Marketingbedrijf openbaart per ongeluk 49 miljoen persoonlijke gegevens

Het marketingbedrijf Straffic heeft per abuis 49 miljoen persoonlijke gegevens inzichtelijk gemaakt. De inloggegevens voor een database van het bedrijf waren online vindbaar, waardoor onder andere e-mailadressen, adressen, telefoonnummers en andere gegevens inzichtelijk waren.

Straffic zelf heeft in een statement te kennen gegeven dat er een beveiligingslek is gevonden op een van de servers die het bedrijf gebruikt. Na ontdekking stelt Straffic dat de kwetsbaarheid is verholpen, en er zou geen bewijs zijn dat er misbruik wordt gemaakt van de gegevens. Het statement bevat echter verder geen details over wat er precies is misgegaan.

Meer informatie komt van iemand die zich op Twitter uitgeeft onder de naam 0m3n. Hij werd namelijk een tijdlang blootgesteld aan spamberichten en besloot op zoek te gaan naar de bron. Zijn zoektocht leidde hem naar een webserver waarop een bestand stond met de inloggegevens voor een Elasticsearch-database waarvan Straffic de eigenaar is, zo vertelde hij tegenover Data Breach Today.

Met de inloggegevens die 0m3n vond, kreeg hij toegang tot de database, waardoor hij 140GB aan bestanden kon doorzoeken. Hij vond allerlei persoonlijke gegevens, zoals namen, adressen en telefoonnummers van mensen. Ook e-mailadressen en het geslacht van de in de database opgenomen mensen was vindbaar.

Alhoewel Straffic dus aangeeft dat er geen bewijs is dat de data wordt misbruikt, lijkt het feit dat 0m3n een tijdlang spamberichten ontving het tegendeel te bewijzen. Voor de rest is echter niet duidelijk wie er toegang hebben gehad tot de gegevens en wie ze momenteel nog in handen hebben.

Straffic

Door RoD

Forum Admin Mobile & FP PowerMod

29-02-2020 • 09:30

116

Submitter: TheVivaldi

Reacties (116)

Sorteer op:

Weergave:

Het feit dat hij inloggegevens ‘vond’ doet al vermoeden dat het wel actief misbruikt werd. Hoe kun je anders inloggegevens vinden?
Nee er is geen bewijs dat de data is misbruikt.
Er wordt niet ontekent dat de data is ingezien o.id.
en er zou geen bewijs zijn dat er misbruik wordt gemaakt van de gegevens.

[Reactie gewijzigd door Christoxz op 22 juli 2024 18:06]

Ga er maar vanuit dat dat wel zo was. Standaard antwoord moet dan ook zijn, we weten het niet zeker maar ga er wel vanuit en verander je wachtwoord maar.
Dat is een beetje het standaard antwoord wat elk bedrijf geeft wat een data breach heeft/heeft gehad.
Klopt, maar ze melden overigns dit ook in hun statement:
We continue to investigate and will notify if we find evidence to the contrary
Het is nou ook niet dat dit hun conclusie is, ze houden het onderzoek in gang, zeggen zij..
Ik vind ook niet dat om3n geen duidelijke link heeft waardoor hij spamt ontving door dit lek.
Daar word niet over gesproken, terwijl ik aanneem dat zijn email adres ook door andere partijen in bezit zijn. Mocht hij een unieke hebben gebruikt, waarom word dat niet gecommuniceerd als onderbouwing?
We would like to express our gratitude for those of you who notified us, and ask that you help us keep our services safe.
Wellicht is 0m3n de enige geweest. Of ook door andere, maar wellicht alleen met goede bedoelingen.

Jammer dat Tweakers niet alle details meegeven uit de statement, deze is ook maar enkele regels lang..
https://straffic.io/updates.php

[Reactie gewijzigd door Christoxz op 22 juli 2024 18:06]

Als het geen uniek e-mail adres zou zijn, hoe zou hij dan de link terug moeten vinden? Ik geef ook vaak tagged adressen op, en heb al diverse malen daardoor ontvangen spam kunnen relateren aan heel specifieke breaches.

Als ik een uniek adres gebruik voor een leverancier en ik ontvang van een derde partij spam op dat e-mail adres, dan lijkt mij dat er van misbruik sprake is. Er is zelfs een keer een marketing manager van een gerenommeerde leverancier van kantoorbenodigdheden ontslagen na een klacht van mij. De man had het adresbestand van zijn vorige werkgever meegenomen. Ik kon dat aantonen aan door het tagged adres. Ontslag op staande voet.
Kun je meer uitleggen of me verwijzen naar meer info over tagged e-mailadressen?
Ik vermoed dat hij een eigen domain heeft lopen, je kan een mailserver (al dan niet in de cloud) zeggen dat hij mails naar onbekende adressen moet forwarden naar mailbox X.

Stel je hebt domein jaccow.nl en je maakt op Tweakers een account aan, dan geef je tweakers@jaccow.nl in, bij ING maak je er ing@jaccow.nl van. Die mail adressen bestaan niet op de mailserver van jaccow.nl maar dat geeft niet als je die instelt dat hij alles geadresseerd aan onbekende mail adressen moet forwarden naar de_enige_echte_mail@jaccow.nl

Als je dan spam binnen krijgt hoef je enkel te kijken naar welk adres het gestuurd is. Werkt uiteraard enkel als je een volledig domein voor 1 persoon hebt, een truc die ik geleerd heb van een professor ooit, die had ook redelijk veel uiteenlopende reacties als hij de confrontatie aanging met het desbetreffende bedrijf.
Taggen kan ook met je standaard Gmail of Outlook.com-adres, door achter de gebruikersnaam '+[tag]' te gebruiken als je je aanmeldt voor bijvoorbeeld een nieuwsbrief, dus example+nieuwsbrief@gmail.com. Zie bijvoorbeeld deze link met een uitgebreide uitleg.
Dit lijkt een goede oplossing maar is dit in de praktijk totaal nutteloos. Met 1 regel code heb je het deel tussen de + en @ er uit gehaald. Daarnaast accepteren best veel sites de + niet als valide karakter.

Overigens heeft Outlook deze functionaliteit ook.

Een veel betere oplossing zijn echte one site adressen waarbij elk adres random en uniek is voor de site en hierbij bedoel ik niet de klassieke aliassen. Iets wat Apple voor IOS heeft geïntroduceerd en er zijn volgens mij ook een aantal betaalde diensten voor. Het verbaast me dat Google en Microsoft dit nog niet aanbieden in hun betaalde oplossingen.
Misschien ben ik wat kort door de bocht maar ben toch wel wat allergisch voor dit soort statements.

Volgens https://www.databreachtod...contacts-database-a-13785 rammelde het aan alle kanten qua beveiliging maar ook qua statements.
Ik weet niet wat om3n als misbruik ziet, maar Stratic is een marketing bedrijf en dat soort bedrijven sturen nu eenmaal emails, sms-jes post en plegen telefoontjes. Zijn ergernis kan dus ook gewoon voortkomen door het gebruik van de data door Stracic zelf. Om dat te beoordelen zal je moeten weten wat de inhoud van de sms-jes is en wie de klanten van Stratic zijn.
Het onderling kopen en verkopen van bestanden met contacten hoorde ook gewoon bij deze bedrijfstak. Dat zal zeker nog niet tot het verleden behoren, maar daar waar het Europese burgers betreft, is het wel illegaal geworden sinds de invoering van de AVG.
He bedrijf geeft een standaard reactie. De data zou niet ingezien zijn, maar dat is aantoonbaar onjuist. 0m3n heeft de data immers ingezien en kan exact melden welke gegevens er zijn opgeslagen.
Straffic heeft misschien geen bewijs dat de data is bekeken, maar dat zegt meer over hoe laks men met de beveiliging en logging omgaat. Dat de data niet misbruikt zou zijn klinkt vervolgens erg ongeloofwaardig.

Met zo'n hoeveelheid gegevens mag je verwachten dat een bedrijf uiterst zorgvuldig met privacy-data omgaat en die ook continu bewaakt. Dit bewijst nogmaals dat beveiliging van privé data nog steeds door veel bedrijven niet serieus genomen wordt.
Ze zeggen dat de data niet is misbruikt. Niet dat de data niet is ingezien. Dat is wel een groot verschil. Uiteraard is het nog maar de vraag of het echt zo is, maar je beschuldigd ze nu van iets dat ze helemaal niet zeggen.
Ze zeggen dat niet bewezen is dat de data is misbruikt. Dit is de standaard taal die bedrijven tegenwoordig gebruiken als er data is gelekt. Het is echter een nutteloos statement, voor hetzelfde geld wordt het dus wél misbruikt allen is dat niet bewezen. (Bijvoorbeeld omdat ze geen logging hebben, en ook als wel duidelijk is dat de gegevens op straat liggen, dan nog is daarmee niet direct bewezen dat het bij hun vandaan kwam.)

Pas als ze komen met bewijs dat de data niet is ingezien door derden, en dat daardoor kan worden bewezen dat de data ook niet wordt misbruikt, dán kan je zeggen dat de schade beperkt is.

Zoals nu klinkt het wel aardig, maar het zegt helemaal niks. Helaas zijn er veel naïeve mensen, en vaak ook politiek en zelfs toezichthouders, die zich hiermee om de tuin laten leiden...
Jawel, jij zei "Ze zeggen dat de data niet is misbruikt". Maar dat klopt niet, ze zeiden dat niet is bewezen dat de data is misbruikt. Snap je het verschil?
Nee er is geen bewijs dat de data is misbruikt.
Er wordt niet ontekent dat de data is ingezien o.id.
[...]
Geen bewijs dat de data is misbruikt. Conclusie: de data is niet misbruikt.

Dat is een beetje hetzelfde als de Nederlandse Corona virus logica: "er zijn nog maar 2 van de bijna 20 miljoen Nederlanders besmet". Conclusie: in Nederland is (bijna) geen Corona virus.

Hoeveel mensen zijn er getest in Nederland? 60.

Juist.
Als iemand spam krijgt die terug te leiden is naar een adres is er toch misbruik.
Volgens mij is nog niet aangetoond dat de spam veroorzaakt wordt door dit lek. Er kan een ander lek voor verantwoordelijk zijn geweest.
Als iemand spam ontvangt is dat pas aan deze gegevens te relateren als het nergens anders aan te relateren is. En dat gaat waarschijnlijk heel lastig worden als die gegevens nauwelijks uniek zijn. Zeker als 70% kennelijk al in andere bronnen terug te vinden was en niet duidelijk is waar het marketingbedrijf de gegevens vandaan heeft.
Ja maar jullie lezen het allemaal te snel

1. Hij kreeg spam
2. Hij achterhaalde de bron
3. Hij vond op de server die de spam verstuurde de login gegevens voor deze database van het bedrijf

De spam alleen bewijst niks maar als spammers die login gegevens op hun server hebben staan, dan is de kans toch enorm dat ze er ook gebruik van hebben gemaakt.

Dan nog onschuldig lammetje spelen en zeggen dat er geen misbruik gemaakt werd is gewoon verdoezeling. Uiteindelijk is het ook haast onmogelijk om de misbruik aan te tonen maar als je de gegevens op servers van criminele vindt, dat zijn ze gewoon misbruikt.

[Reactie gewijzigd door Darkstriker op 22 juli 2024 18:06]

Ik stel vast dat er heel veel mogelijkheden zijn waar die persoonsgegevens vandaan voordat dit bedrijf ze ging gebruiken en er ook heel veel mogelijkheden zijn waarop ze ergens anders heen zijn gegaan. Over heel veel is niets duidelijk en het dus onmogelijk vast te stellen is dat als je een mail ontvangt het dus van dit bedrijf afkomstig is.
als spammers die login gegevens op hun server hebben staan, dan is de kans toch enorm dat ze er ook gebruik van hebben gemaakt.
Het probleem of je kan bewijzen of je gegevens uit dit lek komen ga je niet oplossen door het op deze manier te versimpelen. Het bedrijf kan de gegevens gekocht hebben of misschien zelfs gekopieerd. Alleen daarbij zijn al zo veel mogelijkheden dat stellen dat iemand anders bij die gegevens had kunnen komen het al niet duidelijk is dat het perse uit dit lek moet komen. En ook het versimpelen dat als je er bij kan dat dus duidelijk maakt dat het dus gelekt is? Nee, zo simpel werkt dat ook niet.
Het hangt van heel veel factoren af: hoe lang die logingegevens er stonden, hoe lang die gegevens in te zien waren, of iemand precies in die tijd het bedrijf is gaan onderzoeken, of iemand op dezelfde manier is gaan zoeken, of iemand ook dit specifieke bestand heeft gevonden, of iemand dit specifieke bestand ook heeft ingezien en gelezen, of iemand de intentie had om het te misbruiken, of iemand de tijd heeft genomen het te misbruiken. Vergeet ook niet dat er heel veel onderzoek is om beveiliging te verbeteren en er dan geen misbruik is. Er is nog veel onbekend om te kunnen stellen hoe groot de kans is geweest. Is die kans er? Ja. Maar er is geen bewijs uit welke bron je gegevens komen als je spam ontvangt en je gegevens (ook) in deze dataset stonden.
Het hangt van heel veel factoren af: hoe lang die logingegevens er stonden, hoe lang die gegevens in te zien waren, of iemand precies in die tijd het bedrijf is gaan onderzoeken, of iemand op dezelfde manier is gaan zoeken, of iemand ook dit specifieke bestand heeft gevonden, of iemand dit specifieke bestand ook heeft ingezien en gelezen, of iemand de intentie had om het te misbruiken, of iemand de tijd heeft genomen het te misbruiken.
Ja, strikt genomen is er nog geen bewijs. Maar digitaal bewijs is ook gewoon binnen no-time verwijdert. Door het bedrijf zelf of door de aanvallers of per ongeluk, of per default.

Maar jij verdraait het alweer. De login gegevens stonden niet op de server van Straffic, maar op de servers van de spammers. Hoe ze aan die login zijn gekomen maakt eigenlijk niet uit, maar het zal hoe dan ook of tijd of geld hebben gekost en dus kun je met een gerust hart ervan uitgaan dat ze de gegevens gebruikt hebben. Misschien nog niet voor 2 jaar, maar de kans dat deze engineer het bestand op hetzelfde moment heeft gevonden als het geplaatst werd is nihil. Dit is wat hij zelf schrijft:
"I have been getting spam text messages for the past two years from random phone numbers with similar messages containing links to gibberish domains," he tells ISMG. "I decided to take a look at one and found a .env file on the webserver of one of the domains in said messages which was a config file that pointed to an AWS Elasticsearch instance."

[Reactie gewijzigd door Darkstriker op 22 juli 2024 18:06]

Ik lees nergens dat de spammers en het marketingbedrijf niet dezelfde organisatie zijn. Waaruit maak je dat op?
"Hij werd namelijk een tijdlang blootgesteld aan spamberichten en besloot op zoek te gaan naar de bron."

Dit vind ik meer een punt dat er al reeds misbruik werd gemaakt van de gegevens die toegankelijk waren?
Dat is geen bewijs dat zijn emailadres uit die bron kwam... Maar het feit dat hij inloggegevens kon vinden (en niet door zelf te social engineeren of zo) en zo bij al die data kon geeft toch wel aan dat die gegevens gewoon op straat liggen. Hij zal echt niet de enige zijn dan die gebruik gemaakt heeft van die login.
Vermoedelijk heeft hij een E-mail account per doel. Als je je eigen mailserver draait is het niet moeilijk om honderdduizenden gegenereerde E-mail accounts te hebben. Er bestaan zelfs diensten voor waarmee je een E-mail account kan genereren voor enkelmalig gebruik.

Wanneer dan zo'n enkelmalig gebruikt E-mail adress gebruikt wordt om op te spammen, kan er ook maar één bron zijn waaruit de spammers dat gegeven haalden.

Die bron heeft hij gevonden. Dat marketing bedrijf.
Plus aliasing is ook een optie: username+straffic@example.net, dat werkt bij veel providers. Al staat het iedereen natuurlijk vrij om het adres zonder alias op te slaan..
Het is wel opletten met die +xyz syntax. Ik heb een keer een account aangemaakt bij een energieleverancier met naam+leverancier@gmail.com. Maar vervolgens kon ik niet inloggen omdat in het account veld geen + mocht zetten (back-end validated 8)7 )
Dat heb ik vaker dan eens gehad met een wachtwoord met daarin control codes. Inloggen werkt, en dan opeens niet meer. Heeft er kennelijk iemand een filter aangezet.

On topic: semi-legitieme/pseudo-legitieme spammers (pardon: massamailers) in de Verenigde Staten hebben de dubieuze eer de eerste grote spammers te zijn die acteren alsof ze voldoen aan de antispam wet. Dat werkt via conglomeraten van samenwerkende spammers die databases uitwisselen. Om te voldoen aan de wet in de VS moet je als spammer een optie voor uitschrijven opnemen. Er zijn spammers waarbij dat echt werkt. De crux is die uitschrijven alleen geldt voor die bepaalde spammer. De andere spammers gaan gewoon door. Zulke spammers gebruiken naast de uitschrijflink typisch postbusadressen. Niet zoals hier van postnl, maar op sleazy locaties. Dan zijn er nog hardcore spammers die deze methode overnemen maar niet voldoen aan de wet.

In Europa zitten immitatoren van deze methode, maar sinds de AVG mag dat uitwisselen en adressen verzamelen voor dat doel niet. Ze zijn sindsdien meer underground gegaan, maar de geldstroom komt wel nog steeds uit kickbacks van "legitieme" bedrijven. Die vinden dat kennelijk prima.

Hoe ze te herkennen? Ze verzamelen vooral adressen via win-acties op internet, via advertenties.

comedy central.

[Reactie gewijzigd door mrmrmr op 22 juli 2024 18:06]

Gauw mailen dat ze hun validatie niet op orde hebben. Een + teken is namelijk een valide karakter in email adressen.
Vaak genoeg kom ik het nog tegen. Maar dan krijg je een helpdeskmedewerker aan de lijn die zegt: "Ik weet het niet, hij pakt het niet. Heb je een e-mailadres zonder +-teken?"
De melding dat hun e-mailvalidatie technisch niet klopt wordt vervolgens genegeerd.
Of nog makkelijker, gewoon een catch-all op je domein instellen voor alle 'non-existent' mailadressen.
Ik ken de methode, maar tenzij hij specifiek ergens zegt dat hij dat doet vind ik dat nogal een aanname...
Je kunt ook een + gebruiken in gmail, bijvoorbeeld jouwgebruikersnaam+random123@gmail.com. Het gedeelte achter de + is dan een vrij veld.
Ik vind het eigenlijk veel belangrijker wat voor gegevens er bewaard worden. Publishers en adverteerders genereren er vast geen 49 miljoen persoonlijke gegevens. Dit bedrijf verzamelt dus allerlei data waarvan Henk en Ingrid waarschijnlijk niet weten dat dit door deze instantie gebeurt.
En voor ieder persoonlijk gegeven hebben Henk en Ingrid toestemming moeten geven.

Als dat marketing bedrijf niet kan aantonen dat Henk en Ingrid toestemming hebben gegeven voor de verwerking van hun persoonsgegevens, dan is dat marketing bedrijf illegaal bezig.

Is het zo dat dat wil zeggen dat honderdduizenden marketingbedrijven illegaal bezig zijn? Inderdaad.
Zo'n marketingbedrijf koopt deze gegevens aan van andere bedrijven (bijvoorbeeld van blog sites). Meestal is dit niet wettelijk in orde, maar valt er niet veel tegen te doen. (Zo'n marketing/spam bedrijf registreert zich hues niet in een europees land)
Wat er tegen te doen valt is handhaving. M.a.w. je valt daar binnen en je eist steekproefgewijs de gegevens van een individu op en daarna een bewijs van de toestemming van dat individu.

Dat doe je consequent een 500tal keer.

Als dat bedrijf op de meerderheid van die 500 steekproeven geen bevredigend antwoord kan geven, dan handhaaf je. D.w.z. rechtbank. D.w.z. schadevergoeding voor alle mensen in al hun databases. D.w.z. boetes. D.w.z gevangenisstraf voor de verantwoordelijke zaakvoerder(s).

Doe dat een paar keer, en de marketingindustrie zal het wel beginnen doorhebben dat het in orde moet zijn.

Bedrijven die niet in een EU land geregistreerd staan kan je voorts eenvoudigweg verbieden om handel te doen met EU bedrijven. En EU bedrijven die er toch handel mee doen kan je (eventueel na een waarschuwing) bestraffen daarvoor.
Leuk bedacht maar in de praktijk niet haalbaar, en vrijwel niet te controleren met allerlei wereldwijd verspreide zusterbedrijven. En wat als ik een dergelijk marketing Bureau inhuur voor mijn concurrent? Dan krijgt hij een boete van x miljoen?
Hoe kan ‘jij’ nou een ander bedrijf inhuren voor een concurrent. Jij blijft dan de opdrachtgever.
Ja, maar je kan wel iemand opdracht geven om onder een valse naam spam te versturen. Zo kun je de naam van je concurrent beschadigen.
Maar dat zegt Automark helemaal niet. Automark heeft het over een boete. En die boete gaat natuurlijk naar de opdrachtgever.
Alleen als je kan achterhalen wie de opdrachtgever is. Het punt is dat je niet naar de inhoud van de reclame kan kijken om te bepalen wie de boete moet krijgen. Binnen je eigen grondgebied kun je zo'n reclamebureau nog voor de rechter slepen om te achterhalen wie er betaald heeft, maar in het buitenland wordt dat al snel onmogelijk. Iedereen met een credit card kan in 10 minuten een reclamecampagne bestellen bij een Russisch of Nigeriaans bedrijf (excuses voor de vooroordelen) dat voor een prikkie de halve wereld spamt.

Dat werkt overigens twee kanten op. Ik werk voor een organisatie met veel decentrale macht. Er zijn hier talloze kleine afdelingen die redelijk zelfstandig werken en zelf een baas en een budget hebben. Het is dagelijkse kost dat een van die afdelingen ergens een website laat bouwen of een commerciële massmailer gebruikt. Dat mag niet volgens onze regels, maar in een grote organisatie als deze kent niemand alle regels én is het haast onmogelijk om te controleren wat al die zelfstandige clubjes doen. Ze zijn zich meestal van geen kwaad bewust en zijn zelfs trots dat ze hun probleem hebben opgelost zonder IT te "belasten".
Als wij een boete zouden krijgen voor het versturen van spam dan zou het waarschijnlijk onmogelijk zijn om te achterhalen welke afdeling daar precies voor verantwoordelijk is. Dit is niet bedoeld als excuus maar vooral om te laten zien dat het erg lastig kan zijn om te achterhalen wie er verantwoordelijk is voor een of ander mailtje op internet.
En dat is dan ook meteen een mooi voorbeeld van het paradoxale probleem omtrent privacy en verantwoordelijkheid... :P

We willen allemaal onze privacy, en we hebben er zelfs wetten en regels voor... maar juist die privacy en het gebrek aan koppeling van daden aan personen (anonimiteit op het internet als voorbeeld) tezamen met een scheiding tussen acties uitgevoerd als natuurlijke persoon of in name van een bedrijf/instantie levert op dat we mensen niet effectief aansprakelijk kunnen stellen voor hun daden. Dát gekoppeld met mijn eerdere betoog hierboven over koppeling van autoriteit aan verantwoordelijkheid zijn de kern van dit issue dunkt me.

Om mijn wens (koppeling van autoriteit en verantwoordelijkheid) waar te maken is het bijna noodzakelijk om privacy de deur uit te schoppen.. maar anderzijds is privacy ook iets wat ik niet graag wil opgeven.

[Reactie gewijzigd door Ayporos op 22 juli 2024 18:06]

Als een bedrijf er mee akkoord gaat de wet te breken is dat fout bezig. Ze moeten dan de opdracht weigeren.

Schade valt dan te verhalen, met ook celstraffen als optie.
Als een bedrijf er mee akkoord gaat de wet te breken is dat fout bezig. Ze moeten dan de opdracht weigeren.

Schade valt dan te verhalen, met ook celstraffen als optie.
Welke wet? Nederlandse wetten gelden niet in het buitenland. Er zijn genoeg bananenrepublieken waar er geen enkele wet is die dit verbiedt.
da's het verschil tussen theorie en leven in de praktijk. Bij grote bedrijven kan je die steekproeven misschien nog doen, maar je hebt geen "bewijs van toestemming" nodig als mensen vrijwillig hun gegevens afstaan. Als je aan de kassa wordt gevraagd wat je mailadres of postcode is, dan mag je dat weigeren en de kassierster moet niet heel de privacy-policy afhaspelen voordat ze je die vraag mag stellen, die moet enkel beschikbaar zijn zoals bvb op een website of misschien zelfs slechts op aanvraag.

Het 2e deel van je post over niet-EU bedrijven gaat volledig voorbij aan (bilaterale) handelsakkoorden, waarbij je niet zomaar handelsembargo's kan opleggen.
je hebt geen "bewijs van toestemming" nodig als mensen vrijwillig hun gegevens afstaan.
Heb je wel. Altijd.
Artikel 7 - Voorwaarden voor toestemming
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
Hoeveel werknemers denk je dat er werkzaam zijn bij de toezichthouders? ;)
En in hoeverre wil je de bedrijven hier wegjagen?

Ik zie in de bankwereld hoe verstikkend alle controles kunnen werken, de banken moeten er letterlijk miljarden aan spenderen. Drie keer raden wie dat ook weer mag ophoesten. En dan heb ik het nog niet eens over de teruggang in innovatie etc. binnen een bedrijf.

Ik pleit niet voor een vrijstaat, maar besef je wel hoeveel werk, ook voor de toezichthouder, die controles met zich meebrengen. En al worden die controles uitgevoerd, dan nog merk ik hoe makkelijk de toezichthouders zich soms met een kluitje het riet in laten sturen, omdat ze totaal niet kundig zijn.

Fictieve situatie van een controle:
Laat zien dat je het usermanagement van je applicatie op orde hebt.
Bedrijf laat zien dat het via een toegangsbeheer systeem gaat, waarbij alleen een specifiek persoon (of meervoud) akkoord voor toegang mag geven.
Toezichthouder: top, in orde.
Maar ondertussen kunnen de gebruikers gewoon via de GUI van de applicatie en via SQL script op de database om dat systeem heen toegevoegd worden.

Toezichthouder komt daar later achter. En vraagt vervolgens doodleuk aan ALLE bedrijven waar ze toezicht op houden om te bewijzen dat je niet via een alternatieve methode toegang kunt krijgen. Nou dan zitten heel wat bedrijven met hun handen in het haar kan ik je vertellen.

Doe dit teveel en bedrijven gaan failliet of verkassen. Leuk als je 100% toezicht hebt, je hebt er alleen niet veel aan als je economie daardoor op zijn gat ligt ;)
Ik zie in de bankwereld hoe verstikkend alle controles kunnen werken, de banken moeten er letterlijk miljarden aan spenderen. Drie keer raden wie dat ook weer mag ophoesten. En dan heb ik het nog niet eens over de teruggang in innovatie etc. binnen een bedrijf.
Die controles zijn ingesteld omdat het nodig was. Zonder controles zullen een hoop bedrijven hun verantwoordelijkheid niet nemen en de winst maximaliseren ten koste van de veiligheid. Dat zie ik overal om me heen gebeuren waar mensen iets met IT doen want veilige IT is veel duurder dan onveilige IT.
Ik pleit niet voor een vrijstaat, maar besef je wel hoeveel werk, ook voor de toezichthouder, die controles met zich meebrengen. En al worden die controles uitgevoerd, dan nog merk ik hoe makkelijk de toezichthouders zich soms met een kluitje het riet in laten sturen, omdat ze totaal niet kundig zijn.
<voorbeeld>
Met je voorbeeld illustreer je ook dat die controles wel degelijk nodig zijn want bedrijven controleren zichzelf niet voldoende, als er nog dat soort fouten in zitten (ook al is het fictie).

Daarnaast laat een dieper probleem zien, veel organisaties beveiligen vooral met het doel om een audit te halen. Dan doen ze alsof zo'n audit betekent dat alles in orde is. Een audit is echter een ondergrens, geen garantie voor kwaliteit. Als je de audit niet haalt dan weet je zeker dat er iets niet in orde is. Net als wanneer de dokter zegt dat bloeddruk in orde is dat nog niet betekent dat je lever ook gezond is.

Ten slotte zou je kunnen stellen dat als je alles goed op orde hebt een audit niet veel werk hoeft te zijn. Je pakt even de stukken er bij en vult de audit in. Als het goed is heb je al die informatie zo voor handen. Als je pas begint met informatie te verzamelen als de controleur er om vraagt dan gaat het sowieso niet goed. Ik zal er maar direct bij zeggen dat ik dat in praktijk nog nooit heb gezien, nergens is het zó goed geregeld. Maar als het relatief makkelijke papierwerk nog niet goed geregeld is, dan zal het met de moeilijke techniek ook wel niet goed zijn.

In mijn ogen laat het zien dat die controles bitterhard nodig zijn en zouden ze veel verder mogen gaan. Helaas moet ik erkennen dat het niet realistisch is omdat een onmogelijk zware belasting zou opleveren voor te veel bedrijven, maar dat zie ik als falen van de IT-industrie, niet als een bemoeizuchtige overheid.
Doe dit teveel en bedrijven gaan failliet of verkassen. Leuk als je 100% toezicht hebt, je hebt er alleen niet veel aan als je economie daardoor op zijn gat ligt ;)
Als je ze hun gang laat gaan krijg je een bankencrisis zoals rond 2008 en moet je als land letterlijk honderden miljarden investeren om de banken overeind te houden. Drie keer raden wie dát heeft moeten ophoesten... ;)

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:06]

"Als je ze hun gang laat gaan krijg je een bankencrisis zoals rond 2008 en moet je als land letterlijk honderden miljarden investeren om de banken overeind te houden. Drie keer raden wie dát heeft moeten ophoesten..."

Je gebruikt daar het woord 'moet' en 'moeten' maar ik heb nog nooit van iemand een doorslaggevend argument gehoord waarom die banken eigenlijk gered moesten worden. Een bank is een bedrijf en een bedrijf dat niet proper zaken doet gaat failliet. Kan jij mij uitleggen waarom deze banken niet failliet zijn gegaan en waarom het zo belangrijk was dat ze gered werden?

Dat beschouw ik namelijk als vereiste om jou post waarde te geven, want Freakertje zijn argumentatie ligt voor de hand (mijns inziens) maar jou 'bank bailout' vind ik minder voor de hand liggend.
Je gebruikt daar het woord 'moet' en 'moeten' maar ik heb nog nooit van iemand een doorslaggevend argument gehoord waarom die banken eigenlijk gered moesten worden. Een bank is een bedrijf en een bedrijf dat niet proper zaken doet gaat failliet. Kan jij mij uitleggen waarom deze banken niet failliet zijn gegaan en waarom het zo belangrijk was dat ze gered werden?
Ik vind het maar een afleidende vraag. Of ik het kan uitleggen of niet doet er niet toe, we hebben het gedaan.

Korte poging omdat ik het niet kan laten: Omdat miljoenen mensen hun huis waren kwijt geraakt als de banken failliet waren gegaan en de schuldeisers alle hypotheken hadden ingevorderd. Idem voor alle bedrijven die een lening hebben, en dat zijn ze eigenlijk allemaal. Uiteraard is de werkelijkheid veel complexer dan dat, maar dit is niet de plek voor een cursus economie.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:06]

"maar dit is niet de plek voor een cursus economie. "

Begrijpelijk dat je dat zegt. Persoonlijk echter lijkt me dit juist wel de plek daarvoor, gezien we het hier over regulatie van de markt hebben. Het kérn onderwerp is privacy en burgerrecht maar de burger vandaag de dag is zó absurd verstrengelt met bedrijven en instanties dat het wat mij betreft een en hetzelfde ding is.

- je kunt niet leven zonder een baan
- je kunt niet leven zonder een mobiele telefoon
- je kunt niet leven zonder een bankrekening
- je kunt niet leven zonder producten te kopen en te gebruiken
- je kunt (praktisch) niet leven zonder internet
- je kunt niet leven in een huis/appartement zonder een lening/huurcontract met (ten minste) één andere partij welke doorgaans een bedrijf is

"Omdat miljoenen mensen hun huis waren kwijt geraakt als de banken failliet waren gegaan en de schuldeisers alle hypotheken hadden ingevorderd."

Dit is een symptoom, niet een probleem. Economie is een ingewikkeld onderwerp en al helemaal als we het over leningen gaan hebben want je kunt niet zomaar zeggen tegen mensen/bedrijven dat ze geen leningen moeten nemen (vanwege de risico's) want krediet is essentieel voor het groeien van de economie, welvaart en voor het toestaan van innovatie en vernieuwing.
Wat ik echter vaak mis vandaag de dag is dat er een sterk contrast is tussen regelgeving betreffend natuurlijke personen vs. bedrijven en instanties.
Als ik als persoon 5 miljoen schuld maak en 'gered' moet worden door de overheid dan kom je in het schuldsaneringstraject.. als je dit echter vergelijkt met wat er gebeurt met een bedrijf dat failliet gaat en de impact die dit heeft op mensen van dat bedrijf (CEO, werknemers, aandeelhouders) dan is dit wezenlijk iets héél anders. Om te beginnen kan een aandeel van een aandeelhouder nóóit kwa waarde negatief worden. In het ergste geval is de aandeelhouder zijn/haar gehele investering kwijt maar nóóit zal een aandeelhouder aansprakelijk gesteld worden voor het betalen van uitstaande kredieten van het bedrijf. Hetzelfde geld voor het persoonlijke kapitaal van iedereen werkzaam bij dat bedrijf en dus iedereen (bewust of onbewust) verantwoordelijk voor het 'wanbeleid' dat geresulteerd heeft in faillissement of boetes vanwege het overtreden van de wet/regels.
In principe is een bedrijf/instantie dus een soort 'paraplu' waaronder mensen (want een bedrijf/instantie bestaat immers uit mensen/natuurlijke personen) kunnen 'gokken' door leningen te nemen en te hopen dat zij met die investeringen geld kunnen produceren zodat ze die winsten in hun eigen zak kunnen steken.. maar als ze 'verliezen' met dit gokken dan lopen ze níet het risico (als natuurlijke persoon) om opgezadeld te worden met de schulden.

Dus, ter sommatie:
- een natuurlijke persoon kan gokken en leningen nemen. Zijzelf zullen beiden de winsten als verliezen nemen. In het geval van persoonlijk faillissement kom je in een schuldsaneringstraject waar je financiën stréng geregeld worden door iemand anders.
- een natuurlijke persoon kan, mits zij dit in name van een bedrijf (denk BV of NV) doen, gokken en leningen nemen.. echter in dit geval zijn enkel de winsten voor zijzelf (salaris, bonussen, winstuitkeringen, etc) maar verliezen zijn níet voor zijzelf. In het geval dat het bedrijf failliet gaat pakken ze gewoon hun opgebouwde persoonlijke 'winsten' en gaan ergens anders onder een nieuwe paraplu gokken.

Kromme situatie? Ja, als je het mij vraagt wel!
Relevantie betreffend dit artikel?:
De (natuurlijke) personen verantwoordelijk voor dit fiasco zijn dus níet aansprakelijk voor dit fiasco.. behalve wanneer ze wetten/regels overtreden hebben (wanbeleid). Dit is echter iets lastig want eventuele boetes, zoals hierboven uitgelegd, zijn niet te verhalen op personen.. enkel op het bedrijf. Celstraf is natuurlijk een mooi afschrikmiddel.. maar persoonlijk zou ik dus willen pleiten om het onderliggende probleem aan te pakken en niet slechts aan symptoombestrijding te doen.

Wetten en regels met bijbehorende boetes/'straffen' is allemaal leuk en aardig, maar zolang je die scheiding blijft houden en het verschil in risico/gewin tussen natuurlijke personen en bedrijven zullen aandeelhouders en bestuurders weinig waarde leggen aan het volgen van deze wetten en regels.. het kost namelijk veel geld (dus minder winst) om te implementeren en navolgen terwijl de potentiële (persoonlijke!) verliezen bij een fiasco zoals dit nihil zijn. Dit is mijns inziens dan ook waarom je bedrijven en instanties niet pro-actief dit soort wetten en regelgeving ziet navolgen en implementeren. Als je wenst dat het daadwerkelijk aantal 'leaks' afneemt dan moet je bedrijven stimuleren om preventief te werken, en dat werkt alleen als je de personen áchter zo'n bedrijf bedreigt met boetes/straffen.

[Reactie gewijzigd door Ayporos op 22 juli 2024 18:06]

"Omdat miljoenen mensen hun huis waren kwijt geraakt als de banken failliet waren gegaan en de schuldeisers alle hypotheken hadden ingevorderd."

Dit is een symptoom, niet een probleem.
Dat klopt, maar wel een symptoom dat we niet naast ons neer konden leggen. We kunnen het hebben over de vraag of ons economisch systeem goed in elkaar zit en daar een hoop terechte kritiek aan koppelen, maar dat neemt niet weg dat er op dat moment in de geschiedenis niet veel andere keuzes waren.

Je vroeg me waarom de banken gered moesten worden. Dat moest om maatschappelijk ontwrichting te voorkomen. Of het in de toekomst ook weer moet is de vraag, maar als we niks aan het systeem veranderen zal het weer nodig zijn. (Slecht nieuws, er is niks veranderd, alle extra regels die na de bankencrisis zijn ingevoerd zijn weer teruggedraaid).

De situatie is ontstaan omdat de banken onverantwoord grote risico's namen en blijkbaar niet genoeg zelfcontrole hebben om daar mee om te gaan. Ik kan het dus niet eens zijn met de redenatie van @Freakertje dat er te veel regulatie is voor banken
Mja, mijn insteek is dan ook dat het niet een kwestie is van 'er moet meer regulatie komen' maar eerder een van: 'er moet een goede doorgifte van risico zijn van bedrijf naar personen'.

Die wetten en regelgeving omtrent dataleaks, privacy en bescherming van personen is er niet om bedrijven te straffen als een soort van stok om mee te slaan, maar is in theorie bedoeld om de situatie te verbeteren zodat zulk soort leaks minder voorkomen en dat privacy beter gewaarborgd blijft..
In de huidige vorm voldoet die wetgeving daar niet aan en kán daar niet aan voldoen omdat het bedrijfsvoerders niet genoeg motiveert om zich eraan te houden. Dit geld voor marketingbedrijven die grote getallen persoonlijke informatie opslaat/verhandelt maar ook voor banken die geld beheren van klanten.

Een investeerder werkzaam voor een bank die de aandelenportefeuille van die bank beheert zal zeer zeker voorzichtiger omgaan met dat geld als zijn/haar persoonlijke kapitaal ook op spel staat en zal wellicht wat minder snel geneigd zijn om enorme risico's te nemen of rare constructies te bedenken.
De CEO/CTO/whatever van een marketingbedrijf dat persoonsgegevens wilt opslaan van miljoenen mensen zal wel even goed nadenken over het IT/ICT/security budget wanneer zijn/haar persoonlijke kapitaal op het spel staat bij een eventuele leak voortvloeiend uit onvoldoende beveiliging.

Er is gewoon een grote disconnect tussen de autoriteit om beslissingen te nemen en de verantwoordelijkheid voor de gevolgen van die beslissingen.. en dat is niet goed. Dat is in geen enkele laag van de maatschappij goed, of dit nou op persoonlijk of bedrijfs of overheidsniveau is.

Zelf ben ik leidinggevende bij een bedrijf en ik vind het erg belangrijk om beiden tegen mijn onderdanen als ook mijn eigen leidinggevenden duidelijk te maken dat autoriteit en verantwoordelijkheid twee zijden van dezelfde munt (dienen te) zijn. Wil een van mijn onderdanen meer beslissingen zelf kunnen nemen? Prima, maar dat komt dan wel met de verantwoordelijkheid voor de gevolgen daarvan. Wil mijn baas verantwoordelijkheid van wel/niet gehaalde resultaten bij mij leggen? Prima maar dan eis ik ook de autoriteit om beslissingen te maken relevant aan het betreffende proces.

Gek genoeg reageert niemand hier negatief op en zijn beiden mijn onderdanen als ook mijn baas uiterst tevreden met mij... Snap persoonlijk dan ook echt niet hoe dit soort praktijken kunnen bestaan (wel autoriteit maar geen verantwoordelijkheid & wel verantwoordelijkheid maar geen autoriteit)

[Reactie gewijzigd door Ayporos op 22 juli 2024 18:06]

Waarom hebben we de banken niet failliet laten gaan?

Heel simpel: als 30% van de Nederlanders in de winkel staat en niet zijn dagelijkse boodschappen kan betalen omdat ING failliet is, dan heb je een maatschappelijk probleem. Maar gelukkig heeft van die 30% de helft ook nog een rekening bij de ABN Amro, die ook failliet. Tevens heeft 30% een rekening bij de VSB, die ook al op zijn gat ligt. Kortom minimaal 50% van de bevolking staat 's avonds met een lege pin-pas bij de AH voor zijn avondmaal. Gaat hem niet worden.

En ach, die situatie gaat wel een paar weken duren. Ik kan geen 2-3 weken zonder eten en ik schat dat daar 100% van de bevolking problemen mee heeft (2-3 weken zonder eten, ik denk dat 99,9999% van de bevolking er geen probleem mee heeft dat ik 2-3 weken niet kan eten, dat is exclusief mijn diëtiste die dat voor mij juist aanraadt).
Aanvullend op @Het.Draakje

Als de mensen zelf geen rekening voeren bij die bank dan hun baas..., of de winkel waar ze willen winkelen.
Baar geld wordt tegenwoordig "verafschuwd" ... maar zou idd. minder grote acute problemen veroorzaken.

Banken hebben een bijzondere status gekregen omdat ze als een spin in het ruilhandels netwerk zitten.
Door de banken hoef je niet meer met geld over straat. kun je met een pasje betalen.
Hierdoor kan jouw arbeid op een redelijk vloeiende manier omgezet kan worden in brood, stroom, etc.
je kan terug, maar dan moet je met de bakker gaan onderhandelen over levering van bv. een jaar lang brood, zodat je hem een bankstel kan leveren (gesteld dat de bakker daarop "zit" te wachten), of je hakt een kuub aanmaakhoutjes voor een oven etc. En hoe stel je de levering van het bankstel veilig en hoe stel je de levering van het brood gedurende een jaar veilig....

Kortom een moderne samenleving kan niet meer zonder een goede methode voor "asymmetrisch" en "asynchroon" ruilen. IMHO zijn niet alleen de banken tegenwoordig speciaal, maar kun je vrijwel hetzelfde stellen voor stroomlevering, en data-communicatie voorzieningen.
(Een omvallend KPN levert een behoorlijk risico op... overigens idem voor Ziggo dan wel T-Mobile etc.).
De moderne samenleving hangt aan elkaar van allerlei Just In Time afleveringen van zaken en is verregaand verweven.
Aangezien de banken nog steeds miljarden verdienen zijn die kosten blijkbaar geen probleem.

Als bedrijven niet aan de regels kunnen/willen voldoen hebben ze geen bestaansrecht, dus ja, gewoon wegwezen dan
Steekproefgewijs kan je dit alleen opvragen als er een breach is geweest. Je weet immers niet ofdat bedrijf X personal identifying information heeft over persoon Y.

Stel, ik heb mijn data ingegeven om een forum account aan te maken op een forum dat beheerd wordt vanuit Indonesie. Dit forum verkoopt deze data door aan een Russische adverteerder, die ads plaatst/mails verstuurd over Vodka van merk A. Hierna ga ik naar de suppermarkt om een aantal flessen vodka (merk A) te kopen. Er is geen Europees bedrijf in aanraking gekomen met mijn data of de reclame, maar de Europese omzet van vodka merk A stijgt wel. Juridisch gezien gaat het heel moeilijk worden om in deze situatie een overtreder aan te klagen.

Voorts is het niet mogelijk om eenvoudigweg te verbieden om bedrijven handel te laten drijven met niet EU bedrijven. Dit zou betekenen dat luchtvaartmaatschappijen geen vliegtuigen van Embraer zouden mogen kopen (Cessna's zouden ook niet meer verkocht mogen worden in de EU). Compleet ongerelateerd aan het doel, maar dit is een voorbeeld van wat de invloed van zo'n wetgeving is.
Wat er tegen te doen valt is handhaving. M.a.w. je valt daar binnen en je eist steekproefgewijs de gegevens van een individu op en daarna een bewijs van de toestemming van dat individu.
......
Ik heb hierop maar EEN vraag. WIE!? Er zijn zo weinig toezichthouders.
Wat hebben Henk en Ingrid er mee te maken dat alles zo lek is als een mandje ?
Dat is namelijk wel de kern in deze zaak (en vele andere)
Bijna dagelijks tegenwoordig dat we dit soort berichten zien over wéér miljoenen gegevens gelekt blabla.

Het zijn toch echt geen "Henkjes en Ingridjes" die die systemen ontwerpen en/of beveiligen is het wel ?
Dat zijn toch echt meer een soort van "Tweakertjes" achtig volk.
Belangrijker is dat je een competente overheid hebt die wars van (politieke) belangen (lobbyisme) m.b.t. machtige online multinationals een keiharde stellingname durft in te nemen tegen dit soort bedrijven.

Dus niet alleen selectief en hypocriet een bedrijf als Huawei op de vingers tikken omdat dit nu eenmaal geopolitiek goed uitkomt, maar kijk vooral naar die bedrijven die zich profileren als 'hoeders van een vrij en veilig internet' maar feitelijk tot de grootste privacy schenders van de wereld behoren en zichzelf onaantastbaar achten.
Tsja dat is wat ik toch ook eigenlijk zeg ? want het zijn overheids(instanties) die in feite de boetes opleggen maar die zijn om te lachen in verhouding met de winsten die er gemaakt worden.

Ik zeg het al een paar jaar, op een gegeven moment komt de overheid(heden) die data allemaal onder dwang ophalen bij die verzamelaars want terrorisme etc blabla, wel zo makkelijk....
Maar zo naief als de meesten zijn en dit soort dingen vaak direct af doet als "alu hoedjes gelul" of "complot theorie" is bij mij 1+1 nog steeds 2.
Kern van de zaak is misschien overdreven maar dat een derde zonder duidelijke reden ineens overal mee weg komt is zeker een punt.
Henk en Ingrid hebben ermee te maken vanaf het moment dat hun gegevens in de berg voorkomen en zij daar niet zelf de oorzaak van zijn.
Ik denk niet dat dit het resultaat is van het wel of niet toestemming geven maar van het op grote schaal ongemerkt verzamelen van en handelen in persoonsgegevens zonder daar details over vrij te geven.

Afgezien van de compleet belachelijke redenering dat een muisklik op een denkbeeldige knop ook maar iets te maken heeft met toestemming geven. Dat is een vals argument om van alles en nog wat juist zonder toestemming te kunnen doen, enigzins vergelijkbaar met iemand een handtekening vragen op een blanco stuk papier en daar dan achteraf de overeenkomst bij verzinnen...
Wat grote bedrijven aan persoonsgegevens opslaan en verhandelen zou niet achter de schermen moeten kunnen plaatsvinden, maar dat gebeurt toch vanwege 'economisch belang'. Als alle bedrijven je gegevens hebben krijg je meer koopkracht. :+

[Reactie gewijzigd door blorf op 22 juli 2024 18:06]

Tsja het ergste vind ik dat die bedrijven er vaak gewoon nog mee wegkomen ook, eventuele boetes zijn allang ingecalculeerd en stellen in verhouding vaak niets voor.
Wat ik het meest teleurstellend vind is dat veel mensen simpelweg niet snappen waar dit om draait en het gaan zitten verdedigen met ongerelateerde zaken. Het is 1 grote leugenachtige business die door de politiek actief wordt gesteund.
Nee, maar waarvoor ze zonder goed te lezen (en te begrijpen) allang toestemming hebben gegeven en het ze eigenlijk geen ene bips interesseeert totdat ze er achter komen wat er allemaal is verzameld en hoe en door wie deze data allemaal wordt gebruikt of misbruikt.

Daarom moet ook op een 'pakje sigaretten manier' worden uitgelegd wat de risico's kunnen zijn en misbruik (of het onveilig opslaan danwel gebruiken van privacy gevoelige informatie) veel strenger bestraft worden.
Ik vind dit een goed punt. Hoort een bedrijf uberhaupt te beschikken over 49 miljoen persoonlijke gegevens, waardoor 1 probleem meteen een enorme impact heeft, of zouden ook daar strengere regels voor moeten komen?
Het zijn amateurs:

Bewijsstuk A: de website ondersteunt SSL/TLS maar http redirect niet naar https.

http://straffic.io/

8)7

Bewijsstuk Bm Partner login pagina heeft geen https

http://partners.straffic.io/

Wederom hetzelfde issue, https werkt wel, maar geen http naar https redirect.

[Reactie gewijzigd door Q op 22 juli 2024 18:06]

Partner login pagina heeft geen https
http://partners.straffic.io/

Wederom hetzelfde issue, https werkt wel, maar geen http naar https redirect.
Oftewel; zowel credentials als afgeschermde content kunnen gewoon MitM uitgelezen zijn.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:06]

Het kunnen vinden van onbeschermde credentials geeft aan dat die credentials ook door anderen gevonden hadden kunnen worden. Het zegt weinig of er dus actief misbruik van is gemaakt.
Als je sleutels tot iets waardevols verlist wil namelijk niet perse zeggen dat de vinder daar misbruik van gaat maken. In veel gevallen zijn er ook eerlijke mensen die de eigenaar inlichten om anderen geen kans te geven. Al is de situatie in dit geval wat dubieus omdat de ontdekker blijkbaar eerst zelf de sleutels is gaan gebruiken om toegang tot de gegevens te krijgen en daar van alles mee te doen en daarna eens te proberen de toegang dicht te krijgen. In ieder geval zelfs zo ver dat ze alle mailadressen zijn gaan vergelijken met wat er in de database van haveibeenpowned staat.
Ze hebben zelf nog geen spf record op hun mail via Google (laat staan een dmarc) .
Men kan er dus makkelijk phising mails van maken (via de database aan gegevens) en doen alsof het van straffic.io zelf komt.

Ik heb zo'n vermoeden dat ze niet veel expertise in huis hebben..

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 18:06]

Ik heb zo'n vermoeden dat ze niet veel expertise in huis hebben..
Of juist wel en doelbewust niet loggen en beveiliging laag houden voor plausible deniability.

Als er geen registratie is en een ander maakt misbruik van het systeem dan is het ook makkelijker om de eigen sporen te verdoezelen. Zoals al die anonieme vpn providers en de gratis crypto exchanges, dat moet haast wel bedoeld zijn om sporen te wissen.
Of juist wel en doelbewust niet loggen en beveiliging laag houden voor plausible deniability.
Dan gaan ze met GDPR/AVG van een koude kermis thuis komen.
Wat zijn "49 miljoen persoonlijke gegevens" precies?
Zijn dat gegevens van 49 miljoen personen, of telt ieder gegeven zoals naam, e-mailadres of telefoonnummer apart mee voor dat aantal?
Uit de bron:
Hunt, who has analyzed the data, says it contains 49 million unique email addresses, 70 percent of which have been entered into Have I Been Pwned before. He extracts email addresses from data breaches, and once he enters those into Have I Been Pwned, emails are sent to those who have signed up with the service letting them know their data was in a breach or exposure.
Het lijkt er soms wel op dat bedrijven security als een grote grap zien. Bestelde een paar dagen geleden nog iets bij een webshop en ik kreeg mijn wachtwoord als plain text opgestuurd.
Helaas gebeurd dat nog heel erg veel, onbegrijpelijk.
Er is letterlijk iemand die wordt lastig gevallen door dit gegevensverlies:
"en er zou geen bewijs zijn dat er misbruik wordt gemaakt van de gegevens"

Mooi verhaal, eerst incompetentie op beheer en daarna zachtjes toegeven dat je geen logging hebt en dat mooi verpakken in "we vinden het niet, dus het is er niet" variant. bah.
Maar is die spam niet door dat "Marketingbedrijf" verstuurd ;)
En dat die persoon daarnaar op zoek is gegaan en hun DB heeft ontdekt?
Kunnen we bedrijven niet gewoon per direct opdoeken, wanneer ze lekken? Gewoon als "standaard" straf. Dan gaan bedrijven er waarschijnlijk wel goed mee om. Ook al zou data lekken, moet dat onbruikbaar zijn door encryptie.

Waarom is dit geen "solved" problem??
Zou graag willen zien dat bedrijf een boete krijgen per gelekt persoonsgegevens en een verdubbeling per keer. Zoals 10 euro 1x, 20 euro 2x enz.

49 miljoen gelekt = 490 miljoen euro boete
Het scheelt dat de meeste mensen "toch niets te verbergen hebben". ;)

Dit soort shit is exact de reden waarom ik zo'n fel voorstander van zoveel mogelijk privacy en veel strengere wetgeving op dit gebied ben.
Niet relevant voor dit topic maar hoe kan ik een database met eenzelfde opbouw als in het plaatje van dit nieuws item leesbaar maken/in stukjes hakken.
Het ziet eruit als JSON, dus zoek eens naar een json parser voor de code waarmee je het wilt gebruiken. Of online sites die dit ook wel doen.

Op dit item kan niet meer gereageerd worden.