Instagram verwijderde oude foto's en berichten niet ondanks belofte dat te doen

Instagram verwijderde foto's en privéberichten niet van zijn servers, terwijl het stelt dat wel op tijd te doen. Een beveiligingsonderzoeker meldde dat aan het dochterbedrijf van Facebook. Dat bedrijf spreekt van een fout.

De beveiligingsonderzoeker Saugat Pokharel ontdekte dat Instagram oude data van hem meestuurde toen hij een datainzageverzoek deed. Het ging om foto's en berichten die hij eerder verwijderd had. De data zou meer dan een jaar oud zijn, vertelt hij aan TechCrunch. Instagram zegt dat het normaal gesproken data na 90 dagen van zijn servers verwijdert.

Pokharel meldde het 'lek' in oktober vorig jaar bij Instagram. Dat zou de bug deze maand pas hebben gerepareerd. Pokharel kreeg 5000 euro voor zijn bevindingen, omdat hij het als een bugbounty aanmeldde bij Instagram. Het sociale netwerk zegt in een reactie aan TechCrunch dat de situatie voorkwam als gebruikers hun data opvroegen. Die feature bestaat sinds 2018 om te voldoen aan de AVG.

Instagram zegt in de reactie dat het 'de bug gerepareerd heeft', maar geeft verder geen verklaring over wat die bug dan precies zou zijn. Ook is niet bekend hoe het dan kan dat er oudere gegevens op de servers van het bedrijf stonden terwijl dat niet de bedoeling was. Instagram zegt daarnaast ook niet of er niet ook data van andere gebruikers op de servers stond die verwijderd had moeten zijn, of wat daarmee gebeurd is.

IT-banen

Reacties (79)

AlephNull 14 augustus 2020 19:38

Veel en waarschijnlijk enigszins terecht cynisme in de comments over deze bug. Echter, het verwijderen van data in gedistribueerde systemen is een complex probleem. Met enige regelmaat verschijnen er zelfs nog academische papers hoe dit beter, betrouwbaar en sneller kan. In vrijwel alle gedistribueerde systemen die miljoenen mensen bedienen kan je er vanuit gaan dat data niet direct wordt verwijderd en dat er verschillende processen moeten worden gestart om alle data volledig te verwijderen.

Twitter heeft een aardige blog post over hun eigen deletion pipeline.

Gezien de complexiteit zou ik er niet direct vanuit gaan dat dit een moedwillige ‘bug’ was. Daarnaast, als dat het geval zou zijn dan zouden ze er voor hebben gezorgd dat de data ook niet zichtbaar zou zijn in het dataverzoek.

pietjepuk3610 @AlephNull • 15 augustus 2020 11:15

Gezien de complexiteit zou ik er niet direct vanuit gaan dat dit een moedwillige ‘bug’ was. Daarnaast, als dat het geval zou zijn dan zouden ze er voor hebben gezorgd dat de data ook niet zichtbaar zou zijn in het dataverzoek.

Gezien de complexiteit hoeft het niet per se, echter omdat Instagram eigendom is van facebook die hier al zooooo vaak op betrapt zijn, moet het dus wel moedwillig zijn. En elke keer dat ze betrapt worden is het een bug of een foutje. Maar ze maken altijd foutjes in hun eigen voordeel zodat ze meer data kunnen bewaren. Ze zullen nooit per ongeluk te veel weggooien. Dat soort "foutjes" is waaraan je chronische leugenaars herkent. Het is altijd per ongeluk in hun voordeel.

Suggereren dat het niet moedwillig is vanwege technische redenen is moedwillig dingen verkeerd representeren. Het moet moedwillig zijn vanwege de bedrijfscultuur. De techniek is niet eens relevant. Zo ver kom je niet eens als je er even over nadenkt.

Ze besloten al om al die data nooit weg te gaan gooien voordat er uberhaupt een regel code was getypt. Als de bedrijfscultuur niet door en door rot was, dan zou je argument over de techniek steek houden.

facebook verdient het voordeel van de twijfel niet.

[Reactie gewijzigd door pietjepuk3610 op 22 juli 2024 23:55]

Daoka @AlephNull • 14 augustus 2020 20:07

Het zal vast geen simpele taak zijn. En dat ze het even bewaren voor het geval dat de gebruiker het toch weer wil hebben is ook goed. Maar ik verwacht niet dat dit moeilijker is dan foto's op gedistribueerde systemen zetten. Daarom verwacht ik zelf eerder dat men vergeten is dit in de data verzoek lijst uit te zetten. Of dat ze het niet wissen nou gedaan hebben omdat ze de data gewoon leuk vinden of dat het dat het de server minder belast (een 1 in een 0 veranderen of paar mb van de al drukke schijven wissen en last hebben van gefragmenteerde schijven) dat weet ik niet. Maarvik verwacht ieder geval geen bug.

timberleek @AlephNull • 14 augustus 2020 22:03

Tja dat cynisme hebben ze ook wel verdient.
Daar hebben ze het zelf naar gemaakt met het ene na het andere privacyschandaal.

Ja je kan verwachten dat je data gebruikt wordt aangezien jij het product bent, maar Facebook heeft zich (van alle data boeren) tot zover wel van de meest smerige kant laten zien als je het mij vraagt. iig in in de ogen van "het volk" verwacht ik.

Wil van veel partijen geloven dat er fouten worden gemaakt, maar zij hebben al iets te veel "tactische" foutjes gemaakt

JustJoostNL 14 augustus 2020 18:51

Als je een Instagram foto plaatst en daarna weer verwijdert, waarom verwijderen ze dat dan niet meteen van de servers. Dan bespaard Instagram toch ruimte op de servers? Ik vind het gewoon al raar dat ze het niet meteen verwijderen van de servers. Verwijderen is toch verwijderen!

[Reactie gewijzigd door JustJoostNL op 22 juli 2024 23:55]

pven @JustJoostNL • 14 augustus 2020 18:54

Nee dus: verwijderen is een vinkje zetten dat de foto niet meer getoond mag worden.

JustJoostNL @pven • 14 augustus 2020 18:58

Eigenlijk zouden ze dat moeten veranderen. Want zoals ik al zij dat bespaard hun ruimte op de servers. En dan nog steeds een foto verwijderen is dan ook echt verwijderen. En als ze het dan niet gelijk van de servers afhalen kunnen ze er minstens bij zetten dat het dus een vinkje zetten is en niet verwijderen van de servers!

WillySis

Privacy

@JustJoostNL • 14 augustus 2020 19:29

Serverruimte is voor een bedrijf als Facebook geen probleem. Dat hebben ze nagenoeg oneindig. Een foto's en berichten hebben echter waarde voor Instagram / Facebook. Met allerhande algoritmes bepalen ze daaruit wat en wie jij misschien leuk vind. Alles om jouw zo veel mogelijk reclame te kunnen tonen die zo goed mogelijk bij je past.

Dat het recht op verwijderen (maar dan echt) door Facebook geïnterpreteerd zou worden als "Aanvinken dat we dit hadden moeten verwijderen" is iets wat veel mensen al voorspelden. Dat dit een "bug" zou zijn klinkt niet geloofwaardig. Het kan ook zijn dat Instagram bedoelde dat het tonen van de "verwijderde" foto en posts in het antwoord op de data-aanvraag terecht is gekomen.

erikmeuk3 @WillySis • 15 augustus 2020 11:57

Ook al zeg je, je account op.
Blijft de data nuttig om je te kunnen blijven volgen.
Zodra iemand anders iets post over je, kunnen ze op de achtergrond jouw profiel aanvullen.
Het feit dat je een foto verwijderd, kan ook weer iets zeggen over jezelf.
Dat is voor de Facebook club ook weer nuttige informatie.

WillySis

Privacy

@erikmeuk3 • 15 augustus 2020 12:48

Het opzeggen van jouw account houdt niet in dat alle data ook gewist worden. Het klinkt logisch, maar voor facebook (en veel andere diensten) zijn dat twee verschillende verzoeken.

Facebook gebruikt jouw data niet alleen voor Instagram en Facebook (al zijn dat de voornaamste advertentie platvormen van FaceBook), maar combineert dat ook met de tracking op vele webpagina's (de facbook pixel).

5pë©ïàál_Tèkén @JustJoostNL • 14 augustus 2020 19:06

Op die schaal kost data opslag geen kont. Foto compressie algoritmes to the rescue. Mocht het uitlekken dat alles wordt bewaard - noem het een bug, geef een onderaannemer/detacheerder de schuld en move on. Je kan ook in de voorwaarden zetten dat elke keer dat iemand een foto laat verwijderen dat de foto zelf wordt verwijderd maar de hash/gecomprimeerde versies niet.

Verwijderd @5pë©ïàál_Tèkén • 14 augustus 2020 19:35

Op die schaal kost data opslag geen kont.

Ahum, wel eens een jaarverslag van een dergelijk bedrijf gelezen? Het kost miljarden dollars en voor een bedrijf als YouTube kan het oplopen tot 40% van de totale kosten.

Marthyn1990 @Verwijderd • 14 augustus 2020 20:10

Instagram (voornamelijk foto's in baggerkwaliteit) versus Youtube (video's tot 4k) is ook wel een wereld van verschil toch?

DamirB @Marthyn1990 • 14 augustus 2020 20:12

Tot 8k zelfs mocht je dat willen

5pë©ïàál_Tèkén @Verwijderd • 14 augustus 2020 19:41

De verhouding €/Gb is voor hen aanzienlijk gunstiger vanwege schaal. Opslag is èèn ding, alles dubbel/driedubbel opslaan voor back ups weer iets anders (wat gangbaar is bij cloud diensten).

Verwijderd @Verwijderd • 14 augustus 2020 20:12

1 YouTube video van 4K is tienduizenden gecomprimeerde Instagram-foto's. Dat is echt op een heel andere schaal.

Douweegbertje @Verwijderd • 14 augustus 2020 21:06

Die "verwijderde" foto's kost echt niets in vergelijking met alles. Sterker nog, het kost waarschijnlijk meer om ze ook daadwerkelijk te verwijderen.

erikmeuk3 @Douweegbertje • 15 augustus 2020 12:13

En wat is de definitie van verwijderen?
In den beginne was dat simpel waarde E5 in het eerste karakter van een naam zetten.
Bij SSD blijft ook alles staan, totdat die ruimte weer nodig is en de minst gebruikte ruimte is.
Dat het bij zo'n club nog veel complexer is, kunnen ze zich mooi achter verschuilen.
Meerdere levels van verwijderd zou me dan ook niet verbazen.

PolarBear @Verwijderd • 14 augustus 2020 20:03

Doe eens een linkje naar het jaarverslag van YouTube waarin gespecificeerd staat hoeveel ze uitgeven aan storage.

Nas T @JustJoostNL • 14 augustus 2020 20:23

Ja, dat moeten ze. Maar ik heb er nul vertrouwen in dat ze dat doen. Want: Facebook. Ik heb de afgelopen 5 jaar nog geen bericht gezien wat enigszins bijdraagt aan een gezonde bedrijfsvoering omtrent gegevensbeheer.

Er kan eeuwig gediscussieerd worden over wat normaal is, wat Facebook/Instagram zou "moeten" doen, maar uiteindelijk blijft de intentie onzuiver en onverantwoord: zo veel mogelijk verdienen met onze gegevens. Niet om ons een dienst te geven, maar om winst.

Dus ik stel niet dat Facebook iets wel of niet moet, want dat station is gepasseerd, het is al kapot.
Ik stel dat we niks van Facebook of andere bedrijven moeten gebruiken met deze valse intenties. Daarnaast moeten we een wet willen die het verbiedt dat er winst gemaakt wordt met onze gegevens. Op die manier is het geen prikkel om nog meer data van ons te verzamelen.

keranoz

@Nas T • 14 augustus 2020 20:53

Als je een wet doorvoert die stelt dat er geen winst meer mag worden gemaakt met je gegevens gaat het internet kapot. Praktisch niemand wil betalen om sites te mogen bezoeken, bovenop de kosten van je ISP voor je internetaansluiting.

pietjepuk3610 @keranoz • 15 augustus 2020 11:22

Correctie; Het commerciele internet

En dan kunnen de sites die daadwerkelijk producten verkopen gewoon blijven draaien want die maken winst op het geld dat jij voor producten betaalt. hooguit gaat de prijs een minimale hoeveelheid omhoog omdat ze je prive data niet meer voor een paar cent door kunnen verkopen.

de enigen die echt geraakt gaan worden zijn de advertentieboeren, nou boehoe, moeten die arme grootkapitalisten hun geld ergens anders in gaan investeren en kunnen ze 1 megajacht minder kopen in de haven van Monaco. Ze zullen er wakker van liggen.

[Reactie gewijzigd door pietjepuk3610 op 22 juli 2024 23:55]

keranoz

@pietjepuk3610 • 15 augustus 2020 11:50

Het overgrote deel van het internet is commercieel. Wat gaat er gebeuren met de vele miljarden sites die de inkomsten van ads gebruiken om de site draaiende te houden? Een paywall?

De advertentieboeren zijn er mede omdat er vraag naar is.

[Reactie gewijzigd door keranoz op 22 juli 2024 23:55]

pietjepuk3610 @keranoz • 15 augustus 2020 11:55

Vele miljarden is een tikkeltje overdreven. Overigens betekent het niet mogen doorverkopen van persoonlijke informatie niet het einde van advertenties op het internet. Het betekent het einde van targeted ads op het internet. Gewoon reclames aan mensen tonen zoals de televisie of de krant dat doet mag dan nog. De enige die dat zal raken zijn de advertentieplatforms zoals Google. Die kan ik wel missen.

[Reactie gewijzigd door pietjepuk3610 op 22 juli 2024 23:55]

iskelmaikel @JustJoostNL • 14 augustus 2020 19:30

waarom verwijderen ze dat dan niet meteen van de servers

De reden waarom het niet gebeurt bij de applicaties waar ik aan heb gewerkt is omdat (zoals door Kuusje aangegeven) het geen drol kost.

Wat daarentegen wél een drol kost is bepaalde handelingen moeten terug draaien wanneer er iets mis gaat. In plaats van moeite moeten doen om bepaalde verloren content terug te krijgen kun je veel sneller én goedkoper een (i.e. isPublic=0) vinkje omzetten. We weten immers allemaal dat het kapitalisme heerst op onze grote blauwe knikker en dat bedrijven weinig geven om moraal als er geld te verdienen valt.

Wim-Bart @iskelmaikel • 14 augustus 2020 22:22

Tot je een boete krijgt van 3% van je jaaromzet of 20.000.000. Dan was die verwijder actie misschien stukken goedkoper.

Dylan_R @JustJoostNL • 14 augustus 2020 18:54

ze moeten wel een mooi advertentie portfolio van jouw kunnen maken. Anders heeft een gratis platform geen zin natuurlijk. Lekker data Hoarden.

[Reactie gewijzigd door Dylan_R op 22 juli 2024 23:55]

5pë©ïàál_Tèkén @JustJoostNL • 14 augustus 2020 19:01

Dit euvel is zo oud als de weg naar Rome, helaas. Tenzij je met een blik ITers root toegang hebt tot de servers van FB/insta zul je nooit weten welke data ze wel van je hebben en wat niet (meer). Bij veel 'dating' apps zijn er betaalopties om je data echt echt echt te verwijderen. Surprise - bij een datalek weet je partner dat je online aan het 'oriënteren' bent.

pietjepuk3610 @5pë©ïàál_Tèkén • 15 augustus 2020 11:56

Ja en hoe gaan die ITers controleren of er niet een bak harddisks ergens in een kluis ligt of bij iemand op zolder of in een hoekje van de serverruimte?

Verwijderd @JustJoostNL • 14 augustus 2020 20:56

Ze zetten het bewust met een retentie van 90 dagen, om voor overheidsinstanties of politie bijv, inzage te geven in activiteit van het account. Dus als je iets plaatst, verwijderd, en denkt het staat er niet meer, dan heb je het mis.

GeroldM @JustJoostNL • 14 augustus 2020 22:56

Opslag kost vrij weinig tot niets. De drives onder stroom en beschikbaar houden kost meer. Oude data verplaatsen naar tragere opslag drives welke toch vrij weinig word geraadpleegt, is nog steeds van waarde voor verkoop/verhuur aan derde partijen geinteresseerd in deze info.

Dus verwijderen betekent al heel gauw een simpel vinkje om het niet meer te tonen en daar blijft het bij, want data-retentie maakt 'gratis' mogelijk. Wat jij jouw eigen normen en begrippen op de werkwijzes van deze bedrijven projecteerd, is niet hun probleem, want jij bent met 1 klik op een knop akkoord gegaan met deze voorwaarden.

Kromme redenering? Dat is het zeker, gezien van jouw kant. En je hebt daarin gelijk. Maar jouw data is dus beland op de hardware van een ander en hoe je dat ook wendt of keert, het betekent simpelweg dat je de controle erover verloren hebt.

Kan je wel met je morele gelijk en een contract lopen zwaaien, de actuele data is nog steeds in handen van een ander. En zolang dit minder kost dan dat het oplevert, gaat dat ook niet snel veranderen. En aangezien de data-honger van bedrijven en regeringen alleen maar toeneemt, in plaats van dat het afneemt...trek je eigen conclusies.

Negatieve instelling? Zeker, maar maakt het niet minder waar.

Cerberus_tm

@Frotter • 14 augustus 2020 19:23

Volgens mij vallen dat soort gegevens niet onder een bewaarplicht. En sowieso denk ik dat het soort bedrijf dat Instagram is geen bewaarplicht heeft? Het is geen Internetaanbieder.

Frotter @Cerberus_tm • 14 augustus 2020 20:33

Er is geen wettelijke bewaarplicht zoals bij internetproviders, inderdaad. Maar ze staan derden toe zaken te publiceren, zaken waarover discussies kunnen ontstaan, en reken maar dat het ze dan wél wordt aangerekend als zaken direct verwijderd zijn. Dan kunnen ze een heleboel gezeik krijgen met zaken als data-recovery in een rechtszaak.

Zoals iemand anders al stelde; denk aan het doel. Welk doel of welk voordeel hebben ze bij het bewaren van gegevens, het neemt alleen maar ruimte in op hun storage, dus moeten ze een doel hebben.

Welnu dat doel is voorkomen van juridische consequenties. Als nu iemand kinderporno post en direct verwijderd, kunnen ze dat vrij eenvoudig laten zijn. Zouden ze het direct verwijderd hebben, zou justitie zaken in beslag kunnen nemen voor forensisch onderzoek.

Het is niet zo dat er een wetsartikel is waarin staat dat ze moeten bewaren. Het is wél zo dat ze een bedrijf zijn wat mensen zaken laat publiceren op internet. Dat brengt verantwoordelijkheden met zich mee, en je moet je kunnen verantwoorden. Niet alle plichten die je hebt als ondernemer of bedrijf, staan rechstreeks in de wet.

[Reactie gewijzigd door Frotter op 22 juli 2024 23:55]

Cerberus_tm

@Frotter • 14 augustus 2020 20:46

OK dat ik was ik bedoelde met geen bewaarplicht.

Joop @Frotter • 14 augustus 2020 20:58

Dat de foto's gepubliceerd zijn is geen geldige reden dat ze niet verwijderd hoeven te worden. Zeker niet als het gaat om "potentiële" redenen. Op die manier zou er nooit *iets* verwijderd kunnen worden, er zou immers altijd potentieel iets mee kunnen zijn...

Als een persoon verzoekt data van zichzelf te verwijderen, dan is de verwerker van de data wettelijk verplicht de data uiterlijk binnen 1 maand volledig te verwijderen. En dat is niet alleen een vinkje "onzichtbaar maken", maar echt verwijderen. Dit is vastgelegd in de GDPR/AVG.

Bron:
Wettekst: https://eur-lex.europa.eu...16R0679&rid=3#d1e2606-1-1
Of met wat meer uitleg er bij: https://ico.org.uk/for-or...-rights/right-to-erasure/

Er zijn wel enkele uitzonderingen, maar daar valt dit niet onder.

supersnathan94 @Frotter • 14 augustus 2020 22:01

De consequenties bij te veel te lang opslaan zijn vele malen groter dan slechte content niet opslaan.

Houd je er rekening mee dat als iemand kinderporno plaatst, dat daarna verwijderd en jij het nog een jaar bewaard je in principe zelf strafbaar bent? Dit is echt niet zo eenvoudig als jij stelt.

R4gnax

algemene verordening gegevensbescherming
Privacy

@Frotter • 15 augustus 2020 01:20

Is dat zo omschreven in de wet? Nee. Is het toch verstandig? Ja. Is er jurisprudentie waaruit blijkt dat het verstandig is? Ja.

Je vergeet: Staat de wet het toe? Nee.

Als de betrokkene per Art 17 lid 1b of 1c het "recht op vergetelheid" inschakelt dan hoeft daar enkel geen gehoor aan gegeven te worden indien verwerking nodig is "voor de instelling, uitoefening of onderbouwing van een rechtsvordering" ( Art 17 lid 3)

Je mag die informatie niet opgeslagen houden omdat het ergens op een vaag moment in de toekomst nodig zou kunnen zijn om je juridisch ergens voor in te dekken. Je mag dat alleen doen als er een lopende of aankomende zaak is.

En als je 'verwijderde' gegevens toch opgeslagen houdt, dan ben je verplicht ook terug te koppelen dat ze niet verwijderd zijn wanneer er een inzageverzoek komt. (En dan hang je mogelijk, als je eerder teruggekoppeld hebt dat die gegevens wel verwijderd waren.)

Wim-Bart @Frotter • 14 augustus 2020 22:19

Nee hoor, sinds GDPR is bewaarplicht heel selectief. Sterker nog, wanneer een bedrijf historische data meer dan 28 dagen wil bewaren moet hiervan een melding gedaan worden bij de Privacy Autoriteiten van de het Europese land. Waarbij je dan ook nog een hele goede reden moet hebben.

Ik mag bijvoorbeeld er CV van een kandidaat niet meer dan 28 dagen bewaren nadat de persoon is afgewezen of het vervolg traject in is gegaan. In theorie zouden FB en dergelijke na wissen van een foto deze binnen 28 dagen moeten wissen. Het kan zijn dat ze 90 dagen hebben, maar langer mag het gewoon niet wanneer er geen stringent belang is voor de bedrijfsvoering. Wanneer je je profiel sluit/wist geldt dit ook, op het moment dat je op "verwijder profiel" de drukt moet alles binnen 28 of 90 dagen weg zijn, uit de backup, uit de systemen, uit de databases.

Daarom hebben wij bijvoorbeeld een backup retention tijd van 28 dagen. Wordt er iets gewist, dan weten we zeker dat het niet meer op tape staat. Overigens wordt er bij ISO Audits ook naar gekeken.

Er zijn natuurlijk uitzonderingen, maar ook daar voor geldt, dataset klein houden. Bijvoorbeeld overzicht van facturen, hiervoor is alleen datum, bedrag, nummer, product en minimale gegevens klant nodig, bijvoorbeeld naam of bedrijfsnaam. Adres, telefoon, e-mail zijn overbodig bijvoorbeeld.

Groningerkoek @Frotter • 14 augustus 2020 19:37

Dit heeft helemaal niets met de bewaarplicht te maken.

Groningerkoek @Frotter • 15 augustus 2020 13:12

Aangezien de gegevens niet vallen onder de gegevens die volgens de bewaarplicht moeten worden bewaard is elke vermelding naar de bewaarplicht in dit topic overbodig en irrelevant.

wjn 14 augustus 2020 19:15

Ik geloof en vertrouw Facebook/WhatsApp en gelieerde bedrijven sowieso niet (meer):

Ik had 6 jaar geleden mijn Facebook account verwijderd (had ik voor een Multistrada groep). Een jaar of 2 later kreeg ik van bekenden berichten, dat ik ze een vriendschapsverzoek stuurde (??). Bleek mijn complete Facebook account inclusief foto's e.d. gewoon weer online te staan.

Weer verwijderd, niet de moeite genomen er een melding van te maken, aangezien indertijd de GDPR nog niet 100% actief was en Facebook toch niet op een enkeling reageert.

ShopHB @wjn • 14 augustus 2020 19:23

Wat je vaak zag op Facebook was, dat een account gekopieerd werd: ze kopiëren jouw profielfoto en als je je vriendenlijst op openbaar had staan, dan kregen die vrienden een nieuwe uitnodiging. Hele eenvoudige en effectieve manier om een identiteit te stelen.

wjn @ShopHB • 14 augustus 2020 19:42

Dit was echt mijn account, wat niet openbaar hoefde, stond ook niet openbaar zichtbaar.
Privé berichten, alles.

Misschien hebben ze een backup moeten terugzetten oid, Met die gedachte heb ik het account/profiel nog een keer verwijderd, zonder er verder melding van te maken.

Afkloppen, behalve wat meldingen in de log van blockada en pihole heb ik verder weinig last van spam meer.

ShopHB @wjn • 14 augustus 2020 19:58

Brrr... toch een naar idee dat je daar zelf eigenlijk geen invloed meer op hebt. Blij dat ik van FB afgegaan ben en sinds afgelopen week ook van Instagram (waar ik toch al nauwelijks iet mee deed).

Splorky 14 augustus 2020 18:51

Nu vraag ik me stiekem af of de data nu wel verwijderd wordt, of dat het vinkje 'niet meer zichtbaar voor datainzage' nu beter werkt.

t link @Splorky • 14 augustus 2020 20:51

mijn gevoel zegt helaas dat laatste

Mushroomician @Splorky • 14 augustus 2020 20:56

Volgens artikel 15 lid 2 van de AVG mag de Authoriteit Persoonsgegevens een inval doen. Dan moet er alleen wel sprake zijn van "redelijke verdenking"..

Artikel 15 Uitvoeringswet Algemene verordening gegevensbescherming

[Reactie gewijzigd door Mushroomician op 22 juli 2024 23:55]

dasiro @Mushroomician • 14 augustus 2020 21:55

veel succes om te gaan binnenvallen, ze weten misschien in welk datacenter je data rondzweeft, maar waar deze fysiek is, zal quasi onmogelijk te vinden zijn, laat staan in beslag te nemen

Mushroomician @dasiro • 14 augustus 2020 22:09

Doe Walt Disney elementen tussen je data en Disney advocaten doet het voor je

Wim-Bart @dasiro • 14 augustus 2020 22:31

Wel eens een inval gehad?

Ik zou je vertellen hoe dat gaat, afhankelijk van de zwaarte natuurlijk.

Ze komen binnen,
Iedereen moet verzamelen en van systemen afblijven,
Root/admin wachtwoorden worden opgevraagd,
Een groep specialisten gaat aan de gang.

Je kan root/admin password weigeren. Dan komen ze met een paar grote UPS en. Alles wat dual power supply heeft wordt op ups aangesloten en gaat een vrachtwagen in. Ze nemen je complete infrastructuur gewoon mee.

Dat laatste geval alleen als het echt een hele zware verdenking is.

Als klein bedrijf kan je dan gewoon inpakken. Ik heb het meegemaakt waar ik als IT ondersteunend een complete kopie moest maken van een complete kooi bij Equinix en een keer bij Telecity.

dasiro @Wim-Bart • 14 augustus 2020 22:48

je bent vergeten dat ze single power devices eerst overbruggen met stroom, zodanig dat ze ze draaiend kunnen meenemen

ooit al eens in een datacenter binnen geweest, laat staan een van die giganten? Duidelijk niet, want dan weet je dat dit onmogelijk is om honderden racks en duizenden servers mee te nemen

Wim-Bart @dasiro • 14 augustus 2020 23:31

Ja ik ben er geweest, meerdere malen zelfs. En zo een kooi is gewoon leeg te halen, zonder enig probleem. En bij een aantal hebben ze zelfs server liften waarmee je een rack zo leeg hebt.

Echt zo complex is het allemaal niet. En er is exact geregistreerd waar welke klant zit. Ik ken natuurlijk alleen de datacenters van Equinox in Amsterdam en Zwolle, Telecity in Amsterdam en NLDC Oudemeer en Lelystad dus er zullen vast wel datacenters zijn die misschien complexer zijn. Maar ik vermoed dat het allemaal weinig anders is.

Maar het voordeel is dat je tijdens lunchtijd moet gaan, kan je gratis mee lunchen

[Reactie gewijzigd door Wim-Bart op 22 juli 2024 23:55]

dasiro @Wim-Bart • 15 augustus 2020 09:16

We spreken niet over een paar racks hé: Stel je dan eens voor dat héél het datacenter van 1 klant is en custom build is volgens eigen specs. Wat ga je meenemen? honderden racks aan storage, ook wat compute en switching? Net zoals je in een raid-array geen onderscheid meer kan maken op welke fysieke disk data staat, kunnen zij dat niet meer doen met de data en vm's. Het maakt dan ook niet uit als er plots een paar rows down zijn

Groningerkoek @Wim-Bart • 15 augustus 2020 14:15

Het is niet heel complex bij een klant met een paar racks, maar nu hebben we het over een bedrijf die duizenden of zelfs tienduizenden servers per lokatie draait. Dat is een enorme logistieke en peperdure operatie om dat draaiend mee te nemen en elders draaiend neer te zetten, dusdanig groot en kostbaar zelfs dat het als onuitvoerbaar moet worden geacht. Mag je wel een kolonne vrachtwagens met diesel laten aanrukken per dag voor alleen al de generatoren

Bug: Wanneer klant inzage wil in zijn data ziet de klant dat we meer data bewaren dan we communiceren in onze voorwaarden.
Bugfix: Minder data sturen bij verzoek inzage data door klant. €5000,- overgemaakt uit fonds gereserveerd voor boetes bug bounty programma.

***einde bugfix rapportage***

Javaantje_75 14 augustus 2020 19:02

Ik krijg sowieso al een vreemd gevoel als Facebook iets zegt in de trent van “ Instagram zegt in de reactie dat het 'de bug gerepareerd heeft'”.
Zeker niet als je de rest van de alinea leest:

“ maar geeft verder geen verklaring over wat die bug dan precies zou zijn. Ook is niet bekend hoe het dan kan dat er oudere gegevens op de servers van het bedrijf stonden terwijl dat niet de bedoeling was. Instagram zegt daarnaast ook niet of er niet ook data van andere gebruikers op de servers stonden die verwijderd had moeten zijn, of wat daarmee gebeurd is.”

Dat het een “bug” is moeten we dan maar aannemem en ook vast dat het Facebook/ Instagram “zéér zeker níét” om de privé gegevens te doen is..,

cracking cloud 14 augustus 2020 19:23

Wat voorspelbaar.

fj78

14 augustus 2020 19:25

Vertaling:

Sorry dat we zijn betapt, we zullen in het vervolg beter ons best doen om dit soort zaken te verbergen van die vervelende beveiligingsonderzoekers.

dasiro 14 augustus 2020 22:20

bedrijven wiens core-business data-management is, kan de boete haast niet hoog genoeg zijn

Dancing_Animal @dasiro • 14 augustus 2020 22:26

Ik zie Facebook graag failliet gaan. Wat die gasten allemaal al geflikt hebben en hoe slordig ze met data omgaan kan gewoon niet.

Justevo 15 augustus 2020 01:00

"Oeps, sorry!"

Iedereen gaat weer verder tot de orde van de dag en we slikken het gewoon.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (79)

Sorteer op:

Weergave: