpass zien of je wachtwoorden hergebruikt (als je zo'n security check doet), maar weet niet precies hoe en wat. Het was gewoon een idee
je hebt dus 1 van beide wachtwoorden cleartext nodig. Je kan het dan hashen met dezelfde hash als het tweede wachtwoord, en dan vergelijken. Als je van beide wachtwoorden hashes hebt, kan je enkel vergelijken wanneer het hashing algoritmes (en de eventuele salts) dezelfde zijn.
het is ook handig dat voor elke site waar je iets koopt wat uit het buitenland komt een uniek PW te nemen.

daarnaast is een credit-kaart/paypal koppelen ook stom, omdat mensen zo veel geld kunnen aftroggelen
Het is handig om voor elke site een uniek wachtwoord te nemen, ongeacht locatie en of je er iets koopt of niet. Bij elke database (met wachtwoorden) loop je het risico dat deze gegevens naar buiten komen. Als je dan het wachtwoord van die "betrouwbare Nederlandse webshop" ook voor bijvoorbeeld je Gmail account gebruikt hebt, waarop al je wachtwoord resets e-mails binnen komen, dan ben je evengoed in de aap gelogeerd.

Als je voor elke site een eigen, uniek en bij voorkeur ook random password gebruikt, dan is een gelekt wachtwoord relatief weinig waard en kan men er verder nergens anders iets mee.

En ja, dat betekent dus veel wachtwoorden. Gelukkig zijn er password managers zoals LastPass, 1Password en KeePass (en vele anderen) om je hiermee te helpen. Dan hoef je maar 1 sterk wachtwoord te onthouden.
1password gebruikt de API van haveibeenpwned, daarmee doen ze dit intussen al, is alleen wachten tot haveibeenpwned het ww bestand heeft.
Commentaar Gearbest Supportmedewerker:

No need to worry, Everything is good nothing was revealed nor hacked, rest assured it's our priority to keep your information safe.

Please rest assured that we are a genuine registered company that has been around for 8 years. We at Gearbest are certified secure by renowned E-commerce service providers such as McAfee and PayPal. You may check our certificates on the 'Contact Us' page here: http://www.gearbest.com/about/contact-us.html

Ook mn account laten verwijderen

[Reactie gewijzigd door WVSint op 14 maart 2019 22:35]

Het is denk ik handig te vermelden dat dit de reactie is van een supportmedewerker en niet het officiële statement van het bedrijf?
Gewijzigd. De SupportDesk zou het officiele statement moeten geven in deze situatie.
Hoe heb je je account laten verwijderen? Bij mij wordt dat pertinent geweigerd.
Hier kan ik me dus erg kwaad om maken.
Ik heb enige tijd geleden zeer herhaaldelijk contact gehad met de "support" van Gearbest om mijn emailadres up te daten die ik niet meer in gebruik heb, en zelfs na 15 mailwisselingen werd ik alsnog steeds afgepoeierd met oneliners zoals "you can't" en "we dont change email", zonder enige uitleg waarom dit niet zou kunnen en onwilligheid om ook maar enige vragen te beantwoorden of argumentatie te geven.

Volgens de GDPR moet er juist mogelijkheid zijn voor eenieder om zijn of haar persoonlijke informatie te kunnen updaten danwel verwijderen, beide werden niet gehonoreerd. Ik heb meermalig gevraagd mijn account te verwijderen indien het emailadres niet geupdate kon worden, maar daar kreeg ik precies hetzelfde antwoord: "we dont delete account".

Nu blijkt er een data breach te zijn die (voor mij) voorkomen had kunnen worden. Het is een email adres dat ik niet meer vaak gebruik, maar indien mijn aanvraag gehonoreerd werd, zou mij een hoop ergernis bespaard gebleven zijn.

Ik ben echt helemaal klaar met dit soort bedrijven, lekker aan de schandpaal wat mij betreft.
Een Chinees bedrijf dat zich druk maakt over jou GDPR?
Wat bedoel je precies? Ook al zit je bedrijf op de noordpool, als je de data van Europeanen verwerkt heb je je gewoon te houden aan de GDPR.
Haha, laten we dit even uit de wereld helpen.
GDPR (AVG) is voor landen die onder die wetgeving vallen en er dus ook voor hebben getekend. Als in: de EU.

Als ik in China een servertje neerzet en ik verwerk jouw data daar dan heb ik 0,0 met de AVG te maken. Uiteraard moet ik dan geen banden hebben verder met Nederland (servertjes hier staan bijvoorbeeld).

Het enige land in de wereld dat denkt dat ze hun wetten mogen opdringen aan andere landen is Amerika. Die hebben met hun Patrion Act wel toegang tot alle systemen/data zodra er ook maar een Amerikaans staatsburger bij in de buurt komt.
Niet te begrijpen dat dit een +3 krijgt, het is gewoon feitelijk onjuist.

https://ec.europa.eu/info...a-protection-law-apply_en
The law applies to:
  • a company or entity which processes personal data as part of the activities of one of its branches established in the EU, regardless of where the data is processed; or
  • a company established outside the EU offering goods/services (paid or for free) or monitoring the behaviour of individuals in the EU.
https://eugdpr.org/the-regulation/gdpr-faqs/
Who does the GDPR affect?
The GDPR not only applies to organisations located within the EU but also applies to organisations located outside of the EU if they offer goods or services to, or monitor the behaviour of, EU data subjects. It applies to all companies processing and holding the personal data of data subjects residing in the European Union, regardless of the company’s location.
Het is niet voor niets dat in de tijd voorafgaande aan de definitieve bekrachtiging van de GDPR, veel bedrijven van buiten de EU ineens wakker schrokken en zich realiseerden wat de impact op hen zou zijn, en sommigen daarna besloten om dan maar helemaal geen zaken meer met EU onderdanen te doen:
US small businesses drop EU customers over new data rule

Verder is het geen kwestie van "wetten mogen opdringen" - je hoeft je helemaal niet aan de GDPR te houden. Maar de keerzijde is dat je dan ook geen zaken kan doen met EU onderdanen, of hun persoonsgegevens mag verwerken.

