Provider neemt toegang tot mijn mail - Internet en hosting

woensdag 16 januari 2008 18:11

Acties:

0 Henk 'm!

FreeReef.nl

Topicstarter

Nou ik heb de brief even onderzocht en ga zsm een reacktie terug sturen.

Helaas word er nergens in de brief antwoord gegeven op mijn vragen. Er word 3 x in een andere allinia hetzelfde uitgelegd met andere woorden.

In de brief word indirect ook verteld dat service boven privacy gaat. Toch word er ok gezegt dat het niet de bedoeling is.

Al bij al heel eerlijk gezecht een hoop ontwijkende tekst.
Ik heb het aan niemand laten lezen........

En niemand vond het OOK een waardeloze brief.

De discaimer in de brief heb ik voorgelegd aan een advocaat en die geeft ook aan dat iets in mijn mailbox van mij is. Dus ik zou met andere woorden de brief aan jullie duidelijk mogen maken. Dit ga ik ook doen, maar om mijzelf in te dekken doe ik dit even voorzichtig.

Ik vind het echt zeer jammer dat er op deze manier word gereageerd.

ze hebben ook al afgezien van een gesprek met mij op de radio.... Aan mijn brief hebben ze al kunnen merken dat ik best redelijk ben en niet zomaar dingen de wereld in bazuin.... maar toch durven ze het niet aan. Als je niet LIVE durft te reageren ben je in mijn ogen bang voor je eigen antwoord.

Ik heb het idee dat ze het in een doofpot willen plaatsen. Is helemaal goed, echter zal ik dat niet doen.

Tevens vind ik het schandaling en ontzettend dom om een disclaimer onder de brief te zetten.
opgeteld:
- niet durven reageren op de radio
- niet reageren in dit forum (oke is hun keus)
- niet bekend mogen maken van de brief
- niet concreet antwoorden

Neigt in mijn ogen naar een doofpot.

FreeReef.nl

woensdag 16 januari 2008 20:46

Acties:

0 Henk 'm!

Gomez12

andreas2005 schreef op woensdag 16 januari 2008 @ 10:50:
[...]

Heel simpel: Ik had gevraagd naar het bestaan van procedures waarmee ze zorgen dat er geen misbruik van wordt gemaakt. Dáár wou ik van weten dat ze bestaan. Het antwoord van Telfort / Tiscali gaat daar helemaal niet over.

Er is geen procedure voor nodig, want het mag niet

. Wordt er een aparte procedure voor gemaakt dan moet deze nageleefd worden en dat kost tijd en effort.

Wat natuurlijk helemaal mooi zou zijn is dat de wachtwoorden voortaan niet meer toegankelijk zijn voor de medewerkers. Maar wat mij betreft hoeft dat niet, een fatsoenlijk controlemechanisme waarmee op ongeoorloofde toegang wordt gecontroleerd is mij al goed genoeg.

Het opzetten van een fatsoenlijk controle mechanisme en periodiek controleren of dit nog werkt is imho meer werk dan het gewoon niet toestaan. Gewoon alleen resetten toestaan en het resetten loggen. Als een gebruiker 10x een wachtwoord reset binnen 2 dagen heeft kan je misschien eens bellen of de gebruiker dit weet ( weet hij er maar van 5 dan zit er iemand binnen de organisatie het wachtwoord ook te resetten )

andreas2005 schreef op woensdag 16 januari 2008 @ 15:49:
Mijn vervolgvraag aan Telfort is inmiddels verzonden. Is er een controlemechanisme op misbruik? Ben benieuwd of ze durven antwoorden.

Hmmm probleem met procedures voor misbruik is dat deze bijna nooit afdoende zijn. Of je staat mensen oogluikend toe dat ze enigszins misbruik mogen doen als het nodig is, of je hindert de mensen zo dat ze geen raad meer weten met uitzonderingen.

[ Voor 17% gewijzigd door Gomez12 op 16-01-2008 20:49 ]

woensdag 16 januari 2008 20:56

Acties:

0 Henk 'm!

Gomez12

Decon Frost schreef op woensdag 16 januari 2008 @ 18:11:
De discaimer in de brief heb ik voorgelegd aan een advocaat en die geeft ook aan dat iets in mijn mailbox van mij is. Dus ik zou met andere woorden de brief aan jullie duidelijk mogen maken. Dit ga ik ook doen, maar om mijzelf in te dekken doe ik dit even voorzichtig.

Hmmm, leuk zo'n disclaimer erin zetten dat niemand het mag lezen, maar je eigen medewerkers wel de mogelijkheid geven om het te lezen... Imho is elke e-mail disclaimer waardeloos.
Maar je overtreft het toch wel als je op de vraag waarom iemand in iemand anders mailbox kan je in je eigen disclaimer zegt dat het niet toegestaan is om dat mailtje door derden te laten lezen. Als het een lokaal nr is, zou ik even met de helpdesk bellen en kijken of je hun zover kunt krijgen dat ze dit mailtje inclusief disclaimer door de telefoon kunnen oplezen, lijkt me hilarisch...

woensdag 16 januari 2008 22:18

Acties:

0 Henk 'm!

Jasper Janssen

Het opzetten van een fatsoenlijk controle mechanisme en periodiek controleren of dit nog werkt is imho meer werk dan het gewoon niet toestaan. Gewoon alleen resetten toestaan en het resetten loggen. Als een gebruiker 10x een wachtwoord reset binnen 2 dagen heeft kan je misschien eens bellen of de gebruiker dit weet ( weet hij er maar van 5 dan zit er iemand binnen de organisatie het wachtwoord ook te resetten )

Dus je bedoelt, resetten naar het default password voor de betreffende account? Dat zou inderdaad een oplossing zijn, daarmee hebben dan de mensen die het genoeg kan schelende mogelijkheid tot echte security.

Nadeel zijn de mensen die het kwa security geen ruk kan schelen maar gewoon een makkelijk te onthouden wachtwoord willen hebben ipv een moeilijk random-generated password, die moeten dan iedere keer bij een probleem weer terug naar dat random password.

woensdag 16 januari 2008 22:36

Acties:

0 Henk 'm!

Falcon

DevOps/Q.A. Engineer

Trouwens even hier iets aan toevoegen. UPC medewerkers van de technische dienst kunnen het zelfde.

Hier ben ik achter gekomen doordat ik niet wou wachten op een brief met mijn wachtwoord.. met wat aandringen kreeg ik het van de medewerker van het callcenter.

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

woensdag 16 januari 2008 22:44

Acties:

0 Henk 'm!

knakworst

Get more sats!

Ik kan toevoegen dat helpdeskmedewerkers van planet hetzelfde kunnen, iig een tijdje geleden nog wel. Ik heb er geen seconde wakker van gelegen. Vond het nogal logisch ook, het is toch een HELPdesk?g

woensdag 16 januari 2008 22:54

Acties:

0 Henk 'm!

kamerplant

knakworst schreef op woensdag 16 januari 2008 @ 22:44:
Ik kan toevoegen dat helpdeskmedewerkers van planet hetzelfde kunnen, iig een tijdje geleden nog wel. Ik heb er geen seconde wakker van gelegen. Vond het nogal logisch ook, het is toch een HELPdesk?g

Jup, dat is zo.
Aan de andere kant, wil je het toestaan dat deze medewerkers zonder enige controle zomaar in je mailbox kunnen..? Wil je dat als klant? Zelf ken ik persoonlijk meerdere mensen die bij een ISP werken, ik zou het niet leuk vinden als ze "voor de grap" of uit nieuwsgierigheid eventjes zonder dat iemand het opmerkt m'n mail kunnen benaderen.
Het is denk ik daarom een afweging. Sommige ISPs zullen hierbij volledig voor "gemak" kiezen, andere ISPs volledig voor "veiligheid", terwijl andere ISPs er ergens tussenin zitten (wel het password toegankelijk maken, maar onder bepaalde voorwaarden). Het mogelijk duidelijk zijn waar Telfort onder valt.

🌞🍃

woensdag 16 januari 2008 23:22

Acties:

0 Henk 'm!

Gomez12

@Falcon en knakworst.

Wat kunnen UPC en planet ook? Want in webmail kunnen vind ik niet zo heel spannend, een net gereset / gegenereerd wachtwoord kunnen inzien vind ik ook niet zo heel spannend ( het is niet ideaal, maar zolang de klant zelf zijn wachtwoord kan wijzigen kan hij ervoor kiezen om het security gat te laten bestaan, maar hij kan het ook verhelpen )

Maar als jullie het hebben over het kunnen uitlezen van bestaande zelf ingestelde wachtwoorden van de klant dan vind ik het wel zeer kwalijk.

donderdag 17 januari 2008 08:30

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Gomez12 schreef op woensdag 16 januari 2008 @ 23:22:
Maar als jullie het hebben over het kunnen uitlezen van bestaande zelf ingestelde wachtwoorden van de klant dan vind ik het wel zeer kwalijk.

Volgens mij bedoelden ze dat ja. Net als de provider in dit topic dus gewoon het wachtwoord kunnen lezen. En dat vind ik ook best wel jammer.

Aan de andere kant heb ik het standaard gegenereerde wachtwoord gehouden. Maar veel mensen zullen het wél veranderen in hun eigen (meest gebruikte of misschien wel enige gebruikte) wachtwoord. Samen met toegang tot webmail, is dat toch best wel een vertrouwen wat je in een helpdesk medewerker stopt.

Zelf voel ik mij er niet zo prettig bij

Gelukkig gebruik ik de mail account van m'n provider niet eens. Maar ga maar eens na hoeveel mensen dit alles wel doen?

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

donderdag 17 januari 2008 12:30

Acties:

0 Henk 'm!

PcDealer

HP ftw \o/

Over de disclaimer: er staat mij iets bij van de journalistieke vrijheden in dit land en de taak ervan. het aan kaak stellen van onrechtmatigheden. Deze gaat indien het een publiek belang betreft boven die van een disclaimer. Bovendien is niet de privacy van een enkel persoon in het geding, maar de fouten van het bedrijf in kwestie.

Disclaimer:
IANAL

LinkedIn WoT Cash Converter

donderdag 17 januari 2008 15:04

Acties:

0 Henk 'm!

andreas2005

En dit keer razendsnel antwoord van de helpdesk van Tiscali! $_/-\o_$ Tiscali welkom terug!

Omdat er geen disclaimer is opgenomen kan ik nu dit antwoord hier plaatsen:

Al onze medewerkers zijn een geheimhoudingsbeding aangegaan bij het tekenen van de arbeidsovereenkomst. Er wordt toegezien op de naleving hiervan en er staan vergaande sancties op overtreding van dit beding.

Tsja, wat denken we er van? Het beslissende stuk is "er wordt toegezien op de naleving hiervan". Dit zou een controleproces moeten inhouden in mijn ogen. Maar als ze alleen bedoelen dat er als een klant piept wordt opgetreden, dan is het een dooie mus.
Ik moet het nog op mij laten inwerken of ik dit voldoende vind, of toch meer geld ga neertellen en overstap op XS4ALL. Voor de helft minder snelheid dan ik nu heb, en 5 euro meer dan ik nu betaal, koop ik zekerheid.

donderdag 17 januari 2008 17:05

Acties:

0 Henk 'm!

Ccc

Er worden een hoop dingen in een topic gezegd hier waarvan niets klopt.

Bijvoorbeeld.

Falcon schreef op woensdag 16 januari 2008 @ 22:36:
Trouwens even hier iets aan toevoegen. UPC medewerkers van de technische dienst kunnen het zelfde.

donderdag 17 januari 2008 17:14

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

andreas2005 schreef op donderdag 17 januari 2008 @ 15:04:
En dit keer razendsnel antwoord van de helpdesk van Tiscali! $_/-\o_$ Tiscali welkom terug!
Omdat er geen disclaimer is opgenomen kan ik nu dit antwoord hier plaatsen:

[...]

Tsja, wat denken we er van? Het beslissende stuk is "er wordt toegezien op de naleving hiervan". Dit zou een controleproces moeten inhouden in mijn ogen. Maar als ze alleen bedoelen dat er als een klant piept wordt opgetreden, dan is het een dooie mus.
Ik moet het nog op mij laten inwerken of ik dit voldoende vind, of toch meer geld ga neertellen en overstap op XS4ALL. Voor de helft minder snelheid dan ik nu heb, en 5 euro meer dan ik nu betaal, koop ik zekerheid.

Nee, je koopt nog altijd schijnzekerheid. Bij elke ISP (of elk bedrijf met een mail- / systeembeheerder) is er minstens 1 persoon die alle mail, indien nodig of "in zijn vrije tijd" gewoon kan inzien hoor. Maar gezien je ietwat bevooroordeelde houding ten opzichte van je huidige ISP, kan ondertussen niemand echt meer argumenten/voorbeelden noemen om jou (of anderen for that matter) te laten inzien dat het issue, imho, iets te veel wordt opgeblazen.

Ik vind het eerlijk gezegd nog al makkelijk dat je concludeert dat "zolang de klant niet piept, treden we niet op"; je kan het niet hard maken noch heb je een afschrift gekregen van de interne procedures van betreffende ISP.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 17 januari 2008 18:14

Acties:

0 Henk 'm!

andreas2005

MAX3400 schreef op donderdag 17 januari 2008 @ 17:14:
[...]

Nee, je koopt nog altijd schijnzekerheid. Bij elke ISP (of elk bedrijf met een mail- / systeembeheerder) is er minstens 1 persoon die alle mail, indien nodig of "in zijn vrije tijd" gewoon kan inzien hoor. Maar gezien je ietwat bevooroordeelde houding ten opzichte van je huidige ISP, kan ondertussen niemand echt meer argumenten/voorbeelden noemen om jou (of anderen for that matter) te laten inzien dat het issue, imho, iets te veel wordt opgeblazen.

Ik vind het eerlijk gezegd nog al makkelijk dat je concludeert dat "zolang de klant niet piept, treden we niet op"; je kan het niet hard maken noch heb je een afschrift gekregen van de interne procedures van betreffende ISP.

Even beter lezen joh, er staat het woord "als" voor, in de zin van "gesteld dat" of "indien". Ik zeg niet dat het zo is, het is een mogelijkheid afhankelijk van hoe ze dit nu weer bedoelen. Mijn vraag is ook daarom: wat vinden we er van? Ik weet het niet namelijk. Op zich geen behoefte om te veranderen, ben namelijk heel tevreden over Tiscali, wat ik hiervoor al meerdere keren heb gezegd.

donderdag 17 januari 2008 18:24

Acties:

0 Henk 'm!

pven

Waar komt toch vandaan dat een disclaimer enige juridische waarde heeft?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 17 januari 2008 18:28

Acties:

0 Henk 'm!

Anoniem: 204528

andreas2005 schreef op donderdag 17 januari 2008 @ 18:14:
[...]

Even beter lezen joh, er staat het woord "als" voor, in de zin van "gesteld dat" of "indien". Ik zeg niet dat het zo is, het is een mogelijkheid afhankelijk van hoe ze dit nu weer bedoelen. Mijn vraag is ook daarom: wat vinden we er van? Ik weet het niet namelijk. Op zich geen behoefte om te veranderen, ben namelijk heel tevreden over Tiscali, wat ik hiervoor al meerdere keren heb gezegd.

Ik vind dat je je er niet te druk om moet maken

Als iemand wil dan kan hij toch wel access krijgen in je computer en in je mailbox.. Als iemand wil kan die ook je post bij de PTT lezen en het vervolgens in een plastic folie naar je sturen met de mededeling dat het helaas beschadigd is tijdens het vervoer

Als iemand jouw gegevens wil hebben dan kan die ook gewoon bij je inbreken en allerlei data meenemen... Jouw sleutel uniek? Een sleutelboer maakt binnen een aantal minuten zo een andere sleutel

In andere woorden: Er is altijd een 'als' en het ligt aan jou hoe erg je die 'als' vind en hoe groot je de kans schat dat iemand even in de inbox van 1 van de duizenden klanten gaat kijken

Vanuit dat opzicht vertrouw ik dergelijke bedrijven wel met mijn gegevens: als ze willen zouden ze ook mijn wachtwoord kunnen resetten en zodoende toegang krijgen tot mijn inbox etc

donderdag 17 januari 2008 19:09

Acties:

0 Henk 'm!

Ccc

Anoniem: 204528 schreef op donderdag 17 januari 2008 @ 18:28:
[...]

Ik vind dat je je er niet te druk om moet maken

Als iemand wil dan kan hij toch wel access krijgen in je computer en in je mailbox.. Als iemand wil kan die ook je post bij de PTT lezen en het vervolgens in een plastic folie naar je sturen met de mededeling dat het helaas beschadigd is tijdens het vervoer

Als iemand jouw gegevens wil hebben dan kan die ook gewoon bij je inbreken en allerlei data meenemen... Jouw sleutel uniek? Een sleutelboer maakt binnen een aantal minuten zo een andere sleutel

In andere woorden: Er is altijd een 'als' en het ligt aan jou hoe erg je die 'als' vind en hoe groot je de kans schat dat iemand even in de inbox van 1 van de duizenden klanten gaat kijken Vanuit dat opzicht vertrouw ik dergelijke bedrijven wel met mijn gegevens: als ze willen zouden ze ook mijn wachtwoord kunnen resetten en zodoende toegang krijgen tot mijn inbox etc

Hier ben ik het volkomen mee eens.
Alles is te omzeilen.

Wat ik zelf denk:
De TS heeft aan de helpdeskmedewerker gevraagd of hij gewoon mag in loggen en volgens de helpdeskmedewerker mocht dat 100% zeker.
Ik denk dat die persoon dat heeft gezegd om Decon Frost een beetje te stangen.
Ik zou zelf ook zo reageren als iemand zegt: He hoezo, heb je mijn wachtwoord? En aan me vraagt of dat wel mag.

Ik weet namelijk bijna 99.9% dat alle werknemers gezegd hebben gekregen dat je niet zonder toestemming van de klant op de webmail mag inloggen met de gegevens van de klant.
Lache toch zou ik dan denken schrikt hij nog meer.

donderdag 17 januari 2008 19:36

Acties:

0 Henk 'm!

alt-92

ye olde farte

Ccc schreef op donderdag 17 januari 2008 @ 19:09:
Ik denk dat die persoon dat heeft gezegd om Decon Frost een beetje te stangen.
Ik zou zelf ook zo reageren als iemand zegt: He hoezo, heb je mijn wachtwoord? En aan me vraagt of dat wel mag.
[...]
Lache toch zou ik dan denken schrikt hij nog meer.

Gelukkig hoef jij niet je hypotheek van dat werk te betalen

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 januari 2008 18:01

Acties:

0 Henk 'm!

LuNaTiC

Olijke schavuit

Sorry voor het kicken van dit topic, maar kreeg mail over vanavond:

Het item over telfort is vanavond in de uitzending. Meteen na 8 uur (na de voetbalflits).

(radio online, op radio 1 dus)

My own opinion is enough for me, and I claim the right to have it defended against any consensus, any majority, anywhere, any place, any time. And anyone who disagrees with this can pick a number, get in line, and kiss my ass. - Christopher Hitchens

dinsdag 22 januari 2008 18:15

Acties:

0 Henk 'm!

PcDealer

HP ftw \o/

Ccc schreef op donderdag 17 januari 2008 @ 19:09:
[...]

Wat ik zelf denk:
De TS heeft aan de helpdeskmedewerker gevraagd of hij gewoon mag in loggen en volgens de helpdeskmedewerker mocht dat 100% zeker.
Ik denk dat die persoon dat heeft gezegd om Decon Frost een beetje te stangen.
Ik zou zelf ook zo reageren als iemand zegt: He hoezo, heb je mijn wachtwoord? En aan me vraagt of dat wel mag.

Rare kijk op de wereld heb jij

Als ik zou merken dat de helpdesk zo onprofessioneel is, zoek ik een andere aanbieder.

LuNaTiC schreef op dinsdag 22 januari 2008 @ 18:01:
Sorry voor het kicken van dit topic, maar kreeg mail over vanavond:

Je hebt nieuws, dus kick!

LinkedIn WoT Cash Converter

dinsdag 22 januari 2008 18:47

Acties:

0 Henk 'm!

Anoniem: 204528

PcDealer schreef op dinsdag 22 januari 2008 @ 18:15:
[...]

Rare kijk op de wereld heb jij
Als ik zou merken dat de helpdesk zo onprofessioneel is, zoek ik een andere aanbieder.

Het hele verhaal geeft alleen de kant van de TS weer, dus daarop kan helemaal niks gebaseerd worden. Wel blijkt het dus waar te zijn dat de helpdesk toegang heeft tot de wachtwoorden, maar de situatie zoals TS hem schetst is erg gekleurd en daarop kan je dan ook geen conclusies trekken

dinsdag 22 januari 2008 19:22

Acties:

0 Henk 'm!

World Citizen

FreeReef.nl

Topicstarter

vanavond tussen 20:00 21:00 op Radio Online van de Tros
www.radio-online.nl

FreeReef.nl

dinsdag 22 januari 2008 19:30

Acties:

0 Henk 'm!

PcDealer

HP ftw \o/

Anoniem: 204528 schreef op dinsdag 22 januari 2008 @ 18:47:
[...]

Het hele verhaal geeft alleen de kant van de TS weer, dus daarop kan helemaal niks gebaseerd worden. Wel blijkt het dus waar te zijn dat de helpdesk toegang heeft tot de wachtwoorden, maar de situatie zoals TS hem schetst is erg gekleurd en daarop kan je dan ook geen conclusies trekken

Tuurlijk wel, je kunt conclusies trekken juist op basis van het verhaal van ts. Dat is iets wat losstaat of het wel of niet waar is.

LinkedIn WoT Cash Converter

dinsdag 22 januari 2008 19:34

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Decon Frost schreef op dinsdag 22 januari 2008 @ 19:22:
vanavond tussen 20:00 21:00 op Radio Online van de Tros
www.radio-online.nl

Ik ben benieuwd, ik luister later de mp3 wel. In eerste instantie vind ik dat je zwaar overdrijft (de redenen zijn al door anderen genoemd dus ik zal niet in herhaling vallen). Maar het is niet nodig, niet veilig ook want dan zijn wachtwoorden niet encrypted opgeslagen (weet je ook meteen waar je aan toe bent).

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 23 januari 2008 00:36

Acties:

0 Henk 'm!

LuNaTiC

Olijke schavuit

Hmm geen reacties meer? Vond het een goed item, werd gelukkig niet lichtzinnig over gedaan, door niemand eigenlijk. Toch wel een bevestiging, ook van deskundigen dat deze werkwijze eigenlijk gewoon 'not done' is.

woensdag 23 januari 2008 00:40

Acties:

0 Henk 'm!

Dav0s

Hr?

Ik moet de uitzending nog terugluisteren, maar volgens mij staat hij nog niet op de site...

woensdag 23 januari 2008 01:23

Acties:

0 Henk 'm!

Bergen

Spellingscontroleur

Bij UPC kunnen we ook iedereen's wachtwoord gewoon in plain-tekst opvragen. Althans, het originele wachtwoord, dus de letters/cijfers-combinatie die de klant van UPC heeft gekregen. We kunnen niet zien of een klant het wachtwoord heeft veranderd en we kunnen dus ook niet zien waarin. Alleen het originele wachtwoord is zichtbaar.

Als een klant met geen mogelijkheid in de mail komt ofzo en we willen even kijken of we er op de helpdesk wel in kunnen komen, vragen we altijd de klant om toestemming: "Vind u het goed als ik hier even probeer of ik wél in uw mail kom?" Dat zijn we verplicht om te vragen.

woensdag 23 januari 2008 06:22

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Dav0s schreef op woensdag 23 januari 2008 @ 00:40:
Ik moet de uitzending nog terugluisteren, maar volgens mij staat hij nog niet op de site...

Stond om 22.00 uur al online (misschien al eerder, maar toen keek ik gisteren) - url

Jammer dat er geen reactie van Telfort was.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 23 januari 2008 09:04

Acties:

0 Henk 'm!

andreas2005

Ik heb inmiddels een officiële reactie van Telfort gehad op mijn vragen over de toegang tot de mailbox, en ook op het topic hier (jawel, ze hebben het topic doorgenomen!). Jammer dat ze het niet hier op tweakers plaatsen, dan moet ik de boodschap maar doorgeven.
Het komt er op neer dat ze zeker niet ontkennen dat het gegaan is zoals de TS heeft gesteld. Alle helpdeskmedewerkers hebben toegang tot de mailbox, om te kunnen controleren of het naar behoren werkt. Wachtwoorden zijn toegankelijk voor de medewerkers om dit mogelijk te maken.
Wat niet mag, is vervolgens ook mail te openen. Daar wordt dus de lijn getrokken. Wél toegang tot de mailbox, níet tot de inhoud van de mail. Wat TS is overkomen, kan daarom iedereen overkomen!

Geeft trouwens wel interessante mogelijkheden voor iedereen die gebruik wil maken van niet traceerbare mail. Wordt helpdeskmedewerker bij één van de isp's die hier zijn besproken. Maak gebruik van de toegang die je hebt tot andermans mailbox. Stuur mail naar je malafide contacten, en verwijder deze items daarna uit de mailbox van de klant.
De klant zal dit niet merken, hoe kun je immers, en mocht ooit de politie de mailverzender willen achterhalen dan komen ze bij de klant zélf uit! En probeer dan nog maar eens aan te tonen dat je die handleiding om een bom te maken niet hebt verzonden. Omdat alle mailverzendgegevens anderhalf jaar moeten worden bewaard door de ISP, kun je hier nog heel lang mee worden geconfronteerd. De klant heeft niets om te bewijzen dat hij de mail niet verzonden heeft.
Je mailbox is domweg zo lek als een mandje

woensdag 23 januari 2008 10:07

Acties:

0 Henk 'm!

P5ycho

andreas2005 schreef op woensdag 23 januari 2008 @ 09:04:
Geeft trouwens wel interessante mogelijkheden voor iedereen die gebruik wil maken van niet traceerbare mail. Wordt helpdeskmedewerker bij één van de isp's die hier zijn besproken. Maak gebruik van de toegang die je hebt tot andermans mailbox. Stuur mail naar je malafide contacten, en verwijder deze items daarna uit de mailbox van de klant.
De klant zal dit niet merken, hoe kun je immers, en mocht ooit de politie de mailverzender willen achterhalen dan komen ze bij de klant zélf uit! En probeer dan nog maar eens aan te tonen dat je die handleiding om een bom te maken niet hebt verzonden. Omdat alle mailverzendgegevens anderhalf jaar moeten worden bewaard door de ISP, kun je hier nog heel lang mee worden geconfronteerd. De klant heeft niets om te bewijzen dat hij de mail niet verzonden heeft.
Je mailbox is domweg zo lek als een mandje .

Daar heb je gewoon logfiles voor. Op het moment van inloggen wordt het ip en de login gelogd, waarna in die sessie de mails zijn verstuurd. Als je de logingegevens van de helpdeskpc's er dan bij pakt en ze over mekaar legt heb je de dader meteen te pakken.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

woensdag 23 januari 2008 10:14

Acties:

0 Henk 'm!

Anoniem: 185039

P5ycho schreef op woensdag 23 januari 2008 @ 10:07:
[...]

Daar heb je gewoon logfiles voor. Op het moment van inloggen wordt het ip en de login gelogd, waarna in die sessie de mails zijn verstuurd. Als je de logingegevens van de helpdeskpc's er dan bij pakt en ze over mekaar legt heb je de dader meteen te pakken.

Dat wou ik zeggen ja
ZO lek is het ook weer niet

Dat je niet direct kunt bewijzen dat je het niet hebt gedaan: ok
Maar als ze IP nachecken van de mail die verzonden is (staat ook in de mail bij de ontvanger van welk ip ie komt) dan hebben ze de dader zo te pakken

Je kan nl vaak wel aantonen of je op die plek van dat IP ben geweest
En als klant ga je niet zomaar achter de pc van de helpdesk een mailtje kunnen sturen

woensdag 23 januari 2008 10:31

Acties:

0 Henk 'm!

andreas2005

Die logfiles worden vast (zeker) niet anderhalf jaar bewaard. één jaar bewaren is bij de meeste bedrijven al heel veel.
IP-adressen zijn voor mij redelijk ongrijpbaar (sorryvoor mijn onwetendheid). Bij Telfort heb je als klant een dynamisch ip, dan houdt dat toch in dat je nooit kan aantonen dat je op dat moment dat specifiek ip-adres *niet* gehad hebt?
Is anderhalf jaar later nog steeds aan te tonen bij welke computer een ip-adres hoorde?

woensdag 23 januari 2008 10:51

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

andreas2005 schreef op woensdag 23 januari 2008 @ 10:31:
Die logfiles worden vast (zeker) niet anderhalf jaar bewaard. één jaar bewaren is bij de meeste bedrijven al heel veel.
IP-adressen zijn voor mij redelijk ongrijpbaar (sorryvoor mijn onwetendheid). Bij Telfort heb je als klant een dynamisch ip, dan houdt dat toch in dat je nooit kan aantonen dat je op dat moment dat specifiek ip-adres *niet* gehad hebt?
Is anderhalf jaar later nog steeds aan te tonen bij welke computer een ip-adres hoorde?

De bewaarplicht is geregeld in de Europese Richtlijn Dataretentie, waarin als bewaartermijn 6 tot 24 maanden wordt gesuggereerd. De Erasmus Universiteit adviseerde in 2005 een periode van 12 maanden. Nederland gaat nu 18 maanden lang alle data over het internetverkeer bijhouden.

Daar hoort ook bij wie welk ip adres had op welk moment.
Dus account pietje had op 1 april 2007 om 8.30 ip adres 127.0.0.2.1 etc

Programmer - an organism that turns coffee into software.

woensdag 23 januari 2008 11:00

Acties:

0 Henk 'm!

Anoniem: 204528

andreas2005 schreef op woensdag 23 januari 2008 @ 09:04:
Wél toegang tot de mailbox, níet tot de inhoud van de mail. Wat TS is overkomen, kan daarom iedereen overkomen!

Uiteraard, net als dat er ook een terrorist jou kan doodschieten, een moordenaar net jou op straat tegen komt, etc.. Er kan zoveel, maar je moet je niet teveel zorgen daarover gaan maken.

Je mailbox is domweg zo lek als een mandje .

Welkom in de echte wereld! Alles is lek, overal is fraude mogelijk!
Als iemand bij de bank wil dan kan hij ook zo het geld van je rekening afhalen, als iemand wil dan kan hij ook toegang tot je router krijgen en vanaf jouw IP adres kinderporno gaan kijken waar jij voor opdraait, etc etc... Relativeren

woensdag 23 januari 2008 13:04

Acties:

0 Henk 'm!

Anoniem: 89065

andreas2005 schreef op woensdag 23 januari 2008 @ 10:31:
Bij Telfort heb je als klant een dynamisch ip, dan houdt dat toch in dat je nooit kan aantonen dat je op dat moment dat specifiek ip-adres *niet* gehad hebt?
Is anderhalf jaar later nog steeds aan te tonen bij welke computer een ip-adres hoorde?

Jij kunt niet aantonen dat jij het niet gehad hebt, maar zij (Telfort) kunnen wel aantonen dat jij dat op dat moment wel gehad hebt. Het lijkt mij dat de verbinding waarmee de helpdesk cq het bedrijf mee het internet op gaan wel een vast ip heeft, en ook vast niet in de 'standaard' dhcp pool zit.

Anderhalf jaar lang lijkt me wat veel. Ik heb me ooit laten vertellen dat de plicht om deze gegevens te bewaren op 3 maanden staat. Ben geen juridisch specialist, dus heb geen volledige zekerheid dat dit het geval is (en heb even weinig zin om de wetboeken door te spitten

woensdag 23 januari 2008 13:16

Acties:

0 Henk 'm!

andreas2005

Anoniem: 204528 schreef op woensdag 23 januari 2008 @ 11:00:

Welkom in de echte wereld! Alles is lek, overal is fraude mogelijk!
Als iemand bij de bank wil dan kan hij ook zo het geld van je rekening afhalen, als iemand wil dan kan hij ook toegang tot je router krijgen en vanaf jouw IP adres kinderporno gaan kijken waar jij voor opdraait, etc etc... Relativeren

Alles kan, maar waarom wordt het zo verrekte eenvoudig gemaakt? Mijn pinpas kan ook gekopieerd worden, maar toch vertel ik je mijn pincode niet! En er zijn een aantal bankmedewerkers geweest die dat soort trucs uithalen, maar dan is er ten eerste de klant zelf die het kan opmerken (dat is met mijn voorbeeld niet mogelijk!), ten tweede zijn er vrij goede mogelijkheden om de fraude op te sporen, en ten derde is er bij banken sprake van een flink doorgevoerde functiescheiding om dergelijke grappen onmogelijk te maken. En terecht, in mijn ogen.
Verder heb ik, net als het merendeel van nederland inmiddels, mijn accesspoint wel zo goed mogelijk beveiligd. Dat het kan, wil niet zeggen dat ik het ook wil! En daar wil ik helemaal niet over relativeren. In mijn begindagen met een wifiverbinding had ik nog een datalimiet en een slechte beveiliging. Doordat ik ineens fors over die limiet heenging kwam ik erachter dat mijn verbinding was gebruikt door een ander. Dat was een goeie tik op de neus, denk niet altijd dat het alleeen anderen overkomt en ga niet alles zitten wegrelativeren. Zachte heelmeesters maken stinkende wonden, en waar stank is, is vuur, of zoiets

.

In een eerdere mail van Telfort hebben ze overigens aangegeven actief te controleren op naleving door de helpdeskmedewerkers van de richtlijnen. En dat vind ik al heel wat, mogelijk zelfs wel zo veel dat ik desondanks klant blijf (maar dat heeft ook een financiële reden, ik heb niet de budgettaire ruimte om naar een andere provider, lees xs4all, over te stappen). Alleen bewaar ik de mailwisseling hierover met Telfort wel, zodat ik in ieder geval enige rugdekking heb bij mogelijke problemen.

Maar die IP-adressen die worden bewaard, in hoeverre wordt daarvan vastgehouden van wie dat ip-adres is? Is op grond van de dataretentiewet daadwerkelijk van iedere mail vastgelegd van welke computer die afkomstig is? Kan een anomymizer daarbij die vastlegging verstoren?

woensdag 23 januari 2008 14:48

Acties:

0 Henk 'm!

Anoniem: 144160

Mijn werkgever heeft een overzicht welke werkplekken welk ipadres hebben. De werknemers loggen in op die pc's met een persoonlijk account. Ergo, het is te achterhalen dat account "pietje" gebruikt is op "tijdstip overtreding" met pc "3e van links op zaal 331, gebouw 10 , verdieping 12" . Interne controle vindt plaats door steekproefgewijs de werknemer te monitoren (is afgedekt in privacyregelgeving) op hoe deze zijn werk uitvoert.
Externe bewaking vindt plaats in die zin dat een klant ALTIJD toestemming moeten geven na controle van specifieke gegevens voor een wijziging in zijn gegevens plaatsvindt. Ikzelf mag bijvoorbeeld wel een emailwachtwoord voor een klant resetten maar het originele wachtwoord, dat de klant zelf heeft ingevoerd, zie ik niet. Dit geld voor alle omgevingen waar de klant in kan loggen.
Wat dit aangaat, ik werk nu voor een grote telecomaanbieder, maar mijn eerste callcenterbaan voor een aanzienlijk kleinere aanbieder bood die mogelijkheden al niet eens. Die deden dit soort klussen vanuit een back-office, niet eens aan de voorkant.
Zoals hier al eerder gemeld is, is de angst van TS verklaarbaar maar bij de meeste ISP's (net als Telfort al meldt) is het gebruikelijk om een geheimhoudingsplicht te ondertekenen voor je aan de slag gaat.

woensdag 23 januari 2008 14:55

Acties:

0 Henk 'm!

Dolan

andreas2005 schreef op woensdag 23 januari 2008 @ 09:04:
Je mailbox is domweg zo lek als een mandje .

Kerel, wat jij nu omschrijft kan iedereen doen die PHP kenis heeft. Je hoeft alleen het mailadres van de klant te weten:

code:

1	mail(ontvanger@vanbommail.nl,' hoe maak ik een bom ','Bladiebla','from: klant@telfort.nl');

Dat heeft exact hetzelfde effect wat je omschrijft. Om een mail te sturen hoef je geen toegang te hebben tot een mailbox van een klant. Dat is alleen voor ontvangen. Kijk maar naar SMTP, geen verificatie nodig. D.m.v. het IP adres weten ze de zender toch wel te achterhalen.

woensdag 23 januari 2008 15:47

Acties:

0 Henk 'm!

Anoniem: 89065

andreas2005 schreef op woensdag 23 januari 2008 @ 13:16:
[...]

Maar die IP-adressen die worden bewaard, in hoeverre wordt daarvan vastgehouden van wie dat ip-adres is? Is op grond van de dataretentiewet daadwerkelijk van iedere mail vastgelegd van welke computer die afkomstig is? Kan een anomymizer daarbij die vastlegging verstoren?

Ik ben ooit eens werkzaam geweest voor een ISP, en die houden dus logs bij van de dhcp server. Dus welke klant heeft wanneer een lease aangevraagd voor welk ip adres, en heeft deze ook daadwerkelijk toegewezen gekregen. Heeft dus niets te maken met het feit dat zij zaken in mailverkeer opslaan, of dat een anonymizer daar ook iets aan kan veranderen / verbergen.

donderdag 24 januari 2008 05:16

Acties:

0 Henk 'm!

Bergen

Spellingscontroleur

We gaan wel erg de paranoïde kant op niet? Helpdeskmedewerkers die mail versturen via klanten hun mailadres? Helpdeskmedewerkers hebben wel wat beters te doen...

donderdag 24 januari 2008 07:41

Acties:

0 Henk 'm!

andreas2005

Bonafide helpdeskmedewerkers wel ja. Het probleem is dat een deel van de mensheid in meer of mindere mate crimineel gedrag vertoont. En ook dat deel van de bevolking heeft voor het grootste deel gewoon een baan. Het staat er ook niet aan de buitenkant op geschreven. Maar vraag jezelf maar eens af hoe vaak er op je werk al iets gestolen is, of hoeveel mensen plotseling ontslagen zijn.
Bij mij op het werk kun je bijvoorbeeld niet je regenpak bij je fiets laten liggen in het afgesloten fietsenhok, want dan loop je het risico dat het verdwijnt (ik werk bij een bedrijf met 1500 medewerkers). Volgens mij met name als het regent

. Dus ben ik paranoide? weet niet. Lijkt me eerder realistisch

. Het enige wat nodig is, is een concreet doel dat te behalen is met het misbruik, als dat er is dan kun je er van verzekerd zijn dat het misbruik ook gaat plaatsvinden. Dat wil niet zeggen dat élke klant het meemaakt. Skimming overkomt ook weinig mensen, toch is het een reeel risico.
Alleen voor de risico's die je wenst te zien kun je maatregelen nemen. Dat houdt niet in dat ik dan geen gebruik meer maak van telfortmail, wel dat ik voortaan bij "rare zaken" ook deze fraudemogelijkheid als optie openhoud.

Pagina: Vorige 1 2 3 4 Laatste

Reageer