Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Walibi doet toch geen aangifte tegen melder van datalek

Pretpark Walibi doet toch geen aangifte tegen de ontwikkelaar die het bedrijf wees op een datalek en daarbij om vrijkaarten vroeg. De directrice accepteerde de excuses van de man dat zijn verzoek opgevat kon worden als afpersen.

De directrice van Walibi heeft de ontwikkelaar, Jan van Kampen, in een e-mail gemeld dat het pretpark afziet van aangifte. Ze meldt daarin de excuses van de man te aanvaarden, aldus Van Kampen. Hij meldt blij te zijn dat de aangifte van de baan is, maar kan geen waardering opbrengen voor de manier van communiceren door Walibi "waar nul sympathie, zelfreflectie of relativering in zit".

Daarbij wijst hij naar het slot van de mail, waarin staat: "Echter, de politie is volledig op de hoogte en aangifte vindt na een volgende keer wel degelijk plaats. Wij gaan ervan uit dat het zover niet komt." Hij toont zich verbolgen over de extreme reactie van Walibi en het feit dat hij is uitgemaakt voor afperser, waarvan volgens hem geen sprake is.

Wel bood hij woensdag zijn excuses aan dat zijn melding zo kon overkomen. De ontwikkelaar lichtte Walibi in het verleden meerdere keren in over datalekken. Bij een melding werd hem naar eigen zeggen per mail aangeboden om 'een rondje park' te doen maar daarna stopte het contact. Bij een recente melding over een nieuw datalek voorzag hij zijn mail van het onderwerp: 'Datalek ruilen voor kaartjes?'. In de mail vroeg hij om vier kaartjes voor het park en de spookhuizen. Daarin zag Walibi 'grond voor afpersing', waarna het achtbaanpretpark dreigde met aangifte.

Door Olaf van Miltenburg

Nieuwscoördinator

18-10-2019 • 14:14

199 Linkedin Google+

Submitter: joepsel

Reacties (199)

Wijzig sortering
Ik vind de manier van handelen van Walibi juist een incentive om naar een datalek te zoeken en plubliek te plaatsen ipv het netjes te melden, aangezien je dan de kans hebt om onterecht aangeklaagd te worden. De beloftes die ze maken zijn evenmin betrouwbaar.
Nou ik wil toch het handelen van Jan van Kampen bij nader inzien toch als 'questionable' bestempelen. In eerste instantie deed hij voorkomen alsof hij 'alleen maar' om kaartjes vroeg en puur op basis daarvan leek me er geen sprake van afpersing. Inmiddels heeft van Til een quote openbaar gemaakt waarin van Kampen zegt: "Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?". Met name de toevoeging "en het niet publiceren van data" verbindt een direct nalaten van een anders potentieel schadelijke actie jegens Walibi (het publiceren van het lek en de data) aan het al dan niet verkrijgen van het een of het ander.

Dit riekt toch enigszins naar een "geef mij 4 kaartjes of anders gooi ik de hele boel online". Ik snap dat Van Til dat op kan vatten als een vorm van chantage.

Als je responsible disclosure wil doen dan is het prima om te vragen "is er een bounty program en/of responsible disclosure policy, ik heb iets gevonden wat jullie waarschijnlijk wel interessant zullen vinden" maar op deze toon (die hij zelf niet openbaar maakte, dat doet van Til nu) is het gewoon questionable en mogelijk zelfs strafbaar.

Zo zie je maar: het verhaal van twee kanten is nuttig voor je een oordeel velt. Beide kanten hebben dit oerstom aangepakt, van Til had er niet zo met gestrekt been in moeten gaan. De waarde van het gevraagde was voor Walibi zo goed als nul, de PR schade zie ze hiermee oplopen is veel groter. Als ik de ICT manager was geweest dan was ik op het aanbod in gegaan, na controle van het lek uiteraard.

Bron van de mail: https://www.looopings.nl/...angifte-tegen-hacker.html

[Reactie gewijzigd door Odie op 18 oktober 2019 15:13]

Het is zeker niet netjes om het op deze manier te doen, maar ik vind wel dat je in je betoog ook de ontdekking van het eerste lek en de loze belofte van Walibi daarna hierin mee moet nemen.
Het is zeker niet netjes om het op deze manier te doen, maar ik vind wel dat je in je betoog ook de ontdekking van het eerste lek en de loze belofte van Walibi daarna hierin mee moet nemen.
Dat was aanvankelijk ook mijn idee; ik was er vanuit gegaan dat de toon van de email ruwweg overeen zou komen met de toon die ie op zijn eigen blog gebruikte. Ik had verwacht dat in de melding een zin bevatte als "ik heb weer een lek ontdekt, en als ik jullie nu toch aan het mailen ben, even ter herinnering, begin van het jaar hadden jullie me vrijkaartjes beloofd; is dit een goed moment om jullie daar nog even aan te herinneren?" of zoiets.

Maar als je de link bekijkt die Odie post en ook in zijn reactie citeert, dan blijkt opeens dat de formulering compleet anders was: "Zullen we de bron van de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?" is compleet iets anders dan de toon op zijn blog: "Ik zou bij deze vondst niet eens durven vragen om geld, als ik eerlijk ben. Bij de eerste mail die ik stuurde, heeft er niet meer dan 20 minuten werk in gezeten aan mijn kant, waarbij het begrijpen van de data meer tijd kostte dan het vinden van de data. Vandaar de vraag om tickets, volgens jullie gebruik, onder de voorwaarden als in door jullie gesteld in maart (niet publiceren hoe en wat, en niet de data verspreiden).". Dus je durft niet om geld te vragen, maar wel om vier kaartjes met (naar ik aanneem; ik ken de kaartjes van Walibi niet) alle extra's erbij? Dat alleen is al een behoorlijk verschil en het feit dat ie dat heel toevallig niet noemt in zijn open brief geeft mij de indruk dat ie dat zelf ook prima weet.

Als je de loze belofte (was het dat? beide kanten hebben de conversatie dood laten bloeden; voordat je over een loze belofte kunt spreken is het misschien wel zo eerlijk om ze (zonder dreigementen!) er nog even een herinnering te sturen) erbij wilt betrekken, dan moet je ook (de toon van) de volledige email meenemen in je overweging. En mijns inziens pakt dat niet gunstig uit voor Van Kampen.

Ja okee, als je "De titel van de mail (‘Datalek ruilen voor kaartjes?’) was niet meer dan een knipoog naar jullie manier van belonen, die jullie IT manager me in maart 2019 voorlegde. De inhoud was niet meer dan de voorwaarden die hij toen stelde." heel strikt leest dan kun je zeggen dat ie alleen maar dezelfde ruil voorstelt als hem indertijd is aangeboden en strikt genomen staat er alleen "als ik geen kaartjes krijg, dan krijgen jullie geen data", maar de verwijzing naar "als jullie doen wat ik zeg" in combinatie met "niet publiceren" geeft wel ontzettend de indruk "als ik geen kaartjes krijg, dan zal ik de data wel publiceren". Ik ben er niet van overtuigd dat een rechter hem vrij zou spreken (en evengoed niet dat ie wel veroordeeld zou worden, maar dat lijkt me waarschijnlijker dan vrijspraak).
Ik denk dat je hier jouw opvatting van de woorden van deze man veel te ver doorvoert. Het "niet publiceren van data" komt op mij over als een beslissing die hij al genomen had. Dat is ook geheel conform de geschiedenis van deze man met eerdere lekken. Oftewel zijn email was alleen nog maar een nette vraag om vrijkaarten, m.i. geheel terecht. Hij zal inderdaad nu ook wel spijt hebben van de onbedoeld dubbelzinnige formulering maar ik geloof hem volledig dat hij het niet bedoeld heeft als afpersing. Er is ook geen enkele aanleiding om dat te geloven als je iets verder leest dan alleen deze paar woorden die nu veel te uitgebreid op een weegschaal worden gelegd.

Die directrice heeft een hele andere geschiedenis als ik de rondgang moet geloven. Laten we dat ook eens wegen. Ik zou zeggen mijd dat park tot die vrouw is ontslagen. Denk dat we daar het personeel ook een groot plezier mee doen.
Lekkere suggestieve opmerking op het laatst. Graag onderbouwen als je zo een claim doet.
Dat is een kwestie van de reacties lezen op het oorspronkelijke nieuiwsbericht. Daar is niets suggestiefs aan. Deze dame regeert haar bedrijf volgens meerdere verhalen met ijzeren vuist en kiest niet zo snel voor de diplomatieke route. Ik claim dat niet, ik trek die conclusie uit verklaringen van anderen en dat kun je ook echt op die manier opvatten als je mijn reactie goed leest. Die verhalen verklaren waarom ze er ook in dit verhaal met gestrekt been in is gegaan. Iemand doet een melding van een datalek en vraagt om een symbolische vergoeding, en dan bedankt ze die persoon door te dreigen met politie en vervolging. Dan ben je niet goed bij je hoofd. Dat soort gedrag mag wat mij betreft afgestraft worden. En daar mag jij het niet mee eens zijn uiteraard maar blijf wel ajb de hele discussie in het oog houden.
Kom op zeg. Hij vraagt iets wat Walibi misschien een paar 100 euro kost. Ik snap dat het niet mag. Maar vanuit Walibi kan je dit ook wel anders oplossen.
Het kost Walibi niets. Neemt niet weg dat je "doe dit, anders doe ik dat" kraait, wat juridisch volgens mij afpersing is. De tegenprestatie hoeft niet perse financiele waarde te hebben. Ook iets als "zeg op tv dat ik de beste ben, anders onthul ik een dirty geheim over je" is afpersing in mijn beperkte juridische interpretatie van de wet. Laat ik het zo zeggen: ik zou het zelf nooit zo formuleren... Maar ik had me ook niet opgesteld als Van Til nu doet :)
Natuurlijk kost het Walibi geld, de kaartjes vertegenwoordigen een specifieke waarde. Die waarde moet worden verantwoord in de boekhouding waarover ze dus gewoon belastingen e.d. verschuldigd zijn.
Jij kent het concept “vrijkaarten” niet? Die hebben een verkoopwaarde van 0 euro. Je geeft ze letterlijk gratis weg. Daar betaal je geen btw noch omzetbelasting over.
Het kan zelfs als kosten worden opgevoerd in deze setting.
Vrijkaartjes worden normaal als promotiekosten geboekt. Hoewel het in de boeken als kostenpost staat vermeld betekend dit nog niet dat er werkelijke kosten zijn gemaakt. Dat is zuiver om belasting-technische redenen.
In werkelijkheid geven de gebruikers van vrijkaartjes in het park vermoedelijk wel geld uit aan eten en drinken. In werkelijkheid zijn het dus gewoon weer betalende bezoekers, die alleen de entree niet hoefden te betalen.
We dwalen heel erg af met deze boekhoudkundige discussie. Punt is en blijft dat het er niet toe doet of het Walibi iets kost of niet of dat het ze geld oplevert.

Als je iemand voorstelt om iets (gedaan) te krijgen in ruil voor iets nalaten dan kan dat worden opgevat als chantage. Dat er in het verleden over gesproken is als afspraak maakt het minder hard en ik betwijfel of er op die gronden veroordeeld zou worden, maar het is allemaal niet handig.
Het is een beetje afdwalen in boekhoudkundige trucjes.
Voor de toegang tot het park hoort betaald te worden. Daarmee heeft een entree dus een waarde. Wanneer niet de reguliere prijs wordt betaald is dat technisch gezien inkomsten derving en daarmee een kostenpost. Dat geldt voor vrijkaartjes, maar ook voor kortingsacties. Alle kosten horen in de administratie opgenomen te worden, anders kan een accountant de jaarrekening afkeuren. Strafbaar is het dus beslist niet, het moet zelfs.

Bedrijfsmatig verhoog je op deze manier de omzet en druk je de winst. Belastingtechnisch kan dat voordelen bieden (al is dat niet veel). Bij een beursgenoteerd bedrijf zien de aandeelhouders het liefst een zo hoog mogelijke winst.
Wanneer personeel zelf vrijkaartjes mag weggeven aan vrienden en gezinsleden zal de belastingdienst ook moeilijk gaan doen, want die ziet dat als loon in natura.

Een vrijkaartje lijkt dus niets te kosten en kan door uitgaven in het park best nog wat geld opleveren, maar boekhoudkundig is het een ander verhaal.
Irrelevant verder in deze discussie.
Hij vraagt iets wat Walibi misschien een paar 100 euro kost
Het kost Walibi helemaal niets. Een keer 4 mensen extra in het park zonder dat die entree betaald hebben gaan ze echt niet op een negatieve manier merken (eerder positief, want ondertussen geven die mensen wel geld uit aan oa horecagelegenheden in het park).
Het kost Walibi wel degelijk iets. Als jouw redenering zou kloppen, zou een door uitsluitend vrijkaarten gevuld overvol park ook niets kosten en dat is onmogelijk.
Wet van de grote getallen. 4 mensen op 800k per jaar is marginaal. In spreektaal heet dat "niets".
Maar vanuit Walibi kan je dit ook wel anders oplossen.
Dat had zeker gekund, maar dat betekent niet dat de oplossing die ze hebben gekozen daarmee automatisch fout is. Voor hetzelfde geld zijn ze bang dat ie volgende keer niet om vier maar om honderd kaarten vraagt.
Bedoel je hiermee dat vanaf wanneer iemand rijk genoeg is, het helemaal geen kwaad kan dat ik op een nogal dreigende manier geld vraag? :)
Ik bedoel hiermee dat een bedankje vragen misschien niet mag maar niet heel vreemd is.

Het is ook geen geld, maar de dienst van het bedrijf.

Als bv een bouwbedrijf een datalek heeft en dan vragen of de loodgieter een lekkende gootsteen komt maken zou bv ook kunnen.
Als bv een bouwbedrijf een datalek heeft en dan vragen of de loodgieter een lekkende gootsteen komt maken zou bv ook kunnen.
Neen maar de dienst van het bedrijf is geld waard, het is dus kwasie hetzelfde dan geld vragen. De tickets hebben een intrinsieke monetaire waarde, die je altijd kan omzetten naar cold cash. ( je verkoopt de kaartjes gewoon op marktplaats). Ik denk juridisch gezien is dit gewoon afpersing. Comma's en smilies kan de boodschap wat aangenamer doen klinken, maar afpersing blijft het igg wel.

nota: ....Datalek ... lekkende gootsteen ... i see what you did there. made me giggle :+
Je kunt het ook lezen als dat omdat hij het juist niet gepubliceerd heeft iets wil ontvangen in plaats van dat hij dreigt met juist wel publiceren.
Je kunt het ook lezen als dat omdat hij het juist niet gepubliceerd heeft iets wil ontvangen
Dat is niet wat "ruilen" betekent.
Ja je kan ook lezen "Van Til, ik vind je een knappe meid, wil je met me daten". Je kan het op 1000 manieren lezen, maar het gaat erom wat de wet zegt en hoe de rechter die wet interpreteert. Ik denk dat als Walibi de aangifte (met deze email in het achterhoofd) had doorgezet dat ze een redelijke case hadden.
Dan is het maar goed dat jij geen strafrechter bent.

Er is totaal geen case. Het enigste wat er is, is een man die regelmatig datalekken van pretparken meld en hier absoluut geen geld voor vraagt, laat staan onrechtmatig data publiceert. Ook het pretpark is dit bekend, aangezien hij al eerder een datalek heeft gemeld. Van reëele dreiging van publiceren van data is geenszins sprake geweest, juist het tegenovergestelde: het pretpark wist uit het verleden dat bij het vorige datalek ook geen data is gepubliceerd, terwijl hij ook toen geen gratis kaartjes kreeg. Overigens is toen ook helemaal niet om kaartjes gevraagd, het was juist het pretpark dat toen de belofte c.q. de suggestie heeft gewekt dat in ruil voor het datalek een gratis bezoek aan het pretpark op zijn plaats was.

Praktische hypotheses zoals: waarom gaat iemand met het oogmerk om pretparken te chanteren onder zijn eigen naam handelen? zal ik maar buiten beschouwing laten.

Ook de waarschijnlijkheid dat er ooit iets met een dergelijke aangifte zou worden gedaan, vervolging in een strafzaak nog daargelaten, is nihil.
Het was inderdaad enorm onhandig van hem om zo te communiceren. Ja, je hebt de kaartjes van je vorige vinding nooit ontvangen en je kan daar een opmerking over maken. Maar de manier waarop hij het deed komt inderdaad niet positief over. Maar ook vanuit Walibi zijn er dus fouten gemaakt. En ik hoop dat beide kanten hieruit leren voor de toekomst.
Mee eens, ik heb ik mijn eerdere opmerking geen rekening gehouden met het feit dat de ICT manager een sort-of toezegging had gedaan en dat de latere mail van Van Kampen dus als een terugval op die 'onderhandeling' gezien kan worden. Neemt niet weg dat er een "geef mij dit, anders doe ik dat" formulering in te vinden is. Ik ben geen jurist, maar op mij komt dit over als iets wat als strafbaar aangemerkt kan worden.

Verder mee eens: beide kanten gaan hier (...voeg hier grapje over #hardopdebekgaan in...) onderuit en beide kanten moeten dit in de toekomst effe lekker anders aanpakken.

[Reactie gewijzigd door Odie op 18 oktober 2019 15:25]

Zoals ik het lees boden ze eerder zelf al kaartjes aan voor het niet publiceren van data van de eerste lek. (dus niet rondje park, maar keihard kaartjes in ruil voor niet publiceren) Met dat in het achterhoofd, aannemende dat Jan hier over de waarheid verteld. Komt die passage over zijn nieuwe 'eisen' toch heel anders over.

Er staat dan ook 'dit jaar' waarbij hij verwijst naar het al niet gelekt hebben van data en dus niet zozeer 'ik lek niet, als je mijn eigen inwilligt' Jan is blijkbaar niet altijd even snugger (en ietswat kinderachtig) getuige zijn schrijven, maar dom genoeg om daadwerkelijk aan afpersing te doen zal hij toch wel niet zijn?

De echte vraag in heel dit verhaal is eigenlijk: 'Gaat het zo slecht met het park dat je niet even de portemonnee kunt trekken om de site na te laten kijken en herstellen.' mag best een aantal weken duren maar er moet toch ooit iets worden aangepakt

[Reactie gewijzigd door TWeaKLeGeND op 20 oktober 2019 15:01]

Ik vroeg mij af of het niet mogelijk was voor meneer Van Kampen om het circus om te draaien en hier melding van te maken bij een of andere waakhond m.b.t. het lekken van informatie? Of is het "lekken" van deze informatie niet strafbaar in wetgevingen als de AVG?

Ik had namelijk persoonlijk zoiets gedaan om mevrouw de over-het-paard-getilde directrice duidelijk te maken dat het feit dat iemand het rechtstreeks meld, in plaats van openbaar, iemand een dienst bewijzen is, in plaats van afpersing?
Zover ik zien kan zijn geen persoonsgegevens gevonden in de data. Aangezien de AVG specifiek over persoonsgegevens gaat is deze vermoedelijk niet van toepassing. Neemt niet weg dat ik als opdrachtgever wel een dieper onderzoek zou doen aangezien ik zou willen weten of er nog meer fouten in het systeem zitten.
Er is geen enkele reden om dit lek te melden bij een waakhond (want geen gegevens die onder de AVG/GDPR vallen). Je persoonlijke mening over van Til moet niet relevant zijn bij het professioneel aanvliegen van dit soort kwesties. Dus melden bij Walibi, vragen naar responsible disclosure/bug bounty en hopen op goede wil. Bij geen reactie na herinnering kan je altijd nog de afweging maken of je het lek wil publiceren. De impact van het lek is maatschappelijk nihil, het is hoogstens vervelend voor Walibi zelf. Dus er is eigenlijk geen reden om het te publiceren: maatschappelijk belang is er niet. Elke verdere actie is aandachttrekkerij wat mij betreft.
Publiekelijk maken van dergelijke lekken wordt alleen in uitzonderlijke gevallen gedaan. Je neemt als vinder van het lek namelijk een groot risico dat een organisatie aangevallen kan worden dankzij jou, waarna ze de vinder aansprakelijk kunnen stellen.

Echter gaat het in dit geval niet om persoonlijk identificeerbare gegevens, de AVG-wet heeft hier niets mee te maken. Er is (helaas) geen instantie om dergelijke meldingen te maken in geval de achterliggende organisatie niet reageert of niets doet met de melding.
Is dat echt zo, dat iemand aansprakelijk gesteld kan worden als hij een lek publiceert? Onderzoekers van b.v. Google publiceren vaak lekken van andere bedrijven. Ze geven zo'n bedrijf dan wel een aantal dagen om voordat ze het publiceren, maar toch, het blijft publiceren.

[Reactie gewijzigd door Cerberus_tm op 19 oktober 2019 00:40]

Als je zorgvuldig bent geweest in het melden en er is iets van een algemeen belang bij het publiceren van het lek (het publiek zou dit moeten weten / dit is een schandaal / dit is een risico voor de maatschappij) dan zie ik niet hoe je aansprakelijk bent jegens de dader die het datalek veroorzaakt. Heel misschien als je nodeloos veel details publiceert, zeg maar een exploit in de vorm van een point-and-click interface voor de scriptkiddies. Dat is denk ik nooit nodig.
OK dat dacht ik ook. En een maatschappelijk belang is er eigenlijk per definitie bijna altijd wel?
Dat doen ze alleen nadat ze eerst de ontwikkelaar de kans hebben gegeven om het lek te dichten. Afhankelijk van de ernst van het lek geven ze, meen ik, een x aantal dagen voor het oplossen van het lek. Gebeurd dat niet dan publiceren ze het lek om zo het bedrijf te dwingen om alsnog het lek met spoed te dichten.
Dat doen ze alleen nadat ze eerst de ontwikkelaar de kans hebben gegeven om het lek te dichten. Afhankelijk van de ernst van het lek geven ze, meen ik, een x aantal dagen voor het oplossen van het lek. Gebeurd dat niet dan publiceren ze het lek om zo het bedrijf te dwingen om alsnog het lek met spoed te dichten.
En dit is volgens mij dus wel degelijk afpersing/chantage, toch?
Nee, want ze vragen weet niets voor (geen tegenprestatie) en het is in het algemeen belang dat er gehandeld wordt
Fix het lek anders maak ik het openbaar.
Geef me 5 euro anders maak ik het openbaar.

Afpersing en afpersing
Tja, ook weer wat hoor.
Een lek laten zitten is niet illegaal, voor zover ik weet.
Naar de Wallen gaan ook niet.
Maar als ik de burgemeester een brief stuur met ‘stop met naar de Wallen te gaan, anders staan de foto’s volgende week in de krant’, dan weet ik niet wat er gaat gebeuren.
Ik vind het altijd en heel groot grijs gebied allemaal en dat is het volgens mij ook. Waar de grens ligt is niet altijd duidelijk.
De grap is juist dat dit omzetcijfers zijn, iets wat Walibi zelf graag binnenskamers wil houden.
ik had eigenlijk terug geantwoord, beste "mevrouw" ik kwam het toevallig tegen als net persoon maak ik het niet wereld kundig, ik heb meerdere meldingen gemaakt in het verleden en nu leek het me wel eens redleijk om een "vergoeding" te vragen. Nee kan een redelijk antwoord zijn echter met deze reactie zal ik dit en toekomstige meldingen maar direct bij de media melden als ik toevallig dit soort zaken vind.

Ook al zat bij walibi c.q mevrouw der maandverband niet helemaal lekker .. Als bestuurder moet je wel afvragen of een reactie wel proportioneel is .. ook al is de vraag van de melder zo van "hey geef me kaarten anders ..." nu vind ik de het niet een bizare vraag 4x 35 = nog altijd goedkoper dan de tijd en geld door politie oid in te schakelen (haar uurloon is wellicht 200,- per uur) versus 1x 150 euro .. Al doe je 50/50

Je kan ook antwoorden met: beste x.y.z dit hangt af van de aard van de informatie(lek) en de gevoeligheid. maar geven alleen in bijzondere gevallen dingen weg en op dit moment kunnen we dat niet toetsen.
Volgens mij was er echter al precies bekend hoe of wat, én waren hem in het verleden kaartjes toegezegd, waar hij naar refereerde, zij het op een manier die niet zoals bedoeld werd opgevat.
Niet slimmer proberen te zijn dan evolutie. Gewoon googlen wat het protocol is. Vast en zeker staan er genoeg copy/paste teksten en do's/donts. En anders is er vast wel een community die je kan en wil helpen.
Waarschijnlijk is weet voldoende precedentie en is het ook een industriestandaard om een x aantal maanden de tijd te geven om het op te lossen. Daarna, zeker als er groter belang mee gemoeid gaat, mag het gepubliceerd worden... Maar of je nu het volledige handleiding erbij heeft, dat gaat ook ver.

De reden om het na zoveel tijd toch publiekelijk te maken is, er zijn genoeg nog slimmere mensen met met tijd en slechtere bedoelingen dan jij die dit ook kunnen uitvinden of er zelfs al gebruik van maken.
Wat bedoel je precies met online plaatsen? Als in melden waar het datalek zit? Want dan heb je kans dat je de bietenbrug op gaat, omdat je daarmee mogelijk onrechtmatig handelt.

Overigens had ik die aangifte lekker laten komen. Afpersing is een bepaalde mate van chantage voor verliest. "als u dit niet doet, dan doe ik dat". Had hij gedreigd met openbaar making, dan was er sprake geweest van afpersing. Nu heeft hij enkel een voorstel tot ruil voor informatie gedaan. Dit is dus geen afpersing.

Edit: als het bericht van hieronder klopt, is er dus wel sprake van afpersing. Dan moet die knul gewoon zijn verlies pakken.

[Reactie gewijzigd door FrankoNL op 18 oktober 2019 14:51]

Ik vind de manier van handelen van Walibi juist een incentive om naar een datalek te zoeken en plubliek te plaatsen ipv het netjes te melden, aangezien je dan de kans hebt om onterecht aangeklaagd te worden.
Maar als dat lek dan gebruikt word aan de hand van jouw publicatie zal je TERECHT aangeklaagd worden. Lijkt je dat werkelijk een goed idee?
Omgekeerd wil ook. Een incentive om niet te zoeken, je krijgt er toch niks voor.
Nou dit. Je kijkt wel uit om Walibi de volgende keer te helpen. Wellicht kan meneer nog ergens een melding van een datalek maken? Weet niet precies de details van het lek en de impact evenmin maar dit vraagt om een niet-sympathiek vervolg }> Een volgende gaat er wellicht misbruik van maken... omdat het kan.

Hoe je het ook wend of keert, ik begrijp niet waarom Walibi zo'n gek reageert. Iemand meld een lek. Daar wordt blijkbaar niets mee gedaan. Hij was kaartjes beloofd. Roept dat nog eens... en dan is het afpersing. Geef die persoon de kaartjes, maak er een ludiek iets van en zeg dat dit verder niet de gang van zaken is. #hardgaan krijgt zo wel echt een andere betekenis :D

[Reactie gewijzigd door iAR op 18 oktober 2019 16:03]

Bij nader inzien vind ik het handelen van beide partijen niet handig. Walibi had zeker heel wat sportiever mogen reageren maar de melder had ook een professionele melding kunnen doen met de vraag of ze als bedankje wat leuks tegenover konden stellen, heeft heeft zich wel laten kennen door zijn topic zo te kiezen.
Even gemist dat dat inderdaad eerder dit jaar zo gegaan was een er toen kaartjes beloofd waren, maar niet geleverd?
Dan nog kan je het professioneel benaderen. En nee dat had ik niet gemist.
"Jullie lekken wederom data wat betreft omzet. Zullen we de bron van de datalek en het niet publiceren van de data dit jaar ruilen voor 4 kaartjes voor de volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, below en Clinic."

Dat wordt door Walibi gezien als afpersen. Zonder ze echt te willen beledigen, maar ik dacht dat het landelijke sprookjespark in Noord Brabant lag? Die zin kan je opvatten als afpersing, maar kan net zo goed gezien worden als een start van onderhandeling of gevolg van de eerdere mailconversatie met het park. Dat in de reactie van Walibi niet gesproken wordt over het lek op zich, de eenvoud waarmee andere hetzelfde inzicht kregen en de eerdere mailwisseling is daarbij sprekend vindt ik.

Walibi doet er wel goed aan geen aangifte te doen. Volgens mij is de algemene tendens dat Walibi tever ging in zijn reactie. Ik vind het jammer dat ze niet op een andere manier erop gereageerd hebben.

Edit: Bron van de uitspraak/mail https://www.looopings.nl/...angifte-tegen-hacker.html

[Reactie gewijzigd door Zingo op 18 oktober 2019 14:33]

Het spijt me maar ik zie hier toch een aardig dreigement qua het publiceren, leuk dat het om 4 kaartjes gaat ipv geld maar het idee is hetzelfde.

Edit: na het lezen van walibi's reactie in het looopings artikel snap ik de reacties aan beide kanten wel en berust de chantage wellicht op een niet lekker opgebouwde zin. Wellicht dat 'dit jaar' refereert naar het vorige lek en de daarbij beloofde kaartjes, en de data simpelweg naar de howto om de gegevens in te zien op de website.

[Reactie gewijzigd door Mathi159 op 18 oktober 2019 14:45]

Ik kan me toch niet inhouden om helemaal niet te commenten hier, want van alle media boeit het me vooral wat jullie vinden hier, als mede-nerd :)

Laat ik voorop stellen dat ik na deze hele heisa prima inzie dat mijn berichtje veels te bijdehand was, alhoewel ik niet weet of ik het op een andere manier zou doen de volgende keer. De toon in de mail is niet de toon waarop ik normaal met mensen of bedrijven praat, want dat zou inderdaad een heel rare start zijn als ik hoop op een goede relatie.

De toon in de mail is gebaseerd op vorig mailcontact. Aan de ene kant zie je het informele al met 'He Walibi' en 'Zullen we?', wat ik normaal niet per se zo zou schrijven als ik een nieuw iemand aanschrijf. Aan de andere kant zie je er zeker frustratie in terug, doordat ze na afspraken en zeer fijn contact ineens niet meer reageerden eerder dit jaar, en me in m'n sop gaar lieten koken ondanks twee vriendelijke reminders van mijn kant uit. Niet eens een 'we gaan toch niet met je verder' of 'ik kom terug op wat ik gezegd en beloofd heb'. Gewoon negeren, na goed contact. Heel raar, en zonde van de tijd die er telefonisch en in de mail in gestopt is. Die frustratie had ik misschien niet tot uiting moeten laten komen, maar he, ik ben ook maar een mens. Ik was/ben gefrustreerd hierdoor.

Aan de andere kant stellen ze in hun mail van gisteren dat ik 'expliciet' aangeef het te publiceren als ze niet aan mijn 'eis' zouden voldoen. Onzin natuurlijk, bij deze onschuldige (en in mijn ogen zelfs ludieke) vraag, met een chunck van de data erbij, zonder deadline of verwachting of wat dan ook. Zelfs niet als je de mail los, zonder context bekijkt. Zonder voorgeschiedenis had een mail met deze toon ook nooit de woorden 'wederom' en 'dit jaar' bevat. De verwijzing naar 'niet publiceren' is letterlijk een (begrijpelijke) eis uit de opdrachtomschrijving die ik de vorige keer kreeg. Ik kan me voorstellen dat het 'niet publiceren' gedeelte in mijn vraag an sich een naar ondertoontje heeft, zo zonder context. Context die ze zelf niet eens durven te benoemen in communicatie met mij of de pers, omdat ze donders goed weten dat dat het verhaal van ze zwakker maakt.

Ik zou graag de hele mailconversatie van maart en van nu online zetten, maar die staat vol data, getallen, endpoints en andere dingen. Dat is mij dan weer een stapje te ver, want ik ben niet uit op het exposen van deze data of api's. Ik heb ook bewust geen endpoints of data in m'n blog en tweets gezet. Wel dat het met 'element inspecteren' te zien is, om de onschuld en eenvoud van deze lek aan te tonen. Journalisten van RTL, NHD, Looopings en RTV-NH hebben alle mails wel gekregen, want die moeten natuurlijk kunnen checken of ik ze niet heb lopen afpersen en of het contact daarvoor echt goed was > En ja, dat contact was echt goed.

Ik heb m'n lesje wel geleerd. Ik ga Walibi niet meer mailen, en zal in een volgende situatie nog een keer tot tien tellen.

Paar kleine notes bij vorige comments, waar ik te lui voor ben om deze weer op te zoeken;
* Degene die hier meldde dat ik geen SSL had > Thanks, gefixt. M'n blog is eigenlijk inactief, maar had even een platform nodig om te publiceren. Geen excuus, maar ik gebruik hem wel.
** 'Is dit een datalek of niet'-discussie > Wat mij betreft is een datalek een datalek als er data lekt waarvan iemand niet wil dat het naar buiten komt. In dit geval is dat (blijkbaar ook) zo.
*** Hoezo melden bij AP? Niemand heeft geschreven of gesuggereerd dat het om persoonsdata gaat.

Ik vind het interessant om jullie comments op deze artikelen te lezen. Ook de kritische noten.
Vooropgesteld: ik vind het oprecht goed dat je t aan de kaak stelt. De manier van communiceren is echter iets waar je aan kunt werken. Heb een aantal jaren terug via een klant van ons een melding van je gekregen en daar was je ook best wel bijdehand en arrogant aan het reageren en dat siert je niet terwijl de bedoeling op zich goed is. De beschrijving die je jezelf geeft op de website bevestigt dit ook overigens:
Eindbaas || Schaamteloos zelfverheerlijkend || Misplaatst arrogant || Parttime superheld || Understudy van god
Het zorgde bij de klant niet echt dat er veel goede wil was om het met je op te lossen en zijn uiteindelijk niet ingegaan op je voorstellen/mails weet ik nog.

Als developers hebben we toen onderzocht hoe we je verkeer konden herkennen en hebben we wat API changes gedaan (met goedkeuring van klant natuurlijk) zodat als je iets zou publiceren, het ieder geval niet zou kloppen :+
Haha nice. Ben benieuwd wie klant was, maar ik heb inmiddels een idee.

Over die quote die je erbij zet;
Sowieso door mij geschreven. Klinkt wel als mezelf uit 2010. Het is geen excuus, maar ik gebruik hem wel weer; Blog niet in gebruik, dus allemaal verouderde meuk. Ik ga dit nu weghalen, want dat is inderdaad niet hoe ik voor de dag wil komen.
Mooi! Zoals ik zei vind ik dat je meestal met leuke/goede dingen weet te komen en met een serieuzere toon denk ik dat er veel bedrijven blij met je mogen zijn :)
Aan de andere kant zie je er zeker frustratie in terug, doordat ze na afspraken en zeer fijn contact ineens niet meer reageerden eerder dit jaar, en me in m'n sop gaar lieten koken ondanks twee vriendelijke reminders van mijn kant uit.
Om even je eigen blog te citeren:
Zelf hoop ik dat jullie inmiddels de mailconversatie van maart 2019 ook boven water hebben kunnen halen. Als jullie het toch nog niet hebben gevonden, kan ik het ook opsturen naar jullie. In dat proces biedt jullie IT Manager (geen idee of hij nog bij jullie werkt, gezien de openstaande vacature) me in de eerste instantie kaarten aan als ik vraag om een bug bounty program of responsible disclosure policy.
Is het niet mogelijk dat je geen antwoord meer kreeg simpelweg omdat de IT manager waar je contact mee had vertrokken is (ontslagen / ontslag genomen / overgeplaatst / ...)? Als de vacature voor zijn vervanger nu nog steeds openstaat dan lijkt het me zeker mogelijk dat ie een aantal zaken gewoon niet goed heeft overgedragen (en je reminders mogelijk in een mailbox terecht zijn gekomen die niemand leest). Als niemand van het huidige personeel van Walibi op de hoogte is van beloftes en afspraken, dan kunnen ze die niet nakomen. Dat is absoluut niet hoe het hoort (de medewerker doet de belofte namens het bedrijf en die belofte hoort ingelost te worden, ook nadat die persoon vertrokken is), maar ja, wel precies hoe dingen in de soep lopen als er geen IT manager is. Met andere woorden: het is prima mogelijk dat er geen enkele onwil of slechte intentie was van de kant van Walibi, alleen maar een flinke portie prutsen.
Ik zou graag de hele mailconversatie van maart en van nu online zetten, maar die staat vol data, getallen, endpoints en andere dingen.
Ik heb geen flauw idee hoe het juridisch zit; ik kan je niet vertellen of je het recht hebt om die emails openbaar te maken. Practisch gezien is er echter geen enkel probleem; vervang de paragrafen met inhoudelijke details over de lekken door "[... beschrijving van het datalek ...]" of iets dergelijks en je kunt de paragrafen waarin je Walibi al dan niet afperst met iedereen delen. (Maar nogmaals, ik durf niet te zeggen of dat juridisch door de beugel kan!)
De beste man werkt er nog volgens z’n LinkedIn. Maar goed, zelfs als dat niet klopt, moet het wel op staande voet ontslag zijn geweest, want zo groot waren de periodes niet. Misschien waren de intenties niet slecht, maar ik toch was ik gefrustreerd. De situatie klopt niet.

Over de conversatie; Die ga ik ook niet publiceren. Ik kan alleen niet hebben dat ze zeggen ‘meerdere keren contacteren en afpersen’. Dat maakt me echt boos in deze situatie.
Ik denk dat ik het met de anderen eens ben over de toon.
Een andere methode die je had kunnen hanteren was het escaleren naar het moederbedrijf Compagnie des Alpes, omdat het mogelijk koersgevoelige informatie betreft. Of kijken of het lek in al hun parken voorkomt, verkopen loggen, en dan long/short gaan op hun aandelen.

[Reactie gewijzigd door mbb op 20 oktober 2019 14:35]

Het spijt me maar ik zie hier toch een aardig dreigement qua het publiceren,
Ik niet echt. Het ligt er precies aan hoe je de boodschap brengt.

"Hey, ik heb je gehackt. Voor vier kaartjes vertel ik je hoe. ;) :+ "

"Hey, ik heb je gehackt. Voor vier kaartjes vertel ik je hoe. }> "

Dezelfde tekst, totaal verschillende toon.

Je kan ervanuit gaan dat de opmerking over vier kaartjes niet zo serieus is als dat het lijkt. Zonder emoticon zou je in een maatschappij met een zero tolerance policy gelijk hebben, maar dat heeft Nederland gelukkig niet. Tekst is gewoon niet ondubbelzinnig omdat veel subtiliteit verloren gaat. Hierom moet je nooit kijken naar een enkel citaat. Neem bijvoorbeeld wat Stallman heeft gezegd. Dat was onhandig omdat het een citaat is wat men helemaal uit zijn verband kon trekken.

[Reactie gewijzigd door The Zep Man op 18 oktober 2019 14:47]

Mijn moeite is met de toevoeging "... en niet publiceren". Je betaalt ethische hackers voor hun moeite, dank je wel dat je me op dit gat wees, nu kan ik 't fixen. Hier, een bloemetje en een vip-ticket. Maar als iemand mij zegt "he ik heb je gehackt, geef me vier kaartjes en ik vertel t niemand" dan krijgt die iemand van mij ook een aangifte aan de broek.
Helemaal eens, als er helemaal geen context is. In dit geval gaat er een flinke (prettige) voorgeschiedenis van communicatie aan vooraf.

Ik kan me de stank voor dank reactie na zoveel mail contact iig wel voorstellen.
Toch zie ik er wel iets van een dwingende toon in, vooral door het noemen van een specifieke datum en additionele eisen. Ik had dit nog niet gelezen, maar ik snap Walibi nu wel iets meer dan dat ik tot op heden deed. Daarmee wil ik overigens niet zeggen dat Walibi dit handig heeft opgepakt, echter is dat na al die andere fails moeilijk een verrassing te noemen.

[Reactie gewijzigd door NotSoSteady op 18 oktober 2019 15:10]

"Zullen we......" is toch wel degelijk iets anders dan "Of anders....."
Gezien de verdere voorgeschiedenis en context en ook bij letter van de wet toch zeker geen afpersing. Dat hij kaartjes vraagt (en dus niet eist) voor een specifieke datum verandert daar niet echt iets aan. Dat ze hier hun eigen fantasie op loslaten en er een wilde interpretatie van maken kan ik dan ook niet anders dan kinderachtig noemen.

[Reactie gewijzigd door xSNAKEX op 18 oktober 2019 15:40]

Ik heb het ook niet zozeer over het feit of ze hier een zaak van hadden kunnen maken, maar meer over de manier van communiceren.
Het punt is dat de datum geen deadline is en een voorstel geen eis. Als dit zou moeten maken dat de toon dwingend is, klopt dat dus gewoon simpelweg niet.
Dat het misschien in eerste instantie lullig of verkeerd over kwam kan uiteraard best, maar dan lees je het toch hopelijk wel een 2e keer voordat je met aangifte dreigt en je zo aggressief ofstelt.
Ik vind de toon dwingend, dat is mijn mening.
"en het niet publiceren van de data dit jaar ruilen voor 4 kaartjes voor de volgende week zondag,"

Deze zin is wel onhandig geformuleerd, ik lees het idd ook als, he, ik doe wat voor jullie, ik publiceer niet, doen jullie dan wat voor mij en sturen jullie mij dan kaartjes?

Ook handig om in je achterhoofd te hebben dat er verschillende mensen bij een organisatie werken en dat achter een e-mail adres opeens heel iemand anders kan zitten, met andere ervaring. Of dezelfde persoon maar die zich niet meer herinnerd dat je plezierig contact had.
Wow was dat letterlijk de tekst? Sorry, maar als jouw standaard manier van 'starten van onderhandeling' is, doe ik toch liever geen zaken.

Oh, even compleet te maken vanuit zijn excuus:
-als ik vraag om
-De titel van de mail (‘datalek ruilen voor kaartjes?’) was niet meer dan een knipoog
-de vraag om vier kaartjes

Mag Walibi verkeerd reageren, die man in kwestie begint z'n gesprek toch ook niet bijzonder netjes.
(vervang nu eens kaartjes door geld, naaktfoto's, noem ze maar op..)

[Reactie gewijzigd door SinergyX op 18 oktober 2019 14:42]

Die zin kan je opvatten als afpersing, maar kan net zo goed gezien worden als een start van onderhandeling
Met betrekking op het niet publiceren van de data zou zo'n onderhandeling neerkomen op "Wat heb je ervoor over als ik iets nalaat wat voor jou nadelig zou zijn". Heeft wat mij betreft toch alles weg van afpersing.
"Jullie lekken wederom data wat betreft omzet. Zullen we de bron van de datalek en het niet publiceren van de data dit jaar ruilen voor 4 kaartjes voor de volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, below en Clinic."
voor zover ik alles kan nagaan is dat niet zo op die manier gecommuniceerd. waar heb je dat vandaan?
Het is maar net hoe je het leest. Als je enekel klemtonen wat anders legt kun je dat hele stuk als totaal het tegenovergestelde opvatten.
Hij heeft het gewoon gevraagd... Er was een voorstel om een beloning ergens voor te krijgen, een ruil omdat hij netjes is/blijft. Zonder "or else..."

Als ik bij jou voor de 3e keer voor de deur sta met jouw portemonaie die je wederom bent verloren en zeg: "misschien wordt het wel eens tijd voor een vinderloon, denk je niet?"
Ben ik je dan aan het afpersen?

Een foute aanname van een vermeend slachtoffer maakt anderen gelukkig nog niet tot een veroordeeld crimineel.
Dat is toch heel wat anders? Als hij hier had gevraagd: "een beloning is ondertussen toch wel op zijn plaats?“ dan was er niks aan de hand geweest.

Hij dreigt letterlijk met openbaar maken. Zullen we in plaats van het openbaar maken ruilen voor tickets?

Oftewel: doe dit, of anders gaat het openbaar.

Das gewoon afpersing.
Een voorstel is toch echt iets anders dan een eis. Daarnaast was het een wat ludieke manier van vragen met een voorgeschiedenis, net zoals in mijn voorbeeld. "Zullen we" is wel degelijk iets anders dan "Of anders"
Beide partijen lijken behoorlijk slecht in communiceren. Waarbij het als professioneel bedrijf met mensen die betaald worden en een achtergrond hebben in hoe je wel juist moet communiceren, juist verwacht hier niet in tekort te schieten.

Ze hadden dit als Walibi heel makkelijk op ludieke wijze nog een draai kunnen geven dat ze er zelfs beter uit zouden komen. Zowel bij het dichten van de 'lek' als zijnde het publiek worden van dit verhaal.

Als ik Walibi was had ik gezegd dat het aankaarten van dit soort fouten in de techniek juist bijdraagt aan het verbeteren van de kwaliteit van hun service en de beste meldingen worden beloond met vrijkaarten mits aan een aantal voorwaarden worden voldaan bij het melden, zoals het niet openbaar maken van de fout, geen andere verzoeken e.d.

Standaard beleid van maken zodat op hun voorwaarden ze zonder discussie nagenoeg gratis tests hebben. Slechter kunnen ze er niet van worden.

Maar gezien alle acties van Walibi betwijfel ik dat ze ooit nog zullen verbeteren onder het huidige management. ;(
Ontwikkelaar had niet zo handige berichtgeving opgesteld. Walibi reageert over de top. En dat samen maakte dit tot een vreemde situatie.
Walibi had zich aan de eerdere afspraak moeten houden en niet meteen die duidelijk laconiek ingestelde e-mail als afpersing oppakken. Zeer zwak handelen van het pretpark. Ik had een geen excuses aangeboden (zeker nu achteraf blijkt dat ze niets hebben geleerd gezien de reactie) en de aangifte met vertrouwen afgewacht.

Ik citeer het Wetboek van Strafrecht:
Artikel 317
1 Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt, als schuldig aan afpersing, gestraft met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie.
https://wetten.overheid.n...TiteldeelXXIII_Artikel317
Van een oogmerk is geen sprake en wederrechtelijk al helemaal niet aangezien het nog steeds gaat om iets wat de melder al toekwam uit een eerdere zaak.
Misschien handig om je communicatie dan ook dusdanig op te stellen zo dat het duidelijk is waar het over gaat en dat je ook zeker met de juiste afdeling communiceert.

Heeft hij duidelijk aangehaald dat dit gaat over een eerder gemaakte afspraak? Zo ver ik uit zijn eigen reactie en die van Walibi (met quotes uit zijn mail) kan opmaken is dat niet het geval.

Ik heb destijds op school geleerd hoe je brieven schrijft en referenties toevoegt, dat werkt ook nog steeds met e-mails.

Als jij dan op zo een toon gaat communiceren. en de personen die het lezen zijn totaal niet op de hoogte van eerdere afspraken dan vind ik het niet raar dat er zo gereageerd word. Ook zijn het niet vier kaartjes, maar heeft hij nu een heel specifiek pakket aan eisen (entree kaartjes plus een hoop andere dingen ter waarde van een 400 euro). Professioneel communiceren helpt dit soort situaties voorkomen. Verwijs naar eerdere afspraken, zo moeilijk is het niet om een andere mail toe te voegen.

[Reactie gewijzigd door LOTG op 18 oktober 2019 15:25]

Ik weet niet welke e-mailadressen zijn gebruikt. Ik mag aannemen niet het info-adres.
Ik heb destijds op school geleerd hoe je brieven schrijft en referenties toevoegt, dat werkt ook nog steeds met e-mails.

Leuk dat jij dit geleerd hebt op school maar wat met iedereen die dit niet heeft geleerd? heb je wat leesvoer of tips & tricks voor hen?
Zoiets? Het gaat meer om duidelijk maken waar je het over hebt, idealiter zonder vaagheden. Daar hoef je verder niet moeilijk over te doen.

Ik schrijf over/omdat de in maart gemaakte afspraak …

In maart …

Het blijft als een dreigement lezen, of het nu wel of niet zo bedoeld is. Duidelijk maken dat het een dreigement is naar aanleiding van een niet nagekomen afspraak verandert daar verder niks aan.

Dit schijnt de bedoelde lezing te zijn, maar dat is niet wat er geschreven staat:

"Jullie lekken wederom data wat betreft omzet. Zullen we de bron van de datalek en het niet publiceren van de data [eerder] dit jaar [in maart dus] ruilen voor 4 kaartjes voor de volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, below en Clinic."
Een Walibi manager hoort gewoon op de hoogte te zijn van de vorige afspraken.
Het bedrijf kende de man al, dan hoort er een dossier te zijn met die afspraak erin.
Jammer dat je het verkeerde artikel quote. Het betreft hier in deze casus afdreiging, artikel 318 Sr.
Dan ga jij er vermoedelijk vanuit dat er sprake zou zijn van openbaring van het lek. Daar ging ik op dat moment niet vanuit.
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
Nee, waar het mij om gaat is dat een afpersing altijd gebeurt door middel van geweld of bedreiging met geweld. Dat is hier niet van toepassing en dus wordt niet aan alle bestandsdelen voldaan.
Lees de door jouw gequote wetstekst van het strafbare feit nog maar eens.
Het is afdreiging, wettelijk verschillend maar ik denk dat 90% van de Nederlanders het woord niet kent of het verschil niet weet.
De wetschrijver die het wanstaltige woord afdreiging geïntroduceerd heeft, mogen ze gerust afserveren.
En Walibi weet het blijkbaar ook, vandaar dat die geen aangifte voor afpersing kunnen gaan doen :)
Ik vind persoonlijk het "door geweld of bedreiging met geweld" stuk meer interesant. Je kan namelijk concluderen dat de dreiging met publicatie, als je die korte zinsnede al als dreigement opvat, niet het dreigen van geweld is, waardoor deze wet dus sowieso niet van toepassing is.
Ik vond het niet eens zo onhandig geformuleerd. Er stond enkel of hij kaartjes mocht krijgen voor een lek, waar hij bewijs voor had bijgevoegd. Er stond nergens dat hij de kaarten eiste want anders...

Nogal overtrokken allemaal, maar hiermee zorgt Walibi er misschien wel voor dat de volgende lek niet zomaar gemeld wordt bij hen.
Ik kwam wel op deze bron, die Jan lijkt de citeren:
Maar toen ik afgelopen vrijdag weer getipt werd over data en ik dit ook vond, heb ze opnieuw gemaild. In die mail zei ik dat ze wederom data lekten en vroeg ik 'zullen we de bron van de datalek en het niet publiceren van data dit jaar ruilen voor vier kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?'
Dan krijgt het bij mij door het (door mij) dikgedrukte wel een ander smaakje.
voor het melden van datalekken staat over het algemeen dat hackers het tot bepaalde tijd stil houden als onderhandel waarde. Als de hacker het idee heeft dat de gelekte informatie schade kan aanbrengen aan getroffen consumenten. Wilt een goeie hacker het toch altijd zo snelmogelijk delen om de betrokkenen op de hoogte te stellen.

Door de dik gedrukte tekst laat je weten dat een bedrijf als Walibi het niet in de doofpot kan stoppen.

Lijkt mij een normaal deel van een onderhandeling. Ik snap de reactie over afpersing niet. Hadden ze netter kunnen oplossen. Dit ging van onderhandelen naar bedrijgen. Ik zie de reactie van Walibi als een bedreiging met aangifte/rechtzaken etc. Om bekendmaking van datalekken de grond in te drukken.
Dus als iemand data van jou PC steelt en je zegt dat hij je gegevens + kwetsbaarheden niet op straat gooit in ruil voor geld zie jij dat niet als afpersing?

Dat is namelijk letterlijk hoe hij zijn mail opsteld.

Je zet in de titel van je bericht dat je een datalek wil ruilen voor 4 kaartjes, en vervolgens schrijf je dat je niets publiceert in ruil voor een vrij uitgebreid pakket losgeld.

Dat is niet Walibi op de hoogte stellen van een datalek, maar dat is letterlijk afpersen.

Als hij geen losgeld (zo'n 400 euro aan tickets als ik het goed zie), maar gewoon had gezegd dat hij het voor x aantal dagen zou stil houden zo dat ze het konden fixen was het een ander verhaal geweest.
Een afperser zal niet om kaartjes vragen, immers deze dienen persoonlijk te worden ontvangen en te worden gebruikt bij binnenkomst. Hierbij is de persoon dus bekend, dit kan hierdoor dus nooit als afpersing gezien worden. Wel als hij iets vroeg wat totaal niet in relatie staat met het park, zoals een som geld op zijn bitcoin account...
De grote van de soms geld en of hij bekent is doet niets af aan of het een afperser is of niet. Een afperser hoeft helemaal niet onbekend te zijn (en vaak zijn ze dat ook niet, soms komen ze zelfs persoonlijk langs om geld te vragen).

Afpersing houd simpel in dat jij iemand iets voorhoud wat hij/zij niet wil dat er gebeurt (in dit geval data en een kwetsbaarheid op straat gooien, maar dat kan natuurlijk ook zijn dat je iemand zijn naaktfoto's hebt) en dat je daar iets tegenover zet wat jij wil hebben (in dit geval kaartjes, dat hoeft geen geld te zijn).

Definitie van wikipedia:
Afpersing is een bijzondere vorm van diefstal met geweld en/of bedreigingen. Het onderscheid bestaat erin dat de dader van dit misdrijf de goederen niet wegneemt maar doet afgeven, als gevolg van geweld of bedreiging.
Ja ik kan wikipedia ook opzoeken, maar gaat in om deze specifieke context, waarbij de "eis" tweeledig uit te leggen valt. Iemand die om kaartjes vraagt, gerelateerd aan het bedrijf waar het lek gevonden is, klinkt heel wat minder heftig, dan een flinke storting via een crypto currency.
Je kunt het ook lezen als dat hij het juist niet gepubliceerd heeft en daarom iets als dank wil. Je kunt het ook lezen als dat hij iets krijgt hij het niet gaat publiceren. Kwestie van klemtonen.
wooooaw "Vij uitgebreid pakket losgeld" 4 VIP kaartjes voor Wallibi
duurste ticket kost 70€ +50€ voor de RIP pass = 120€ x 4 = 480€
ja ik snap dat Walibi na het betalen van dergelijk grote som per direct failliet gaat.

Wat het verschil is tussen niet publiceren en een aantal dagen stil houden? nuja in mijn boek is "niet publiceren" veel minder erg dan "een paar dagen" stilhouden.
hangt er dan nog van af hoe de de data van dit jaar interpreteert, publiceert hij dan wel de data van vorig jaar ? of publiceert hij het niet voor 01/01/2020 (wat ook meer is dan een paar dagen, eerder een paar maand)
Voor Walibi is dat inderdaad geen grote som geld, voor de gemiddelde Nederlander is het toch een aanzienlijk bedrag. En het ging er ook om dat hij niet vraagt om vier kaartjes, maar specifieke datum en extra's voor de tickets.

En het verschil tussen niet publiceren en een aantal dagen stil houden, weet ik niet waar dat op slaat. Het ging mij er om dat hij niet Walibi een kans geeft om het te fixen binnen een paar dagen zoals een normale white hat dat zou doen, maar in plaats daar van zegt dat hij goederen wil hebben in ruil voor het niet publiceren.
Er werd immers dit gesteld.
Door de dik gedrukte tekst laat je weten dat een bedrijf als Walibi het niet in de doofpot kan stoppen
Dat doe je normaal niet door er iets voor terug te vragen want dat is afpersing.
Grote som geld? Marginale kosten zul je bedoelen. Ze hoeven de man alleen maar binnen te laten.
Gezien het aanbod van de vorige keer voor kaartjes kon zo'n opmerking wat mij betreft prima door de beugel.

"Hé jongens, ik heb informatie voor je, ruilen tegen een paar kaartjes?"

Ik zie daar totaal geen 'afpersing' in, maar in de reactie wel een verschrikkelijke manager.
Het probleem is dat je die zin op meerdere manieren kan interpreteren. Daarom is het zo belangrijk dat Walibi ook de eerdere mailwisseling betrekt in hun reactie. Als je halverwege een gesprek binnenkomt is het soms lastig om de aanwezige toon op de juiste waarde te schatten.
Oh helemaal eens hoor, de reactie van Walibi is enorm overdreven. Ik wil alleen maar aangeven dat er iets meer gezegd is dan mensen nu over doen komen.
Als iemand een ander wil chanteren dan denk ik dat die persoon zich over het algemeen niet zo kwetsbaar zou opstellen door zich met naam en toenaam bekend te maken. Niet als je het "chantagemiddel" als slachtoffer vrij makkelijk kunt ondervangen als het bekend wordt. En ook niet met zo'n lage "afkoopsom".
Als je iemand wil afpersen, die je dat echt niet op een manier dat zo makkelijk traceerbaar bent.
Je verward diefstal met afpersing. Bij afpersing maakt het geen klap uit dat het slachtoffer weet wie je bent.
Ben ik niet met je eens. Ook bij afpersing loop je altijd het risico dat iemand er niet voor gaat. Al die Ransome ware is in feite ook gewoon afpersing, en dat doen ze echt niet met naam en toenaam.

Ja, soms maakt het iemand niet uit. En er zal altijd bewijs moeten zijn. Dat geld trouwens ook voor diefstal. Je kunt best weten wie je tv of laptop heeft gestolen. Zonder bewijs heb je daar ook niets aan.
Er stond nergens dat hij de kaarten eiste want anders...
Het woordje "ruilen" suggereert dat echter wel.
Zo kan je alles anders oppakken en van een muis een olifant maken..
Een olifant, van een muis? Dat kan helemaal niet! :|

/s
De kans dat ontwikkelaars nog datalekken melden aan Walibi is wel klein geworden door deze actie...
En dat is exact de reden waarom je als consument zou moeten zeggen "ik ga liever niet naar Walibi, want ik heb reden te geloven dat hun security mogelijk niet op pijl is."
Het "datalek" in kwestie was helemaal niet noemenswaardig om te beginnen. Er was geen NAW of iets dergelijks mee gemoeid, alleen verkoopcijfers die ook niet supergeheim zijn. Slordigheidje at best. Dus de consument zou 't lekker moeten roesten.

Echter, door de kansloze reactie van Walibi zal een volgend (mogelijk (veel) serieuzer) datalek niet meer gemeld worden; dat durft nu niemand meer want je krijgt een aangifte aan je broek. Dat stimuleert lekker 8)7
Dus gaan mensen datalekken bij Walibi nu voor zichzelf houden, of erger, anoniem op het interwebz pleuren (of nog erger: verkopen). Goed zo Walibi _O_ :F

[Reactie gewijzigd door RobIII op 18 oktober 2019 14:32]

Harde cijfers en bewijzen van hun verkoopwijze zou best wel eens schade aan het bedrijf kunnen brengen. Vooral tijdens de Fright Night dagen doen ze aan manipulatie van klanten, heb ik eerder persoonlijk gemerkt. Tijdens het kiezen van een dag doen ze alsof bepaalde dagen al uitverkocht zijn, dat zijn dagen waarvan ze zeker zijn dat het uitverkocht zál zijn uiteindelijk. Ze verkopen eerst de tickets voor de minder drukke dagen om daarna de al "uitverkochte" data vrij te geven. Het is minder simpel dan ik het beschrijf, zit wel een bepaalde algoritme achter.

Als ze dit transparant zouden doen had ik er geen moeite mee. Maar door te doen alsof het is uitverkocht en daarna toch vrij te geven, lieg je gewoon tegen je klanten. Ik zou het prima vinden als dit middels een lek echt hard gemaakt kan worden.
Harde cijfers en bewijzen van hun verkoopwijze zou best wel eens schade aan het bedrijf kunnen brengen.
Ja, maar dat datalek zijn ze dus hooguit zélf slachtoffer van; de klanten lijden daar niet onder ;) Het punt is dat er (again; bij het datalek in kwestie, andere (potentële, nog niet ontdekte / bekende) datalekken dus daargelaten) geen NAW o.i.d. op straat lag/ligt van de klanten. En dan is "ik ga liever niet naar Walibi, want ik heb reden te geloven dat hun security mogelijk niet op pijl is" natuurlijk vrij onzinnig. En dat is waar ik op reageerde.

En voordat je komt met: "ze hebben een datalek, ongeacht wat ze lekken, hun security is dus niet op peil": als je zo gaat redeneren kun je nérgens meer naar toe. Security op peil of niet; ieder bedrijf kan potentieel élk moment met een datalek te maken krijgen. Leuk is 't niet, realistisch wel.

[Reactie gewijzigd door RobIII op 18 oktober 2019 18:45]

Ik ga sowieso niet meer om verschillende redenen en nee ze zijn nog niet falliet daardoor :9
Het klopt idd dat dit niks met de AVG te maken heeft. Punt is ook gewoon de debiele reactie van Walibi en niet dat klantgegevens openbaar zijn geworden.
Punt is ook gewoon de debiele reactie van Walibi
Dat is toch precies wat ik in de tweede alinea ook beweer :?
niet dat klantgegevens openbaar zijn geworden.
Dat zijn ze dan ook niet... dat zeg ik steeds.

[Reactie gewijzigd door RobIII op 18 oktober 2019 15:29]

Volgens mij heb je het idee dat ik je aanval of je punten probeer tegen te spreken, maar dat is niet het geval. Mijn reactie is gewoon een toevoeging aan de discussie en niet persoonlijk.
Elk datalek kan reden zijn om aan te nemen dat de security niet op peil is.

Sterker nog, je kunt jouw redenatie omdraaien: Als ze zelfs al hun eigen financieel gevoelige gegevens lekken, zullen ze met de gegevens van klanten wel helemaal slordig omgaan.
Echter, door de kansloze reactie van Walibi zal een volgend (mogelijk (veel) serieuzer) datalek niet meer gemeld worden; dat durft nu niemand meer want je krijgt een aangifte aan je broek. Dat stimuleert lekker 8)7
Of ze scheppen een precedent.
Je kan wel een lek melden, maar JIJ bepaald NIET de hoogte van de eventuele beloning.
Nee, die had Walibi de vorige keer bepaald, beloofd en niet geleverd.
Sterker nog, als reactie gaan ze wellicht veel intensiever op zoek bij juist Walibi.
dat - pak 'm beet - 3 mensen op een jaar die om deze reden Walibi links laten liggen, ligt het bedrijf natuurlijk niet wakker van..
De manier waarop Walibi hiermee om gaat maakt wel dat ik er voorlopig zéker niet hoef te zijn. Ik hoor hier ook wel verhalen hoe Walibi met personeel om gaat (ik woon er redelijk dichtbij) en dan kom ik als zoiets erbij komt toch tot de conclusie dat ik een dergelijk bedrijf op geen enkele manier wil steunen.

Het was misschien niet helemaal handig gecommuniceerd door de devver, maar als je van iemand een normale reactie mag verwachten in deze situatie dan is dat eerder van een directrice dan van een developer.

[Reactie gewijzigd door JT op 18 oktober 2019 14:39]

Volgens mij kwam dit uit een systeem dat ze niet zelf hebben gebouwd. En ik denk dat de achtbanen niet worden onderhouden door de IT specialisten dus daarvoor hoef je het ook niet te laten
Punt is meer dat als er iets mis is met hun systemen niemand het meer gaat melden. En ja, je NAW gegevens potentieel op straat is op zich geen ramp, maar zeker genoeg reden om een ander park te kiezen.
De kans dat ontwikkelaars nog datalekken melden aan Walibi is wel klein geworden door deze actie...
Waarom? Als je dat gewoon op een normale toon doet denk ik dat er helemaal niets aan de hand is. Als je dreigt om alles openbaar te maken als je je zin niet krijgt kan het echter best zijn dat je daarna je verontschuldigen moet maken (zoals hier is gebeurt, deze hacker snap best dat zijn mail gewoon niet okay was).
Dreigen om iets openbaar te maken, is wat anders dan een openingsvoorstel (want voorzien van vraagteken) te doen waarin je belooft iets niet openbaar te maken.

Ik geef onmiddelijk toe dat zo'n nuance erg makkelijk verloren gaat, in het bijzonder als niet ter zake kundig personeel dat bovendien de context niet kent, emotioneel reageert.

De formulering was dus niet persé heel erg handig, maar om er een dreiging in te lezen vergt net zo goed een bepaalde dosering onhandigheid.

[Reactie gewijzigd door mae-t.net op 18 oktober 2019 18:15]

Dit. Een volgend lek blijft een volgende keer ongemeld actief. En reken maar dat er nu mensen aan het kijken zijn waar het allemaal lekt.

Soms is er een win-win situatie voor 2 partijen, maar dit is duidelijk een loss/loss. :(
Er lijkt me absoluut geen grond voor aangifte tegen afpersing en/of chantage.

PR nightmare voor Walibi in ieder geval.
Walibi is sowieso niet zo sterk op dit vlak. Moet je eens de afleveringen over Walibi kijken van het programma Boos op youtube.
Het is echt om te huilen als je dat ziet.
Er lijkt me absoluut geen grond voor aangifte tegen afpersing en/of chantage.
https://www.looopings.nl/img/foto/181019screens.jpg

Lijkt me toch overduidelijk dat hij iets wil in ruil voor zijn zwijgen.
Als je citaten zoals de mail Walibi uit zijn verband haalt dan verander de boodschap. Van het bericht wat verstuurt is.

Zo kan je van een net verhaal een slecht verhaal maken.
PR nightmare
Past wel mooi in de Halloween sferen waarin Walibi zich momenteel bevind :D
Bij Walibi vinden ze iets blijkbaar al snel afpersing. In plaats van deze man te bedanken nagelen ze hem aan de schandpaal.
Bij Walibi vinden ze iets blijkbaar al snel afpersing. In plaats van deze man te bedanken nagelen ze hem aan de schandpaal.
Tja, interpretatie en communicatie ...
Of het nu om 10 euro gaat, 500 of 5 miljoen, de waarde is onbelangrijk

Nu vraagt persoon A om 4 kaartjes, morgen komt persoon B om de 5 miljoen ...
Het is een glijdende schaal, "bedrijf XYZ betalen bij dreiging ... who's next ?"
Nee.

Walibi bood in een eerdere mailwisseling met deze meneer entreekaartjes en daarna reageerden ze niet op hun belofte. Wat mij betreft hebben ze hier zelf om gevraagd.

De melder dacht ludiek hun voorstel nieuw leven in te blazen. Misschien niet slim verwoord, maar daar had een Walibi directielid dwars doorheen moeten kijken en eventueel een controle vraag op los kunnen laten, ipv zoals nu zo absurd van de toren te blazen. Stukje positieve damage control dus.

Off topic, als ze bij de Efteling humor hebben, bieden zij hem vier toegangskaarten aan. Erg makkelijk scoren 😜
Het is in het vorig nieuwsartikel al veelvuldig besproken, maar het blijft natuurlijk idioot dat je zo aangepakt wordt als je uit goede wil een eenvoudig te misbruiken datalek meldt. Dat Walibi dit zo behandelt, in plaats van samen te werken met de rapporterende partij is merkwaardig.

Volgens mij kan je eenvoudig het labeltje "smaad" plakken op de uitlatingen van Walibi bij bijvoorbeeld RTL Nieuws. Zo'n labeltje "afperser" krijg je niet eenvoudig van je naam tegenwoordig.
Hij had eerder op hetzelfde e-mailadres redelijk amicaal contact met de mensen van Walibi. Het zou mij niets verbazen als het vanwege afwezigheid van de persoon waar hij voorheen mee mailde bij een ander terecht is gekomen die de voorgeschiedenis niet kent. Vind ik eerlijk gezegd ook zijn probleem niet. Wat mij betreft is hem niets te verwijten en is de reactie van Walibi zwaar overdreven.
Walibi wekt bepaald geen sympathie op, op deze manier. :N


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Tesla

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True