Overigens is het de Patriot Act, niet Patrion Act.

[Reactie gewijzigd door Florimon op 15 maart 2019 09:09]

Laat ik dan jou ook maar meteen uit je droom helpen want wat je zegt is pertinent onjuist.

Artikel 3 uit de AVG (GDPR) "Territoriaal toepassingsgebied"
2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Dus ook al draai je een Chinese webshop op een Chinese server, op het moment dat je in Nederland levert en je verwerkt persoonsgegevens dan heb je je te houden aan de AVG.
https://www.volkskrant.nl...kende-bedrijven~b7e6d7c8/

Mooi artikel over precies datgene waar jij tegenaan loopt.
Zojuist even contact gezocht met de Gearbest support. Kreeg eerst een standaard antwoord over dat Gearbest goed beveiligd is door middel van McAfee en Paypal... |:( Na doorgezeurd te hebben kreeg ik het volgende antwoord: ''Rest assured that Gearbest will take all the actions needed to fix this matter.''

Lijkt dus nog steeds niet opgelost te zijn. Namen het via de support chat ook niet serieus. Jammer, volgende keer ergens anders bestellen.
Dus jij denkt serieus dat als je een random andere website pakt, daar een support chat begint over een beveiligings issue of een vulnerability dat ze weten waar je het over hebt :?

Sorry, maar dat is echt ernstig naïef. Dit soort dingen is echt iets voor de IT mensen, en die zitten normaliter niet op de customer support, hooguit een 1e lijns helpdesk voor een wachtwoord reset of iets dergelijks.

Bedrijven die dit serieus nemen hebben vaak wel een meldpunt voor dit soort dingen. En met reden: als het via een reguliere chat, mail, telefoontje binnenkomt gaat er vaak veel tijd verloren omdat de medewerker de impact er van niet juist kan inschatten.
Ik heb geen één technisch woordje laten vallen in de chat met Gearbest. Ik heb gevraagd of het probleem inmiddels was gedicht en hier kreeg ik pas na veel standaard berichten het bovenstaande antwoord op. En ja, ik verwacht dat de support van een gehackt bedrijf in ieder geval iets af weet van de huidige situatie. Daarbij hoeft het heus geen technisch antwoord te zijn, dat kan je inderdaad niet verwachten van een gemiddelde support medewerker.
Een bedrijf met 1 miljoen klanten denk je echt dat de support er iets van af kan weten. Het komt eerst bij andere teams terecht. Daarnaast van die miljoenen mensen denk je echt dat alle gaan navragen.

Als het om 100-200 klanten ging waarbij je misschien 10 medewerkers hebt ( klein ZZP bedrijf misschien ) dan ja kan je een snellere antwoord krijgen.
Op zich eens: ware het niet dat we niet weten of GearBest wel op de hoogte is. De onderzoekers doen namelijk totaal niet uit de doeken hóe zij contact op hebben genomen. En gezien ze binnen een paar dagen public gaan zie ik nog wel eens gebeuren dat dat gewoon via een mailtje naar support was ofzo (waarvan je weet dat 'ie gewoon in de spam box komt)...
Geloof me dat die reactie nu wel gaat komen nu dit nieuws viral gaat. Er zal serieus damage control gedaan moeten worden. Als de Amerikanen en Europeanen wegblijven is die site klaar.
Mensen blijven toch wel kopen, de meeste mensen interesseert het niet.

Data breach, privacy scandal, het is 3/4 dagen hot topic en daarna gaat iedereen weer lekker Facebooken en aankopen doen op Gearbest etc.
Eind 2017 was het bij Gearbest ook al loos.. Al is het deze maal wat omvangrijker.

https://www.reddit.com/r/...ails_including_passwords/
Eens kijken of ze de moeite nemen om mijn verzoek om het account te verwijderen serieus nemen (zouden ze volgens hun privacy statement in ieder geval moeten doen).
Ik denk dat ze het niet begrijpen. Ik ben affiliate van Gearbest en het verloop van bijv. die affiliate/marketing-afdeling is groot, wie weet misschien ook van IT/security. Dame die er nu zit en contact heeft met de NL affiliates begrijpt Engels slecht, interesseert zich niet in eerdere afspraken etc. In het verleden alle affiliates emailadressen in mails in To ipv BCC etc. Ik heb laatst mijn geld er weggesluisd en na dit nieuwsbericht zal ik het merendeel van de links verwijderen. Dit wilde ik al doen, maar dit nieuwsbericht is de druppel. Erg onprofessioneel bedrijf en dit datalek verbaast mij echt helemaal niets.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True