Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Het Britse advocatenkantoor ACS:Law hangt een hoge boete boven het hoofd, omdat een groot adressenbestand van het bedrijf recentelijk na een ddos-aanval op internet belandde. De boete zou kunnen oplopen tot vijfhonderduizend pond.

Volgens de Britse Information Commissioner Christopher Graham heeft ACS:Law flink wat vragen te beantwoorden over het lek, waarmee het bedrijf de Britse Data Protection Act geschonden heeft. Zo wil Graham weten hoe goed de informatie beveiligd was, en hoe het mogelijk was dat deze zo makkelijk benaderd kon worden van buitenaf. Ook het feit dat de lijst met namen niet versleuteld was, zit Graham niet lekker. Zijn functie geeft hem de macht om, indien nodig, boetes tot vijfhonderdduizend pond op te leggen.

Het lek, waardoor onder andere persoonsgegevens en emails op straat kwamen te liggen is het gevolg van een ddos-aanval die werd uitgevoerd door leden van de website 4Chan. Toen de site van het advocatenkantoor na de aanval weer online kwam, werd in de root een backup van de site gevonden, die inmiddels op torrentwebsites circuleert. Het bestand bevat onder andere een lijst met persoonsgegevens van duizenden mensen die mogelijk illegaal pornofilms hebben gedeeld, alsmede een verzameling emails die door medewerkers van het bedrijf aan elkaar verstuurd zijn.

ACS:law vertegenwoordigt onder andere platenmaatschappijen en filmdistributeurs, en verstuurt in het Verenigd Koninkrijk op grote schaal brieven naar internetgebruikers. In de brieven worden schadevergoedingen geëist, omdat de aangeschreven personen auteursrechtelijk beschermd materiaal via p2p-netwerken zouden hebben gedeeld. Het kantoor kreeg echter veel kritiek over zich heen, omdat het de brieven lukraak zou versturen, niet met bewijzen zou komen en aangeschrevenen onder grote druk zou zetten om de 'schikkingsbedragen' te betalen.

Moderatie-faq Wijzig weergave

Reacties (33)

wacht even, dus als mijn adresboek word gestolen uit mijn huis nadat iemand mij naar buiten heeft gelokt zodat de deur nog openstaat (DDos attack) moet ik betalen omdat mijn adres boek is gestolen. Lijkt me toch een beetje krom.
Belachelijke vergelijking.

Particulier != bedrijf
Jouw adresboekje != data door en bedrijf verzameld, waar op wetten rusten die zegt dat ze die data goed moeten beveiligen
Stelen uit een huis != een bestand downloaden dat vrij op het internet staat
Het is meer dat jij een onversleutelde usb stick in de trein achterlaat met al je adressen en als excuus opgeeft dat je veel aan je hoofd had.
Nee, het is geen diefstal geloof ik. Ze hebben het eigenlijk zelf in de public dir gezet (ofwel, een van hen sysadmins), waardoor je letterlijk de gegevens op straat zet. Sinds het hier om privégegevens en bedrijfsinformatie gaat.. zie ik wel enige logica.
En wat als jij nu een psycholoog bent en er in dat boekje naast adressen ook nog eens patientendossiers zijn te vinden en je dit boekje naast/voor de deur legt? Dat is al iets vergelijkbaarders. Overigens zou je dan ook wel op zijn minst de deur achter je dicht mogen maken lijkt me als iemand je dan naar buiten lokt.

Met andere woorden, een bedrijf dat gegevens verzamelt dient er voor te zorgen dat deze redelijkerwijs niet achterhaald kunnen worden aangezien ze een verantwoordelijkheid hebben naar de personen over wie deze gegevens gaan.

Maar dit is eigenlijk alleen maar een poging tot verduidelijking van de post van HAL 9000.

[Reactie gewijzigd door crizyz op 28 september 2010 21:58]

Als je ziet hoe zij willekeurig bedreigingen sturen naar mensen zonder ook maar enige vorm van bewijslast vindt ik dit een goed iets. Alleen zouden ze daar ook voor gestraft moeten worden, imo.

Want dat is toch gewoon illegaal wat zij doen?
Bedenk dat de informatie ook niet helemaal op legale wijze verkregen is (dmv ddos)
Nee, die ddos zorgde er niet voor dat de backup ineens zichtbaar was. Het was in een reactie op de ddos om het systeem weer online te krijgen dat er een backup op een zichtbare plek is neergezet, waarschijnlijk door een beheerder die zat te slapen.

Als ik iemand's ruit ingooi, en de eigenaar van de woning repareert de ruit maar laat daarbij zijn ladder per ongeluk buiten staan die vervolgens wordt gejat, dan ben ik daar niet de oorzaak van.
Daar gaat het hier niet om, het is meer dat hun data totaal niet beveiligd was, en bij de eerste de beste DDoS online verschijnt... Hadden de 'hackers' alleen een versleuteld bestand in handen gekregen waar ze verder niks mee konden, dan was het anders, maar nu blijkt dat ze geen idee hadden dat je zoiets (in overeenstemming met de wet) dient te beveiligen...
Is wel op legale wijze verkregen, stond gewoon online, de bedoeling van de raids was niet binnendringen in hun systeem. Dit is elementaire slordigheid. Maakt trouwens niet uit, ze zijn al quasi failliet dus mensen gaan hun niet meer zelf kunnen aanklagen. Wat eigenlijk ook de vraag doet rijzen waar hun geld naartoe is en of dit geen simpele dekmantel is van de auteursmaatschappijen. En brengt ook de zorgwekkende vraag naar voor waarom de Commissioner meer wil weten over het lek als over de massale afpersing die er gestructureerd uitgevoerd werd.
Hoezo illegaal? Over het algemeen word je gewoon een schikking aangeboden. Als je er van overtuigd bent dat je niets geshared hebt dan laat je het toch gewoon voorkomen?

Dat is exact dezelfde werkwijze als dat o.a. de Nederlandse overheid er ook op nahoud bij snelheidsovertredingen.
3X raden wie er t geld en tijd voor heeft om het te laten voorkomen?
Zal ik je ff een mail sturen met een melding dat je illegaal download en dat je me 10000 euro mag storten als schikking?
Ik heb je compleet willekeurig gekozen hoor!!!
(niets persoonlijk tegenover jou, gewoon een vb. van wat ik als punt wil maken ( voila, das 1 comment, nu nog al de rest afgaan van diegene die hier gaan reageren en dan het geld zien binnenstromen, ik kan wel een nieuwe pc gebruiken))
Dat klopt niet helemaal. In dit geval is het namelijk meer een geval van adressen prikken en er schikkingen naar toe sturen. Zonder dat er ook maar iets van bewijs is. Dus denk ook aan bejaarde opa en oma die geen computer hebben en zo'n brief op de mat vinden. Maw. hier moet wat aan gedaan worden. Dit soort praktijken zijn belachelijk!
Hoezo illegaal? Over het algemeen word je gewoon een schikking aangeboden. Als je er van overtuigd bent dat je niets geshared hebt dan laat je het toch gewoon voorkomen?

Dat is exact dezelfde werkwijze als dat o.a. de Nederlandse overheid er ook op nahoud bij snelheidsovertredingen.
Dat is niet echt een goede vergelijking. Want je moet er rekening mee houden dat je bij de overheid altijd aan het kortste eind zal trekken.

Maar om terug te komen.

Het gaat niet om dat ze illegaal bezig zijn. Maar wel nonchalant zijn met de privacy van hun cliënten / personen die ze aanklagen. :/

[Reactie gewijzigd door popolskuprosze op 28 september 2010 20:32]

Want de overheid stuurt ook lukraak brieven naar Jan en alleman? Als de overheid je een schikkingsvoorstel doet in de vorm van een boete dan is er een zeer sterk vermoeden dat jij iets fout hebt gedaan. Niet dat de overheid perfect is, en gelukkig kun je daarom je boete voor laten komen. Maar mocht de overheid willekeurig mensen gaan aanschrijven die zich prima aan de snelheid houden, dan zal dat zeker een stevige rel opleveren.

Ik weet natuurlijk niet of dit bedrijf ook daadwerkelijk willekeurig brieven verstuurde, of dat er wel degelijk iets achter zat. Overigens lijkt me dat de bewijslast nog behoorlijk lastig rond te krijgen is voor zo'n copyrightschendingszaak. Dus de kritiek zal vast niet volledig uit de lucht gegrepen zijn.
Mah, kwam vandaag in een SVN trunk van GoogleCode project een .sql file tegen met daarin een backup van alle login gegevens (en aankoop-history) van een online computerwinkel; in totaal meer dan 1200 entries (inclusief adres en tel gegevens).

Moeten die ook meteen een boete krijgen?

Heb wel zo netjes een mailtje naar de webmaster gestuurd maar natuurlijk niets van gehoord.
Moeten die ook meteen een boete krijgen?
JA! Persoonsgegevens zijn een enorm belangrijke zaak, en daar mag niet nonchalant mee omgesprongen worden. Ik vind een boete ook in jouw voorbeeld op z'n plaats, bedrijven moeten leren dat je dat soort gegevens niet zomaar kunt laten slingeren.
Alleen de meest belangrijke gegevens (die de overheid heeft) kunnen op straat komen, wat er is toch geen consequentie voor de persoon die dat heeft laten gebeuren.

Misschien is ontslag het ergste dat er kan gebeuren. Kijk als ze nu gevierendeeld zouden worden als ze iets fouts doen, dan zou het misschien niet nog een keer gebeuren.
WTF? Dat is toch niet leuk om te horen zoiets!
Ik zou hier serieus op aandringen dat ze die zooi van het net halen!
En anders aangifte doen of naar het CBP gaan.
Wat een @#$%$%&$, nou ja laat maar. :(
Die mannen intimideren dus mensen om schikkingen te betalen i.p.v. naar een rechtbank te gaan met fatsoenlijk bewijs.

Het zou me dus niet verbazen moesten ze de lijst zelf gelekt hebben als duidelijk signaal aan degenen die niet willen schikken: betalen of we maken je zaak openbaar.
Die mannen intimideren dus mensen om schikkingen te betalen i.p.v. naar een rechtbank te gaan met fatsoenlijk bewijs.
Dat hoor ik nu al jaren.

En al die jaren is er niemand die het gewoon niet betaald en het laat voorkomen? Niemand van al die aangeklaagden had een rechtbijstand verzekering? Niemand van die mensen heet al de verontwaardigde tweakers om steun gevraagd om de strijd aan te gaan?

Of zou het zo zijn dat al de mensen die een schikking aangeboden kregen, best weten dat ze fout zitten en daarom betalen? Ik ken er persoonlijk wel een paar die dat gedaan hebben. Mensen die zich helemaal niet makkelijk laten intimideren maar liever een veroordeling wilde vermijden.
Of zou het zo zijn dat al de mensen die een schikking aangeboden kregen, best weten dat ze fout zitten en daarom betalen?
Jij bent niet degene die daar uitspraak over kan doen. De enige die dat weten zijn (mogelijk) ACS:Law en de betrokkene.

Het enige wat wij weten is wat in het artikel staat en dat is dus dat ACS:Law in opspraak is geraakt door willekeurig mensen aan te schrijven en schikkingen af te dwingen. Of dat waar is staat in het midden (hoe erg je er ook aan kan twijfelen).

Tevens hebben we het hier over het VK en niet over NL.

[Reactie gewijzigd door LollieStick op 29 september 2010 11:38]

Pay-back time :D.
Inderdaad het lijkt me er komisch om dadelijk te lezen dat er mensen zijn die ACS gaan aanklagen omdat ze in verband zijn gebracht met prono terwijl dat volgens hun niet zo is.
Kan die information commissioner ook iets komen roepen over onze Elektronische Patienten Dossier? ;)
Iets als "just minding my own business"? Want ik zie de relatie tussen die 2 ook niet.
Lijst even gedownload maar zie mezelf er niet in staan :*)
Het is toch een britse lijst? :+
Leden van de website 4chan? Die zijn er niet.
Waanzin, het was Anon
wat natuurlijk betrekkelijk raar is dat er duizenden sites zijn met dit soort lekken maar dat er in dit geval een boete opgelegd moet worden. Iemand baalt er van dat zijn geheimpjes op straat liggen...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True