Tesla 'verstopte' extra spaties in e-mails naar werknemers om lek op te sporen

Tesla 'verstopte' extra spaties in een e-mail om een persoon binnen Tesla op te sporen die informatie zou lekken. Het idee kwam naar eigen zeggen van de in 2008 reeds aangetreden ceo Elon Musk. Het aantal spaties in de mail kon gebruikt worden om de bron te identificeren.

De werknemer zou op deze manier in 2008 betrapt zijn op het doorverkopen van interne informatie aan media, zo beschrijft Musk op Twitter. "We stuurden [werknemers] ogenschijnlijk identieke e-mails, maar ze waren feitelijk gecodeerd met één dan wel twee spaties tussen zinnen waardoor er een binair systeem ontstond waarmee de leaker geïdentificeerd kon worden."

Volgens de ceo van Tesla werd de betreffende werknemer dankzij het trucje met de binaire e-mails ontslagen. Een volger van Musk vraagt hem daaropvolgend of de dader vervolgd werd, waarop hij antwoordt: "We hadden het te druk met overleven toentertijd." Musk refereert hiermee naar Tesla, dat het gedurende de wereldwijde recessie erg moeilijk had.

IT-banen

Reacties (200)

Jeanpaul145 10 oktober 2022 18:17

Nu dit trucje publiek bekend is, is het natuurlijk niet meer te herhalen. Dus de volgende leaker komt er alsnog mee weg denk ik.

Seth_Chaos @Jeanpaul145 • 10 oktober 2022 18:21

Ze kunnen even goed punten of een komma gebruiken. Of een woord veranderen. Het doel is niet het personeel te betrappen. Het doel is voorkomen dat het personeel informatie lekt.

JBVisual @Seth_Chaos • 11 oktober 2022 09:05

Dot is toch überhaupt wat office365 standaard al aanbied met Conditional Layout binnen de Data loss prevention.
Bijna al mijn office365 klanten maken hier gebruik van. Hiermee wordt natuurlijk binnen Sharepoint en Onedrive gelogd wie wat bekeken heeft op welke tijd, hoe lang, welke pagina etc...

Maar wordt bij het bekijken en/of van een document (mits toegestaan) de opmaak ook altijd lichtelijk aangepast, zodat altijd te achterhalen is wie het wanneer geopend heeft.
(hierbij worden extra spaties eigenlijk niet gebruikt omdat dit te makkelijk te detecteren valt, maar wordt de regelafstand met 0,25 op een of meer plekken vergroot/verkleind, wordt een letter voorzien van een ander lettertype etc...

Zo spectaculair vind ik het toevoegen van extra spaties dus niet eens.

Kama @JBVisual • 11 oktober 2022 09:42

Dit was in 2008. Het is eigenlijk sowieso vreemd dat dit verhaal pas 14 jaar later in het nieuws komt en zelfs dan nog interessant genoeg wordt geacht om een artikel over te schrijven. Alleen maar omdat meneer Musk de anekdote aanhaalt in een reactie op een andere tweet.

dwarfangel @Kama • 11 oktober 2022 12:15

Logisch toch ? ze hebben dit trucje een aantal keer gebruikt en nu werkt dat niet meer en hebben ze andere / betere methodes ontwikkeld, dus kunnen ze er nu mee naar buiten treden. Musk ligt aardig onder vuur op t moment omtrent Twitter en zijn persoonlijkheid, des te meer reden voor de PR afdeling om over een ander onderwerp te beginnen.

mbb @dwarfangel • 14 oktober 2022 02:16

Of als chilling effect voor het geval iemand binnen Twitter een (stuk van) van zijn bedrijfs-mails zou willen lekken als hij zich daarin buiten de fatsoensnormen begeeft?

Keypunchie @Jeanpaul145 • 10 oktober 2022 18:43

Het is een klassieker. Niet alleen spaties, maar domweg een spelfoutje, een ontbrekende komma, of een woord vervangen door een synoniem.

De oplossing voor journalisten is om te parafraseren, of maar heel beperkt te quoten.

dasiro @Keypunchie • 10 oktober 2022 20:31

de "oplossing" voor bronnen is om niet zo stom te zijn om volledige originelen door te sturen naar anderen. Het gebruik van specifieke woorden, karakters, ... is al zo oud als de praktijk van het lekken en spioneren zelf. Dat zoiets simpel in deze tijd nog altijd lukt is al reden genoeg om de persoon in kwestie bij Tesla buiten te stampen, want de eisen die Musk aan z'n personeel stelt zijn hoegenaamd niet laag te noemen (of toch zeker niet voor mensen die dit soort info krijgen).

The Third Man @dasiro • 10 oktober 2022 21:42

Hoe zie jij het precies voor je dat je "eisen aan je personeel stelt" dat als ze de criminele kant op gaan en voor geld zaken doorsluizen, ze op het idee komen om spaties te sanatizen in de teksten

Stel je de scenario voor bij het sollicitatiegesprek? Onderdeel van de mandatory security training?

dasiro @The Third Man • 10 oktober 2022 21:57

hun sollicitatiegesprekken staan bekend als zeer moeilijk en zulke dingen zou je er inderdaad zomaar in tegen kunnen komen. Ze betalen goed en signing bonussen zijn geen uitzondering. een voorbeeldje:

You may be asked for a relatively brief account of your 'evidence of excellence'. Tesla wants problem solvers with a track record. Show that you fit the bill. It's worth applying to Tesla, even though there's so much competition, but it's not worth applying poorly

Krulsprietje @Jeanpaul145 • 10 oktober 2022 18:21

Een ander soortgelijk trucje kan je zelf ook toepassen als je je eigen email domein hebt.
Door amazon@...nl en bol@...nl te doen bij respectievelijke websites waar je een account aanmaakt kom je al snel achter hoe je gegevens aan de haal gaan.

RoyTrenneman @Krulsprietje • 10 oktober 2022 18:26

Als je een Gmail account heb dan gebruik je:

<account>+<webshop>@gmail.com

Bijv.: Jantjepietje+amazon@gmail.com

Cilph @RoyTrenneman • 10 oktober 2022 18:35

Ja, maar dat grapje is heel makkelijk op te filteren. Met een catch-all is dat niet.

Zeror

@Cilph • 10 oktober 2022 20:01

Ik gebruik tegenwoordig Firefox Relay voor dit soort dingen.

biteMark @Zeror • 11 oktober 2022 08:05

Voor de mensen die er liever niet voor betalen: 33mail.com, bevalt me zeer goed.

netfast @biteMark • 11 oktober 2022 08:53

Echter blokkeren mensen zoals ik met een eigen service op internet dergelijke "spam" email adressen.
Dus verwacht niet overal dat het gaat werken dus. Ik haal elke dag een lijst op met domeinen die dergelijke services aanbieden en die gaan gelijk op de blacklist, ip block etc.

Ik moet eerlijk gezegd mijn eerste klant met dergelijke services nog tegenkomen die niet iets slechts in de zin heeft... Na bijna 13 jaar.

Een catchall is imo het beste (voor zowel jou prive als voor de zakelijke dienstverleners)

Yggdrasil

@netfast • 11 oktober 2022 09:51

Als je ze blind blokkeert zul je zowel de slechte als de goede tegenhouden. Geen verrassing natuurlijk dat je dan geen 'goed' gebruik ziet. Sommige diensten blokkeren tot mijn frustratie ook "plus-adressen" terwijl die heel nuttig zijn.

biteMark @netfast • 11 oktober 2022 11:35

De gratis dienst van 33mail is receive-only, je kan dus geen mail versturen met dat e-mailadres.

Het gemak zit hem erin dat elke mail naar jouw subdomein (...@mijnsubdomein.33mail.com) wordt geforward naar je privémail (gmail, outlook, whatever), je hoeft niet telkens via één of ander admin panel een e-mail alias in te stellen.

Persoonlijk gebruik ik het vaak voor bestellingen bij webshops, websites waarvoor je je moet inschrijven etc., zeg maar websites waarvan ik wél mail wil kunnen ontvangen. Op die manier hebben ze nooit mijn privé e-mailadres, kan ik ze makkelijk individueel blokkeren en kan ik zien of er bepaalde adressen gelekt zijn (als ik bijv. spam ontvang).

CEdS @netfast • 11 oktober 2022 18:07

Dus het voorbeeld naam+bedrijf@gmail.com filter jij eruit als spam?

Leg mij dan is uit waarom?

netfast @CEdS • 12 oktober 2022 11:26

Nee, die filter ik er niet uit.

Ik filter alleen domeinen uit die "weggooi" email adressen aanbieden.
Bijvoorbeeld lijsten als deze:
https://github.com/dispos...able_email_blocklist.conf

Dat soort domeinen gaan bij mij gelijk op de blacklist.

mgizmo @netfast • 14 oktober 2022 09:25

Daar ga ik ook van uit dat organisaties dit doen. Dus maar voor een eigen domein gekozen waar ik dit op toepas. Dank @netfast voor de bevestiging dat dit gebeurd

blehz @biteMark • 11 oktober 2022 08:41

Migadu en een domeinnaam kost 2 keer niks dus dan toch liever geen tussenpartij

Verwijderd @Cilph • 10 oktober 2022 18:47

Daarnaast zijn er zat scripts in omloop die automatisch +randomword wegfilteren en de boel opnieuw opslaan zodat je heerlijk kunt spammen etc. naar het normale e-mail adres. Probeer er als ontvanger dan maar eens achter te komen hoe en via wie ze eraan gekomen zijn

Jojos104 @Verwijderd • 10 oktober 2022 19:07

Ik heb een REJECT SIEVE filter op <spamaccount>@pm.me maar niet op <spamaccount>+xyz@pm.me. Werkt als een trein.

sjhgvr @Jojos104 • 10 oktober 2022 19:47

Geen idee waarom je omlaag gemod wordt, want dat is een slim idee.
Mail direct op jenaam@gmail.com gaat direct de prullenbak in. En mail naar jenaam+dienst@gmail.com komt wel door. Zo hebben spambots die de +'jes verwijderen dus geen vat op je

SirBlade @sjhgvr • 10 oktober 2022 20:14

Want het is voor spammers veel te moeilijk om een scriptje te maken dat jenaam+dienst@gmail.com omzet in jenaam+anderedienst@gmail.com.

sjhgvr @SirBlade • 10 oktober 2022 20:24

Dat niet. Maar als we dat ook meenemen is een custom domain ook niet "veilig".
Voor spammers is het ook niet moeilijk een scriptje te maken dat bijv. facebook@eigendomein.nl omzet in anderedienst@eigendomein.nl. En het anti-spam trucje met custom domein is bekend, deze kende ik nog niet. Maar goed, volgens mij valt t allemaal onder security through obscurity?

beeldbuijs @sjhgvr • 10 oktober 2022 22:29

Ik vermoed dat sowieso maar een heel klein deel van de internetgebruikers deze twee trucs kent, laat staan gebruikt, maar die met het eigen domein vereist een catch-all (tenzij je daadwerkelijk mailboxen of forwarding gaat aanmaken voor elk van die adressen..). Het nadeel daarvan is dat je waarschijnlijk een stuk meer spam binnenkrijgt. Dat is voor een beetje tweaker wel weer op te lossen met bijvoorbeeld een client-side spamfilter, wat het 'meer gedoe' maakt. Het voordeel is dan weer dat het juist heel makkelijk en effectief filteren is.

Maar goed, volgens mij valt t allemaal onder security through obscurity?

Tja, maar dan zeg ik: Elke login op basis van een gebruikersnaam en wachtwoord is óók security through obscurity, maar dat vinden de obscurity-critici meestal nog steeds een prima methode…

Mar.tin @sjhgvr • 11 oktober 2022 07:57

Ik pak daarom altijd een """"creatieve"""" naam afgeleid van de webshopnaam. Denk voor bol.com aan "dikzak@"
Voor coolblue aan koelblauw@ of blauwmaarnietkoel@, toch uniek, en succes met wegfilteren van die namen op de webshops.

batjes @SirBlade • 11 oktober 2022 09:56

Spammers maken amper tot geen uitzonderingen. De mensen die technisch bekwaam zijn zulke foefjes te gebruiken, trappen ook niet zo heel snel in spam mails.

Dat is niet de doelgroep van spammers.

kakanox @SirBlade • 10 oktober 2022 20:42

Werkt alleen als je op die andere naam dan ook een dienst hebt.

SirBlade @kakanox • 11 oktober 2022 00:52

Amazon, Bol, Microsoft, Google, Apple, Facebook, Twitter, overheid, banken, Tweakers. Grote kans dat iemand wel bij 1 van die organisaties een account heeft.

supersnathan94

Bedrijfsnieuws
Tesla

@SirBlade • 10 oktober 2022 21:23

Nee, maar dat doen ze dus niet.

Plus mail+<onbekendeDienst>@gmail.com kun je ook direct de bin in flikkeren.

Reteip @supersnathan94 • 10 oktober 2022 21:34

En de beperkingen met deze oplossingen zijn precies de reden waarom ik tegenwoordig overal de hide my email functie gebruik ik iOS. Het managen en terugtrekken van die random gegenereerde e-mail adressen is echt een stuk makkelijker. Enige is dat recovery van een wachtwoord soms betekent dat ik even moet kijken wel e-mail adres was aangemaakt bij de desbetreffende website.

beeldbuijs @Reteip • 10 oktober 2022 22:36

Dit werkt best goed, ja, maar je bent daarmee wel afhankelijk van een derde partij. Dat hoeft niet erg te zijn, maar valt die ooit weg, dan heb je, afhankelijk van hoe de bedrijven die bij de account horen hier mee omgaan, wel een probleem.

supersnathan94

Bedrijfsnieuws
Tesla

@Reteip • 11 oktober 2022 08:54

Ahjah ik ook hoor. Werkt best wel goed. Ook het handmatig kunnen aanmaken voor sites die verder geen SSO met Apple ondersteunen is dan fijn.

Verwijderd @SirBlade • 11 oktober 2022 00:16

Het is meer dat ze maar net op dat idee moeten komen. Ssst!

WhatsappHack @SirBlade • 11 oktober 2022 01:39

Dan moeten ze eerst weten dat de mail überhaupt niet aankomt. Als je ‘t naar blackhole stuurt ipv een fail, waarom zouden ze dan überhaupt het idee krijgen om toch eens met het +’je te gaan werken?

Splorky @SirBlade • 11 oktober 2022 06:17

Ik heb een eigen domein met catch all
Het komt zeer weinig voor dat een spammer een eigen email adres verzind.
Wel een paar keer op webmaster@ of iets dergelijks gehad maar niet veel.

Azara @Jojos104 • 12 oktober 2022 23:02

He, goed idee. Daar heb ik nog nooit aan gedacht. Standaard spambotje zal het +stukje eraf halen, zo vaak komt dit trucje niet voor.

RoyTrenneman @Cilph • 10 oktober 2022 21:47

Geeft een catch-all niet juist een enorme berg spam?

WhatsappHack @RoyTrenneman • 11 oktober 2022 01:41

Over het algemeen niet, om de simpele reden dat spammers voornamelijk werken met known addresses. Ze gaan niet elke combinatie @domein proberen, paar uitzonderingen daargelaten (admin, postmaster, billing, support, etc.).

Splorky @RoyTrenneman • 11 oktober 2022 06:19

Het voordeel is dat je gekaapte email adressen kan doorzetten naar spam@

Het grote voordeel is dat je kan zie wie je email heeft gelekt, en die kan blokken

Invoke @RoyTrenneman • 10 oktober 2022 18:36

Werkt ook bij Outlook (Hotmail) web, op dezelfde manier

lunaticNL @Invoke • 10 oktober 2022 19:28

zou je iets specifieker kunnen zijn?

Invoke @lunaticNL • 10 oktober 2022 19:53

Wanneer je ergens opgeeft "mijnaccountnaam+verzineenwoord@outlook.com" komt de email aan op je normale "mijnaccountnaam@outlook.com" waardoor je bij het ontvangen van spam (bijvoorbeeld bij een datalek) dat specifieke adres kan blokkeren en dan ook bv. Weet dat wellicht verstandig is bij het desbetreffende bedrijf de gegevens zoals wachtwoord aan te passen

Voorbeeld: henkdevriestest+marktplaats@outlook.com komt aan op henkdevriestest@outlook.com , waarbij je dus kan aannemen dat in dat geval wanneer je een email ontvangt met dat adres in het "aan" veld de accountgegevens van marktplaats geraadpleegd zijn door bots oid.

De mooiste oplossing is een eigen domein aanschaffen zodat je uniekenaamperbedrijf@mijnacccountnaam.nl kan ontvangen

[Reactie gewijzigd door Invoke op 23 juli 2024 09:43]

mpkossen @Invoke • 10 oktober 2022 21:19

Het zou mooi zijn als dat overal zou werken, maar helaas hebben te veel websites nog een onjuiste controle of een e-mailadres wel correct is en kan je niets met een + erin invullen.

supersnathan94

Bedrijfsnieuws
Tesla

@mpkossen • 10 oktober 2022 21:28

Nouja. Opzich ook wel logisch aangezien dit vaak regex matches in javascript zijn.

Een volledige RFC822 regex is echter mega inefficient en ontiegelijk langzaam. Is zowat een A4 aan complexe regex code.

http://www.ex-parrot.com/~pdw/Mail-RFC822-Address.html

Daarom worden er vaak afgeleiden gebruikt die 99,99% goed zijn.

Je hebt echter ondertussen alweer een nieuwe RFC (5322) en die maakt het een stuk makkelijker. Een valide regex voor die versie is :

(?:[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*|"(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])*")@(??:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?|\[(??:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9]))\.){3}(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9])|[a-z0-9-]*[a-z0-9]:(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21-\x5a\x53-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])+)\])

Nog steeds eigenlijk veel te lang voor op een input veld.

Heedless @supersnathan94 • 10 oktober 2022 21:48

Alleen logisch als je er vanuit gaat dat devs standaard verkeerd om gaan met emails. Er zijn onwijs veel 'vreemde' emailadressen die gewoon valid zijn, eigenlijk te veel om op te kunnen checken, dus check misschien of er een @ is en de extentie 2 tekens of meer heeft, en stuur dan gewoon een verificatie mailtje om te kijken of het adres ok is.

Hetzelfde met namen. Er zijn zat voorbeelden van forms die bijvoorbeeld denken dat een naam minstens 3 tekens heeft of die bepaalde waardes niet accepteren. Classic voorbeelden van 'foute namen' zijn Null (bij domme validatie lijkt dat veld leeg en Ng (zou te kort zijn).

NielsFL @Heedless • 10 oktober 2022 22:04

Ik heb een .email domein. Mij e-mail is dus iets als: nielsfl@tweakers.email. Je wil niet weten hoeveel websites vinden dat het geen geldig e-mail adres is. Super irritant.

Als je een controle doet op de domeinnaam doe dan een MX lookup ofzo. Ga niet met lijstjes aan de slag die vervolgens nooit ge-update worden.

supersnathan94

Bedrijfsnieuws
Tesla

@Heedless • 10 oktober 2022 22:45

Classic voorbeelden van 'foute namen' zijn Null (bij domme validatie lijkt dat veld leeg en Ng (zou te kort zijn).

Das wel heul domme validatie dan.

Maar idd het komt voor. Is ook zo’n dude met de vanity plate “Null” die alle bonnen van “afgekeurde” kenteken platen kreeg. Want “Null”.

Maar wat dacht je van Afrikaanse namen die soms beginnen met een ! (Click)? Dat gaat ook vaak fout.

Wielink @supersnathan94 • 11 oktober 2022 17:54

Is dat heel dom? Ik dacht dat in Javascript je snel in zulke situaties komt als je een type check vergeet. Ik zou het dan meer zien als slordig

supersnathan94

Bedrijfsnieuws
Tesla

@Wielink • 11 oktober 2022 18:07

Ja maar “String Null” is ook zonder type check iets anders dan daadwerkelijk null.

De String “null” is namelijk nooit een falsy waarde doordat het geen empty string is. “Null” of “Peter” is in dat opzicht hetzelfde dus zelfs zonder type check zou dat nooit gelijk moeten zijn aan NULL.

-=bas=- @supersnathan94 • 11 oktober 2022 05:17

Musk had beter zijn email kunnen opsieren met binair gecodeerde

.
Dat had vast ook niemand gemerkt.

tedades @mpkossen • 10 oktober 2022 23:18

Met Gmail kun je ook puntjes gebruiken.
Voorbeeld@gmail.com
Voor.beeld@gmail.com
V.o.o.r.beeld@gmail.com
Moet je wel onthouden welk punten combinatie je waar gebruikt hebt, maar hiermee zul je minder problemen hebben dan het plus teken.

Wat ik zag is dat sommige site het email adres in the url stoppen (als Get request) zonder url-encoding, en dan faalt je request. Je kunt in de url dan alsnog de url-encoding zelf toepassen: vervang de + met %2B
Of dat ze de + eruit filteren en vervangen met een ?-teken, als je account wel is aangemaakt kun je mogelijk alsnog inloggen door de + te vervangen met een ?-teken.

CorrieK @tedades • 11 oktober 2022 10:24

Gerelateerde vraag hieraan, die ik als halve leek stel: ik kreeg van de week een Amerikaanse marketing email binnen die er verder wel legit uitzag, gericht aan voornaam.achternaam@gmail.com.

Ik gebruik zelf voornaamachternaam@gmail.com en krijg ook eigenlijk nooit andere mail van dit account met een punt ertussen binnen. Heb jij of iemand anders een idee hoe dat er toch tussendoor kan glippen, dat is toch schier onmogelijk? De punt wordt toch gewoon gelezen in alle omstandigheden?

tedades @CorrieK • 11 oktober 2022 12:06

Met of zonder punt in je naam komt op hetzelfde adres aan. Ik neem aan dat dit komt doordat mensen soms een naam scheiden met een punt en dit soms vergeten wordt. Niet iedere email provider doet dit.

jerisson @RoyTrenneman • 10 oktober 2022 19:30

Je kan ook punten toevoegen: jantje.piet@gmail.com, jantjepiet@gmail.com en jan.tje.pi.et+random@gmail.com zijn allemaal hetzelfde.

Je kan dus ook een binaire code encoderen. Valt uiteraard ook te filteren, maar als je standaard jantje.piet gebruikt, en het komt aan op jantjepiet, dan mag je het negeren (tenzij iemand de punt vergeten is).
Deze aanpak is ook wel niet echt leesbaar

Met de + methode heb ik, na 3x bij een online shop besteld te hebben, een telefoontje gekregen met de vraag of mijn mail-adres wel klopte, want hun naam stond in mijn adres...(de mails kwamen ook steeds aan)
Edit: oh, en twee jaar later hebben ze hun loginsysteem gewijzigd waardoor de + geen geldig symbool meer was. Sindsdien heb ik het gebruik van de + methode opgegeven.

[Reactie gewijzigd door jerisson op 23 juli 2024 09:43]

PhilipsFan @jerisson • 10 oktober 2022 21:30

Het goede antwoord is natuurlijk: niet het gebruik van de + methode opgeven, maar het gebruik van die webshop opgeven.

Ik heb een vergelijkbare ervaring. Via gaslicht.com een nieuw energiecontract gekregen bij een energieboer. Gaslicht.com geeft dan je gegevens door aan die energieboer zodat alles meteen geregeld is. Ik kreeg meteen ook een account bij die energieboer, met plusje. Maar de site van de energieboer lustte geen plusjes.

Dus ik kon dat jaar niet mijn gegevens bekijken. Het was me teveel werk om dat te proberen recht te zetten. Gewoon jammer dan, en nooit meer bij die energieboer...

Overigens helpt het bij sommige sites ook wel om Javascript uit te schakelen in de browser, dan kan hij niet jammeren over het plusje en submit ie het formulier gewoon naar de server. Die het plusje gewoon slikt. Echt tenenkrommend hoe slecht sommige bedrijven hun websites maken...

[Reactie gewijzigd door PhilipsFan op 23 juli 2024 09:43]

jerisson @PhilipsFan • 10 oktober 2022 23:44

Ik heb toen de klantendienst gecontacteerd en werd vrij snel geholpen (binnen een paar uur was het opgelost). En er zijn altijd wel een paar edge-cases waar niet iedereen aan denkt, dus dat is op zich geen probleem voor mij zolang ze het probleem maar aanpakken. Ik ben vooral gestopt met het gebruik van de + omdat het op te veel plaatsen problemen gaf (niet toegelaten, of een urlencode naar %2B, etc.)

Het nieuwe loginsysteem was een Microsoft service (nog steeds ww + e-mail, dus geen facebook/google-achtige login), waarvan ik zou verwachten dat het er wel mee overweg kon. Wat me wel opviel was dat ik een wachtwoordreset kon aanvragen met het adres met de + in, en daar ook een link voor kreeg, maar na de reset nog steeds niet kon inloggen (invalid e-mail or password). In de JS-code zag je wel dat de regex filter anders was voor de reset dan voor inloggen (de ene liet + toe en de andere niet). Met JS uit bleef het resultaat hetzelfde maar faalde de check aan serverzijde.

Martinspire @jerisson • 10 oktober 2022 19:36

Ik denk dat het niet echt lastig is om alle rare karakters eruit te vissen, al is het wel een manier om in ieder geval wat zaken te scheiden. De vraag is verder of de diverse sites de tekens wel accepteren of al niet bij voorbaat eruit filteren, want niet elk systeem gaat even goed om met dergelijke karakters. Vooral oude systemen zijn nogal barbaars in wat ze wel of niet accepteren. Meestal als je wachtwoord niet zo lang moet zijn, kun je al wel inschatten dat het systeem niet al te nieuw is.

P_Tingen @jerisson • 10 oktober 2022 19:51

Edit: oh, en twee jaar later hebben ze hun loginsysteem gewijzigd waardoor de + geen geldig symbool meer was. Sindsdien heb ik het gebruik van de + methode opgegeven.

Dat is iets waar ik ontzettend chagrijnig van kan worden. Ik heb een .net domein en dat wordt ook regelmatig geweigerd als ik ergens mijn mail moet invullen. Toppunt was vorig weekend toen mijn vrouw zich wilde registreren. Met het .net emailadres werkte het niet. Vervolgens diende ik een klacht in via het klachtenformulier van dezelfde site over de gebrekkige ondersteuning van emailadressen

... en daar kon ik wel een .net mailadres invullen

aikebah @P_Tingen • 10 oktober 2022 21:32

[...]

Dat is iets waar ik ontzettend chagrijnig van kan worden. Ik heb een .net domein en dat wordt ook regelmatig geweigerd als ik ergens mijn mail moet invullen.

Ook een .net, maar nog nooit tegengekomen dat t niet geslikt werd. Blijkbaar gebruiken wij een niet overlappende set aan websites.

Wel al tijden ruzie met het hotmail/live/outlook gratis mailadressen die pertinent de mail van mijn mailserver weigeren omdat die op een verkeerd IP block zit... ieder ander slikt het gewoon (inclusief Microsoft's eigen Office365 omgeving)

Titusvh @RoyTrenneman • 11 oktober 2022 05:02

Helaas wordt een email met een plusteken erin met enige regelmaat als ongeldig emailadres beschouwd.
Of dat een slecht geprogrammeerd controlefilter is of opzet is de vraag natuurlijk.

BJD1997 @RoyTrenneman • 11 oktober 2022 08:40

Werkt ook voor Outlook, hotmail en live adressen. Daarnaast werkt het ook voor Office365 klanten (tenzij de beheerder dit heeft uitgeschakeld)

henkbob

@Krulsprietje • 10 oktober 2022 18:23

Kan ook met gratis diensten zoals Gmail, bijvoorbeeld:
Pietje+bol@gmail.com
Ipv
Pietje@gmail.com

Verwijderd @henkbob • 10 oktober 2022 18:43

En dan haalt Dhr/Mevr spammer +bol weg, die lui zijn een stuk slimmer dan je denkt. Een tijd geleden een hele bunch aan scripts aangetroffen waar je een hele database (al dan niet illegaal verkregen) in kon droppen om vervolgens zonder +{stuff} alles opnieuw weg te schrijven en op die wijze de betreffende e-mail adressen te misbruiken.

In dit geval is het geen @Krulsprietje aanhaalt dus al een heel stuk slimmer aangezien het een stuk moeilijker is om te raden wat het officiële e-mail account is waarnaar amazon@ bijvoorbeeld geforward wordt.

Echt een bewijs dat je data op straat is komen te liggen is met je truc dus ook niet aan te tonen.

Azenomei @Verwijderd • 10 oktober 2022 18:50

Meestal info@*.*

Verwijderd @Azenomei • 10 oktober 2022 19:41

Meestal info@*.*

Bij bedrijven wel, bij consumenten niet.
Zelf raad ik mensen zelfs aan om info, helpdesk, support, klantenservice, spam en abuse direct naar :blackhole: om te leiden. Kijkende naar mijn eigen domeinnamen en logfiles klopt het overigens wel, er worden weet ik niet hoeveel pogingen gedaan om mails af te leveren op o.a. info.

Maar per default worden hostingaccounts niet opgeleverd met info, support noch met catch-all en moet deze apart worden ingesteld dus neen... per default wordt info zekers niet gebruikt bij consumenten.

Fluttershy @Verwijderd • 10 oktober 2022 21:21

Zelf raad ik mensen zelfs aan om info, helpdesk, support, klantenservice, spam en abuse direct naar :blackhole: om te leiden.

Misschien niet de slimste actie.

Verwijderd @Fluttershy • 10 oktober 2022 22:40

Niet de slimste topic om naar te verwijzen.

1. Het gaat daarbij om LIR's.
2. Voor certificaten kan je een ander e-mail adres gebruiken.
3. SPAM meldingen gaan over het algemeen niet naar de domain owner maar naar de owner van het IP-Adres (te zien onder de abuse details van het IP-Adres).
4. DMARC kan je zelf een e-mail adres voor kiezen, dmarc-report@domain.ext bijvoorbeeld.

Ook gmail/microsoft/protonmail etc. sturen een e-mail naar bij punt 3 genoemde e-mail adres dus niet naar de owner van het domeinnaam. Ik huur inmiddels al een jaar of 19 een server bij OVH, en krijg als er een spam melding is een e-mail op het bij hen bekende e-mail adres. Versio, Vimexx, ODR etc. allemaal sturen ze een eventuele melding linea recta naar de bij hun bekende e-mail adressen.

Tenzij je dus zelf registry bent of in de RIPE whois vermeld staat van IP-Subnets, worden meldingen dus over het algemeen naar de hoster/serverboer gestuurd.

Blokker_1999

Bedrijfsnieuws
Tesla

@Azenomei • 10 oktober 2022 18:53

Die levert je bij mij een bounce op. Je hebt een paar honderd bestaande adressen maar daarbuiten is er geen catch-all

Azenomei @Blokker_1999 • 10 oktober 2022 18:58

Ik heb hier wel een catch-all. Klanten willen nog wel eens een foutje maken en nu missen we niets (toch een paar keer gebeurt de afgelopen jaren). Met spam valt het trouwens erg mee. Alleen tijdens de lockdown opeens allemaal mondkapjes woekeraars.

[Reactie gewijzigd door Azenomei op 23 juli 2024 09:43]

Zer0 @Azenomei • 10 oktober 2022 20:28

Probleem is dat de klanten de fout gewoon blijven maken dan, tenzij je ze er weer apart op attendeerd. Een nette bounce krijgt de klant gewoon terug, waarop hij zijn fout kan herstellen en de mail naar het juiste adres zal sturen.
Of je dus zaken gemist zou hebben zonder catch-all is dus niet zomaar te stellen, het kan goed zijn dat ze de mail alsnog naar het juiste adres zouden sturen.

Azenomei @Zer0 • 10 oktober 2022 21:34

Met leads/nieuwe klanten krijg je niet altijd een tweede kans. Zodra je met het juiste email adres contact opneemt replyen ze toch verder. Maar een bounce kan zomaar een "ik kijk wel even bij de andere bedrijven die ik heb gemaild of die wel mijn geld willen" worden. Sommige mensen hebben best een moeilijke naam op visite kaartje en in hun email staan. Je hebt maar 1 kans voor de eerste indruk.

[Reactie gewijzigd door Azenomei op 23 juli 2024 09:43]

Jerie

@henkbob • 10 oktober 2022 21:46

Gmail is nog leuker, je kunt met een . ook meerdere adressen gebruiken op hetzelfde account (is niet conform RFC).

Niemand_Anders @Jerie • 11 oktober 2022 11:15

Een punt is gewoon een geldig karakter voor de mailbox gedeelte van een email. Je mag het alleen niet als eerste of laatste teken van de mailbox gebruiken.
Geldige speciale karakters van een email: ! # $ % & ' * + - / = ? ^ _ ` { | } ~

bron: https://datatracker.ietf.org/doc/html/rfc3696#section-3

Jerie

@Niemand_Anders • 11 oktober 2022 13:24

Daar doelde ik niet op. Ik doelde er op dat bij Google een punt geen onderscheid maakt voor het email adres. Dat is niet conform de RFC.

musiman

@Niemand_Anders • 11 oktober 2022 14:58

Wat @Jerie bedoelt is, dat je jouw gmail account met een punt kunt voorzien. Heb je bijvoorbeeld dit gmail account:
tweakers@gmail.com
dan gelden de volgende mailadressen ook en krijg je ze in dezelfde mailbox:
t.weakers@gmail.com
tw.eakers@gmail.com
twe.akers@gmail.com
twea.kers@gmail.com
tweak.ers@gmail.com
tweake.rs@gmail.com
tweaker.s@gmail.com

Jerie

@musiman • 11 oktober 2022 15:40

Inderdaad, en zelfs meerdere punten.

musiman

@Jerie • 11 oktober 2022 16:04

Dat werd me iets teveel werk om te tikken.

Jerie

@musiman • 11 oktober 2022 16:14

goeie uitleg hoor.

Punt is (pun intended) dat je dit ook kunt gebruiken/misbruiken.

NLisTeVol @musiman • 11 oktober 2022 19:51

Bij mij is het net andersom: ik heb voornaam.achternaam@gmail.com als email adres maar iemand anders met dezelfde voor- en achternaam heeft voornaamachternaam@gmail.com als email adres. Ik krijg soms mailtjes van voornaamachternaam in mijn voornaam.achternaam mailbox.

FreshMaker @NLisTeVol • 11 oktober 2022 20:56

Nee hoor.
Want je kan zo'n naam maar één keer aanmaken.
voornaam.achternaam en voornaamachternaam is hetzelfde bij Google.
Dus waarschijnlijk zal er een letter verschillen in de naam.

Ik heb een 'spam' account bij google, en krijg regelmatig registraties en bevestigingen van iemand daar op binnen.
Die persoon heeft bijna hetzelfde mailadres in gebruik, met als 2e letter een I (i) ipv een l (L) in de naam
En die vergeet hij/zij wel eens, of wordt verkeerd door de verzender ingevoerd
De sushirecensie heb ik maar ingevuld als 5 sterren, maar de hypotheekofferte heb ik retour gestuurd naar de aanbieder, met de melding verkeerd mail adres.

musiman

@FreshMaker • 12 oktober 2022 14:50

Same issue here. Ik heb een gmail adres waarbij ik een woord heb gebruikt dat blijkbaar in een andere taal iets betekent. Hierdoor hebben meerdere mensen dat woord met een 1 of een 2 o.i.d. erachter geregistreerd. Echter, die vergeten ze nog weleens te gebruiken, dus krijg ik mailtjes met wachtwoorden van nieuwe accounts, word ik ineens onderdeel van een projectgroep en krijg ik steeds de vergaderstukken in de mail. Ook erg veel emails in die bewuste taal. Iedere week weer. <zucht>

jeroenathome @henkbob • 10 oktober 2022 18:51

Niet alle website accepteren het + teken in een mailadres. Dit heb ik meerdere keren meegemaakt. Gelukkig valt het mee wat ik aan spam binnen krijg. Zelfs op mijn spam adres kan het dagen duren voor er iets binnen komt.

AncientProphecy @Krulsprietje • 10 oktober 2022 18:34

Daar was ik aan begonnen, op de manier zoals henkbob en RoyTrenneman beschrijven, op jouw manier zou ik al heel snel tegen een aliaslimiet zitten (max 10 uit mijn hoofd bij mn eigen mailprovider, selfhosted/eigen domein is dat natuurlijk minder problematisch). Nadeel is wel dat https://haveibeenpwned.com/ geen ondersteuning bied voor de "+" alias en moet je alsnog alle aliassen los gaan verwerken als je ook je meldingen wil ontvangen van datalekken. Wat betreftde "+" aliassen, dat is natuurlijk een koud kunstje eruit te filteren waardoor de bron waar je email gelekt is alsnog niet te vinden is. Om die redenen ben ik er gauw weer vanaf gestapt haha.

[Reactie gewijzigd door AncientProphecy op 23 juli 2024 09:43]

Caelorum @AncientProphecy • 10 oktober 2022 18:55

Je moet ook geen alias instellen maar het op een catch-all/wildcard emailbox laten uitkomen.

The-Source @AncientProphecy • 10 oktober 2022 19:01

Het weghalen van de +alias is alleen zinvol als een partij zelf bewust zijn eigen data lekt. Voor een hacker zal het een worst wezen, zolang de spam maar aankomt

Paar jaar geleden was er nog een artikel hier dat een webshop alleen de klanten had ingelicht dat ze gehackt waren waarbij ze z'n alias zagen ( natuurlijk fout van die shop want die had alle klanten moeten inlichten)

DirtyBird @Krulsprietje • 10 oktober 2022 18:34

Hoe werkt dat dan? Waar kom je dan achter?

Farleaf @DirtyBird • 10 oktober 2022 18:40

Als je opeens Spam krijgt op bijv. Pietje+bol@hotmail.com weet je dat je gegevens op deze site werden uitgelekt.

Lapa @Farleaf • 10 oktober 2022 18:44

Ik vraag me toch sterk af hoe goed dit (nog) werkt. Spammers kennen dit trucje natuurlijk ook en kunnen gewoon die plus en het stuk erachter eraf halen.

Farleaf @Lapa • 10 oktober 2022 18:46

Modus operandi van het plus-teken zal inderdaad snel achterhaald worden. Maar zoals @AncientProphecy aanhaald kan dit perfect met een eigen gehost domein. Voor elke site genereer je dan een apart mailadres die doorsluist naar een algemene inbox.

Verwijderd @Farleaf • 10 oktober 2022 18:49

Ja, spammers zijn echt te dom voor deze wereld. Die zijn er inmiddels nog niet achter dat ze gewoon een simpel scriptje kunnen downloaden, copy pasten etc. waarmee ze helemaal automatisch +bol kunnen verwijderen.

Believe me, it doesn't work !

TheMoonMan0 @Krulsprietje • 10 oktober 2022 18:55

Ik gebruik hier bovenop ook nog simplelogin zodat het helemaal random is.

De accounts worden bijgehouden in een password manager dus weinig problemen.

KilljoyNL

@Krulsprietje • 10 oktober 2022 19:29

Yup wiedanook@mijndomein.nl gebruik ik precies op die manier, de gesprekken met die winkels en zo zijn wel erg leuk. Veel denken meteen dat ik een collega ben omdat hun winkelnaam in het mailadres staat.

computerjunky @Krulsprietje • 10 oktober 2022 19:56

Dit is precies waarom ik een eigen domein wil. Ik word helemaal knettergek van al die mail spam. Het is gewoon niet meer te lezen.
Gewoon ieder bedrijf of persoon een eigen mail adres geven en dan gewoon een catch all gebruiken.

RoyTrenneman @computerjunky • 10 oktober 2022 21:53

Pas dan wel op bij welke hosting club je dit doet.

Ik had bij Neostrada zoveel spam dat ik mijn eigen domein nauwelijks nog gebruikte voor email, maar nu ik bij WebOke zit is dat beduidend beter geregeld. Ik ontvang nagenoeg geen spam meer.

Zelf email hosten kan natuurlijk ook, maar daar ben ik te lui voor om me daarin te verdiepen.

Nox @Krulsprietje • 10 oktober 2022 20:46

Leuke sidenote, toen een grote webshop een leak had hebben ze users met webshopnaam@domein.nl gemaild of iets wat er op leek.

Toen een van die users tegen een andere bekende meldde dat zijn gegevens gestolen waren kwam dit aan het licht. Anderen kregen immers geen mail..

[Reactie gewijzigd door Nox op 23 juli 2024 09:43]

moonlander @Krulsprietje • 10 oktober 2022 22:34

Dus als ik een email stuur naar coolblue@krulsprietje.nl dan is Coolblue de boosdoener? Dat is toch geen bewijs dan.

Shaidar @Krulsprietje • 11 oktober 2022 07:55

Ik denk niet dat je het begrepen hebt. Lees dit nog eens: [...]één dan wel twee spaties tussen zinnen[...]. Dit gaat dus niet over de karakters in een e-mail adres, maar over de "body" text "in" een mail...

Waking_The_Dead @Krulsprietje • 11 oktober 2022 09:24

Je kan beter iets gebruiken als amazon.kd45p@ en bol.9u8r6@ ...
Want als iemand weet dat je een amazon@ hebt, kan die veronderstellen dat je ook een paypal@ hebt bijvoorbeeld. Door er een aantal willekeurige karakters aan toe te voegen, houdt je het adres alsnog uniek.

Krulsprietje @Waking_The_Dead • 11 oktober 2022 15:39

Dat is ook een idee! Eerlijk gezegd maak ik er niet zoveel gebruik van. Sterker nog, ik heb het idee van een vriendin gekregen.

dmystic @Jeanpaul145 • 10 oktober 2022 18:20

Dit was überhaupt niet een hele speciale methode om lekkers te detecteren. In koude oorlog fictie wordt dit gebruikt om spionnen te vinden, en het lijkt ook erg op de digitale watermarks in films om piraten te achterhalen

Blizz @Jeanpaul145 • 10 oktober 2022 19:02

Dit trucje paste ik 15 jaar geleden al in online tekstgames toe.

!null @Blizz • 10 oktober 2022 22:17

Dit was ook al bijna 15 jaar geleden he.

Blizz @!null • 11 oktober 2022 12:17

Je hebt nog gelijk ook. Het zal de dementie wel zijn.

mphilipp @Jeanpaul145 • 10 oktober 2022 19:11

Je kunt er natuurlijk eindeloos op variëren. Op verschillende manieren.

P_Tingen @Jeanpaul145 • 10 oktober 2022 19:45

Zo heel bijzonder is het ook weer niet. Ik had het zelf ook al eens bedacht als kopieerbeveiliging voor ebooks. Er zijn verschillende manieren om een tekst ogenschijnlijk hetzelfde, maar technisch nét even anders te presenteren. Je kan ook variëren met synoniemen of andere woordvolgordes. De individuele ontvanger kan niet zien hoe de mail er bij anderen uitziet en de tekst van de mail bewerken is lastig omdat je niet weet waar je op moet filteren. De enige optie die overblijft is de mail zelf navertellen in eigen bewoordingen.

trucker0werner @Jeanpaul145 • 10 oktober 2022 20:37

Precies degene die wil leaken gaat extra spaties her en der neer zetten en degene waar 2 staan er 1 weg halen. Gevolg code wordt anders en je kan hem niet meer vinden.
Al is de kans groot dat het niet op 1 a4tje qua tekst gaat maar veel meer. En mogelijk dat ze gevoel hadden wie het kon zijn.

Sir_Murray @Jeanpaul145 • 10 oktober 2022 20:47

Dit is een truck die ze in 2008 gebruikten en er zijn genoeg van dit soort gelijke trucs te gebruiken. Het afschrikkende effect (en de bonus pr zoals dit soort artikels) is ook nuttig.

Tarquin @Jeanpaul145 • 10 oktober 2022 23:05

Dan verzin je toch een andere codering?
Het punt is dat jij niet weet wat de codering is. Leestekens, spaties of zelfs synonieme woorden.
Er is zelfs een systeem om hiermee een digitale handtekening in e-boeken te plaatsen.

cappie @Jeanpaul145 • 11 oktober 2022 09:24

Of gewoon een neuraal netwerk de opdracht geven om inhoudelijk telkens dezelfde email te typen, maar telkens weer met een IETS andere layout, zinsindeling of woordgebruik, waardoor je een unieke string van worden geeft met allemaal een unieke hash.

Als je toch al zelf dit soort hardware in-house aanwezig hebt (+ voldoende AI engineers) kan je dit relatief eenvoudig opzetten, helemaal als je al OpenAI in de pocket hebt en GTP-3 hebt ontwikkeld wat dit PRIIIIMA kan doen.

Of breng ik nou weer 'dictators in spe' op ideeën?

Vogel666 @Jeanpaul145 • 11 oktober 2022 13:56

Wellicht een leuke methode om het jaarlijks lekken van de miljoenennota eens grondig te stoppen.

Arthur156 @Jeanpaul145 • 12 oktober 2022 08:41

Ze leaken pas als ze al lang een ander systeem hebben.....

Kakarottt @Jeanpaul145 • 12 oktober 2022 13:10

Ik heb het artikel en reacties gelezen, maar ik snap nog steeds niet hoe dit werkt. In de body van een e-mail worden twee spaties geplaatst en verzonden naar alle medewerkers. Hoezo onstaat dan een binair systeem en kan dan een eventuele leaker worden gevonden?

Jeanpaul145 @Kakarottt • 12 oktober 2022 13:39

Het is meer dat de verzender verschillende versies naar verschillende groepen werknemers stuurt, of in het extreme geval een unieke versie naar elke werknemer. De punctuatie is een niet-per-se-duidelijke manier om de versies uniek te maken op een manier dat het nog zichtbaar is op bv een screenshot, 9f een copy-paste.

Kakarottt @Jeanpaul145 • 17 oktober 2022 07:37

Helder, thnx!

PhilipsFan 10 oktober 2022 21:38

Hmm, ik vraag me werkelijk af welke rechter meegaat in dit soort onzin. Dus als je in een mail een spatie toevoegt of verwijdert voordat je de mail doorstuurt (ik ZIE dat soort dingen), hoort de code ineens bij een ander en DIE wordt dan ontslagen? Wazig.

Ventieldopje @PhilipsFan • 11 oktober 2022 00:21

Er zijn ook karakters die meegestuurd kunnen worden en niet zichtbaar zijn

mcDavid @Ventieldopje • 11 oktober 2022 10:38

Onzichtbare karakters zijn júíst verdacht. PhilipsFan kan waarschijnlijk perfect ZIEN of een spelfout bewust of onbewust is, en of de interpunctie in zijn mail exact het zelfde is als in andere mailtjes.

uiltje @PhilipsFan • 11 oktober 2022 14:03

Je kan de mailtjes prima uniek maken met genoeg whitespace tot je beschikking. En je moet natuurlijk aannemen dat je niet weet welke mailtjes / signatuur je collega krijgt.

Dit hoeft natuurlijk niet het primaire bewijs te zijn; het lijkt me wel voldoende om de computer en werkwijze van de collega eens flink tegen het licht te houden. Zo kan je bijvoorbeeld kijken of iemand het mailtje heeft gedeeld; als dat niet het geval is kan iemand moeilijk gokken waar ze moeten staan.

Pompi 10 oktober 2022 19:02

Ik weet niet of uitgevers van Eboeken het nog steeds doen, maar ze hebben een tijd lang dit ook gedaan zodat ze dan konden zien wie hun Eboeken zonder toestemming op bijvoorbeeld Usenet of Torrents zette. Het werkt met spaties, maar ook dingen als afbreekstreepjes waardoor bij de ene persoon het wordt afgebroken wordt en bij de ander gewoon volledig op de volgende regel kwam te staan.

360Degreez @Pompi • 10 oktober 2022 22:06

Dit gebeurde in het verleden ook met muziekreleases. Bij het versturen van de masters naar de partij die voor release met de muziek aan de slag moest, kregen bepaalde tracks een afwijking in het arrangement zodat ze konden zien welke partner de muziek lekte naar bootleg cd's of torrents.

Z100 @360Degreez • 10 oktober 2022 22:31

Of met printers. Waarbij onopvallende gele micro puntjes in een willekeurig patroon aan een print worden toegevoegd.

Jeoh @360Degreez • 11 oktober 2022 01:36

Universal Music Group gebruikt nog altijd een 'audible watermark' in hun muziek: https://www.mattmontag.co...versals-audible-watermark

Groningerkoek @Pompi • 10 oktober 2022 19:48

Het succes daarvan duurde maar heel even omdat men al heel snel eerst 2 versies ging vergelijken om daarna een neutrale versie online te gooien.

Bergen 10 oktober 2022 18:38

In Linux heb je hier een leuke tool voor: snowdrop. Afhankelijk van de lengte van de inputtext kan die zelf meerdere woorden embedden/watermarken in een tekst, door middel van het toevoegen van spaties, grammaticale aanpassingen, en met synoniemen. Zo kun je dus zelfs de naam van de geadresseerde erin verwerken.

SRI @Bergen • 10 oktober 2022 19:05

Zover dus voor het systeem wat de 'alwetende en almachtige' meneer Musk dus zelf bedacht heeft.

ultimasnake @SRI • 10 oktober 2022 19:19

De snowdrop repository is 2 jaar oud, elon deed dit i 2008

TheVivaldi @ultimasnake • 10 oktober 2022 19:38

https://salsa.debian.org/pkg-security-team/snowdrop

" Copyright (C) 2002, 2003 by Michal Zalewski <lcamtuf@coredump.cx>"

Het is dus al ouder.

Daarbij zei Bergen ook niet dat Elon dit gebruikt had.

ustinov @ultimasnake • 10 oktober 2022 19:40

De snowdrop tool bestond al langer.
Er is vast een betere manier im de version history te achterhalen, maar snowdrop bestond in ieder geval al in beta in 2002.
https://www.mail-archive.....debian.org/msg15890.html

MneoreJ @SRI • 10 oktober 2022 19:15

Het is niet uit te sluiten dat hij het inderdaad zelf bedacht heeft en daarbij domweg niet op de hoogte was van de "prior art" in dezen. Hij zou noch de eerste, noch de laatste zijn om iets opnieuw te bedenken zonder dat te weten.

The Third Man @SRI • 10 oktober 2022 21:27

Niemand beweert dat toch? Alleen dat het zijn idee was om dit toe te passen om de lek/mol te vinden.

bytemaster460 @SRI • 10 oktober 2022 19:56

Ik denk dat dit principe door vele mensen in de wereld al is bedacht en toegepast. Sommige inventieve ideeën komen gewoon parallel op.

akooijman @SRI • 11 oktober 2022 07:42

Musk is nu eenmaal meester in het verkopen van andermans ideeën.
Toegegeven: het is een buitengewoon slim me verkoper (van tweedehands ideeën), maar geen uitvinder en geen briljante engineer.
Het naïeve deel van de wereld denkt dat hij dit eenvoudige maar geniale systeem bedacht heeft.

SRI @akooijman • 11 oktober 2022 07:48

Ja het lijkt een goed concept. Apple verkoopt ook elk jaar weer nieuwe features die nog nooit vertoond zijn op iPhones (hoogstens al jaren op Android). En ze krijgen er zakken met geld voor.

Eigenlijk wel ergens jammer dat marketing zo belangrijk is in plaats van gewoon het beste product hebben (in het algemeen bedoeld, niet bedoelt als een specifieke steek naar Apple of Tesla)

Amanoo 10 oktober 2022 18:23

Ik zou ze waarschijnlijk allemaal hebben weggehaald voordat ik het bericht uitlekte. Niet eens vanwege een vermoeden dat ik gecontroleerd word. Ik haat gewoon overtollige spaties. Of ze moeten van die onzichtbare tekens gebruiken, want wat je niet ziet kan je niet zomaar weghalen. Je moet er wel bewust van zijn.

robertwebbe

@Amanoo • 10 oktober 2022 18:42

Ze stonden mogelijk in de witregels.

Amanoo @robertwebbe • 10 oktober 2022 19:05

Als je gaat selecteren kan je die wel zien.

SuperDre @Amanoo • 10 oktober 2022 22:06

Maar er zullen maar weinig mensen dat doen als ze informatie doorsturen.

NEO256 @Amanoo • 10 oktober 2022 19:15

In HTML opmaak worden spaties behalve de eerste genegeerd.
En al helemaal als ze buiten een element staan, dan wordt het veelal geteld als whitespace.
En dan kun je nog dingen als thin spaces gebruiken.

Stranding 10 oktober 2022 18:23

Leuke variant van de Canary Trap: https://en.m.wikipedia.org/wiki/Canary_trap

aap @Stranding • 10 oktober 2022 18:33

Die wiki refereert ook aan Tesla (in 2008), maar zegt dat de methode toen mislukte.

Het is me nu niet duidelijk of dit om dezelfde of een andere lek-test gaat.

Finnrt 10 oktober 2022 19:03

Ik ben wel erg benieuwd hoe dit er dan uit zag? Naar hoeveel mensen hebben ze dit gestuurd? Hoe zouden ze dit ergens hebben geregistreerd? Is die e-mail ergens in te zien?

ultimasnake @Finnrt • 10 oktober 2022 19:16

In theorie kan je hele lappen data erin kwijt als je alle ‘aantal spaties’ omzet naar iets anders (2x spatie, 1x spatie, 3x spatie = a) bijvoorbeeld.

Ik vind het heel clever, wij hebben dit met hidden characters in de header rii van excelsheets. De eerste 10 kolomen bevatten uiteindelijk een ‘guid’ die geregistreerd is aan een export log

niet perfect (opslaan als csv gooit een hoop eruit) maar het valt enigszins te herleiden als het ooit nodig is

Free rider @Finnrt • 11 oktober 2022 01:57

Waarschijnlijk was het HTML mail. Dan zie je helemaal niks. Waarom? Vvolgens de HTML-spec moeten meerdere (gewone) spaties als één spatie worden getoond.
Als je die spec zelf wilt nalezen: het volgt uit allerlei andere specs en definities. Maar als je in Google zoekt op "why are my html spaces not showing" dan zie je dat velen ons voorgingen met deze vraag.

Verwijderd 10 oktober 2022 19:24

Gedurende de ontwikkeling van de Nokia N9 werden er in documenten en ook op de prototypes markeringen en zowel verborgen als obviously zichtbare zaken toegevoegd om lekken in bv. de media te kunnen attribueren aan bepaalde groepen van ontwikkelaars.

Dit wordt in de techsector dus vaak gedaan.

Bron: ik werkte voor Nokia aan de N9, en heb hier veel voorbeelden van gezien.

ps. Vooral mockups en screenshots werden wel eens per team anders gemaakt. Om te zien welk UI concept bv. hier op Tweakers terecht kwam. Wees ook maar gerust dat toen deze website in het oog gehouden werd, dat wij specifieke instructies kregen over wat er hier geschreven en gecommentarieerd werd. En dat je in die periode mij dus niets hierover zag zeggen. Niet ontkennen, niet bevestigen. Niets. Er werden uiteraard mensen ontslagen en vervolgd hiervoor.

Ik pleit er dan ook voor dat journalisten geen zaken zoals leaks online zetten tenzij goedgekeurd door het bedrijf. Want ze veroorzaken vooral einde carriere en ook vooral onwetendheid en geruchten. Enkel vertrouwelingen krijgen de echte specificaties in volledige zin.

Trouwens, tijdens ontwikkeling veranderen dit soort zaken toch continue.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:43]

Blokker_1999

Bedrijfsnieuws
Tesla

@Verwijderd • 10 oktober 2022 19:47

Ik pleit er dan ook voor dat journalisten geen zaken zoals leaks online zetten tenzij goedgekeurd door het bedrijf. Want ze veroorzaken vooral einde carriere en ook vooral onwetendheid en geruchten. Enkel vertrouwelingen krijgen de echte specificaties in volledige zin.

Trouwens, tijdens ontwikkeling veranderen dit soort zaken toch continue.

Daar ga ik niet mee akkoord. Een journalist die informatie krijgt aangeboden moet die informatie naar waarde schatten en, als hij deze belangrijk genoeg vindt, publiceren. De persoon die de informatie lekt naar de pers hoort te weten dat deze een NDA aan het schenden is. Dat zulke informatie in goed vertrouwen gegeven is en dat deze een akkoord heeft gesloten met de verstrekker van die informatie om niets naar buiten te brengen.

Als de pers alleen maar informatie van fabrikanten zou brengen dan kunnen we met zen allen evengoed gewoon zelf de press releases gaan beginnen lezen. Dan heb je geen nieuwsmedia meer nodig.

Die onwetendheid en geruchten worden daarnaast door vele bedrijven ook weer gewoon gebruikt. Als er toch informatie uitlekt en die wordt onverwacht overwegend negatief ontvangen, dan weet je dat je een probleem hebt waar je iets aan moet doen.

Dat tijdens de ontwikkeling zaken continue veranderen, daar zijn de meeste mensen zich wel bewust van, maar vroege lekken geven vaak wel een indicatie van welke kant men op wil met een product en kan al interesse wekken van potentiele klanten.

jpsch 10 oktober 2022 20:29

Dat is toch al zo oud als het e-book? Musk heeft niets bedacht.

The Third Man @jpsch • 10 oktober 2022 21:33

Hij zegt dan ook dat het zijn idee was om het in dit geval te gebruiken. Niemand beweert dat hij het voor het eerst bedacht/uitgevonden heeft.

Roel1966

10 oktober 2022 22:53

Toch zit ik mij af te vragen hoe waterdicht dat systeem is/was want stel dat een werknemer toegang tot meerdere mailaccounts had van andere werknemers. Lijkt mij namelijk een beetje stug dat een werknemer die stiekem informatie doorgespeeld heeft dit via zijn eigen account gedaan heeft. Dus de kans bestaat erop dat er nu misschien onterecht een werknemer ontslagen is. Frappant ook dat Tesla geen verdere actie ondernomen heeft onder het mom dan van 'te druk'.

qlum

@Roel1966 • 10 oktober 2022 23:19

Het hoeft geen waterdicht bewijs op te leveren, maar dit is wel genoeg om in ieder geval de juiste richting op te wijzen voor verder onderzoek. Vaak zijn er ook andere aanwijzingen die bij elkaar genoeg bewijs vormen.

[Reactie gewijzigd door qlum op 23 juli 2024 09:43]

klonic @Roel1966 • 11 oktober 2022 09:38

Vaak mag je je account ook niet delen. En mogelijk mocht je die specifieke e-mail ook niet delen.

Dus die werknemer heeft hoe dan ook iets verkeerd gedaan. In Nederland kan je je dan mogelijk achter 1001 verklaringen verschuilen maar ik kan me voorstellen dat die pet niet overal in de VS opgaat.

Daarnaast denk ik dat het vertrouwen tussen de partijen ook behoorlijk verziekt zou zijn. Stel dat die persoon daar toch mag blijven werken. Dan kan je er wel vanuit gaan dat elke seconde op de werkvloer een hel is. In de VS kan je dan uiteindelijk ontslagen worden omdat je bijvoorbeeld te vaak ziek bent.

Wat ik eigenlijk zeg is dat werknemers bescherming veel minder is in de VS.

[Reactie gewijzigd door klonic op 23 juli 2024 09:43]

Roel1966

@klonic • 12 oktober 2022 02:25

Vaak mag je je account ook niet delen. En mogelijk mocht je die specifieke e-mail ook niet delen.

Met toegang tot meerdere accounts bedoel ik niet op een legale manier maar dat diegene misschien meerdere accounts gehackt heeft.

Dus die werknemer heeft hoe dan ook iets verkeerd gedaan.

Ja, alleen stel dat het mailaccount van de nu ontslagen werknemer gehackt is, dan loopt dus de werknemer die echt de schuldige was nu nog steeds daar gewoon rond.

klonic @Roel1966 • 13 oktober 2022 16:57

Dat zou kunnen, ik vraag me wel af of dat "reasonable doubt" is of dat dit onredelijk is..... Mogelijk past het lekken ook in het gedrag an de ontslagen medewerker.

Op dit item kan niet meer gereageerd worden.

Tesla 'verstopte' extra spaties in e-mails naar werknemers om lek op te sporen

Lees meer

IT-banen

Reacties (200)

Sorteer op:

Weergave: