Pretpark dreigt met aangifte tegen ontdekker van datalek die om kaarten vraagt

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Volgens het pretpark heeft de ontwikkelaar het pretpark gechanteerd. De ontwikkelaar zegt juist dat die kaartjes hem eerder zijn beloofd.

Ontwikkelaar Jan van Kampen tipte het pretpark in maart dit jaar over een datalek. Tegenover Looopings verduidelijkt hij dat het gaat om computercode in de bron van de webshop, die aangeeft hoeveel entreebewijzen, kaartjes voor losse attracties en Fast Lane-tickets het pretpark heeft verkocht. Deze informatie zou via 'element inspecteren' zichtbaar zijn in json-formaat.

Toen hij het pretpark inlichtte over het lek, werd hem naar eigen zeggen door een it-manager gevraagd of hij dit in het pretpark zelf wilde toelichten. Daarbij zegt hij dat hem per mail werd aangeboden om 'een rondje park' te doen. Van Kampen zegt dat er na dit aanbod, ondanks herhaalde pogingen geen contact meer is geweest met Walibi.

Van Kampen zegt in de afgelopen week op basis van een tip te hebben geconcludeerd dat er weer 'iets niet klopte'. Ook bij dit lek is de kaartverkoop in te zien, ook die voor de speciale halloweendagen van het pretpark. Van Kampen claimt dit direct aan Walibi te hebben gemeld, met als mailonderwerp 'Datalek ruilen voor kaartjes?'. In de mail vroeg hij om vier kaartjes voor het park en de spookhuizen; hij zegt dat hij niet om geld heeft gevraagd.

De ontwikkelaar zegt op 14 oktober een reactie te hebben ontvangen van Walibi Holland-directeur Mascha van Till. Daarin zou zij zeggen dat Walibi zich niet laat chanteren en dat Van Kampen geen tickets ontvangt. In die mail zou zij hebben gezegd op 14 oktober aangifte te doen.

RTL Nieuws zegt het mailverkeer tussen Van Kampen en Walibi te hebben ingezien. Een woordvoerder van Walibi zegt tegenover de nieuwssite inderdaad 'grond voor afpersing' te zien en verduidelijkt daarbij dat de aangifte niet is omdat het datalek werd gemeld, maar omdat Van Kampen het pretpark zou hebben afgeperst. Of er daadwerkelijk aangifte is gedaan, is niet bekend.

Van Kampen is een ontwikkelaar die vaker bedrijfslekken opspoort en daarvoor een beloning kan krijgen. Zo heeft hij volgens RTL Nieuws een app ontwikkeld waarmee hij toegangscodes voor de Python-achtbaan in de Efteling kon genereren. Die app deelde hij niet, in samenspraak met de Efteling is dat lek toen gedicht. Op zijn site schrijft Van Kampen ook door de Efteling te zijn benaderd om it-projecten te testen.

Door Hayte Hugo

Redacteur

Feedback • 15-10-2019 16:28
257 • submitter: williamvdh

15-10-2019 • 16:28

257 Linkedin

Submitter: williamvdh

Lees meer

Pretpark Walibi had lek waarmee aanvallers bij admin-omgeving konden komen Nieuws van 2 april 2020
Walibi start met responsible-disclosurebeleid na zwakheden in verkoopmodules Nieuws van 26 maart 2020
Walibi doet toch geen aangifte tegen melder van datalek Nieuws van 18 oktober 2019
Gebruikersgegevens Nederlands prostitutieforum zijn via vBulletin-lek gestolen Nieuws van 10 oktober 2019
Gegevens van alle huidige en ex-werknemers van Strukton Rail zijn gestolen Nieuws van 9 oktober 2019
Datalek bij Chinese slimmecamerafabrikant treft 14.000 exemplaren in Nederland Nieuws van 21 september 2019
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar Nieuws van 19 september 2019
Meer producten en artikelen
Bedrijfsnieuws Politiek en recht Aangifte Datalek Nederland

Reacties (257)

-Moderatie-faq
257
249
172
16
1
56
Wijzig sortering
KillaZ
15 oktober 2019 16:32
Als het onderwerp 'Datalek ruilen voor kaartjes?' is zonder enige uitleg verder in de mail snap ik de aanleiding tot chantage wel. Misschien wat overdreven, maar toch. Aan de andere kant zijn 4 kaartjes walibi 1,5 tot 2 keer de uurprijs van een gemiddelde ontwikkelaar tegenwoordig.

In mijn ogen van beide partijen niet handig gedaan.

Edit: Uit zijn blog http://janvankampen.nl/?p=412:

"Dit heb ik direct gemeld aan Walibi, met bijgevoegd een chunk van de data, zodat ze konden verifiëren of m’n claim waar was. De titel van de mail was ‘Datalek ruilen voor kaartjes?’, uiteraard verwijzend naar onze vorige mislukte conversatie. Ik heb gevraagd om vier tickets voor het park en de spookhuizen, omdat ik na 8 jaar afwezigheid en heel veel gehype ook wel eens benieuwd was naar hun evenement.

De vraag en discussie over geld vond ik het niet waard, want na de vorige keer was me al duidelijk dat ze geen zin hebben in dit soort meldingen. Terwijl dit soort meldingen, met duidelijke bron, juist hun achterstallige testwerk doen."

Tot zover dus "Chantage", hij heeft nota bene een chunk doorgemaild.

[Reactie gewijzigd door KillaZ op 15 oktober 2019 16:37]

ppl
@KillaZ15 oktober 2019 20:38
Als het onderwerp 'Datalek ruilen voor kaartjes?' is zonder enige uitleg verder in de mail snap ik de aanleiding tot chantage wel.
Ik niet en de wet zo te zien ook niet. Wil er sprake zijn van chantage (in juridische termen gebruiken ze hiervoor het Nederlandse woord "afdreiging") dan moet er sprake zijn van een bepaalde mate van dreiging. Er moet dus iets staan dat de kaartjes moet worden afgegeven want anders...

Zie artikel 318 van het Wetboek van Strafrecht: Titel XXIII. Afpersing en afdreiging.
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
Er staat in het onderwerp van de mail geen dreigement, het is niet meer dan een doodnormale vraag die iedereen kan stellen. De inhoud van de mail en voorgaande mails zijn des te belangrijker want er zal toch ergens moeten blijken dat er sprake is van een bedreiging.
KillaZ
@ppl15 oktober 2019 20:45
Je kunt wetteksten erbij halen tot je een ons weegt, je snapt zelf ook wel dat een kantonrechter een onderwerp van een mail als deze interpreteert als "voor 4 kaartjes geef ik je info over je datalek" als daar verder geen nuancering in zit. Voila, daar is je aanleiding tot chantage.

Vandaar dat ik in de edit aangeef dat die nuance wel in zijn mail zit: dat maakt het hele chantage vraagstuk overbodig. ;)
Bananeman
@KillaZ15 oktober 2019 23:24
Nee, want je kunt het hooguit lezen als: "voor 4 kaartjes geef ik je info over je datalek, en anders krijg je die info niet". En niet als: "voor 4 kaartjes geef ik je info over je datalek, en anders maak ik de info openbaar."

Het eerste is zijn goed recht, hij is niet verplicht die info af te staan. Het tweede is chantage.
robvanwijk
@KillaZ15 oktober 2019 23:39
je snapt zelf ook wel dat een kantonrechter een onderwerp van een mail als deze interpreteert als "voor 4 kaartjes geef ik je info over je datalek" als daar verder geen nuancering in zit.
Ten eerste is er geen enkele reden om in een rechtszaak alleen naar het onderwerp te kijken, dan wordt natuurlijk de volledige email erbij gepakt.

Ten tweede... "voor 4 kaartjes geef ik je info en anders doe ik niets" (ik geef je de details niet, maar ik maak ze ook niet openbaar) valt zo te zien niet onder artikel 318. Je dreigt dan immers niet met het openbaar maken van een geheim, het gaat niet over smaad, goederen of schulden en die "het ter beschikking stellen van gegevens" werkt alleen de andere kant op (iemand chanteren om gegevens aan jou te geven). Dat wil niet zeggen dat het mag (er zijn talloze andere wetten), maar chantage is het niet.

Ik houd trouwens serieus rekening met de mogelijkheid dat het misschien nog wel eens legaal zou kunnen zijn; is het niet gewoon een voorstel tot verkoop? Informatie wisselen tegen kaartjes klinkt als ruilhandel (zolang je er geen dreigementen aan hangt!).
FalconerHG
@KillaZ15 oktober 2019 16:39
Hier kan ik me niet in vinden. Er staat nergens "en als je het niet doet, dan zwaait er wat". Het park zou juist blij moeten zijn met zo'n actie. 4 kaartjes is een habbekrats voor het vinden van een dergelijk gat, en met zo'n klein bedrag is het duidelijk dat de vinder niet uit is op chantage.
i-chat
@FalconerHG15 oktober 2019 17:12
ik heb die vrouw een paar keer gezien irl - maar laat ik voorop stellen dat ze irl een stuk associaler is dan voor de camera. mensen letterlijk gewoon omverlopen zonder excuses.

Walibi is een leuk park om eens een achtbaanritje te maken, maar ik zou nog liever verongeren dan er een dag te moeten werken, en als leverancier zou ik ik ook dat miljoenencontract niet zo snel aangaan tenzij er volledig vooruit wordt betaald. het lijkt me namelijk niet de meest betrouwbare zakenpartner.

Hier blijkt toch maar weer eens dat ze gewoon proberen een beveiligingsonderzoeker zwart te maken omdat er 'mogelijk' wel eens een datalek zou kunnen zijn dit heeft met afpersing niets te maken.

als ik deze ontwikkelaar was zou ik in ieder geval aangifte doen wegens smaad.

[Reactie gewijzigd door i-chat op 15 oktober 2019 17:13]

amigob2
@i-chat15 oktober 2019 18:27
Mee eens. Met iets andere woorden zeg ik nu het zelfde.

Hij heeft voor Walibi onbetaald werk verricht en een probleem in hun website gevonden.
Hij wil dat werk overhandigen zodat ze het kunnen fixen, maar dat kost 4 kaartjes ( koopje )
Hij zegt nergens dat hij de fout gaat misbruiken hij zegt zoek het dan zelf maar uit, dus kan het
niet zijn dat het afpersing is. Anders zijn mensen die van data lekken afweten vogel vrij.
Hieronymuski
@amigob215 oktober 2019 20:21
Hij wil dat werk overhandigen zodat ze het kunnen fixen, maar dat kost 4 kaartjes ( koopje )
Dit heeft hij nooit gezegd en is daadwerkelijk afpersing.

Hij had al direct het e.e.a overhandidg, vergezeld met de vraag of ze 4 kaartjes hadden.
Klein verschil, grote gevolgen.
jeanj
@Hieronymuski15 oktober 2019 23:28
Hoe zo afpersing, pas als hij ergens mee dreigt dan is het afpersing. Zeggen dat ze zijn informatie krijgen tegen betaling (van 4 kaartjes), is geen dreiging.

Hij heeft ze verteld dat er een datalek is, met bewijzen er bij. Ze kunnen gerust zelf opzoek gaan naar het lek. Ze hebben zijn informatie niet nodig.

Het park had beter een aangifte van hacking kunnen doen, dat heeft denk ik meer kans van slagen (aangezien hij het al zelf heeft bewezen)

just my 2 cent, ben geen jurist
StarZ
@jeanj15 oktober 2019 23:38
Het is volgens mij ook geen hacking als je informatie uit de broncode haalt. Dat is gewoon een datalek.
kakanox
@jeanj16 oktober 2019 00:22
Hij heeft niet eens gezegd dat ze zijn informatie krijgen tegen vier kaartjes. Het was een voorstel, misschien had hij het ook wel gewoon gestuurd als ze niet met aangifte gingen dreigen.

Daarnaast: Wat een server jouw client in plain text stuurt mag je van boven tot onder en van voor tot achter doorspitten, dat is géén hacking.
jqv
@Hieronymuski15 oktober 2019 21:38
Als er aangifte is gedaan zal de officier met het geleverde bewijs bepalen of er grond is tot vervolging. Zo niet. Dan kan Wailibi nog een civiele procedure beginnen.
Zo ja...dan bepaald de rechter naar de letter van de wet of dit afpersing is.

Zijn reputatie is echter zo goed dat de rechter het zal afdoen als een fout geformuleerde zin en dat Walibi kan fluiten naar een veroordeling.
kvdveer
@Hieronymuski15 oktober 2019 22:05
Dit heeft hij nooit gezegd en is daadwerkelijk afpersing.
Afperssing vereist dat de dader dreigt met een negatief gevolg, al dan niet impliciet. Dat gevolg lijkt hier te ontbreken. Meneer heeft niet de suggestie gewekt dat hij iets naars zou doen met het lek; als ze geen kaartjes geven, dan gebeurt er verder niets naars.
jroz2001
@kvdveer16 oktober 2019 15:03
Misschien is het toch verspreiden van het lek ZONDER aankondiging nog wel erger? Dat is namelijk wat hij nu heeft gedaan.
SkyStreaker
@Hieronymuski16 oktober 2019 08:36
Hij bedoelt het duidelijk als een soort van tegenprestatie en doet daarvoor een suggestie, dat is geen afpersing.
Anoniem: 426269
@KillaZ15 oktober 2019 16:59
Hoho, (de titel van) dat mailtje van 'Datalek ruilen voor kaartjes?' is natuurlijk ook gewoon een reminder om nog even te reageren op hun eerdere beloften om 'een rondje pretpark' te doen, waar Walibi zelf opeens niet meer op reageerde, na meerdere pogingen van Van Kampen.

Die directrice mag wel een beetje normaler doen, i.p.v. zo bot en agressief te reageren. Het wordt ze tot 2 maal toe op een presenteerblaadje voor een habbekrats aangeboden (en tot nu toe zelfs voor nop). Zij is tenslotte wel de hoofdverantwoordelijke voor het falen van haar IT systemen.

Is dit nieuwe, en het oude datalek ook, al gemeld bij de AFM?
Pietervs
@Anoniem: 42626915 oktober 2019 21:12
Wat heeft de Autoriteit Financiële Markten er mee te maken? :)

Bedoel je de AP? Die hebben er ook niks mee te maken, want er worden geen persoonsgegevens gelekt, alleen aantallen.

Oeps, snap nu wat je bedoelt. 8)7

[Reactie gewijzigd door Pietervs op 15 oktober 2019 21:57]

Chinco
@Pietervs16 oktober 2019 00:17
Help de rest (ik, o.a.) die het niet begrijpt dan ook even? 😁
Pietervs
@Chinco16 oktober 2019 00:40
Aan de hand van de bezoekersaantallen kunnen financiële gegevens en daarmee de financiële gezondheid van Walibi afgeleid worden. Wat weer (min of meer) inside informatie kan zijn voor potentiële investeerders (dan wel redenen om aandelen te kopen of verkopen van Walibi of directe toeleveranciers -voor zover beursgenoteerd natuurlijk-) :)
Chinco
@Pietervs16 oktober 2019 02:38
Thanks, namens de goegemeente. 🤓

Beetje vergezocht, dacht ik, tot ik bedacht dat je dat van dag tot dag vast zou kunnen leggen. 3 maand monitoren en daar ga je..,
.oisyn
@KillaZ16 oktober 2019 00:30
Hij heeft inmiddels ook een open brief aan Walibi gepubliceerd waarin hij zijn kant van het verhaal uitlegt: https://janvankampen.nl/?p=433
Joppiesaus2
@KillaZ15 oktober 2019 17:17
Kom op zeg...chantage? Hij levert nota bene de oplossing al aan ze mee. Ga je nou echt zitten miepen om 4 kaartjes die nog een tikkie gekscherend worden gevraagd en daar aangifte om doen? Zeg dan gewoon tegen hem 'bedankt, maar hiervoor gaan we geen kaartjes uitloven'. Ook goed. Maar nee, ze gaan hiermee ons rechtssysteem belasten? Echt. Super. Triest.
liberque
@Joppiesaus215 oktober 2019 18:09
Ieder verhaal heeft twee kanten. Het onderwerp van de email is wellicht discutabel, maar op zijn hoogst verkeerd gekozen te noemen. Een smiley had veel goedgemaakt.

De reactie van Walibi is er gewoon eentje uit paniekvoetval van die manager. Ongeletterdheid in de materie zal hier een enorme invloed op hebben. "Straks ligt onze data op straat" en/of "Wat eist hij straks?", zijn hersenspinsels die kunnen voortvloeien uit de negatieve mediaaandacht aangaande "hackers". De manager is duidelijk bang dat ze straks in een achtbaan van hacks en eisen terecht komen en dat is dan hun kant van het verhaal.

Als beide partijen het gesprek aan zouden gaan zou het geheel voor beide partijen reuze meevallen. Welllicht dat de politie ze hier een beetje op kan aansporen. Hacken is namelijk een strafbaar feit en dus komt de politie automatisch in beeld.
mr_seeker
@liberque15 oktober 2019 19:26
Hacken is namelijk een strafbaar feit en dus komt de politie automatisch in beeld.
Als je goed zijn verhaal hebt gelezen, is die informatie gewoon op straat komen liggen, hij heeft dit gemeld, gevraagd om "vindersloon" en vervolgens krijgt hij een proces aan zijn broek wegens chantage. Wat denk je wat de volgende persoon gaat doen die weer ziet dat er zo'n lek is? Precies... Die gaat het niet melden, maar doorspelen aan een journalist...
mae-t.net
@liberque15 oktober 2019 18:43
Ongeletterdheid in de materie, waarbij de materie dan mijnsinziens is "leiding geven aan een bedrijf". Een zakenmailtje lezen en interpreteren is een basisvaardigheid voor iedereen die binnen een bedrijf ook maar de bevoegdheid heeft om toiletpapier in te kopen. Laat staan voor een directeur.
latka
@mae-t.net15 oktober 2019 19:46
Lol. Tijd om wat meer bedrijven van binnen te zien. Legio manager in NL is de knip voor de neus niet waard.
dycell
@latka15 oktober 2019 20:06
Legio manager in NL is de knip voor de neus niet waard...
Managers zijn echt volledig overbodige functies. Ze kunnen nuttig zijn maar dan is er toch al een probleem in het ‘team’. Een normaal functionerend team voert manager taken efficiënter en beter uit met als gevolg dat iedereen tevredener is. Helaas blijven nog veel organisaties steken in het verleden.
kakanox
@dycell16 oktober 2019 00:31
Je hebt zo te lezen nog geen enkele goede manager meegemaakt, en/of enkel met mensen gewerkt die het hoog in hun bol hebben over zichzelf.

Een goede manager houdt de hoofdlijnen in de gaten, neemt besluiten wanneer er tegengestelde belangen zijn, is liaison tussen teamleden en directeurs/aandeelhouder(s), is bezig met strategie en motiveert. Een helikopter- en katalysatorfunctie. Nederland is hét land bij uitstek waar gedacht wordt dat tien kapiteins op een schip werkt, maar polderen kost ook tijd. Een knopenhakker die het beste in mensen naar boven haalt en een filter is voor druk vanaf de mensen met de portemonnee; ik heb er altijd veel aan gehad en probeer zelf nu één te zijn.
Joever
@kakanox16 oktober 2019 13:12
Jij omschrijft een manager wat ook meteen een goede leider is, welke je ook het liefste wilt hebben.
Helaas zijn er veel managers welke geen goede leiders zijn en andersom, ondanks dat je ze allebei nodig hebt.

Een manager is over het algemeen een rationele doener. Werkt en stuurt in het nu. Boeken resultaat d.m.v. doelstellingen en policy. Pure managers houden over het algemeen meer rekening met het bedrijf (zie doelstellingen en procedures) dan met het personeel.

Een leider is over het algemeen een motiverende persoon met visie is. Werkt en stuurt naar een punt in de toekomst. Boeken resultaten d.m.v. het team met de neus dezelfde kant op te laten kijken en zodoende te laten samenwerken. Denk meer aan wat gaat komen (anticiperen) dan wat nu is.

De beste managers zijn de gene die zowel manager als leider kunnen zijn. Het goed kunnen structureren en aansturen in het nu maar wel met een oog op de toekomst, het bedrijf en het personeel.

Helaas vind je niet heel vaak een combinatie van die twee en zal @dycell vooral de pure manager tegengekomen zijn (al ben ik het er niet mee eens dat ze overbodig zijn). Ik heb onder zowel pure manager als goede manager/leider combinatie gewerkt en het is een wereld van verschil.

[Reactie gewijzigd door Joever op 16 oktober 2019 13:13]

kakanox
@Joever19 oktober 2019 11:35
Jij omschrijft een manager wat ook meteen een goede leider is, welke je ook het liefste wilt hebben.
Helaas zijn er veel managers welke geen goede leiders zijn en andersom, ondanks dat je ze allebei nodig hebt.
Klopt! Er zijn helaas ook meer slechte software developers dan goeie, één kenmerk dat die lui delen met slechte managers is dat ze zélf denken dat ze het allemaal helemaal goed doen.

Om op basis daarvan te constateren dat software developers overbodig zijn omdat we nu ook codeless development systemen hebben, is wat kort door de bocht :-) Maar daar hoef ik jou al niet meer van te overtuigen.
Een manager is over het algemeen een rationele doener. Werkt en stuurt in het nu. Boeken resultaat d.m.v. doelstellingen en policy. Pure managers houden over het algemeen meer rekening met het bedrijf (zie doelstellingen en procedures) dan met het personeel.
Klopt mijns inziens niet helemaal. Een middle manager (en ook een politicus) werkt vaak aan z'n eigen toekomst, en moet daarvoor op korte termijn resultaat behalen. De lange termijn is minder belangrijk.
Ik zie het bij sommige klanten ook gebeuren; mijn indruk is dat het mis gaat zodra aandeelhouders niet meer betrokken zijn bij de organisatie. Ben om die reden dan ook geen fan van beursgenoteerde bedrijven, of bedrijven die overnames doen puur op de cijfers; een goede equity partner kan echter weer een uitkomst zijn, en je als ondernemer zowel financieel als met ervaring naar het volgende level brengen.
Een leider is over het algemeen een motiverende persoon met visie is. Werkt en stuurt naar een punt in de toekomst. Boeken resultaten d.m.v. het team met de neus dezelfde kant op te laten kijken en zodoende te laten samenwerken. Denk meer aan wat gaat komen (anticiperen) dan wat nu is.

De beste managers zijn de gene die zowel manager als leider kunnen zijn. Het goed kunnen structureren en aansturen in het nu maar wel met een oog op de toekomst, het bedrijf en het personeel.
Klopt! Daar kom je overigens al een stuk dichterbij door je kwetsbaar op te stellen, en transparant te zijn, al moet je daar als manager dan wel weer toestemming voor krijgen. Al wordt een mededeling als "het gaat slecht, ik hoop dat we volgende maand halen, we hebben je inzet volop nodig om het te doen slagen" vaak vooral vertaald als "als je mogelijkheden hebt, ga dan nú solliciteren".
Helaas vind je niet heel vaak een combinatie van die twee en zal @dycell vooral de pure manager tegengekomen zijn (al ben ik het er niet mee eens dat ze overbodig zijn). Ik heb onder zowel pure manager als goede manager/leider combinatie gewerkt en het is een wereld van verschil.
Klopt helemaal, ik heb ze ook beide meegemaakt. Leuk detail daarbij is dat toen de beste manager die ik meemaakte ontslagen werd, om vervangen te worden voor een hork die we al kenden, het hele team direct begon te solliciteren. M.a.w.: met de verkeerde manager valt je bedrijf uit elkaar.
Bansheeben
@kakanox16 oktober 2019 14:18
Je hebt de lingo in ieder geval goed op orde...
kakanox
@dycell16 oktober 2019 10:25
Een aandeelhouder wil niet praten met een team, die wil 1 partij spreken voor de updates.
Er is niet altijd "het beste voor het team/bedrijf". Er is ook weleens kiezen en hopen.
En naar je manager stappen moet inderdaad niet. De manager moet er gewoon zijn, onderdeel uit maken van het team.

Ik heb wel degelijk ervaring met holacratie, en ook met hoe een paar rotte appels daarbij de dynamiek kunnen verstoren.

Als laatste: Ik ben niet alleen manager, ook ondernemer. Draag alleen verantwoording af aan de klant en m'n team.
dycell
@kakanox16 oktober 2019 12:01
Een aandeelhouder wil niet praten met een team, die wil 1 partij spreken voor de updates.
Als je aandeelhouders hebt, kun je daar ook gewoon een team voor aanstellen. Daar heb je geen manager voor nodig.

Er is niet altijd "het beste voor het team/bedrijf". Er is ook wel eens kiezen en hopen.
Ik zie niet waarom je daar een manager voor nodig hebt.

En naar je manager stappen moet inderdaad niet. De manager moet er gewoon zijn, onderdeel uitmaken van het team.
Dat zou inderdaad zo moeten zijn. Maar loop ieder bedrijf in van enige omvang en je ziet managers die in hun eigen kantoor met hun eigen zaken belang bezig zijn. Niemand vertelt ze blijkbaar wat precies hun functie inhoud. En als je kijkt naar hun inhoudelijke taken, die zijn overbodig en kunnen prima door een teamlid worden uitgevoerd (eventueel roulerend). Als voorbeeld, binnen een scrum team heb je ook geen managers...

Ik heb wel degelijk ervaring met holacratie, en ook met hoe een paar rotte appels daarbij de dynamiek kunnen verstoren.
Die rotte appels worden dan vanzelf uit het team gezet als ze echt niet functioneren. Je hebt niet altijd perfectie, daar moet men ook mee leren leven. Als dit niet functioneert dan voer je het niet correct.

Als laatste: Ik ben niet alleen manager, ook ondernemer. Draag alleen verantwoording af aan de klant en m'n team.
Ik snap niet hoe dat relevant is.. In een team is iedereen verantwoordelijk. Je klinkt inderdaad wel als een manager ;)
Rinzwind
@liberque16 oktober 2019 03:38
Nee de reactie is waarschijnlijk de standaard operandus van mevrouw. Officieel en dreigend zonder emoties zonder te weten van hoed en rand. Een gesprek met mevrouw krijg je alleen met advocaat erbij en officiële blaat. Onwerkbaar mij dunkt.
WillySis
@Joppiesaus215 oktober 2019 18:30
Of het chantage is of niet, daar zal ik me niet over uitspreken. Laten ik het er maar op houden dat de communicatie van beide kanten niet duidelijk genoeg is geweest om elkaar te begrijpen.

Wat hieruit wel duidelijk is dat er eens een goede regeling of wet moet komen omtrent het ethisch hacken. Dan ik ook gelijk duidelijk hoe een ethisch hacker een datalek moet melder en hoe een bedrijf daarmee om moet gaan.
Wat mij betreft verdient het melden van een datalek ook een passende beloning, maar ik kan me voorstellen dat het moeilijk is om in te schatten wat een passende beloning is.
Nu zal niet bij elk datalek gelijk de AVG worden geschonden, maar als dat wel zo is zou men als hacker ook de AP op de hoogte kunnen brengen en via die weg kunnen er in theorie forse boetes worden uitgedeeld. Een beloning voor de hacker zal vermoedelijk voordeliger zijn.
CH4OS
@Joppiesaus215 oktober 2019 18:59
Zover ik van het artikel begrijp wijst Jan alleen maar aan dat er een lek is en heeft niet de oplossing gegeven.

Jan had ook gewoon de vraagstelling anders kunnen doen ipv in het onderwerp er al over te beginnen. Zou je het op een ludieke manier als post scriptum toevoegen aan een e-mail bericht zou je vast veel eerder een glimlach krijgen dan wanneer je er al over begint in het onderwerpveld.

Dus ja, ik begrijp heel goed dat Walibi dit op deze manier opvat.
Christoxz
@KillaZ15 oktober 2019 16:35
Aan de zin te zien heeft hij het gewoon gemeld, en dat als onderwerp gebruikt.

Anders is het ook niet echt chantage. Want je chanteert niet met alleen zo'n zin.
stefan70
@Christoxz15 oktober 2019 16:52
Tenzij de ontwikkelaar dreigde met bekendmaking als hij de kaartjes niet kreeg of de data te verkopen, dan zie ik niet hoe dit chantage genoemd kan worden.

Hij lijkt een voorstel, ongevraagd, te doen. In een B2B setting niet vreemd.

Is het een datalek? Dat ligt eraan of er herleidbare) persoonsgegevens inzitten. Zonder dit, geen datalek.

Is dit wel het geval, dan moet dit gemeld worden en moet beoordeeld worden of er nalatig gehandeld is. Zonder externe pentest die vrijpleit, fikse boete of zelfs bestuurders persoonlijk vervolgen wegens nalatigheid.
chimnino
@stefan7015 oktober 2019 18:56
Ook jouw aantallen ticketverkoop als bedrijf is een datalek. Kan veel dingen beïnvloeden.

"De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat."

[Reactie gewijzigd door chimnino op 15 oktober 2019 19:04]

mddd
@chimnino16 oktober 2019 10:54
Niet slim voor de eigenaar van het park, maar niet gevaarlijk voor enige andere partij. In die zin lijkt het mij dus geen datalek in de zin van de AP of AVG. Er ligt data op straat maar die is alleen van belang voor de partij zelf. De quote "Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat." zou ernstig zijn als het ging om privacy gevoelige informatie. Maar hier, als een bedrijf inzicht geeft in zijn bedrijfsvoering moeten zij dat toch zelf weten.
Torrentus
@stefan7015 oktober 2019 17:14
Is het een datalek? Dat ligt eraan of er herleidbare) persoonsgegevens inzitten. Zonder dit, geen datalek.
Dat is natuurlijk niet waar en afhankelijk van de definitie die je hanteert. Een datalek kan ook commerciëel gevoelige informatie bevatten (zoals nu) en geen persoongsgegevens; dat maakt het niet minder een datalek.
stefan70
@Torrentus15 oktober 2019 18:19
"Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan."

https://autoriteitpersoon...ing/meldplicht-datalekken

[Reactie gewijzigd door stefan70 op 15 oktober 2019 18:19]

Jordientje92
@stefan7015 oktober 2019 18:34
Dat is inderdaad de definitie van de AP. Datalek is natuurlijk een breder begrip
https://nl.m.wikipedia.org/wiki/Datalek
stefan70
@Jordientje9216 oktober 2019 06:33
Op zich is Wikipedia een goede bron. Echter gezien de context moet gekeken worden naar de juridische definitie.
oef!
@Christoxz15 oktober 2019 16:47
Ik vind het meer overkomen als een tongue in cheek opmerking dan chantage. Het is behoorlijk lullig van Walibi dat ze hierom aangifte hebben gedaan.
Hans C
@oef!15 oktober 2019 16:51
Lees even de titel nog. Er is nog geen aangifte gedaan.
oef!
@Hans C15 oktober 2019 17:02
In die mail zou zij hebben gezegd op 14 oktober aangifte te doen.
OxWax
@Hans C15 oktober 2019 17:07
Nou ..., weten we dat eigenlijk wel? In de bron staat er over een EERDER geval
... Zij kondigt aan naar de politie te stappen om aangifte te doen tegen Van Kampen.
jqv
@Hans C15 oktober 2019 21:38
Het is onbekend of er aangifte is gedaan. Lees dat maar in het artikel.
bbob
@oef!15 oktober 2019 16:56
Walibi is heel dom want met deze aangifte komen ze wat mij betreft slecht in het nieuws.
Bovendien komen ze niet vanwege een aangifte om niets in het nieuws, ze hebben op it gebied ondanks meldingen zaakjes niet op orde.
bilbob
@bbob15 oktober 2019 17:19
Heb net even gekeken op die site en er zijn nog steeds zaken die niet in orde zijn.
Maar ik ga mij er niet aan branden.. Walibi huurt zelf maar eens goeie IT's in..
kakanox
@bilbob16 oktober 2019 00:16
Precies. Misschien ziet het overgrote deel van Nederland de heer van Kampen als een crimineel, maar een beetje IT'er kijkt nu wel uit om een issue te melden. Gevolg: Een black hat kan dingen doen die niet de bedoeling zijn, en dan zijn ze veel verder van huis.

Als ze hadden geantwoord met "onze IT-man heeft meer beloofd dan de bedoeling is, dus mijn excuses, kaartjes krijg je niet maar dank voor de melding" was er waarschijnlijk niets aan de hand geweest. Ik bedoel, ik meld ook regelmatig wat, meestal krijg ik er niks voor behalve een bedankje. Maar je wordt wel netjes behandeld.
.oisyn
@kuurtjes15 oktober 2019 17:27
Wat heeft de media daarmee te maken? Dat Walibi hierom aangifte gaat doen is imho gewoon nieuwswaardig.
Ting87
@KillaZ15 oktober 2019 16:39
Mee eens, maar hij kan het ook niet melden en Walibi in hun eigen sop laten koken.

Zelf hebben ze dit issue niet geconstateerd en moet men dus blij zijn dat hij het meld, misschien had zijn verwoording anders gekund.

Had hij het lek niet beter bij Google kunnen melden, die betalen daar toch voor? Had hij de kaartjes nog kunnen kopen ook.

Vertaling naar eigen situatie;
Tuurlijk word ik als ITer niet blij als een extern persoon ineens roept dat ie in mijn systemen kan komen, het is immers mijn taak om dat te voorkomen. Anderzijds is er dankzij zijn melding wel een stukje dat onder het vergrootglas word gelegd en de issues worden opgelost die ik zelf waarschijnlijk niet gevonden. Ook al sta ik voor lul, effectief zorgt het er wel voor dat de beveiliging in mijn bedrijf weer iets beter geregeld is, en dat is linksom of rechtsom geld waard denk ik.
OxWax
@Ting8715 oktober 2019 17:44
De man is ondertussen al vertrokken, interesse? }>

https://www.walibi.nl/nl/vacatures/jaarrond/manager-ict
HeelErgEdwin
@OxWax15 oktober 2019 19:09
Een marktconform salaris o.b.v. Horeca cao;
Succes met het vinden van een capabele it’er
OxWax
@HeelErgEdwin15 oktober 2019 19:15
Komaan, je hebt zelfs GRATIS toegang tot je werkplek :+

"Gratis toegang tot Walibi Holland en andere bezoekers- en kortingsregelingen.

[Reactie gewijzigd door OxWax op 15 oktober 2019 19:15]

JCG
@OxWax16 oktober 2019 11:02
Dat zeggen ze nu, maar voor je het weet wordt je door je baas aangeklaagt omdat om toegang vragen om je werk te kunnen doen volgens haar chantage is :')

[Reactie gewijzigd door JCG op 16 oktober 2019 11:02]

Mar.tin
@OxWax15 oktober 2019 19:14
offtopic:
ik snap wel dat ze mogelijk moeite hebben om een degelijke IT-er aan te trekken als je trots zwaait met vergoeding volgens horeca cao.. dan heb je het over maximaal €3300 (functiegroep XI van XI) tot €4200 in de maand. En dat voor een verantwoordelijke functie als deze..
In deze markt lijkt me dat onvoldoende om goed talent aan te trekken.
kakanox
@Mar.tin16 oktober 2019 00:20
Ik ken er die voor minder dan dat maximum manager IT zijn. Nog kundig en uiterst loyaal ook, maar in dat laatste zit misschien ook het probleem.
Wim-Bart
@kakanox16 oktober 2019 19:15
Wanneer het voor minder is dan dat moet je je afvragen of iemand loyaal is of dat de persoon niet capabel is en zijn tijd uit zit.
kakanox
@Wim-Bart19 oktober 2019 11:38
Hij is onze opdrachtgever, heel prettig om mee te werken en zeker wel capabel.
Wel ook iemand die besloten heeft dat hij van het salaris nu prima kan rondkomen, en die alleen voor geld de mogelijkheden die hij heeft niet aan de kant wil schuiven.
Wim-Bart
@Mar.tin15 oktober 2019 20:05
Of you pay peanuts you get monkey's. € 4200 voor een manager ICT, dat is wel heel erg karig, zou er niet mijn deur voor uit komen.
Anoniem: 426269
@Wim-Bart16 oktober 2019 14:09
Mee eens. Een beetje manager verdient zo € 8000. En dat zijn nog niet eens managers ICT. En dan maar mopperen dat de IT-functies niet vervuld raken. Ondertussen wel een externe tut hola inhuren voor 20k per maand. Hier loopt er ook zo eentje rond. Het enige wat ze in een jaar gepresteerd heeft, is het verplaatsen van de rookruimte. En dat was geen goede verandering, de rook komt nu in ieders kamer...
Zenomyscus
@Ting8715 oktober 2019 17:53
Mee eens, maar hij kan het ook niet melden en Walibi in hun eigen sop laten koken.
Dit is dus exact wat ik zou doen. Als je er wat van zegt kun je alleen maar gezeur krijgen. Dus laat maar.

Ik heb het een keer geprobeerd, toen was ik gelijk een hacker / bad guy. Nah, het gaat vanzelf een keer fout. Hopelijk leren ze het dan. Ik brand mijn vingers er niet meer aan.
Nibulez
@KillaZ15 oktober 2019 16:40
4 kaartjes weggeven kost Walibi letterlijk niks. De attracties draaien net zo vaak als op een dag dat er 4 mensen minder in het park zijn. Daarnaast levert het waarschijnlijk nog wat op aan eten/drinken in het park. Walibi is hierbij dus de grote winnaar voor 4 kaartjes.
RobinNL
@Nibulez15 oktober 2019 21:30
Honderd euro geven als beloning 'kost' Walibi veel meer. Met 4 gratis kaartjes heb je nog de kans dat de ontwikkelaar (en familie/vrienden?) nog wat kopen in het park. Walibi kan het probleem oplossen en verdient nog aan deze personen. Win-win toch? ;)

Maar even serieus... De ontwikkelaar geeft het netjes aan per e-mail, stuurt extra informatie mee en vraagt 4 gratis kaartjes. Ik snap echt niet dat je als Walibi zo'n kans laat liggen en in plaats van het lek te gaan onderzoeken, aangifte gaat doen.

Ik heb geen idee om wat voor informatie het gaat, maar er zijn zat mensen die het zouden kunnen gaan misbruiken. Of ze vragen er een grotere beloning voor. Dan is deze ontwikkelaar gewoon netjes.
Annihlator
@KillaZ15 oktober 2019 16:48
Ik zie het nu zelfs als omgekeerde chantage; ze lijken nu wel gratis die informatie af te willen persen... of gaan ze een veelvoud van het gesuggereerde aanbod bieden om het dan meteen netjes en volgens de markt te doen? Vást ;)
kodak
@Annihlator15 oktober 2019 19:49
Waar lees je (al dan niet tussen de regels) dat ze interesse in het lek hebben en zelfs de gegevens zouden willen hebben?
Annihlator
@kodak15 oktober 2019 23:56
Uit het feit dat ze het afpersing willen noemen zonder een daadwerkelijk dreigement lijkt mij wel duidelijk dat er een interesse is. Het zegt eigenlijk indirect dat zonder (wat ze opvatten als) dreigement de deur wel had opengestaan. Anders had men beter in een heel andere vorm kunnen reageren als men dat niet had willen impliceren; als ceo dien je wat dat betreft juist het hoofd koel genoeg te kunnen houden om ongewenste implicaties te mijden; zéker als die diezelfde persoon ook maar wil pógen argumenteren dat de vorm van door hun ontvangen contact afpersing zou impliceren; je moet dan wel met gelijke maten meten, zegmaar.
RobNL
@KillaZ15 oktober 2019 17:01
Mooi SSL certificaat heeft meneer de hacker op zijn website geïmplementeerd...
kakanox
@RobNL16 oktober 2019 00:25
Bij de schilder thuis...

één ding wat ik de afgelopen jaren geleerd heb, is wel dat iemand mij óók ergens op mag attenderen als hij/zij het zelf niet beter voor elkaar heeft. Er moet dan mijns inziens alleen geen oordeel aan zitten.
killerfreak
@KillaZ15 oktober 2019 17:04
Chantage lijkt me niet plausibel inderdaad, brutaal is het wel een beetje.
OxWax
@KillaZ15 oktober 2019 17:06
Ik zou gelijk tegen aangifte indienen "smaad en laster" tegen Van Till met een schadevergoeding eis er aan
Caelestis
@KillaZ15 oktober 2019 18:58
Oftewel er is een manager die zijn eigen achterwerk aan het indekken is omdat het probleem waarschijnlijk al lang en breed bekend was maar op een laag pitje werd gezet.
robvanwijk
@KillaZ15 oktober 2019 23:41
Als het onderwerp 'Datalek ruilen voor kaartjes?' is zonder enige uitleg verder in de mail snap ik de aanleiding tot chantage wel.
Dat kun je op basis van alleen de titel van het mailtje niet zeggen, daarvoor moet je de inhoud erbij pakken. Twee voorbeelden van de extremen:

== Optie 1 ==
Datalek ruilen voor kaartjes?
Ik heb een datalek gevonden. Als jullie me kaartjes geven dan vertel ik waar het lek zit. Zo niet dan verkoop ik de details aan jullie concurrenten.

== Optie 2 ==
Datalek ruilen voor kaartjes?
Ik heb een datalek gevonden: (uitleg over wat er mis is). En als ik jullie nu toch aan de lijn heb, toen ik in maart een ander lek meldde heeft een van jullie medewerkers mij kaartjes beloofd, maar die heb ik helaas nooit gekregen. Dit leek me wel een mooie gelegenheid om dat nog even in herinnering te brengen.

Zelfde titel, compleet andere inhoud; eentje is wel chantage (hoe kinderachtig ook; chantage is chantage), de tweede (in elk geval in mijns inziens) absoluut niet. Afgaande op wat RTL zegt (het staat er niet met zoveel woorden, maar "De IT-manager van Walibi beloofde als beloning gratis toegang tot het park, maar daarna hield het contact op, zo stelt de ontwikkelaar. Als bewijs heeft hij de e-mailconversatie met RTL Nieuws gedeeld." suggereert dat RTL vindt dat Van Kampen gelijk heeft) zal het echte mailtje waarschijnlijk veel en veel dichter bij "optie 2" hebben gelegen dan bij "optie 1".
Repel-EHV
@KillaZ17 oktober 2019 13:08
Offtopic:

Je kan het de mensen zelf even vragen wat ze kosten :)

[{first_name:"Sjaak",last_name:"weggehaald",email:"sjaak@tamtam.nl",email_check:"sjaak@tamtam.nl",street:"Zonnestraat",house_number:"340",zip_code:"3043VA",city:"Zoetermeer",country:"NL",phone_number:"+31645341234",birthdate:"1980-04-02",avatar_filename:"member_avatars/yF3MeNWMvKW1FrXx9ysPGvu3YKiF07ZFadgpPeN3.jpeg"},{first_name:"Iris",last_name:"weggehaald",email:"iris@tamtam.nl",email_check:"iris@tamtam.nl",street:"Willemstraat",house_number:"4",zip_code:"3243FF",city:"Gouda",country:"NL",phone_number:"+31645341234",birthdate:"1992-03-02

Bron: https://www.walibi.nl/fri...n/static/js/main.js?v=1.x

[Reactie gewijzigd door Repel-EHV op 17 oktober 2019 13:10]

nintendo69
@KillaZ17 oktober 2019 16:56
4 kaartjes Walibi? Ik zou eerder van gijzeling door Walibi praten dan chantage door de hackert.
In Walibi wil je niet dood gevonden worden!
BsBb
15 oktober 2019 17:05
Als ik er als jurist naar kijk, denk ik dat er op basis van wat erover in de pers geschreven wordt dat er geen sprake kan zijn van chantage. Voor afpersing en afdreiging (de juridische termen voor chantage) is ook vereist dat er óf sprake is van (bedreiging met) geweld (afpersing) óf bedreiging met smaad, smaadschrift of openbaring van een geheim. Hier is geen sprake van. Van Kampen heeft alleen maar gevraagd om een tegenprestatie voor het melden van deze informatie zonder dreiging met iets. Daar is niets mis mee.
Aan de andere kant leveren de opmerkingen die Walibi aan RTL NIeuws gedaan heeft over afpersing door Van Kampen, strafbare laster op, tenzij Van Kampen met geweld heeft gedreigd.

[Reactie gewijzigd door BsBb op 15 oktober 2019 17:06]

TWeaKLeGeND
@BsBb15 oktober 2019 17:47
Dit met als toevoeging dat hij alle recht heeft zijn bevindingen niet te delen zonder tegenprestatie. Jan heeft al genoeg ervaring met lekken melden dat ik me verder ook niet kan voorstellen dat hij ook maar iets geschreven heeft dat door gaat voor afpersen.
BsBb
@TWeaKLeGeND15 oktober 2019 23:11
Als uit het strafrecht geen gevolgen voor Van Kampen heeft, is het inderdaad wel zo om naar het burgerlijk recht te kijken. Als je een ernstig datalek waarneemt en dit niet meldt aan de eigenaar levert dit zuiver nalaten op, en kan dit een onrechtmatige daad opleveren (zie bijv. het arrest Heddema/De Coninck Hieruit volgt echter geen verplichting om uitgebreid advies te verlenen. In het verleden had Van Kampen een aanbod gedaan om consultancy te verrichten, waar Walibi uiteindelijk niet op is ingegaan. Wat hij nu had gedaan is vragen om een beloning terwijl hij het datalek heeft gegeven. Hoewel het niet chique was om niets te geven, had Walibi geen wettelijk plicht om die beloning te geven.
Golodh
@BsBb16 oktober 2019 11:06
Als ik het artikeltje zo lees, dan lijkt Walibi bij monde van zijn IT manager wel degelijk een aanbod gedaan te hebben om Van Kampen gratis toegang te verlenen tot het park in ruil voor uitleg over het lek.

Aangezien je redelijkerwijs mag aannemen dat een manager bevoegd is een dergelijk aanbod te doen kan Van Kampen zich op het standpunt stellen dat Walibi zich met die uitnodiging verplicht heeft hem gratis toegang te verlenen (in ruil voor uitleg natuurlijk). Dat hij Walibi daarop aanspreekt lijkt dan niet zo vreemd meer, al zou hij toch eens moeten uitleggen hoe hij aan het aantal van 4 kaartjes komt.

Als het echt klopt dat Walibi hem dit aanbod gedaan heeft om het naderhand eenzijdig in te trekken, dan zou je dat met een beetje goede wil prima kunnen bestempelen als contractbreuk. Dat Walibi hem vervolgens vaan chantage beticht zou je in deze context dan weer goed kunnen opvatten als smaad. Het schaadt Van Kampen immers in zijn reputatie, en (als alles klopt wat het artikel zegt) zonder enige rechtvaardiging.

Het geheel klinkt allemaal als een opgeblazen misverstand dat je in 5 minuten met een telefoontje kan rechtzetten: Van Kampen krijgt die stomme 4 kaartjes (goedkoper advies is nauwelijks denkbaar) en vertelt de IT afdeling in detail wat hij gevonden heeft.

Helaas, met name de reactie van Walibi klinkt als een onvolwassen en kijvende poging om miiddels blinde ' prinzipienreiterei' de zaken eens lekker op de spits te drijven. Daar kan je voor kiezen natuurlijk.
Mastermind
@BsBb15 oktober 2019 22:26
Ja, ik denk ook dat directrice van Till hier nog niet klaar mee is. Mocht van Kampen aangifte doen wegens laster, dan denk ik dat hij gelijk krijgt en van Till een straf kan verwachten.

Ze zou van Kampen juist dankbaar moeten zijn voor het melden van zo'n lek. Ik vraag me af wie het bedacht heeft om de complete boekingen-dataset in een JSON string naar de client te sturen. En vooral, waarom?
laurens0619
@BsBb16 oktober 2019 08:32
Helemaal eens maar hoe kijk jij er dan als jurist naar of er uberhaupt een datalek is?

Nederlands:
"De Wbp spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten."
Die definitie volgend zou ik zeggen dat er geen datalek is


Engels:
"A data breach is the intentional or unintentional release of secure or private/confidential information to an untrusted environment: "
Het is dus de vraag of het private/confidential information is. Is aan de dataowner om dat te classificeren maar lijkt mij zeer vreemd dat dit confidential is.

Die actie van walibi is oerdom en ik zie het punt chantage ook niet. Afhankelijk van de gevoeligheid van de data is het uberhaupt geen datalek,

[Reactie gewijzigd door laurens0619 op 16 oktober 2019 08:36]

Csotranme
@laurens061916 oktober 2019 10:29
Walibi beschouwt deze data weldegelijk als confidential.
Ze doen atlijd krampachtig over vragen betreft verkochte tickets/bezoekers aantallen.
Ander pretparken geven deze gegevens wel gewoon netjes af als je er naar vraagt.

Vraag me niet waarom, maar de enige reden waarom ze hier zo moeilijk over doen lijkt me dat de verkopen een beetje tegenvallen. Anders zeg je toch gewoon hoeveel bezoekers je hebt?

Sowieso is de directrice van Walibi een beetje vreemd imho. Ze doet wel vaker rare uitspraken die je niet verwacht van iemand in een functie als deze. (Ik krijg bij haar altijd zo'n William Story/Rich Enenergy gevoel... Vreemde uitspraken en vreemde bedrijfsvoering)
Er hangt nogal een angst cultuur binnen Walibi denk ik zo want iedereen wordt gelijk op de vingers getikt door Van Till zelf als ze iets zeggen wat niet mag volgens de "bedrijfs policy"...
laurens0619
@Csotranme16 oktober 2019 12:10
Tja sommige bedrijven zien alles als confidential
Mogen ze wikipedia ook aanklagen iig, zo geheim lijken de getallen niet

https://nl.wikipedia.org/...olland#Bezoekersaantallen
jimshatt
@laurens061916 oktober 2019 15:04
Precies dit. Ik zie ook niet echt in waarom dit een datalek is, in geen enkele betekenis van het woord. Dat je in een webshop kunt zien hoeveel kaarten er verkocht zijn en hoeveel er nog te koop zijn is nou niet echt schokkend. Het kan een keuze zijn om dit niet te tonen (en die keuze hebben ze blijkbaar in de front-end gemaakt), maar verder kun je er niet heel veel mee, toch?

Wel een beetje slordig. Soit.
BsBb
@laurens061917 oktober 2019 18:04
Het begrip datalek is binnen dit verhaal juridisch niet echt relevant, maar als je een definitie zoekt kijk dan eens op wikipedia. Persoonsgegevens zijn een specifiek soort data die gelekt kunnen worden, maar hier is daar geen sprake van. De door jou gebruikte definities zijn daarom niet van toepassing.

[Reactie gewijzigd door BsBb op 18 oktober 2019 00:09]

Gomez12
@BsBb16 oktober 2019 09:45
Tja, aan de andere kant er wordt wel om een zekere quid-pro-quo gevraagd voor het geven van info over het datalek. En dat quid-pro-quo vertegenwoordigt toch zeker wel een monetaire waarde.

Als dit geen chantage is, dan valt er bijna niks meer onder chantage te plaatsen door het taktisch te verwoorden...

Als de Hells Angels een mailtje sturen : "Betalen, of we komen een kopje koffie drinken" dan wordt daar ook niet over geweld gesproken.
tommie113
@Gomez1216 oktober 2019 10:23
Om BsBb te quoten: "Voor afpersing en afdreiging (de juridische termen voor chantage) is ook vereist dat er óf sprake is van (bedreiging met) geweld (afpersing) óf bedreiging met smaad, smaadschrift of openbaring van een geheim. Hier is geen sprake van."

Zolang hij niet heeft bedreigd met het openbaar maken van het lek of een andere dreiging, dan is dit dus geen chantage.
Hij is volledig in zijn recht om een beloning te vragen en indien dit wordt afgewezen, het lek niet te delen.

Jouw Hells Angels voorbeeld kan dan weer wel als chantage geïnterpreteerd worden, maar hoeft het niet te zijn. Er is hier geen sprake van een bedreiging met geweld, smaad of openbaring van een geheim, maar een 'bedreiging' met een kopje koffie komen drinken.
Dit zal al snel als een bedreiging met een andere betekenis geïnterpreteerd worden, maar het hoeft dus geen bedreiging te zijn.
Dit kan ook een simpel gesprek zijn om het geld misschien toch te krijgen en dat onder het genot van een kopje koffie.

Dit soort verschillen zijn juridisch erg belangrijk.
Geegees
@Gomez1216 oktober 2019 11:31
Het herinneren aan een gedane belofte (los van of deze wel of niet is gedaan of bedoeld) vergeleken met de combinatie 'Hells Angels' en ' koffie komen drinken' heeft wat mij betreft qua suggestie weinig overeenkomsten.
jimshatt
@Gomez1216 oktober 2019 15:06
Dan is elk supermarktbezoek ook te bestempelen als quid pro quo, namelijk: als jij mij zoveel euro geeft (quid), krijg jij van mij deze tros bananen (quo).
Gomez12
@jimshatt16 oktober 2019 16:12
Ehm, ja... elk supermarkt bezoek is ook quid pro quo. Ik zie de relevantie even niet...

Er is inherent ook niets mis met quid-pro-quo, dat is gewoon handel drijven. Alleen op sommige vlakken wordt het niet echt gewaardeerd... (bijv als je president bent, of als je wilt claimen een white-hat hacker te zijn en je doet dit soort dingen onaangekondigd)
jimshatt
@Gomez1216 oktober 2019 16:57
Jouw argument leek te zijn dat het chantage is omdat het een quid pro quo was. Nu geef je zelf ook aan dat er niets mis is met quid pro quo / handel drijven. Wat is het verschil tussen het proberen te verkopen van een tros bananen en informatie over een datalek op een website?

Ik zie niet in waarom je als white hat hacker geen tegenprestatie mag vragen voor je informatie of diensten.
jroz2001
@BsBb16 oktober 2019 15:11
Ligt eraan of dat 'lek' een geheim is of niet. Als het geheim is, dan heeft Van Kampen iets fout gedaan door het openbaar te maken, omdat hij z'n zin niet kreeg.
BsBb
@jroz200118 oktober 2019 04:09
De aangifte van Walibi gaat over chantage/afpersing. De wettekst is heel duidelijk. Bij afdreiging in deze situatie moet er sprake zijn van bedreiging met openbaring van een geheim. Wat jij schetst is schending van ambtsgeheim, waar naar mijn mening geen sprake van kan zijn omdat Van Kampen in dit geval vanuit zijn beroep niet verplicht is. Dat de verkoopinformatie gewoon zichtbaar is met de inspector functie van een webbrowser, betekent verder dat die informatie in feite al op straat ligt, en er dus ook geen sprake is van een geheim.
justiandev
15 oktober 2019 16:42
Ligt het aan mij of is het opzich niet heel raar om misschien iets terug te verwachten voor het reporten van een datalek? Ik bedoel zoiets moet je uiteraard niet voor het geld of wat dan ook doen maar voor het beschermen van (persoons)gegevens, maar ik vind dat je van een gemiddeld bedrijf best wel een vergoeding voor het melden van zoiets mag krijgen. Laatst zelf ook zoiets meegemaakt, ik had in een gameserver een bug gevonden in een plugin die ze gebruiken, waardoor het voor mij mogelijk was om oneindig veel van bepaalde resources te krijgen, dit is natuurlijk gamechanging en niet eerlijk + het kan de economy van een server behoorlijk beinvloeden. Tegelijkertijd is dit ook een gameserver die het qua financien prima op orde heeft, maar heb er niks voor teruggekregen. Alleen een tijdelijke ban voor het exploiten van een bug, terwijl ik dat deed om een videoproof te maken voor ze... Vind het op zijn zachtst gezegd best netjes om iemand ook een vergoeding te bieden als hij/zij een lek in je systeem vind.

Hoe ik het uit het verhaal haal is dat de beste man al eerder hetzelfde lek heeft gemeld, en het plotseling weer terug is, dat hoort natuurlijk niet. Dus een ludieke poging om ze daar bij Walibi wakker te schudden?
jaquesparblue
@justiandev15 oktober 2019 17:41
Het recht op een "vindersloon" is bij wet geregeld, het is alleen de vraag of je "data" of een "datalek" als een "zaak" mag beschouwen zoals in het wetsartikel bedoeld. Een datalek op waarde schatten zal ook behoorlijk moeilijk en subjectief zijn.
Luchtbakker
@jaquesparblue15 oktober 2019 18:20
Het recht op een "vindersloon" is bij wet geregeld, het is alleen de vraag of je "data" of een "datalek" als een "zaak" mag beschouwen zoals in het wetsartikel bedoeld. Een datalek op waarde schatten zal ook behoorlijk moeilijk en subjectief zijn.
Maarja, wat kost het Walibi zelf nou om 4 kaartjes weg te geven? Helemaal niks.

De manier waarop hij het gemeld heeft, en vraagt om een simpele beloning is niet meer dan normaal. Als hij had gezegd; eerst geld, dan het lek, dan heeft Walibi het volle recht aangifte te doen.
CH4OS
@Luchtbakker15 oktober 2019 19:13
Ik vind de manier waarop het gevraagd wordt anders ook niet zo normaal, waardoor Walibi het opvat als chantage. Is wat voor te zeggen, is het netjes van Walibi, nee, dat vind ik ook niet.

Daarnaast is het niet heel gevoelige data en is het het soort data wat wel meer publiekelijk beschikbaar is. Zo heeft de Efteling een API online voor de wachttijden van de attracties. Die API wordt ook gebruikt door de Efteling app en websites van derden gebruiken diezelfde API om dezelfde informatie te laten zien. Is dat dan ook een datalek? ;)

[Reactie gewijzigd door CH4OS op 15 oktober 2019 19:16]

vrow
@Luchtbakker15 oktober 2019 19:24
[...]

Maarja, wat kost het Walibi zelf nou om 4 kaartjes weg te geven? Helemaal niks.

De manier waarop hij het gemeld heeft, en vraagt om een simpele beloning is niet meer dan normaal. Als hij had gezegd; eerst geld, dan het lek, dan heeft Walibi het volle recht aangifte te doen.
Klopt, zo was ik laatst bij de bakker. Die zei 'Eerst geld, dan het brood'. Ik vond dat chantage en heb direct aangifte gedaan :D
StefanJanssen
@justiandev15 oktober 2019 17:44
Ook van andere fouten op een bedrijfswebsite zou ik iets van een vergoeding verwachten. Zo stond er een tijdje geleden twee weken na de opening van een nieuwe vestiging van een grote internationale pizza keten nog steeds een fout adres op hun site. Ik ben van mening dat je als bedrijf daar best een kortingsbon (al is het 1 euro korting) voor kan geven.
Jij als bedrijf loopt inkomsten mis door het fout te communiceren, als men je daarop wijst kan dat er best vanaf. In mijn ervaring zijn het de grote bedrijven als Microsoft en Google die het goed geregeld hebben, maar ook de lokale groenteboer en pizzabakker gaan hier goed mee om.
kodak
@StefanJanssen15 oktober 2019 19:57
Maar wat als het je als bedrijf niet zo veel kan schelen of er data staat en het een lek is dat wettelijk niet is verboden?

Een onderzoeker kan een mening hebben maar dat maakt nog niet dat die mening altijd maar moet resulteren in een beloning. Het is immers het risico van het bedrijf dat ze acceptabel kunnen en mogen vinden als het wettelijk geen verboden situatie is.
StefanJanssen
@kodak16 oktober 2019 11:01
Als ze het niet boeiend vinden hoeven ze toch niets te doen. Kun je gechanteerd worden als het je niet boeit of hetgene waar gedreigd mee wordt (er was hier niet eens een dreigement) publiek wordt?
kodak
@StefanJanssen16 oktober 2019 19:52
Zolang niet duidelijk is op welke basis het bedrijf aangifte heeft gedaan is het speculeren of die enige valide grond heeft.

Er zijn zelfs scenarios mogelijk dat iemand last van chantage meent te hebben omdat men het gevoel heeft gechanteerd te worden met iets. We weten immers niet wat men als chantage geinterpreteerd heeft. Wie weet voelde ze zich gechanteerd met het punt dat ze (nog steeds) weinig tot niets met de melding gedaan hadden.
T-Forever
@justiandev15 oktober 2019 17:40
Klinkt heel erg zoals die ene persoon bij ons op het werk in het management, die ook geen humor heeft. }>
GlowMouse
15 oktober 2019 17:00
Vraag me af waar Walibi aangifte van wil doen. Computervredebreuk is het niet, want de data wordt gewoon naar elke bezoeker gestuurd zonder dat een bezoeker daar wat voor hoeft te doen. Van chantage (afpersing of afdreiging) lijkt ook geen sprake te zijn, omdat er nergens mee wordt gedreigd.

Ik snap dat je voor een positie als 'directeur van Walibi' niet de beste mensen kunt krijgen, maar de reactie van deze directeur is zowel vanuit strategisch als vanuit juridisch oogpunt zo'n beetje de domste die je kunt bedenken.
kodak
@GlowMouse15 oktober 2019 20:07
Ze zijn wel weer even heel makkelijk met de naam van hun pretpark in het nieuws.
twv256
15 oktober 2019 16:34
Een paar kaartjes van je eigen pretpark, en daar al moeilijk over doen?
Klasse jongens, volgende keer zal het niet de white hat zijn maar de black hat die gaten in uw IT infra tegenkomt, en reken maar dat de rekening dan een stuk duurder wordt.
HKS-Skyline
@twv25615 oktober 2019 16:44
Walibi is echt een ster in PR, dit deed mij denken aan de onderstaande aflevering van Boos:

https://www.youtube.com/watch?v=1mrIGFlbI78

Er zijn weinig bedrijven zo incapabel als Walibi.
StefanJanssen
@HKS-Skyline15 oktober 2019 17:56
een 15 jarige een condoom geven omdat haar telefoon kapot is gegaan? :+
dutchgio
@twv25615 oktober 2019 16:40
Het is gewoon een iets te catchy titel in het onderwerpveld.
Volgens mij meld je doorgaans een lek dmv responsible disclosure en met goede bedoelingen.
Bij voorbaat al inspelen om te onderhandelen voor een beloning is de verkeerde volgorde.
DarkForce
@dutchgio15 oktober 2019 16:53
Ah, jij gaat eerst werken en daarna maar afwachten of je baas je iets betaalt en zo ja, wat deze je betaald?

Of deze;

Je kind is nog jong, en je stelt (om deze te stimuleren) voor dat als deze de afwas gedaan heeft, deze 15 minuten langer mag opblijven.

Hé! De hele wereld draait op die wijze.
Voor zover ik de blog had gelezen was er eerst een melding gedaan waarin kenbaar werd gemaakt dat er soms kaartjes worden gegeven. Door allerlei redenen is het niet zover gekomen en omdat de eerdere melding was stukgelopen haalde hij het nog maar even aan bij de 2e/3e melding.

Om het nou meteen afpersing, chantage etc. te noemen vind ik nogal wat. Ik denk zelfs dat menigeen het in het vervolg wel zal laten om het nog te melden en het gewoon aan de grote klok zal hangen. Hoe noemen ze dat ook al weer? Boontje komt om z'n loontje!.
PuzzleSolver
@dutchgio15 oktober 2019 16:54
Maar hij had ook al eerder iets gemeld waarvoor hem een rondleiding in het park belooft was. Hier had hij niets meer over gehoord, dus leek dit hem een grappige titel.

http://janvankampen.nl/?p=412
OxWax
@PuzzleSolver15 oktober 2019 17:42
Die manager is er vandoor zo blijkt

https://www.walibi.nl/nl/vacatures/jaarrond/manager-ict
Mastermind
@OxWax15 oktober 2019 22:33
Zo te zien gaat die site straks in de nieuwste versie van Chrome ook op z'n gezicht :X

[Reactie gewijzigd door Mastermind op 15 oktober 2019 22:34]

Annihlator
@dutchgio15 oktober 2019 16:51
Dat lijkt echter niet de intentie geweest te zijn als je het artikel goed leest. Je kan het miscommunicatie noemen maar niet iets negatievers als het om Van Kampen gaat, dat bij de eerdere melding een bal is blijven liggen lijkt mij dan eerder de juiste plek om te beginnen aan te tillen.
i-chat
@dutchgio15 oktober 2019 17:18
data of bevindingen verkopen is helemaal niets nieuws in it-land en zou per definitie wettelijk geregeld moeten zijn. Door falend beleid is die regulering er niet ken kunnen toko's als walibi dit dus blijven doen.

Ik zeg wacht maar eens af tot je ECHT wordt afgeperst om bedrijfs-critische informatie, of om persoonsgegevens. In dat geval sta ik in de rij om ze helemaal kapot te procederen wegens nalatigheid met persoonsgegevens. Laat maar komen zeg ik. Misschien dat er na een fallicement een betere (capabeler) managementteam komt.
sebastienbo
@twv25615 oktober 2019 16:40
Afpersen is trouwens de akte van geld te vragen voor iets Niet publiekelijk te maken.

In dit geval wil de man gewoon niet zeggen waar het lek zit.
Ik begrijp hem ook, waarom zou je nog extra gratis werken?

En pretpark kaartjes kost hun toch niets?

[Reactie gewijzigd door sebastienbo op 15 oktober 2019 16:41]

Brupje
@sebastienbo15 oktober 2019 16:47
Hij dreigt ook niet met publiek te maken, maar met het niet leveren van informatie. Wat ze goed recht is.
jroz2001
@Brupje16 oktober 2019 15:14
Hij dreigt er niet mee, maar hij doet het gewoon.
CH4OS
@sebastienbo15 oktober 2019 19:40
In dit geval wil de man gewoon niet zeggen waar het lek zit.
Basicly heeft ie dat al gedaan. Lees de tekst even opnieuw.
Johnvh
15 oktober 2019 16:38
De grote vraag is of je dit een datalek kunt noemen...

Ja, er wordt onderwater gecommuniceerd hoeveel kaarten er nog beschikbaar zijn. Maar een datalek? Als je een gevuld theater tijdens een concert of een stadion tijdens een wedstrijd ziet (of in de online-omgeving waar je de kaarten koopt) en weet je ook hoeveel plaatsen er nog vrij zijn en kun je berekenen hoeveel er verkocht zijn. Ik ken nog wel meer platformen die voorraadinformatie geven. Zo spannend is dit toch niet?

[Reactie gewijzigd door Johnvh op 15 oktober 2019 16:41]

Woy
@Johnvh15 oktober 2019 16:47
Het gaat wel om bedrijfsgevoelige informatie. Niet dat het het einde van de wereld is, maar veel bedrijven zullen niet blij zijn als het zomaar op straat ligt. Het gaat wel over een beursgenoteerd bedrijf, dus met dit soort beursgevoelige informatie dient zorgvuldig omgegaan te worden.
Powermage
@Woy15 oktober 2019 16:49
Wat is er bedrijfsgevoelig aan?
De aantallen (capaciteit spookhuizen, RIP passen etc) zijn in de "vakwereld" al jaren bekend.
Dat je grofweg XXXX aantal mensen maal XXX bedrag kan doen om een stukje omzet te berekenen kon iedereen wel bedenken.
Woy
@Powermage15 oktober 2019 16:51
die aangeeft hoeveel entreebewijzen, kaartjes voor losse attracties en Fast Lane-tickets het pretpark heeft verkocht.
Bezoekersaantallen lijkt mij aardig gevoelig, immers is dat direct van invloed op de omzet/winst
Powermage
@Woy15 oktober 2019 17:10
Hij heeft geen bezoekersaantallen gevonden.
Hij heeft een beschikbaare aantallen counter van deze webshop gevonden (zie het als een voorraad status hoeveel airfryers mediamarkt op voorraad heeft).
Echter zijn er meer webshops/kanalen die toegangskaarten verkopen voor Walibi (en Halloween), dus kan je niet de conclusie van aantallen bezoekers eruit trekken

Met de verkoop van de spookhuizen kon hij de aantallen verkochte kaartjes berekenen en hoeveel ze dus op een avond erdoorheen kunnen gooien, in de halloween wereld zijn deze aantallen al jaren bekend.
SunnieNL
@Powermage15 oktober 2019 17:38
Hij heeft maximum capaciteit en nog beschikbare aantallen per dag van Halloween.
Dan weet je ook hoeveel bezoekers er die dagen komen.
De andere kanalen lopen via dezelfde backend ivm datum op de kaarten. Dus het aantal is daadwerkelijk het totaal. Als de kaarten op de website op zijn verkoopt de Hema ze ook niet meer voor die dag.

Deze gegevens houdt Walibi normaal strikt geheim.
Powermage
@SunnieNL15 oktober 2019 18:11
Capaciteit/bezoekers info is niet strikt geheim, zat mensen binnen de pretpark/halloween wereld weten.
Byron010
@Johnvh15 oktober 2019 16:49
Het gaat over kaart verkoop in json format, dus de kans is er dat er ook in staat aan wie het verkocht is en met welke gegevens etc (ligt er maar even aan wat en hoe ze dingen opslaan). Daar geeft het artikel helaas niet genoeg informatie over.

[Reactie gewijzigd door Byron010 op 15 oktober 2019 17:12]

Powermage
@Byron01015 oktober 2019 17:11
Nee, die info staat er niet in, en ook is die niet op te vragen.
TWeaKLeGeND
@Johnvh15 oktober 2019 17:33
Data van mijn bedrijf danwel mijn persoon is van mij. Hoe gevoelig jij die informatie vind is niet van belang. Zelfs hoe gevoelig ik de data vind is ondergeschikt aan het feit dat zolang de data niet expres publiek gemaakt is het een datalek blijft.
blissard
@TWeaKLeGeND15 oktober 2019 19:31
Als jij die data aan iedere bezoeker van jouw website verstuurt, dan is het niet meer van jou.
TWeaKLeGeND
@blissard15 oktober 2019 22:11
Goed man dat jij dat zo vind.

De vraag was of dit een datalek betreft. Het antwoord is ja want onbedoeld publiekelijk gemaakt.

[Reactie gewijzigd door TWeaKLeGeND op 15 oktober 2019 22:13]

Christoxz
@Johnvh15 oktober 2019 17:01
Als het data is die niet zichtbaar hadden moeten zijn, is het een datalek.
Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.
Deze datalek bevat geen persoonlijke gegevens en is dus geen datalek wat tegenwoordig regelmatig in het nieuws is, maar het blijft een datalek.
mae-t.net
@Johnvh15 oktober 2019 18:47
Los van of de informatie gevoelig is, is de definitie van een lek dat er data ergens uit- of terechtkomt die daar niet hoort. Er is dus gewoon sprake van een datalek.
ACM
@Johnvh15 oktober 2019 21:13
Gezien zijn uitleg lijkt me de term datalek inderdaad onjuist. Vooral omdat die door de AVG een vrij zware betekenis heeft gekregen rond persoonsgegevens.

Er worden - voor zover ik kan lezen - geen persoonsgegevens gelekt. Maar inderdaad, gegevens die potentieel gevoelig zijn vanuit concurrentieperspectief naar elke bezoeker gestuurt via json.

En ik heb verder ook moeite om te begrijpen waarom dit zo belangrijk is. De blog van Jan van Kampen legt ook verder niet uit wat er precies allemaal voor spannends in zit.
HeyImAllan
15 oktober 2019 17:00
"In maart werd ik getipt door iemand die iets raars zag op de site bij Walibi. Dit heb ik bekeken en gemeld bij Walibi. Het contact verliep in het begin wat stroef aan hun kant, maar uiteindelijk kwam ik bij de IT manager uit. Ik vroeg of er een bug bounty program of responsible disclosure policy was. Hij zei dat dit er niet was, maar dat ze wel kaartjes aanbieden soms."

Reden genoeg om je handen er vanaf te trekken als IT-er. Zonder expliciete toestemming moet je niet gaan neuzen. Dat kost je je reputatie, en in dit geval levert het een rechtszaak op.

IT beveiliging is tegenwoordig geen onderwerp waar je 'lollig' in kan doen. Toch is de reactie een beetje overtrokken.
Anoniem: 733707
@HeyImAllan15 oktober 2019 17:19
Elementen inspecteren is nou niet echt "neuzen", hè, die informatie wordt naar iedereen verstuurd. Hij is niet hun systemen ingebroken, noch heeft hij data onderschept. Gok dat als Walibi dom genoeg een rechtzaak aangaat, ze wel erg met de feiten moeten spelen om de rechter mee te krijgen. En de PR schade is die gok waarschijnlijk ook niet waard.
HeyImAllan
@Anoniem: 73370715 oktober 2019 17:29
Daar gaat het niet om, zonder expliciete toestemming heb je geen enkele reden om de elementen te inspecteren. Wat wel en niet onder 'neuzen' valt (de scope) spreek je juist af in de responsible disclosure. Het is actief pentesten van een systeem en dat is simpelweg niet toegestaan zonder toestemming van de eigenaar.

https://www.om.nl/onderwe...rime/fouten-ict-systemen/

"Voorop staat dat je de kwetsbaarheid altijd eerst meldt bij de eigenaar van het systeem. Doe dit vertrouwelijk, voorkom dat anderen ook toegang krijgen tot informatie over de kwetsbaarheid. Daarnaast mag je het onthullen van informatie niet laten afhangen van een (financiële) beloning. Dus ook als je geen geld krijgt moet je de vertrouwelijkheid respecteren. Tot slot gaat het eventueel openbaar maken van de kwetsbaarheid altijd alleen in samenspraak met de organisatie zelf."

Edit: Bij bovenstaande gaat het om de intentie om te pen testen. Dit was duidelijk aan de orde als je de blogpost zou lezen. Als je verder voor onschuldige doeleinden de website wil bekijken moet je dat zeker doen. Ik kan niet op iedereen hieronder reageren maar hopelijk is het punt nu duidelijker. Als je dan per ongeluk iets vind geldt vooralsnog dat je dat netjes meld en daar niets tegenover zet.

[Reactie gewijzigd door HeyImAllan op 15 oktober 2019 18:25]

icecreamfarmer
@HeyImAllan15 oktober 2019 17:40
Ik inspecteer elementen waar ik zin in heb, ze zijn openbaar.
RoamingZombie
@HeyImAllan15 oktober 2019 17:42
Volgens mij kan en mag iedereen gewoon elementen inspecteren. Gewoon een browser functie en als de website goed in elkaar zit zou je niets kunnen zien wat je niet mag zien.

Het is alsof je zegt je mag wel over de weg rijden maar niet kijken naar de gaten in het asfalt. Beetje krom.
Anoniem: 733707
@HeyImAllan15 oktober 2019 17:46
Ik mag toch echt hopen dat elementen inspecteren gewoon zo mag. Het is immers de data die naar mijn browser wordt verstuurd, en voor mij bedoelt zou moeten zijn. Als dat laatste niet zo is, ja, dan meldt je dat netjes bij het bedrijf, wat van Kampen gewoon gedaan had, op een wat grappende manier. Volgens mij valt dat hele riedeltje van het OM weg zodra de andere kant opeens zegt aangifte te doen van chantage, daar zit volgens mij geen geheimhoudingswetgeving aan vast.
Rob
@HeyImAllan15 oktober 2019 18:11
Elementen inspecteren (of de gemaakte aanroepen richting de website bekijken) is niet neuzen. Je kijkt wat er op je pc binnenkomt als je de pagina bezoekt.
Ik mag bijvoorbeeld echt wel kijken of zij cookies zetten die niet gezet mogen worden.

Als je met de API van de website gaat zitten rommelen, dan begin je je op het randje te bevinden van wat mag.
rdfeij
@HeyImAllan15 oktober 2019 18:53
De 1e keer hij het ook netjes gemeld zonder tegenprestatie. Deze tegenprestatie werd hem aangeboden en later weer ingetrokken. De 2e de 'ludieke' mail alsnog vragend naar hetgeen ooit besproken is vind ik nu niet echt 'vragen om een vergoeding'
.oisyn
@HeyImAllan15 oktober 2019 17:21
en in dit geval levert het een rechtszaak op.
Niet te hard van stapel lopen. Ten eerste hebben ze de aangifte nog niet gedaan (en iets zegt me dat ze na deze pr-nachtmerrie er wel vanaf gaan zien), en ten tweede gaat de politie hier natuurlijk ook gewoon zeggen dat ze er geen zaak in zien. Er is geen enkele wettelijke basis voor chantage.

[Reactie gewijzigd door .oisyn op 15 oktober 2019 17:22]

alionfire
@.oisyn15 oktober 2019 19:34
(1) Het is onbekend of er aangifte gedaan is

(2) De politie heeft niks te zeggen over het wel of niet overgaan op een rechtzaak
.oisyn
@alionfire15 oktober 2019 21:48
Over je punt 2, aangifte doen impliceert een strafzaak, geen civielrechtzaak. Natuurlijk gaat het OM daarover.
Mastermind
@.oisyn15 oktober 2019 22:55
Een woordvoerder van het pretpark bevestigt tegenover Omroep Flevoland dat er aangifte is gedaan.
Bron: https://nos.nl/artikel/23...e-om-kaartjes-vraagt.html
Gamebuster
15 oktober 2019 16:56
Toch jammer dat de primaire houding bij datalekken altijd is: "Ohnee die persoon die het lek vindt is fout!" en niet "Oh shit wij hebben een fout gemaakt". Altijd wijzen naar een ander... Niet alleen Walibi doet dit.

Tegelijkertijd worden organisaties die dit soort fouten maken nog steeds structureel niet hard genoeg aangepakt. Het is nog steeds te makkelijk om "oeps foutje" te hebben met persoonlijke data zonder serieuze consequenties.

[Reactie gewijzigd door Gamebuster op 15 oktober 2019 16:56]

paella
@Gamebuster15 oktober 2019 17:02
Je zal vast geen Responsible Disclosure optie vinden op de Walibi site. Er zijn sites zat die dat wel hebben.
MicBenSte
@paella15 oktober 2019 18:37
Heb net even alle opties doorgekeken. Nada, nope, niks. Geen enkele optie om contact op te nemen met Walibi voor tech/I(C)T-gerelateerde fouten, laat staan Responsible Disclosure.
CH4OS
@Gamebuster15 oktober 2019 19:17
Volgens mij is het punt meer dat Walibi zich gechanteert voelt dan dat men ondankbaar is dat iemand een fout gevonden heeft. Walibi heeft immers een door Jan gevonden fout al opgelost.
kodak
@Gamebuster15 oktober 2019 20:03
Waarop baseer je dat het de primaire houding zou zijn om schuld bij de boodschapper te leggen?

Afgelopen jaren komt namelijk vooral in het nieuws dat bedrijven en overheid aan responsible disclosure doen, bugbounty programmas zijn opgezet en er juist beloningen uitgedeeld worden aan wie op een verantwoorde manier beveiligingsfouten ontdekt en meld.
Pietervs
@kodak15 oktober 2019 21:51
Dat zijn de bedrijven die snappen dat je "de burger" (lees: hackers en degenen die al dan niet per ongeluk tegen een lek aan lopen) beter aan je kant kan hebben dan tegen je.
Daarnaast komt het ook een stuk sympathieker over als je op een normale manier kan reageren op een gevonden lek: genoeg mensen die dit verhaal lezen en een stuk minder denken nu over Walibi.

Helaas blijven er altijd figuren wat achter en snappen niet dat goede PR beter is dan slechte. Die denken dat ze, door de boodschapper zwart te maken, de sympathie van het volk wel krijgen.
.oisyn
@kodak16 oktober 2019 00:28
Ja, techbedrijven die snappen hoe IT werkt. Maar het gemiddelde bedrijfje waarvam IT niet hun core business is, met een website van een random beunhaas, voelen zich doorgaans meteen bedreigd door dit soort meldingen en snappen niet hoe ze daar fatsoenlijk mee om moeten gaan.
3raser
15 oktober 2019 16:37
Beetje dubbel gevoel. Als Walibi hem eerder daadwerkelijk kaartjes heeft belooft en deze uiteindelijk niet heeft gegeven dan is dat een kwalijke zaak. Maar om dan bij een volgend lek de kaartjes op te eisen is ook niet netjes. De inhoud van de mailtjes is natuurlijk niet bekend dus de vraag is even of hij in de laatste melding ook verwezen heeft naar het eerdere aanbod. Dat zou een en ander relativeren lijkt me.
dutchgio
@3raser15 oktober 2019 16:42
"Een rondje park" klinkt meer als 'laten zien nu je er toch bent' dan '4 gratis tickets'.
TWeaKLeGeND
@dutchgio15 oktober 2019 17:38
Rondje park is bij elk ander Park VIP tickets voor je gezin zodat je nog een dagje kan genieten als beloning voor je tip. Alleen bij walibi blijkbaar codewoord voor kom hier heen en dan gaan we je waterboarden. Ben toch helemaal van de pot gerukt als je denkt dat je iemand even helemaal naar dat park kunnen laten toe rijden om toelichting te geven op een datalek dat je bij ze gevonden hebt en dan het beloofde rondje park letterlijk een rondleiding van een half uur betreft om je er vervolgens uit te schoppen.
Euronitwit
@3raser15 oktober 2019 16:45
'Datalek ruilen voor kaartjes?'
Ik zie daar geen eisen in.
De vraagteken geeft ook aan, dat er onderhandeld kan worden.

Pas als Walibi ontkennend geantwoord zouden hebben en hij daarna dreigt te openbaren wordt het chantage.
4x4
@3raser15 oktober 2019 17:54
Hij had ook gewoon zijn mond kunnen houden of de informatie op de zwarte markt verkopen.

Kijken hoe goed dat voor Walibi uitpakt.

Het is toch pvd krankzinnig dat je zoiets belangrijks bij een grote onderneming meldt en vervolgens er een aangifte tegen je gedaan wordt?
Byron010
@3raser15 oktober 2019 16:46
Op de manier dat het hier staat is het nog steeds geen eis, maar een vraag. Ik lees het als "willen jullie informatie over een datalek die jullie hebben in ruil voor 4 kaartjes?"

De inhoud zou het verder allemaal verduidelijken, maar zo'n verhaal als dit zal mensen wel 2x laten doen nadenken voordat ze een lek bij Walibi zelf melden.
Geerbeer94
15 oktober 2019 16:35
Ligt het aan mij of lijkt Walibi een beetje moeilijk te doen? De manier waarop het hier wordt gepresenteerd laat mij denken dat het aan Walibi ligt en niet aan Jan.
Annihlator
@Geerbeer9415 oktober 2019 16:53
Eens. Het zou uberhaupt een gezondere insteek aantonen (m.i.) als ze proberen na te gaan waar het lek precies over gaat alvoor een oordeel te maken over óf ze daar geld voor over hebben; ik zie het enkel als een ludieke insteek/vervolg/herrinering op het aanbod waar men eerder al een bal heeft laten liggen bij walibi... daar meteen slechte intenties van willen vermoeden vind ik zacht gezegd kinderachtig.
OxWax
@Geerbeer9415 oktober 2019 17:04
It's a bitch ...

Door een ict-blunder zijn cijfers over verkochte tickets door iedereen te bekijken. Dat ontdekte ontwikkelaar Jan van Kampen, die het pretpark met het lek confronteerde. Vervolgens kreeg hij een persoonlijke mail terug van Walibi-directrice Mascha van Till. Zij kondigt aan naar de politie te stappen om aangifte te doen tegen Van Kampen.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee