Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 210 reacties

Als gevolg van een beveiligingsprobleem in de website van het Sinterklaasjournaal kon een hacker gegevens van 13.000 kinderen opvragen. Het lek zou te maken hebben met een tool die al sinds 2005 werd gebruikt en onvoldoende was beveiligd.

SinterklaasjournaalDe hacker claimt dat hij de gegevens van duizenden kinderen heeft kunnen inzien. De publieke omroep NTR bevestigt dat; het ging om de gegevens van 13.000 kinderen. "Het gaat om een tool die sinds 2005 online staat", zegt woordvoerster Helen Albada van de NTR. "Die tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd." De tool werd, ondanks de slechte beveiliging, ook dit jaar nog gebruikt.

De tool gaf kinderen de mogelijkheid om bijvoorbeeld tekeningen in te sturen en kleurplaten te downloaden, maar bleek ongewild tot meer in staat. Via sql-injectie, een vaak voorkomende methode om beveiligingen te omzeilen, kon een databasedump worden gemaakt. Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. "Dat zou niet netjes zijn", zegt hij.

Volgens de hacker ging het trouwens om een tabel met de naam 'verlanglijstjes', maar Albada zegt dat dergelijke functionaliteit niet op de website van het Sinterklaasjournaal te vinden is. Die functionaliteit zat aanvankelijk wel in de gehackte tool, maar is inmiddels verdwenen. Het ging bij de hack niet om het 'grote boek' waar gegevens van 1,5 miljoen kinderen in stonden, benadrukt de NTR.

De oproep van het Sinterklaasjournaal

Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen in het 'grote boek', omdat ze anders 'geen cadeautjes zouden krijgen'. Volgens ict-jurist Arnoud Engelfriet is de actie twijfelachtig; kinderen onder de zestien mogen niet zonder toestemming van hun ouders hun persoonsgegevens vrijgeven en de publieke omroep NTR heeft de verwerking van de gegevens niet aangemeld bij het CBP, wat in strijd is met de Wet bescherming persoonsgegevens. De NTR stelt echter dat het 'verder niets met de gegevens doet', dus dat het de registratie daarom niet aan zou hoeven melden.

Moderatie-faq Wijzig weergave

Reacties (210)

1 2 3 ... 7
De NTR stelt echter dat het 'verder niets met de gegevens doet', dus dat het de registratie daarom niet aan zou hoeven melden.
Hier vergissen ze zich lelijk. Het klopt wat eerder is gesteld dat als er geen duidelijk doel is, dat dan deze gegevens uberhaupt niet gevraagd mogen worden. Wat ze even vergeten is dat ook het opslaan van gegevens onder de verwerking van gegevens wordt verstaan.
WBP, Artikel 1, onder b.:
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
b. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Los van deze juridische bezwaren, vind ik het zeer onethisch van de NTR om kinderen te dreigen dat ze geen cadeautjes krijgen als zij hun privacy niet willen opgeven! Wat moet ik hier als ouder mee? Kan ik nog weigeren?

[Reactie gewijzigd door ahbart op 22 november 2011 11:34]

Uitleggen hoe het werkelijk zit met Sinterklaas :)

Maar je hebt gelijk imho.
Laten we wel wezen: een ieder die het Sinterklaasjournaal volgt, weet dat je alles wat ze vertellen met een flinke pepernoot moet nemen. Ouders hebben hier ook een verantwoordlijkheid in richting hun kinderen.

Ook hebben ze inmiddels al in het Sinterklaas Journaal verteld dat het boek af is, al is het nu verdwenen wat pakjes avond opnieuw in gevaar brengt.

Maar net als ieder jaar komt alles goed tijdens de laatste uitzending en kunnen we gerust pakjesavond vieren.

Ik ben het met je eens dat het niet OK is hoe er met de persoongegevens wordt omgesprongen (slechte beveiliging) en dat het niet is aangemeld bij het CBP. Ook ik heb mij in eerste instantie afgevraagd waarom ook het email adres moest worden ingevoerd. Overigens kon je gerust hetzelfde email adres voor alle kinderen/volwassenen gebruiken.

Nogmaals, ik wil het niet bagataliseren, maar als je e.e.a. in het licht van programma bekijkt is het gekozen plot en de uitwerking best wel leuk bedacht.
Klopt alles wat ze op die site met die gegevens doen kan ook zonder ze op te slaan. Die hele database had er gewoon nooit moeten zijn.
Los van deze juridische bezwaren, vind ik het zeer onethisch van de NTR om kinderen te dreigen dat ze geen cadeautjes krijgen als zij hun privacy niet willen opgeven! Wat moet ik hier als ouder mee? Kan ik nog weigeren?
Hoe bedoel je, kan ik nog weigeren? Je moet weigeren, anders werk je ook nog mee aan die vreselijke afperserij.
De beste vrouw in kwestie gaf aan dat er geen doel was met de gegevens. Dit betekent dat de gehele situatie sowieso had kunnen worden voorkomen, want zonder een doel geldt het volgende:

3.3 Persoonsgegevens mag ik alleen verwerken
voor een bepaald doel en op basis van een bepaalde
grondslag:wat betekent dat?

U mag op grond van de Wbp persoonsgegevens alleen verzamelen als u
daarvoor een doel hebt. Dit doel moet:
• welbepaald;
• uitdrukkelijk omschreven; en
• gerechtvaardigd zijn.
U mag geen gegevens verzamelen zonder dat u het doel waarvoor u dat doet,
duidelijk hebt bepaald. U mag gegevens uiteraard ook voor meerdere doeleinden
verzamelen. Die doeleinden hoeven niet noodzakelijkerwijs verband te houden
met elkaar.
Het doel of de doeleinden moet u omschrijven vóórdat u begint met het
verzamelen. Het is dus van belang dat u goed inventariseert en omschrijft voor
welke gerechtvaardigde doeleinden u bijvoorbeeld uw klantgegevens gaat
verzamelen en verwerken.Doet u dat niet, dan beperkt u uw mogelijkheden.U
mag de doeleinden tijdens het verwerkingsproces namelijk niet zonder meer
veranderen of uitbreiden.Wel mag u onder omstandigheden gegevens die u
voor een bepaald doel hebt verzameld, ook voor andere doeleinden verder verwerken.

Bron: http://www.cbpweb.nl/pages/ind_wetten_wbp.aspx

[Reactie gewijzigd door Ashy op 22 november 2011 10:28]

Ze hadden gewoon geen database erachter moeten hangen, eenmalig mail sturen, of zelfs niks met de gegevens doen, maakt voor die kinderen toch niks uit.
Mensen, mensen, mijn dochter is ook ingeschreven in het grote boek. En, zoals met de meeste kinderen die Sinterklaas nog echt leuk vinden, is zij van een leeftijd dat ze zelf nog niet kan schrijven. Ik heb haar dus ingeschreven in het grote boek. En dus impliciet toestemming verleend!
Ik weet niet hoeveel mensen in deze thread hun kind wel hebben ingeschreven, maar wat daarna kwam was dus ongelooflijk indrukwekkend voor de kleine, er kwam een filmpje van Sinterklaas die zei (ik parafraseer want de letterlijke tekst weet ik niet meer): "Lieve {naam van kind dat zojuist ingevuld was}, je bent nu ingeschreven in het grote boek". Mijn dochter stond met open mond te kijken dat Sinterklaas tegen haar aan het praten was. En dat is me meer waard dan dat er heel misschien iemand haar e-mailadres nu gaat gebruiken voor spam. Zelf kan ze niet schrijven of lezen, dus ook niet inloggen op haar e-mail adres. Tegen de tijd dat ze zelf een e-mail adres kan beheren, maak ik wel een nieuwe aan voor haar.
Hoe mooi ze het ook vormgegeven hebben, daar heb je namelijk marketeers en designers voor, het punt is dat ze mailadressen van kinderen verzamelen, opslaan, en niet adequaat beveiligen.

Iemand had voordat ze dit online zetten en in de programmering/uitzending verwerkten, moeten nadenken als een volwassene.

Nu is het gebeurd, dat veranderen we niet meer, maar wat leren we ervan voor de toekomst?
Dat kan allemaal ook door die gegevens alleen voor dat filmpje te gebruiken en verder niet op te slaan.
Sint en Piet balen als een stekker,
Alle lijstjes weg door een hacker!
De mooie website gekraakt, onheiligd
Omdat SQLpiet niets had beveiligd.
Doe daarom maar voor volgend jaar
een patchje, hier en daar.

Van de interwebkraakpiet
die ook van pepernoten geniet
HELD! wil je mijn sinterklaas versjes ook schrijven? :9
Sint en Piet vinden het maar raar,
2 reacties en beiden o zo waar
Helaas staat de eerste in de min
zo zonder reden, zonder zin
wie van die hier opereren
wil deze de + in modereren?

Van de gelijkheidspiet
die dat echt wel ziet!
Dit was natuurlijk te verwachten. Publiekelijk werd er van een schande gesproken dat men deze kinderen op deze manier heeft laten registreren. Ondertussen wilt iemand dan ook nog even bewijzen dat het geheel sowieso niet deugt.

Wat betreft het registreren van de namen en e-mail adressen van kinderen was volgens mij al het e.e.a. gezegd: Het journaal gaf aan dat men niets met deze informatie gaat doen. Het blijkt echter zo te zijn als deze gegevens geen doel hebben, dan mogen zij ook niet gevraagd worden.

[Reactie gewijzigd door Ashy op 22 november 2011 10:22]

"Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen, omdat ze anders 'geen cadeautjes zouden krijgen'."

Gadverdamme
Dat sowieso, maar de hack walg ik van.

Hebben zelfs hackers geen ethische grenzen? Bah!
[quote]zelfs hackers geen ethische grenzen? Bah!"[/quote

Wat is er niet ethisch aan dat hij alle ouders van Nederland ervan op de hoogte stelt dat de persoonlijke gegevens van hun kind voor het oprapen liggen (zonder die gegevens te publiceren)?

Wat ik wel onethisch vind is kinderen dwingen (op straffe van geen kadootjes) hun gegevens achter te laten.

Werkende emailadressen van 13.000 Nederlandse kinderen met hun naam en leeftijd erbij hebben natuurlijk wel degelijk commerciele waarde. En je moet er al helemaal niet aan denken dat zo'n lijst in handen valt van een stichting Martijn....

Wat mij betreft kunnen er niet genoeg mensen zijn die dit soort gestuntel opsporen en aan het licht brengen. En ik vind het behoorlijk schandalig dat er nog steeds mensen zijn zoals jij die de boodschapper willen vermoorden. Als dat uit onwetendheid gebeurt kan ik me er nog iets bij voorstellen, maar van tweakers verwacht ik meer.

edit:
@Sinester hieronder:
Dat had hij niet kunnen doen, door ze gewoon te bellen...
Precies!.Je kunt er alleen achter komen door ze te hacken. Oftewel, alleen een hacker kan aantonen dat gegevens niet veilig zijn. Als je hacken wilt verbieden, wil je dus eigenlijk verbieden dat mensen er achter komen dat hun gegevens niet veilig zijn.
Hoe meer dit soort zaken in de openbaarheid komt, hoe beter bedrijven (hopelijk toch?) op zullen gaan letten.

Als hackers het niet doen, wie dan wel?

[Reactie gewijzigd door Zaphod69 op 22 november 2011 14:27]

Wat is er niet ethisch aan dat hij alle ouders van Nederland ervan op de hoogte stelt dat de persoonlijkew gegevens van hun kind voor het oprapen liggen (zonder die gegevens te publiceren)?
Dat had hij niet kunnen doen, door ze gewoon te bellen...

Echt al die mensen die hackers lopen te verdedigen...

Je kan best goede bedoelingen hebben, maar hacken blijft gewoon fout imo
Mijn ervaring is dat er geen ruk aan gedaan wordt als je netjes belt of mailt.

Na eerste melding:
De eerste reactie: 'we zijn het niet met je eens, volgens ons is alles volkomen veilig'

Bij tweede melding:
De tweede reactie: 'we zullen het meenemen in ons vervolg traject'

Dan blijft het stil en gebeurt er niets.

[Reactie gewijzigd door psyBSD op 22 november 2011 15:56]

[...]

Dat had hij niet kunnen doen, door ze gewoon te bellen...

Echt al die mensen die hackers lopen te verdedigen...

Je kan best goede bedoelingen hebben, maar hacken blijft gewoon fout imo
hackers demoniseren en later achter de feiten aanlopen is natuurlijk beter? dan zouden ze mensen moeten inhuren die de veiligheid grondig testen. in dit geval is dat gratis gedaan en netjes gemeld hoe het gefixt kan worden. als deze hacker dat niet had gedaan had de volgende misschien geen melding gemaakt en de gestolen gegevens doorverkocht en werd de lek ook niet gedicht.
de hacker wilt ook anoniem blijven omdat sommige bedrijven die hackers met goede bedoelingen liever willen vervolgen omdat ook hun vinden dat alle hackers per definitie slecht zijn slechte dingen doen.
en inderdaad zoals psyBSD zegt, word er wel geluisterd naar de ondervindingen? en zo ja, hoe snel?

genezen is goedkoper dan voorkomen

[Reactie gewijzigd door Madnar op 22 november 2011 15:10]

Echt al die mensen die hackers lopen te verdedigen...

Je kan best goede bedoelingen hebben, maar hacken blijft gewoon fout imo
Ok, dus als iemand ontdekt dat jouw bank, waar je al je spaargeld hebt staan, ontzettend slecht beveiligd is en dat het een peuleschil is voor inbrekers om er binnen te komen, dan mag hij dit niet aan de grote klok hangen volgens jou? In dat geval zou je kwaad moeten zijn op je bank omdat ze de beveiliging niet serieus nemen en laks met jouw geld omgaan. En je zou heel erg blij moeten zijn dat iemand de slechte beveiliging ontdekt heeft en dat dat iemand was die alleen goede bedoelingen had.

Echt al die mensen die de hacker de schuld geven (van een fout van NTR).

Je kan best goede bedoelingen hebben, maar privacygevoelige informatie op een slecht beveiligde site zetten (wat NTR deed) blijft gewoon fout imo.

Ik denk ook dat veel mensen hier nog steeds een negatieve associatie hebben met het woord hacker. Als er klokkenluider had gestaan hadden veel meer mensen de actie van die persoon toegejuicht imo.

[Reactie gewijzigd door Bonez0r op 22 november 2011 23:08]

De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. "Dat zou niet netjes zijn", zegt hij.

Sommige hackers wel dus. Beter hij dan een ander die de gegevens direct doorverkoopt.
Ik denk dat hij wel alles heeft, maar niet alles heeft gepubliceerd...

Ga je er als hacker al vanuit; 'oeh, ik moet wel een subset van de data pakken, anders doe ik geen goed?'
Dat kun je denken, maar heb je daar meer reden voor dan de indoctrinatie hacker == slecht? Je hebt ook gewoon hackers die het voor de sport doen en als ze al zoiets als dit tegenkomen het alleen bekend maken om beveiligingsproblemen aan de kaak te stellen, waarom zou je meteen maar aannemen dat hij kwaad in de zin had? Een subset van de data pakken uit een database is nou niet echt veel meer werk dan gewoon select *, het zou je zelfs werk kunnen besparen.
dus jij vind het goed als een wild vreemde door je open dakraam naar binnen komt via een ladder oid, en lekker op de bank tv gaat zitten kijken en wachten tot jij thuis komt en dan uitlegt hoe hij naar binnen gekomen is en ook nog even vermeld dat hij wat spullen van je meeneemt }>
Niet bij mij thuis, maar ik host thuis ook geen website. Als je persoonsgegevens verzameld voor welk doel dan ook, dan dient de beveiliging gewoon op orde te zijn.

Het is niet voor niets dat een verzekerings maatschappij ook reclame heeft met die handige mannetjes welke weten hoe een inbreker binnenkomt. Veel mensen hebben namelijk die kennis niet. Echter een professionele developer dient die kennis wel te hebben. SQL en HTML (nu meestal XSS) injecties komen al voor sinds het internet beschikbaar kwam voor de burger. Het is dus niet iets nieuws of zo.

Het vervelende is eigenlijk juist dat dit soort 'problemen' komen door de aanstedings trajecten waarbij vooral naar de prijs wordt gekeken ipv de inhoud. En ja, een website goed beveiligd opleveren kost nou eenmaal meer tijd (en dus geld) dan maar wat aanrommelen.

Het wordt tijd dat development bedrijven verantwoordelijk worden (en blijven) voor lekken in door hun opgeleverde websites. Net zoals een aannemer in de bouw verantwoordelijk blijft als jaren later blijkt dat verkeerde materialen of een verkeerde methode is toegepast. Laatst kwam ik bij een kennis thuis welke in een nieuwbouw woning zit en toe zag ik dat de glas latjes van de keukendeur aan de buitenkant zit..

Wat ik van de NTR echt fout vind is proberen het probleem te downplayen door te roepen dat het nog veel erger had kunnen zijn.. Had de hacker een andere tabel gepakt dan had hij dus van 1,5 miljoen kinderen gegevens kunnen downloaden. Top reactie!
Vergelijk het met Alberto Stegeman en Schiphol. dan zit je meer in de richting.
Kromme vergelijking ... zo lang hacker niks doet met de data is er ook geen verlies hé.

In jou geval is er al diefstal van elentriek en dan ook nog eens de spullen.
Aantonbare schade: meerverbruik + waarde van de spullen.
Sommige hackers wel dus. Beter hij dan een ander die de gegevens direct doorverkoopt.
Ja want die Hackers zijn ook echt te vertrouwen op hun woord.

Echt ook hypocriet om dat niet netjes te vinden, maar totaal geen probleem hebben met ergens naar binnen te hacken
De hackpiet is even losgegaan op deze site... Wat wil je ook, het grote boek van de Sint is nog steeds zoek. O-)

* Ramzzz is volledig op de hoogte van de stand van zaken.

[Reactie gewijzigd door Ramzzz op 22 november 2011 13:17]

wow. gewoon wow.

Hij laat zien dat het niet veilig is. That is all.
bel het bedrijf gewoon of ga er langs, en wijs ze op het gevaar zonder dingen te jatten.
zonder dingen te jatten? had hij moeten raden dat hij de sql injection kon runnen? Want als hij hem eenmaal test 1x, heeft hij het volgens jou al 'gejat'.

hoe had hij het moeten weten dat het kon dan?
Euhm, iets in de trant van;

SHOW TABLES;

En dat met een printscreen even mailen naar die lui achter het Sinterklaasjournaal c.q. NTR ?!

Natuurlijk niet! Dan zou er in de media geen aandacht aangegeven worden, 13.000 kinderen is interessanter en zal vele ouders en verzorgers nog meer in de stress jagen om nog eens iets via internet te doen.

Eerst comodo, diginotar, digid vervolgens enkele webwinkels... nog even en de gemiddelde consument durft helemaal niets meer. Enigste die dan wat heeft weten te bereiken is dat de hacker voldoende aandacht heeft gehad (anoniem) maar wel kan opscheppen t.o.v. anderen dat ie wel de media heeft weten te behalen.
Muah, hij heeft zich toch nog enigszins gedragen. Er is niet een complete dump online o.i.d., het is meer een demonstratie dat het lek is.
En toch krijgt hij de zwarte Piet toegedeeld ;)
Hij heeft toch niks belangrijks online gezet? Had hij dan niks moeten doen en niets melden uit ethische redenen totdat de volgende hacker langskomt die misschien wat minder ethische grenzen heeft en wel alles online pleurt?
Zou dit nieuws überhaupt naar buiten gebracht zijn als 'hij' het voor zich had gelaten en gewoon netjes alleen de NTR op de hoogte had gebracht van het mogelijke gevaar?!

Met een beetje dreigende tekst/toon "anders laat ik het de media weten" zal een bedrijf als NTR echt wel direct actie ondernemen. Het sinterklaasjournaal is inmiddels al een heikel punt omtrent de website, dit grapje er bovenop en de enigste gedupeerde zijn de inmiddels al steeds meer wantrouwende 'volwassenen'.
De hakker heeft slechts een gedeelte gedownload, en gecensureerd als bewijs. Puur om te kunnen claimen dat het kan.

Beter zo'n iemand dan iemand die erg écht iets raars en verkeerds mee gaat doen toch?
Hakkers hakken hout. :P
De hacker heeft in deze situatie anders vrij netjes gehandeld. Alles wat vrij gegevens is is gecensureerd. Ik vind de actie van het Sinterklaasjournaal eerder vreemd. Wat moet je met de emailadressen van al die kinderen en waarom is het zo slecht beveiligd? Met al die lekken die de laatste tijd in het nieuws komen denk je toch wel een keer extra na over de beveiliging?!
Hij had er geen slechte bedoelingen mee, wat als iemand die wel slechte bedoelingen heeft het doet?
daarom laat hij het ook zien.
Hij heeft toch niks ongecensureerd gepubliceerd?, hij heeft dit gewoon gedaan omdat het kon en omdat die site zo lek als een mandje is en om dit aan te tonen. Hier walg ik trouwens wel van.

"Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen, omdat ze anders 'geen cadeautjes zouden krijgen'."
dat zeg je, maar voor zover maakt hij niks bekend.

hij heeft aangetoond dat er een lek is en als bewijs heeft hij een klein stukje van de database gepubliceerd (maar wel gecensureerd). verder doet hij er (voor zover bekend niks mee).

liever dat hij het lek aan het licht brengt en dat ze het oplossen als dat een of andere pedo het vind en gaat proberen de kids te benaderen...
Je walgt van iemand die laat zien dat gegevens van 13000 kinderen in gevaar lopen?
Hij komt juist op voor de bescherming van persoonlijke gegevens en zorgt hiermee dat de gegevens niet in slechte handen komen.
Het gaat hem niet om het verzamelen van de gegevens, maar het aantonen dat ze niet veilig zijn opgeslagen. Ik citeer nogmaals:
Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload.
Er is helemaal niets mis met deze hack.
De boel hacken, eigenaar op de hoogte stellen van het probleem en vervolgens géén persoonsgegevens online zetten. Veel beter dan dit kan het in mijn ogen niet. De hacker is nog anoniem ook, dus pochen met zijn skills doet hij ook niet.
Ik snap best dat hij trots is op zichzelf nu, maar kom op zeg.

Ethische grenzen? walg? Hij heeft in mijn ogen meer goeds dan kwaads gedaan.
Beetje onterecht dat hij nu de zwarte piet krijgt toegespeeld

[Reactie gewijzigd door Herr Roedy op 22 november 2011 13:45]

Dat is inderdaad wel heel vies....
Valt allemaal wel mee.. het 'verhaal' dit jaar is dat de Sint mensen mist uit zijn boek, en de cadeau's kunnen niet ingepakt worden tenzij alle namen in het boek staan. (zal wel iets met CAO voor de pieten te maken hebben). De burgermeester van Averecht heeft de vlag gejat, en is daarom bang en heeft zich niet ingeschreven, etc...
Dus op de site kun je je aanmelden, en op die manier tekeningen e.d. inleveren.. het is ondersteunend aan het verhaal... dus 'vies' en 'gadverdamma' lijken me lichtelijk overdreven...

Waarom het dan gehacked moet worden? tja.. blijkbaar moet dat...
Ja dat moet. Als deze persoon het niet doet doet een ander het en een lijst met email adressen van kinderen veel al onder de 8 a 10 jaar oud is in de verkeerde handen niet echt een leuk idee.... dus ja zo iets moet gehackt worden eigenlijk moeten kinderen in die leeftijdsgroep helemaal niet gevraagd worden om hun email adres achter te laten op een site en dit is inderdaad erg fout van de NTR en als het aan mij ligt mag hier zelfs op politiek niveau nog wel eens over gesproken worden.

Hoe dan ook het is een heel erg goed idee dat dit soort dingen gehackt worden en ook heel erg goed van de hacker dat hij niet alle informatie zo maar online dumpt maar er verantwoordelijk mee omgaat.
Oke het klopt inderdaad wel als je kijkt naar de rest van het verhaal, maar dan nog... Wie in het sinterklaas journaal bedenkt dat in een privacy gevoelige tijd als nu het slim is om zo'n soort insteek in het sinterklaas verhaal te bedenken ?
Omdat er ieder jaar iets "moet" gebeuren om de kinderen geboeid te houden. Klinkt weer als een oude man, maar toen ik klein was hadden we dit soort dingen helemaal niet.

Nu zitten mijn kinderen iedere namiddag aan de buis gekluisterd om te zien of ze wel hun cadeau's gaan krijgen op 5 december. Afgelopen jaren was het iets soortgelijks, zoals de cadeau's die kwijt waren. Nu een nieuw boek omdat Bram afscheid heeft genomen en het boek mocht hebben voor het jarenlang "helpen" van de Sint (in een speciaal uitgezonden Sinterklaas journaal afgelopen zomer). Dan moet de Sint wel een nieuw boek vullen met alle namen, anders weten de pieten niet welke stukje speelgoed voor welk kind is.

Zo ook de vlaggen die dit jaar naar scholen zijn gestuurd, dan weten de pieten direct je school te vinden om cadeau's en snoep achter te laten. Nadeel is alleen dat je als school je van te voren op moest geven. Oftewel, als je niet actief meedoet aan de ideeën van de NTR dan heb je een intern "probleempje" zullen we maar zeggen ;)

Het filmpjes wat op de Sint site staat voor het vullen van dat boek hebben ze wel leuk opgezet. Het filmpje is niet hetzelfde als je twee kinderen achter elkaar invoert, laat wel zien dat ze daarover nagedacht hebben. Dat je vervolgens data met een SQL injectie uit een database kan trekken is dan weer jammer. Maar je naam invullen voor het grote boek is niet voor verlanglijstjes. Die staat er alweer jaren op en het grote boek is dit jaar nieuw (en hopelijk eenmalig - was best stress op school met al die kinderen die wel cadeau's willen en dus in het boek terecht moeten komen, want anders .... stuiter, spring, boink...)
Klinkt weer als een oude man, maar toen ik klein was hadden we dit soort dingen helemaal niet.
[Totaal Off topic] Ik weet niet hou oud jij bent, maar toen ik begin jaren 80 opgroeide was er elk jaar ook een soort van verhaal rondom de Sint. Dat de inpak-piet kwijt was, of dat het paard ziek was, of dat de pepernoten-piet de pepernoten had aan laten branden. En ik vond het allemaal reuze spannend!

In mijn oren klinken jouw woorden dus als een "Vroeger was alles simpeler en daar waren we tevreden mee". En als jij het vroeger inderdaad niet had, dan is het toch mooi dat de kinderen van nu het tegenwoordig wèl hebben? ;)

[OT]
Dat praat overigens het verzamelen en slecht beheren van de email adressen absoluut niet goed. Ik moet zeggen dat ik steeds minder happig ben op het geven van mijn gegevens aan willekeurige bedrijven "voor de registratie". Bij de Appie voor de korting, bij de h&m voor de statistieken (wat is uw postcode meneer?) en moest laatst op het vliegveld nog mijn instapkaart laten zien toen ik een fles Wisky wilde kopen. Ik gebruik dan ook steevast de AH-kaart van de persoon voor mij, weiger mijn postcode te geven aan de h&m, en koop mijn wisky wel gewoon bij de slijter. Gelukkig hebben we in veel gevallen nog een keuze. In sommige echter helaas niet meer.

[Reactie gewijzigd door kramer65 op 22 november 2011 13:58]

[Totaal Off topic] Ik weet niet hou oud jij bent, maar toen ik begin jaren 80 opgroeide was er elk jaar ook een soort van verhaal rondom de Sint. Dat de inpak-piet kwijt was, of dat het paard ziek was, of dat de pepernoten-piet de pepernoten had aan laten branden. En ik vond het allemaal reuze spannend!
De goeie ouwe tijd was dan ook nog niet dat men (enigszins) interactief kon meedoen. En laat dat nu het leuke van deze tijd zijn ! Laat ik het zelfs zo zeggen, ik als ouder van 2 kinderen (5jr en 9mnd) vind het juist ongelofelijk super dat mijn oudste zoon eindelijk eens wordt betrokken in een feestfestijn als dit!

Ook ik moest ongelofelijk lachen dat men deze verhaallijn heeft bedacht, de school van mijn oudste zoon (5 jaar) doet hier ook volledig in mee en gaan zelfs nog verder. Het leuke is dat scholen nu volledig worden betrokken in de verhaallijn en kinderen niet alleen op school maar ook thuis nog heel spannend aan het afwachten zijn. Staat je naam niet in het grote boek, dan krijg je tenslotte niet alleen thuis maar ook op school geen cadeautje(s) en weet de sint zelfs niet waar het kind op school zit.

Waanzinnig!

Dat echter een grofweg ellendeling de hele sinterklaas sfeer moet verzieken door met SQL-Injecties gegevens te pakken te krijgen is wel erg triest voor woorden. Als men nu mijn privé e-mail voornaam en achternaam zou verkrijgen dan kan ik het mij nog voorstellen, maar over de rug van kleine kinderen die ongelofelijk meegaan in deze verhaallijn is wel het zwakste wat denkbaar is in deze maatschappij. Nu is het overigens op deze manier aan het licht gekomen en nog op nette wijze afgehandeld, maar het gaat even om het idee. Ik kan mij daarnaast wel ergere dingen bedenken "volwassenen die zich niet in kunnen denken hoe leuk het is voor kinderen i.p.v. overal maar iets achter zoeken".

[Reactie gewijzigd door DarkForce op 22 november 2011 17:00]

Deze hackert heeft kennelijk de dump gecensureerd, dus dan is het nog niet zo heel erg.
Huh?? Wat nou "ellendeling"? Volgens mij leef je in de omgekeerde wereld. Iemand ziet dat die site kwetsbaar is en geeft dat even door met een bewijsje erbij. De informatie is verder niet misbruikt of zo. De tool had juist wél misbruikt kunnen worden als iemand niet zo netjes was geweest om ons op deze kwetsbaarheid te wijzen. Ik ga er van uit dat de tool nu vervangen wordt door een versie die wel veilig is. Probleem opgelost.

Je kan wel vinden dat ie beter helemaal niks hiermee had moeten doen, maar dat is je kop in het zand steken: er is een probleem dat mogelijk gevaar oplevert, maar je wil het niet weten omdat het anders de sfeer verpest? :S
Huh?? Wat nou "ellendeling"? Volgens mij leef je in de omgekeerde wereld. Iemand ziet dat die site kwetsbaar is en geeft dat even door met een bewijsje erbij.
Doorgeven via de media? Heeft het opzoeken van de media niet wellicht al gezorgd dat er één of meerdere kwaadwillende dus uiteindelijk 'inderdaad' misbruik konden maken van die tool?! - Onder het mom slapende honden wakker maken.
Ik ga er van uit dat de tool nu vervangen wordt door een versie die wel veilig is. Probleem opgelost.
Ik mag hopen dat (en dat ontbreekt dus in het hele nieuwsartikel) de bugs voortijdig waren opgelost voordat de media werd opgezocht. Anders ben ik bang dat het niet is gebleven bij deze 'goedbedoelde' hacker en er uiteindelijk slapende honden wakker gemaakt zijn.
Waarom het dan gehacked moet worden? tja.. blijkbaar moet dat...
Omdat anders een pedosexueel het misschien probeert. Ja de wereld is raar.
het 'verhaal' dit jaar is dat de Sint mensen mist uit zijn boek, en de cadeau's kunnen niet ingepakt worden tenzij alle namen in het boek staan.
Het lijkt Buma/Stemra wel... :+
Dat is nog geen reden om kinderen die naïef zijn hun gegevens zo maar laten inleveren.... schandalig vind ik.
Ja, Mark Zuckerberg, eat your heart out!

Daarnaast natuurlijk weer sneu dat men denk een of andere brakke tool nodig te hebben om dingen down en up te kunnen loaden. Ach tja, if you pay peanuts....
"Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen, omdat ze anders 'geen cadeautjes zouden krijgen'."

Gadverdamme
Inderdaad. Alleen is dat stemmingmakerij van tweakers.net, want zo is het helemaal niet gezegd. Kijk het filmpje maar. Het is helemaal fout om het tussen quotes te zetten, want zo lijkt het net alsof het letterlijk zo is gezegd.

De letterlijke quote is:
Het grote boek [is] nog niet vol. En zolang dat niet zo is kunnen de pakjes niet worden ingepakt, en dat zou toch heel jammer zijn voor onze pakjes-avond ;).
Dat vind ik al een stuk genuanceerder dan hoe t.net het hier meldt. Hoe het oorspronkelijk werd gebracht was trouwens dat je kon controleren of jij wel in het grote boek voorkwam zodat je zeker wist dat je cadeautjes zou krijgen van Sinterklaas, waarop het systeem natuurlijk gewoon doodleuk zegt dat je erin staat als je je gegevens hebt ingevuld. Alsnog dubieus overigens, zeker gezien het feit dat ze de gegevens opslaan.

[Reactie gewijzigd door .oisyn op 22 november 2011 11:42]

Er is op televisie met zo veel woorden gezegd dat je dit moest invullen omdat je anders geen kadootjes zou krijgen van de Sint.

-edit- even bron gezocht, zie de herhaling van Pownews, op 10:08 hoor je de presentatrice van het Sinterklaasjournaal: “Dus als je zelf nog niet in dat boek staat of je kent mensen die er misschien nog in moeten, dan kan je dat regelen via de computer. Want op sinterklaasjournaal.nl kan je contact opnemen met Sinterklaas zelf. Dat zou ik maar doen, want anders wordt er dus helemaal niet één cadeautje ingepakt; dat zagen we net. En dan is er er ook geen pakjesavond.”

[Reactie gewijzigd door Arnoud Engelfriet op 22 november 2011 11:50]

Arnoud dat is ook een verdraaiing, wat die aflevering laat ijverige pieten zien... die alleen vergeten zijn namen op de pakjes te zetten... Tevens zeggen ze ook dat het boek niet compleet is. Het kan dus goed zijn dat je er gewoon instaat!

Uiteindelijk had de NTR gewoon geen e-mail-adres moeten vragen maar alleen je naam.
Zodat deze gegenereerd kan worden, voor het filmpje.

Wat mij irriteert is dat ze niets met de kritiek doen.

Het idee is wel leuk!
Dat heb ik gemist. Dat is wel heel ziek inderdaad :/
Dit vind ik inderdaad ook niet kunnen. Te belachelijk voor woorden.

Wat heb je bovendien aan een verlanglijst van 13.000 kinderen? Een mooi marktonderzoekje wellicht?
Het gaat denk ik meer om de combinatie verlanglijstje + e-mail adres.

Misschien dat de leden van pedofielenvereniging Martijn wel oren hebben naar een lijst van 13.000 e-mail adressen van kinderen <16 jr. Elk e-mail adres met een webcam op het verlanglijstje bijvoorbeeld. ;(

Denk NOOIT dat niemand baat heeft bij jouw persoonlijke gegevens of die van anderen, of dat die alleen voor doeleinden gebruikt kunnen worden waar de eigenaar zich in kan vinden...
"Denk NOOIT dat niemand baat heeft bij jouw persoonlijke gegevens of die van anderen, of dat die alleen voor doeleinden gebruikt kunnen worden waar de eigenaar zich in kan vinden..."

Precies! Niemand weet het doel of het nut van gelekte gegevens, behalve de misbruiker!

Zoals dat artikel vorige week op Tweakers waarin mensen aangeven diverse gelekte gegevens uit Pastebin te combineren in één database.
Reclame sturen voor speelgoed?
Marktonderzoek is inderdaad ook een leuke :P
Dat was mijn reactie dus ook.
Ik dacht toen nog "dit moet gewoon fout gaan"

Die hacker heeft meer ethisch besef dan die figuren achter het Sinterklaas journaal, zo te zien.
naja dat is al smerig in mijn optiek, sinterklaas journaal is op de publieke zender.. jonge kinderen gebruiken als marketing machine... vind ik not done..

Same as ik laatst ergens vernam dat de ABN en RABO ergens op basisscholen in de week van het geld eventjes tekst en uitleg gingen verschaffen over zuinig aan doen...
Dit is te amerikaans en in mijn optiek overschrijdt dat alle ethische grenzen..

de hack zelf mag van mij, zolang er niets kapot wordt gemaakt cq misbruikt.. enkel om aan te tonen dat er lekken zijn.. ga je gang.
Dat bedrijven op scholen langs komen gebeurd al langer. Hier komt de lokale muziek school langs en geeft een paar lessen muziek. Vervolgens krijgen de kinderen een briefje mee. Dat ze bij de muziekshool verdere lessen kunnen volgen.
Het idee is op zich niet zo erg gezien het verhaal, dat de data opgeslagen word vind ik veel erger.

Ik had deze oproep ook gedaan om vervolgens gewoon de data submit te negeren.
Jup, ik had het al op PowNews gezien...
http://www.powned.tv/uitz.../2011/11/pownews_185.html op 9:00

Ik zat met toen al te ergeren aan de presentatrice, dat ze dat niet gezegd zou hebben en dat je sinterklaas maar gewoon moest vertrouwen, anders kon je wel helemaal niemand meer vertrouwen...

Schandalig gewoon, ik snap niet eens waar ze al die informatie voor nodig hebben...
Het is maar goed dat een "whitehat" hacker dit heeft gedaan en er netjes mee om is gegaan. Maar het is gewoon jammer dat weer een hacker er aan de pas moet komen...
De NTR stelt echter dat het 'verder niets met de gegevens doet', dus dat het de registratie daarom niet aan zou hoeven melden.
Ja die heb ik vaker gehoord... :/
Ik zou graag zien dat ze deze uitspraak met spoed moeten herroepen en hier een flinke boete voor krijgen.

Het is te gek voor woorden als deze ernstige vorm van het manipuleren van jonge kinderen door dreigen via de media ongestraft kan plaatsvinden.

Dat de verkregen gegevens door slechte beveiliging vervolgens eenvoudig gehacked kunnen worden is natuurlijk helemaal van den zotte.

SICK!
Ook zo jammer dat het Sinterklaasjournaal op deze manier kinderen misbruikt om gegevens te krijgen.

Sinterklaas weet toch al welke kinderen cadeautjes krijgen voordat hij uit Spanje vertrekt? Of is dat verhaal veranderd sinds ik niet meer geloof?
Het sinterklaas journaal heeft een filmpje dat met die gegevens gepersonaliseerd wordt. Dus de sint spreekt je voornaam uit en schrijft je naam in het grote boek. Erg leuk gedaan.
goeie info, verduidelijkt waarom de naam nodig is, jammer dat men ook het emailadres opvraagt!
Het email adres wordt gebruikt als je ook andere mensen wilt laten controleren of ze al in het boek staan.

Die ontvangen dan een email van 'jou' met een directe link naar het filmpje
Het is tegenwoordig allemaal anders ja. Met zijn witte trojan komt hij de packets brengen. :+
Hij heeft een nieuw boek en die was nog helemaal leeg. En als je niet in het nieuwe boek staat weet de sint niet wat je wilde hebben.
Beetje sneu dat je het uberhaupt probeert, gelukkig heeft de hacker een beetje fatsoen om niet alles online te gooien. Je zou toch denken dat de meeste websites sql injecties wel gefixed hebben, helaas lijkt dat niet zo. Sinterklaas, vraag maar even een nieuwe tool voor sinterklaas!
"Beetje sneu dat je het uberhaupt probeert"

Misschien heeft de hacker zelf wel kinderen en wilde hij weten of hun gegevens veilig zouden zijn? Wees blij dat er iemand met ethiek is die dit blootlegt en niet iemand met andere motieven die database in handen krijgt!
ik denk dat als je heb bij sommige bedrijven meldt, dat ze dan de afweging maken of de kosten-baten wel voldoende zijn. Als in als er een hacker het weet, is hij misschien de enige.

Als het openbaar wordt, dan moetn ze het wel dichten want iedereen weet het!
De verantwoordelijkheid ligt ook bij de ouders. Dit is echt niet de enige website waar kinderen hun gegevens kunnen achterlaten. Je moet kinderen gewoon goed opvoeden. Dit is weer een mooi voorbeeld om als ouder de discussie aan te gaan met je kinderen. Slecht voorbeeld doet soms goed volgen. Het is IMHO te hopen dat ouders zo nu en dan meekijken met de mail die hun kinderen krijgen.

Overigens vind ik het een sympathieke actie: kan Bram van der Vlugt eindelijk ook eens een verlanglijstje inleveren.
Ja ja ....

Als we deze redenatie gaan volgen kunnen die kinderen helemaal nergens meer terecht.

Databases waar onwetende kinderen hun gegevens hebben ingezet (ook al staan deze volledig open) daar blijf je dus af..

Dat heeft iets met moraal te maken. En als je dan een gat vindt in de omgeving van zo iets als het sinterklaas journaal (die echt niet over bergen poen beschikken) dan ga je dus niet de media opzoeken.

Dan ga je GRATIS het sinterklaas journaal HELPEN om het gat te dichten zodat onze kinderen in de toekomst dit soort zaken wel veilig kunnen doen.

Ik wordt zo moe van mensen die denken aan te moeten tonen dat zaken niet goed beveiligd zijn. Lopen zij dan altijd met een kogelvrij vest rond ? en zo niet mag ik hun dan neerschieten om aan te tonen dat het onverstandig is.....
Je hebt wel een punt. Maar deze hacker helpt in principe al gratis met zijn waarschuwing.

De enige schade die hier wordt geleden is imagoschade bij het NTR, dat is iets wat ze zelf hadden kunnen voorkomen door op een verantwoordelijke manier met de gegevens van de kinderen om te gaan.
Eens. De tool was sinds 2005 als niet goed beveiligd, er was dus een geruime tijd om hier wat aan te doen. Dus zoals Fawn zegt; in feite helpt hij ze nu door het te melden.

Juist nu het via de media gaat worden ouders ook even gealarmeerd wat er kan gebeuren als je kind alles invult op internet...
Volledig mee eens....

Alleen ga je dan wel voorbij aan regel 1

Databases waar onwetende kinderen hun gegevens hebben ingezet (ook al staan deze volledig open) daar blijf je dus af.

Heeft iets met moraal te maken !!!!
Dan ben ik altijd nog blijer dat een hacker het doet die waarschijnlijk verder niets met de gegevens doet en het meldt bij de media dan één of andere ranzige pedopartij die jouw kind mailtjes gaat sturen bijv.

[Reactie gewijzigd door The Inquisitor op 22 november 2011 12:09]

Ik heb liever dat ze het melden als het lek al gedicht is, want ook die zogenaamde pedopartij kijkt naar het nieuws. :|

Overigens denk ik dat het niet veel uit maakt als een pedopartij dergelijke gegevens zal in zien.

Als ze kinderen willen bereiken dan kunnen ze dat op tientallen manieren een stuk makkelijker en succesvoller doen.
Dat is wel erg naief, dan ga je er dus van uit dat er nergens op de wereld mensen met slechte intensies rondlopen.

Wat eerder in deze discussie al genoemd word, stel dat deze hacker zelf een ouder is en gekeken heeft of deze website wel veilig was, erachter kwam dat dit niet het geval was, zich zo verloren schrok dat hij het nodig vond om alle ouders van Nederland te waarschuwen voor de veiligheidsrisico's van het invullen van "simpele" gegevens (in de ogen van een groot gedeelte van de bevolking, kijk voor de grap maar eens op http://www.telegraaf.nl/d...sjournaal.nl__.html?p=1,1, staat er vol met reacties van mensen die er helemaal niets van begrijpen)

Naar mijn idee is het inderdaad een moeilijke beslissing of je wel of niet naar buiten brengt dat de beveiliging van het Sinterklaasjournaal zo lek als een mandje was, maar het lijkt me duidelijk dat deze hacker geen kwade bedoelingen t.o.v. het SKJ had, anders had hij/zij wel een stuk meer schade aan kunnen richten.

De reacties op de Telegraaf site bewijzen voor mij maar weer eens dat er echt meer voorlichting moet komen, in welke vorm dan ook, omtrent de basisprincipes van veilig internetten.
En daarom hebben mijn kinderen gewoon een fictieve voor/achternaam bij dat soort registraties. (en daar zijn ze inmiddels erg creatief in;-) Ook mogen ze van mij hun geboortedatum spoofen. NAW geven ze enkel op na overleg.

Bevestigingsmails (via bogus Gmail-account) komen ook bij mij, en kan dan altijd ff checken waar ze nu weer zijn ingeschreven.

Vooralsnog werkt dit goed. Tevens probeer ik ze er regelmatig op te wijzen wat er met de gegevens die ze achterlaten allemaal kan gebeuren. En dat er bij zo'n beetje ieder on-line spelletje iemand "over hun schouder" meekijkt. Niks is gratis, alles heeft een reden.
Ik breng mijn kinderen behoorlijk goed online-gedrag bij, maar mijn jongste is vier en die kan nog helemaal niet zelf zijn gegevens op een site achterlaten.

Als sinterklaas roept dat je je naam en emailadres op moet geven omdat je anders geen kadootjes krijgt, heb je als ouder wel een probleem. Geen onoplosbaar probleem, maar het is wel van een iets andere orde dan je gegevens kunnen achterlaten op een willekeurige website. Ik kan me voorstellen dat er behoorlijk wat drama's zijn geschopt door 4-jarigen die van papa of mama niet in het grote boek mochten. (die van mij DENKT dat hij er in staat 8-) )
Eigenlijk zouden webbouwers gewoon een boete moeten krijgen voor een simpel SQL injectie lek die je had kunnen voorkomen door gewoon netjes te werken. Hard raken in de portemonnee die gasten, gewoon onder het mom van een of andere privacywet ofzo.
Ook nog eens clear text passwords in de database? Boete verdubbelen.

Moet jij eens kijken hoe hard de programmeerstandaarden van webdevtoko's dan omhoog gaan :P

[Reactie gewijzigd door Sfynx op 22 november 2011 11:26]

Dat zal wel meevallen want zolang dat geld kost zullen mensen risico analyses blijven maken en zo lang de gevolgen betalen goedkoper is dan de boel goed in orde maken zal een beetje koelbloedige econoom gewoon zeggen dat je beter kan wachten op een boete.

Men moet gewoon doorgaan met dat hacken, op den duur gaan mensen wel vragen stellen of komen er gewoon wetterlijke normen voor. Exorbitante bekeuringen verzinnen wordt niemand beter van.
hahahaha, pardon? omgekeerde wereld of niet? jij wilt ook boetes krijgen voor je auto niet opslot doen, geen alarm installatie in je huis aanwezig, je raam staat open terwijl je niet thuis bent en ga zo maar door. dit is gewoon inbraak op/in iets wat niet van jou is dus afblijven met je tengels.
het is gewoon inbraak/diefstal punt
Volgens mij zijn er in Nederland al boetes voor het onvoldoende beveiligen van bepaalde zaken omdat deze criminaliteit in de hand zouden werken o.i.d.

Zie http://www.boetes.nl/boetes.php?intHoofdcategorieID=3, boete voor het niet op slot zetten van uw fiets: 25,- (site om.nl deed raar, dus kon daar niet naar doorlinken)

De Nederlande wet is het dus niet geheel eens met uw argumentatie.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True