Compleet klantbestand in mijn bezit en het interesseert niem - Internet en hosting

maandag 14 januari 2008 17:01

Acties:

0 Henk 'm!

Dat dit gebeurd is is gewoon een groffe fout. Er kan altijd een foutje gemaakt worden, dat begrijp ik ook wel. Als er dus een stuk sourcecode van hun site ergens terrecht komt is dat niet goed, maar te overzien.

Echter, bij persoonsgegevens verandert alles. Persoonsgegevens dien je uiterst zorgvuldig te behandelen. Deze mogen nooit op een publiek toegankelijke locatie terrecht komen. En als het een keer nodig is de gegevens via een 'onveilig' kanaal te versturen, dan zorg je dat ze geëncrypt worden.

Als je met die gegevens buiten je beveiligde interne netwerk gaat werken denk je 2 keer na wat je precies doet en wat voor gevolgen dat heeft mocht het bestand naar buiten komen. Er is absoluut geen enkele manier om dit goed te praten. Planet is overigens strafbaar hierin. Ik verwacht (hoop?) dan ook mogelijke juridsche stappen.

[ Voor 4% gewijzigd door ShadowLord op 14-01-2008 17:03 ]

You see things; and you say, "Why?" But I dream things that never were; and I say, "Why not?"

maandag 14 januari 2008 17:03

Acties:

0 Henk 'm!

Verwijderd

Maar die verklaring heeft nu.nl niet van TS of deze thread. Hebben ze dan zelf contact opgenomen met Planet om een antwoord te krijgen? In principe wel fair game dan.

maandag 14 januari 2008 17:23

Acties:

0 Henk 'm!

Terrestrial

Dit verhaal is belachelijk! Planet/KPN is bij wet verplicht om zorgvuldig met dit soort gegevens om te gaan. Dat betekend in de praktijk dat elk bestand/record wanneer gelezen, verplaatst, gewist of gekopieerd wordt in een actie log wordt weggeschreven. Kortom ze hebben zich duidelijk niet aan protocol gehouden!

Tevens is er geen enkele garantie dat lamuis die gegevens 100% verwijderd/vernietigd heeft en niet gekopieerd of public gemaakt heeft. Dat hoeft niet eens met opzet te gebeuren. (denk aan p2p deling etc) Zelfs als zijn hdd stuk gaat kunnen er nog delen van deze informatie uitlekken....

Het enige wat Planet nu kan doen is al hun klanten instrueren om mandatory het wachtwoord te wijzigen.

maandag 14 januari 2008 17:29

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op maandag 14 januari 2008 @ 17:03:
Maar die verklaring heeft nu.nl niet van TS of deze thread. Hebben ze dan zelf contact opgenomen met Planet om een antwoord te krijgen? In principe wel fair game dan.

Vanzelfsprekend. Hoor & Wederhoor hé.

maandag 14 januari 2008 17:36

Acties:

0 Henk 'm!

Verwijderd

Terrestrial schreef op maandag 14 januari 2008 @ 17:23:
Tevens is er geen enkele garantie dat lamuis die gegevens 100% verwijderd/vernietigd heeft en niet gekopieerd of public gemaakt heeft. Dat hoeft niet eens met opzet te gebeuren. (denk aan p2p deling etc) Zelfs als zijn hdd stuk gaat kunnen er nog delen van deze informatie uitlekken....

Het enige wat Planet nu kan doen is al hun klanten instrueren om mandatory het wachtwoord te wijzigen.

Zonder TS ergens van te beschuldigen klopt dit inderdaad wel, hoe groot is het verlangen niet om het voor de grap toch nog op CD te branden...

T feit dat het 'ontraceerbaar' mogelijk is, is eigenlijk al een mogelijkheid die er niet zou moeten zijn.. Geen idee hoe Planet dit waarborgt

maandag 14 januari 2008 18:08

Acties:

0 Henk 'm!

MrAngry

Verwijderd schreef op maandag 14 januari 2008 @ 17:36:
[...]

Zonder TS ergens van te beschuldigen klopt dit inderdaad wel, hoe groot is het verlangen niet om het voor de grap toch nog op CD te branden...

T feit dat het 'ontraceerbaar' mogelijk is, is eigenlijk al een mogelijkheid die er niet zou moeten zijn.. Geen idee hoe Planet dit waarborgt

Als ik de TS was zou ik het sowieso houden, gewoon omdat het kan. Ik weet dat het moreel volstrekt niet acceptabel is, maar ik ben een te grote pc hobbyist om niet eens te kijken of ik wat wachtwoorden eruit kan vissen. Gewoon puur voor de hobby.
Behalve als Planet me 5000 euro zou geven dan mogen ze zelf komen verifieren of echt alles weg is.

edit: Ik geloof ook sterk dat dit geen backup aktie was, maar een download aktie. Ondanks scenario's waarin deze fout per ongeluk gemaakt had kunnen zijn weiger ik dat gewoon te geloven, dit is echt geen normale backup, daarvoor is de lokatie te vreemd.

[ Voor 14% gewijzigd door MrAngry op 14-01-2008 18:11 ]

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 18:09

Acties:

0 Henk 'm!

stin

Verwijderd schreef op maandag 14 januari 2008 @ 16:27:
Even een update (wat laat, maar ik ben net pas thuis)...

Roland van Veen (nu.nl) heeft zijn info uit dit topic (hij heeft mij vanmorgen wel gemaild, maar ik was er dus niet).

Wow, nu.nl is echt behoorlijk gaar. Hebben ze jou inderdaad gevraagd het bestand te verwijderen? Of is dat uit de duim gezogen bij nu.nl

MrAngry schreef op maandag 14 januari 2008 @ 18:08:

Behalve als Planet me 5000 euro zou geven dan mogen ze zelf komen verifieren of echt alles weg is.

De TS heeft zijn hart op de juiste plaats. Ik had dit niet eens bekend gemaakt, maar ik had gewoon gezorgd dat ik er zoveel mogelijk geld voor had gekregen.

[ Voor 30% gewijzigd door stin op 14-01-2008 18:12 ]

maandag 14 januari 2008 18:17

Acties:

0 Henk 'm!

Verwijderd

MrAngry schreef op maandag 14 januari 2008 @ 18:08:
[...]

Als ik de TS was zou ik het sowieso houden, gewoon omdat het kan. Ik weet dat het moreel volstrekt niet acceptabel is, maar ik ben een te grote pc hobbyist om niet eens te kijken of ik wat wachtwoorden eruit kan vissen. Gewoon puur voor de hobby.
Behalve als Planet me 5000 euro zou geven dan mogen ze zelf komen verifieren of echt alles weg is.

Tja, ik zou het (hoewel ik weet dat ik verkeerd bezig zou zijn) waarschijnlijk ook nog een aantal weken houden op CD voor de 'leukigheid' en gewoon idd omda thet kan.. Gewoon eerst even het rustig laten bezinken voordat ik 'regieuze' beslissingen maak...

maandag 14 januari 2008 18:20

Acties:

0 Henk 'm!

Motrax

Profileert

Welke klantgegevens zijn nu precies uitgelekt? Is dit alleen Planet, of alles dat met KPN internet te maken had? Bijvoorbeeld HetNet valt ook ergens onder Planet/KPN...

maandag 14 januari 2008 18:24

Acties:

0 Henk 'm!

MrAngry

Motrax schreef op maandag 14 januari 2008 @ 18:20:
Welke klantgegevens zijn nu precies uitgelekt? Is dit alleen Planet, of alles dat met KPN internet te maken had? Bijvoorbeeld HetNet valt ook ergens onder Planet/KPN...

Ja, ik ben ook wel benieuwd, misschien dat de TS me even een kopietje kan mailen

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 18:26

Acties:

0 Henk 'm!

BtM909

Watch out Guys...

MrAngry schreef op maandag 14 januari 2008 @ 18:24:
[...]

Ja, ik ben ook wel benieuwd, misschien dat de TS me even een kopietje kan mailen

offtopic:
Volgens mij ken ik iemand bij Planet die 't wel even kan kopieren backuppen

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 14 januari 2008 18:27

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Sorry maar wat denken jullie wel niet? Het zou echt mega dom zijn, als de TS nu nog het bestand gaat 'misbruiken'. Want 'heel Nederland' weet dat hij het bestand heeft. Gewoon verwijderen dus. Planet heeft nu tenminste gereageerd op dit alles.

Ik vind dat de TS het allemaal netjes gedaan heeft

Ook mooi dat het niet intern met Planet opgelost is, maar ook in de media gekomen is. Want dit soort fouten mogen absoluut niet onbesproken blijven.

offtopic:
Al die stoere praat over 'als ik het bestand had, zou ik het houden en er grof geld mee verdienen', kan dat niet achterwege gelaten worden? We zitten niet in de HK hoor.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 18:33

Acties:

0 Henk 'm!

MrAngry

Volgens mij moet je het nog een keer rustig lezen wolkje, er staat weinig over misbruiken of stoere praat over geld verdienen.
Daar buiten denk ik dat de TS gewoon in z'n recht staat als ie het wil houden of als ie Planet geld vraagt om het te vernietigen, ze hebben het hem immers gewoon gegeven. Ik vind het eigenlijk niet zo'n rare gedachte. Dat is heel wat anders dan "misbruiken"

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 18:35

Acties:

0 Henk 'm!

johnneman

rofl de bofl

wolkje schreef op maandag 14 januari 2008 @ 18:27:
Ik vind dat de TS het allemaal netjes gedaan heeft Ook mooi dat het niet intern met Planet opgelost is, maar ook in de media gekomen is. Want dit soort fouten mogen absoluut niet onbesproken blijven.

offtopic:
Al die stoere praat over 'als ik het bestand had, zou ik het houden en er grof geld mee verdienen', kan dat niet achterwege gelaten worden? We zitten niet in de HK hoor.

dit soort fouten moeten inderdaad de aandacht van de media krijgen. ronduit belachelijk dat zoiets kan gebeuren.

hej La Muis, heb je ADSL of InternetPlusBellen van Planet? Ben benieuwd naar welke helpdesk je gebeld hebt.

offtopic:
wat maakt t uit wolkje:)

Tempus: It is said we all have a twin someplace in the world. Why Mr. Kent, without those glasses, I'd say you'd look exactly like.. well, d0h:\:p

maandag 14 januari 2008 18:37

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

MrAngry schreef op maandag 14 januari 2008 @ 18:08:
Behalve als Planet me 5000 euro zou geven dan mogen ze zelf komen verifieren of echt alles weg is.

Geld ermee verdienen, dus misbruiken. Ik betwijfel zelfs of je er wettelijk mee wegkomt.

stin schreef op maandag 14 januari 2008 @ 18:09:
De TS heeft zijn hart op de juiste plaats. Ik had dit niet eens bekend gemaakt, maar ik had gewoon gezorgd dat ik er zoveel mogelijk geld voor had gekregen.

MrAngry schreef op maandag 14 januari 2008 @ 18:24:
Ja, ik ben ook wel benieuwd, misschien dat de TS me even een kopietje kan mailen

Bovenstaande is stoere praat die werkelijk niets toevoegt aan dit topic, mits tenzij het een HK topic is.

Zo duidelijker dan?

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 18:44

Acties:

0 Henk 'm!

MrAngry

wolkje schreef op maandag 14 januari 2008 @ 18:37:
[...]

Geld ermee verdienen, dus misbruiken. Ik betwijfel zelfs of je er wettelijk mee wegkomt.

Ik zie dat toch anders. Planet moet straks hard maken dat er geen 2,5 miljoen emailadressen met bijhorende wachtwoorden rondslingeren. Ze kunnen dat m.i. maar op 2 manieren goed doen en dat is (1) naar het huis van de TS gaan en z'n hele computer en alles wat ie daar heeft liggen uitpluizen om te zien wat voor akties er exact op zijn ondernomen.
(2) iedereen een nieuw wachtwoord geven.

Ik zou als ik de TS was en ze kiezen voor 1 toch wel een vergoeding willen. Vind ik 5000 nog redelijk.

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 18:52

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

MrAngry schreef op maandag 14 januari 2008 @ 18:44:
Ik zie dat toch anders. Planet moet straks hard maken dat er geen 2,5 miljoen emailadressen met bijhorende wachtwoorden rondslingeren. Ze kunnen dat m.i. maar op 2 manieren goed doen en dat is (1) naar het huis van de TS gaan en z'n hele computer en alles wat ie daar heeft liggen uitpluizen om te zien wat voor akties er exact op zijn ondernomen.
(2) iedereen een nieuw wachtwoord geven.

Dat Planet diep in de shit zit, mag duidelijk zijn. Ze zullen het vertrouwen van hun klanten terug moeten winnen. Hoe ze dat doen is natuurlijk maar de vraag. Hoe ze dat met de TS op gaan lossen ook

Ik zou als ik de TS was en ze kiezen voor 1 toch wel een vergoeding willen. Vind ik 5000 nog redelijk.

Dat vind jij ja. Maar als jij geld gaat eisen voor zo'n simpele verwijder actie, pakt Planet het gewoon via de rechter aan. De TS is immers op de hoogte van de ernst (en illegaliteit) van datgeen wat hij in handen heeft. Hij weet dat hij het 'in moet leveren' als het ware.

Dat is precies hetzelfde als het vinden van iemands portemonnee op straat. Die ben je ook verplicht in te leveren, omdat je nu eenmaal weet dat het niet van jou is.
Daarnaast weet iedereen nu dus dat de TS het betreffende bestand heeft, dus hij zal wel mee moeten werken. Net als het niet terugbrengen van een portemonnee óók onder diefstal valt.
disclaimer: ik heb hiervoor zo snel geen bronnen, maar voor zover ik weet klopt het bovenstaande

Geld eisen om het bestandje te verwijderen, klinkt mij als pure chantage in de oren en is dan ook écht uit den boze.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 18:59

Acties:

0 Henk 'm!

MrAngry

Ik zie het ook niet echt als geld eisen om een bestand te verwijderen, maar vergoeding eisen om de bewijzen aan te leveren dat het echt weg is. Als zij het zeker willen weten zullen ze toch nog eens even flink mijn privacy moeten komen schenden, vandaar de vergoeding. De aktie op zich is idd geen vergoeding waardig.

Het is typisch tweakers om met analogiën te komen en het valt me mee dat het ditmaal geen auto was, maar met de portemonnee zit je er toch echt naast. In de portemonnee zitten documenten die van de overheid zijn en daarom ben je verplicht het terug te brengen. Dat is hier niet het geval.

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 19:00

Acties:

0 Henk 'm!

Jasper Janssen

Geld eisen om het bestandje te verwijderen, klinkt mij als pure chantage in de oren en is dan ook écht uit den boze.

Dat zegt hij dan ook niet, hij zei dat Planet voor geld mocht komen *verifieren* of het weg was. En daar heeft hij groot gelijk in dat hij dat niet doet. Zonder een -- aangevochten -- gerechtelijk bevel komt iemand niet bij mij binnen om m'n PCs in beslag te nemen en te kijken of data die ze zelf in mijn handen gedrukt hebben weg is.

Wat Planet kan doen is de topicstarter gewoon een geheimhoudingsbriefje te laten tekenen, van hetzelfde soort dat een werknemer aldaar (die deze gegevens ook gewoon kan inzien) routinematig doet. En een bedankje mag er dan IMHO ook wel af, dat ie het inderdaad gemeld heeft en niet misbruikt.

maandag 14 januari 2008 19:03

Acties:

0 Henk 'm!

TepelStreeltje

Fairytale gone bad...

hoorde het net zelfs op he tnieuws van radio 3 fm...
toch wel redelijk vedraait....

door een communicatie fout heeft het 2 weken geduurt
tikfout hadden ze dan wel weer goed ;P

als het dan eenmaal los is, dan gaat het ook goed los.
moet wel zeggen dat ik het jammer vind dat het echte gevaar niet begrepen zal worden door de meeste mensen. dat vertellen ze er niet bij (anders duurt het te lang, wel begrijpelijk, maar toch...)

Battle.net Spud#2543

maandag 14 januari 2008 19:03

Acties:

0 Henk 'm!

Jasper Janssen

Het is typisch tweakers om met analogiën te komen en het valt me mee dat het ditmaal geen auto was, maar met de portemonnee zit je er toch echt naast. In de portemonnee zitten documenten die van de overheid zijn en daarom ben je verplicht het terug te brengen. Dat is hier niet het geval.

Ook dat is overigens niet waar, als er geen ID papieren in zitten mag je een gevonden portemonnee ook niet houden. Je bent in zo'n geval verplicht de vondst te melden bij de politie en indien de eigenaar hem niet komt claimen na n tijd mag je hem hebben.

Maar goed, de analogie raakt kant noch wal, dus is niet echt relevant. Ze kunnen IMHO niet van je eisen dat je jouw eigen privacy schendt omdat zij dat op nog veel grotere schaal eerst deden.

maandag 14 januari 2008 19:04

Acties:

0 Henk 'm!

Sosabowski

nerd

Netjes, je hebt zelf het NOS nieuws gehaald, op radio 3. Balletje zal nu wel snel gaan rollen.

The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell

maandag 14 januari 2008 19:08

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

MrAngry schreef op maandag 14 januari 2008 @ 18:59:
Ik zie het ook niet echt als geld eisen om een bestand te verwijderen, maar vergoeding eisen om de bewijzen aan te leveren dat het echt weg is.

Dat begrijp ik ook wel. Maar denk je dat de andere partij dat ook zo ziet?

Als zij het zeker willen weten zullen ze toch nog eens even flink mijn privacy moeten komen schenden, vandaar de vergoeding. De aktie op zich is idd geen vergoeding waardig.

Het hangt inderdaad af van de manier waarop Planet wil gaan bewijzen dat het bestand in kwestie daadwerkelijk verwijderd is.

Maar zullen ze dat ooit kunnen bewijzen? Volgens mij niet. De TS heeft al zoveel tijd gehad sinds de vondst, dat het enige wat hij kan doen is, een contract tekenen dat hij het nooit zal gebruiken.
Daarvoor zou je misschien geld kunnen vragen, zwijggeld als het ware. Maar omdat de TS de gegevens sowieso al niet mag gebruiken, lijkt me dat hier niet van toepassing.

Ik moet toegeven dat ik er wel naast zat wat betreft stoere praat. Ik begrijp jouw insteek nu beter

Mijn excuses in elk geval.

Het is typisch tweakers om met analogiën te komen en het valt me mee dat het ditmaal geen auto was, maar met de portemonnee zit je er toch echt naast. In de portemonnee zitten documenten die van de overheid zijn en daarom ben je verplicht het terug te brengen. Dat is hier niet het geval.

offtopic:
Analogieën zijn helemaal mijn ding, sorry

Maar over die portemonnee, volgens mij gaat het daar niet perse om de overheidsdocumenten hoor. Een portemonnee hoeft niet perse dat soort zaken te bevatten, maar volgens mij is het sowieso strafbaar om eentje te 'houden', ongeacht de inhoud. Of zie je papier- en muntgeld ook als overheidseigendom? Dat zou kunnen en kan ik verder ook geen uitspraken over doen.

Jasper Janssen schreef op maandag 14 januari 2008 @ 19:03:
Maar goed, de analogie raakt kant noch wal, dus is niet echt relevant.

Zou je me misschien kunnen vertellen wáárom de analogie niet klopt? Voor zover ik begrijp zijn beide situaties onbedoelde diefstal toch?

[ Voor 8% gewijzigd door Cloud op 14-01-2008 19:10 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 19:12

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

xzaz schreef op maandag 14 januari 2008 @ 02:48:
Een database op een public folder lekker handig. Waarom zou je uberhaupt een kopie maken van een klanten database? Backup lijkt me niet toch? Ben benieuwd hoe dit afloopt.

Ja, jij wil je inkomsten niet beschermen natuurlijk...

maandag 14 januari 2008 19:17

Acties:

0 Henk 'm!

MrAngry

wolkje schreef op maandag 14 januari 2008 @ 19:08:
Maar omdat de TS de gegevens sowieso al niet mag gebruiken, lijkt me dat hier niet van toepassing.

Ik vraag me dit toch af hoor. Ik zeg niet dat je geen gelijk hebt (tenslotte zat ik er met die portemonnee ook iets naast), maar als ik naar jouw webspace een lijst upload met 2,5 miljoen email adressen dan is er toch niks wat je tegenhoudt omdat te misbruiken? Zelf als ik je de volgende dag bel en ik zeg, joh, foutje, ze zijn van mij en niet van jouw. Dan heb ik gewoon een probleem.
En Planet heeft wat dat betreft helemaal een probleem, want ze zijn ingelicht en hebben niet gereageerd, dat zal de eventuele rechter ook niet echt positief opvatten.

Hij mag in zoverre de gegevens niet gebruiken om bijvoorbeeld een wachtwoord eruit te vissen en in te breken in iemands email en daar vervolgens gegevens weg te halen om nog meer te jatten (paypal, creditcard nr. staat bijv. bij mij in de mail), maar hij mag ze verder best gebruiken.
En ter disclaimer: Dit is wat ik denk, wat mijn rationele juridische redenatie oplevert, maar ik heb geen enkele scholing op het vlak verder (gezonde interesse hooguit).

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 19:21

Acties:

0 Henk 'm!

Verwijderd

wolkje schreef op maandag 14 januari 2008 @ 18:37:
[...]

Geld ermee verdienen, dus misbruiken. Ik betwijfel zelfs of je er wettelijk mee wegkomt.

[...]

[...]

Bovenstaande is stoere praat die werkelijk niets toevoegt aan dit topic, mits het een HK topic is.

Zo duidelijker dan?

offtopic:
Niet echt. Met "mits" zeg je precies het tegenovergestelde van wat je bedoelt te zeggen.

MrAngry schreef op maandag 14 januari 2008 @ 19:17:
[...]

Ik vraag me dit toch af hoor. Ik zeg niet dat je geen gelijk hebt (tenslotte zat ik er met die portemonnee ook iets naast), maar als ik naar jouw webspace een lijst upload met 2,5 miljoen email adressen dan is er toch niks wat je tegenhoudt omdat te misbruiken? Zelf als ik je de volgende dag bel en ik zeg, joh, foutje, ze zijn van mij en niet van jouw. Dan heb ik gewoon een probleem.
En Planet heeft wat dat betreft helemaal een probleem, want ze zijn ingelicht en hebben niet gereageerd, dat zal de eventuele rechter ook niet echt positief opvatten.

Hij mag in zoverre de gegevens niet gebruiken om bijvoorbeeld een wachtwoord eruit te vissen en in te breken in iemands email en daar vervolgens gegevens weg te halen om nog meer te jatten (paypal, creditcard nr. staat bijv. bij mij in de mail), maar hij mag ze verder best gebruiken.
En ter disclaimer: Dit is wat ik denk, wat mijn rationele juridische redenatie oplevert, maar ik heb geen enkele scholing op het vlak verder (gezonde interesse hooguit).

Hij mag de gegevens sowieso niet gebruiken, en ik meen me te herinneren dat hij de gegevens zelfs niet mag bewaren. Het enkele feit dat hij die gegevens gekregen heeft zorgt er niet voor dat hij ze ook mag gebruiken, dat blijft gewoon strafbaar.

[ Voor 59% gewijzigd door Verwijderd op 14-01-2008 19:24 ]

maandag 14 januari 2008 19:31

Acties:

0 Henk 'm!

wasted247

Verwijderd schreef op maandag 14 januari 2008 @ 19:21:
offtopic:
Niet echt. Met "mits" zeg je precies het tegenovergestelde van wat je bedoelt te zeggen.

offtopic:
mits (voorzetsel)
op voorwaarde van, onder beding van

maandag 14 januari 2008 19:35

Acties:

0 Henk 'm!

kwiebus

Het staat ook op teletekst, door een interne communicatiestoornis bleef de fout enkele weken onopgemerkt :

Afbeeldingslocatie: http://i8.tinypic.com/6xtc20k.gif

Afbeeldingslocatie: http://i8.tinypic.com/6xtc20k.gif

maandag 14 januari 2008 19:37

Acties:

0 Henk 'm!

RedHat

Ik wil wel eens weten wat dit voor gevolgen heeft voor je contract met planet.
Ik wil er ook vanaf maar door hun administratieve teringzooi zit ik er nog een jaar aan vast.

(Opgezegd: geen bevestiging: Nog een keer brief: geen bevestiging: Bellen: Contract is NET met een jaar verlengt.. Volgend jaar weer proberen). Het zijn dus gewoon een stelletje oplichters.

Maargoed ik hoor graag (Wekkel? Steven?) wat wettelijk mogelijk is.

maandag 14 januari 2008 19:41

Acties:

0 Henk 'm!

Brons

Fail!

Wel grappig dat alle nieuwsberichten zo gebracht zijn alsof het helemaal geen big deal is. Gelukkig kunnen de mensen hier op GoT wel redelijk inzien dat het geen tikfout kan/mag zijn geweest.

Hopelijk komt hier nog vervolg op, lijkt mij dat ze hier niet mee weg kunnen komen.

maandag 14 januari 2008 19:45

Acties:

0 Henk 'm!

BtM909

Watch out Guys...

http://www.rssonline.nl/related.asp?id=863543

Staat inmiddels op wat meer sites

Brons schreef op maandag 14 januari 2008 @ 19:41:
Wel grappig dat alle nieuwsberichten zo gebracht zijn alsof het helemaal geen big deal is. Gelukkig kunnen de mensen hier op GoT wel redelijk inzien dat het geen tikfout kan/mag zijn geweest.

Hopelijk komt hier nog vervolg op, lijkt mij dat ze hier niet mee weg kunnen komen.

Hoe bedoel je? Ik vind het woord blunderen en klantgegevens toch wel redelijk impact hebben op Planet z'n imago

[ Voor 75% gewijzigd door BtM909 op 14-01-2008 19:46 ]

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 14 januari 2008 19:47

Acties:

0 Henk 'm!

MrAngry

Verwijderd schreef op maandag 14 januari 2008 @ 19:21:

Hij mag de gegevens sowieso niet gebruiken, en ik meen me te herinneren dat hij de gegevens zelfs niet mag bewaren. Het enkele feit dat hij die gegevens gekregen heeft zorgt er niet voor dat hij ze ook mag gebruiken, dat blijft gewoon strafbaar.

Waarom? Bron? Strafrecht artikel? Ik vind het prima dat ik er naast zit, maar kan je niet op je mooie username geloven natuurlijk

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 19:49

Acties:

0 Henk 'm!

StevenK

MrAngry schreef op maandag 14 januari 2008 @ 19:47:
[...]

Waarom? Bron? Strafrecht artikel? Ik vind het prima dat ik er naast zit, maar kan je niet op je mooie username geloven natuurlijk

Gebruik zou in strijd zijn met het databankrecht van kpnplanet.

Was advocaat maar vindt het juridische nog steeds leuk

maandag 14 januari 2008 19:55

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

MrAngry schreef op maandag 14 januari 2008 @ 19:17:
Ik vraag me dit toch af hoor. Ik zeg niet dat je geen gelijk hebt (tenslotte zat ik er met die portemonnee ook iets naast), maar als ik naar jouw webspace een lijst upload met 2,5 miljoen email adressen dan is er toch niks wat je tegenhoudt omdat te misbruiken? Zelf als ik je de volgende dag bel en ik zeg, joh, foutje, ze zijn van mij en niet van jouw. Dan heb ik gewoon een probleem.

Nouja zodra je weet wat het is, kun je redelijkerwijs ook aannemen dat die lijst niet in je bezit hoort te zijn. Dan lijkt het me stug dat je de lijst gewoon mag gebruiken, omdat jij per ongeluk in het bezit bent gekomen ervan. Dat laat ruimte voor exotische vormen van bedrijfsdiefstal lijkt mij

Maar het zou kunnen natuurlijk, ik beweer ook niet dat jij geen gelijk hebt

zie onderaan

En Planet heeft wat dat betreft helemaal een probleem, want ze zijn ingelicht en hebben niet gereageerd, dat zal de eventuele rechter ook niet echt positief opvatten.

Dat ben ik helemaal met je eens. De laksheid van Planet komt ze zeker niet ten goede in de rechtzaal.

Verwijderd schreef op maandag 14 januari 2008 @ 19:21:

offtopic:
Niet echt. Met "mits" zeg je precies het tegenovergestelde van wat je bedoelt te zeggen.

wasted247 schreef op maandag 14 januari 2008 @ 19:31:

offtopic:
mits (voorzetsel)
op voorwaarde van, onder beding van

offtopic:
Ik heb het aangepast naar 'tenzij'

Verwijderd schreef op maandag 14 januari 2008 @ 19:21:
Hij mag de gegevens sowieso niet gebruiken, en ik meen me te herinneren dat hij de gegevens zelfs niet mag bewaren. Het enkele feit dat hij die gegevens gekregen heeft zorgt er niet voor dat hij ze ook mag gebruiken, dat blijft gewoon strafbaar.

Zo zie ik het ook ja.

StevenK schreef op maandag 14 januari 2008 @ 19:49:
Gebruik zou in strijd zijn met het databankrecht van kpnplanet.

Ah. Eindelijk iemand met meer juridische kennis (dan ik o.a.). Ik ben en blijf een leek op dit gebied

Databankrecht valt het dus onder. Die term had ik nog niet eerder gehoord, maar zo te zien is dat het inderdaad.

[ Voor 3% gewijzigd door Cloud op 14-01-2008 20:01 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 19:56

Acties:

0 Henk 'm!

LauPro

Prof Mierenneuke®

Confusion schreef op zondag 13 januari 2008 @ 22:13:
Omdat je van een grote internetprovider mag verwachten dat wachtwoorden (salted en) gehashed opgeslagen worden en dat een groot deel van de mensen het oorspronkelijk gegenereerde, niet in rainbow tables voorkomende, wachtwoord nog heeft. Aangezien wachtwoorden vaak door mailprogramma's e.d. bewaard worden, nemen mensen niet de moeite ze nog te wijzigen.

Mensen verwachten gebruikersvriendelijkheid. En op dit moment hoort daar vanuit providersoogpunt plain text passwords bij. Waarom? Omdat hoe je een wachtwoord ook versleuteld opslaat, je zal het toch altijd naar de klant moeten communiceren. Per post of per e-mail staat deze brief dus al in het systeem.

Daarnaast gebruiken sommige mensen 1 wachtwoord voor 2 locaties van mail bijv.. Mochten ze dan het wachtwoord vergeten zijn (staat wel hashed in de client) dan moeten ze dus alle locaties weer langs om dat wachtwoord te wijzigen.

Als je echt veiligheid wil dan moet je gewoon SSL-POP3 gebruiken e.d., maar zolang geen enkele grote provider dit doet dan zal het nog wel even duren.

Tja en dit lijkt me absoluut met opzet gedaan. Aangezien de homepages en de administratie meestal totaal gescheiden systemen zijn lijkt het mij niet aannemelijk dat dit met een paar muisklikken kan.

[ Voor 0% gewijzigd door LauPro op 14-01-2008 19:58 . Reden: Sorry, twee pagina's overgeslagen :X . ]

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!

maandag 14 januari 2008 19:57

Acties:

0 Henk 'm!

Verwijderd

wasted247 schreef op maandag 14 januari 2008 @ 19:31:
[...]

offtopic:
mits (voorzetsel)
op voorwaarde van, onder beding van

offtopic:
Exact. Er staat dus: "Bovenstaande is stoere praat die werkelijk niets toevoegt aan dit topic [wanneer dit topic] een HK topic is." Hij bedoelt echter: "Bovenstaande is stoere praat die werkelijk niets toevoegt aan dit topic, [tenzij] het een HK topic is." Zie ook deze site.

MrAngry schreef op maandag 14 januari 2008 @ 19:47:
[...]

Waarom? Bron? Strafrecht artikel? Ik vind het prima dat ik er naast zit, maar kan je niet op je mooie username geloven natuurlijk

Mijn bron is een oud-rechtenstudent die ik ooit een soortgelijke case heb voorgelegd. Dat is natuurlijk een bron van niks, maar kleine statements hebben genoeg aan kleine bronnen.

Volgens mij kwam het er op neer dat de klanten geen toestemming hebben gegeven aan de topicstarter om hun persoonlijke gegevens te mogen gebruiken, en mag een gevonden bestand bovendien niet toegeëigend worden.

[ Voor 3% gewijzigd door Verwijderd op 14-01-2008 19:59 ]

maandag 14 januari 2008 19:59

Acties:

0 Henk 'm!

kamerplant

LauPro schreef op maandag 14 januari 2008 @ 19:56:
[...]
Als je echt veiligheid wil dan moet je gewoon SSL-POP3 gebruiken e.d., maar zolang geen enkele grote provider dit doet dan zal het nog wel even duren.

GMail (zelfs secured IMAP). Dat noem ik toch geen kleintje

🌞🍃

maandag 14 januari 2008 20:01

Acties:

0 Henk 'm!

MrAngry

Als ik dat databankenrecht zo even google dan is het lastig hard te maken dat KPN hier er recht op heeft:
http://www.checkit.nl/newsitem_313.html

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 20:02

Acties:

0 Henk 'm!

TepelStreeltje

Fairytale gone bad...

TepelStreeltje schreef op maandag 14 januari 2008 @ 19:03:
hoorde het net zelfs op he tnieuws van radio 3 fm...
toch wel redelijk vedraait....

door een communicatie fout heeft het 2 weken geduurt
tikfout hadden ze dan wel weer goed ;P

als het dan eenmaal los is, dan gaat het ook goed los.
moet wel zeggen dat ik het jammer vind dat het echte gevaar niet begrepen zal worden door de meeste mensen. dat vertellen ze er niet bij (anders duurt het te lang, wel begrijpelijk, maar toch...)

word steeds mooier, tis nu in je mail gekomen en er stonden naam en adres gegevens in, niets over wachtwoorden, aliassen en wachtwoorden

Battle.net Spud#2543

maandag 14 januari 2008 20:07

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

MrAngry schreef op maandag 14 januari 2008 @ 20:01:
Als ik dat databankenrecht zo even google dan is het lastig hard te maken dat KPN hier er recht op heeft:
http://www.checkit.nl/newsitem_313.html

Ik quote even één regeltje uit dat verhaal wat je geeft:

Hiermee wordt de reikwijdte van het databankenrecht flink ingeperkt, want alleen databanken waarin substantieel is geïnvesteerd worden juridisch beschermd.

Aangezien het het gehele klantenbestand is van een bedrijf, lijkt me 'substantieel in geïnvesteerd' wel van toepassing toch? Dat is waar het hele bedrijf om draait namelijk.

Daarnaast is er sowieso sprake van een 'ongeoorloofde' manier waarop de TS de lijst in handen heeft gekregen. Hij heeft namelijk geen toestemming voor die lijst, toch?

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 20:08

Acties:

0 Henk 'm!

wasted247

Verwijderd schreef op maandag 14 januari 2008 @ 19:57:

offtopic:
Exact. Er staat dus: "Bovenstaande is stoere praat die werkelijk niets toevoegt aan dit topic [wanneer dit topic] een HK topic is." Hij bedoelt echter: "Bovenstaande is stoere praat die werkelijk niets toevoegt aan dit topic, [tenzij] het een HK topic is." Zie ook deze site.

offtopic:

Verrek, je hebt gelijk

Ach... Doe ik mn username ook eens eer aan

Maar denk idd dat je wel een punt hebt. De gegevens blijven van KPN, deze zullen dan ook eisen dat deze niet openbaar is gemaakt...

Laten we hopen dat de TS niet zo evil is em alsnog door te verkopen

maandag 14 januari 2008 20:10

Acties:

0 Henk 'm!

we_are_borg

You will Comply

Wat ik me eigen nu af vraag is het volgende. De systeem beheerder maakt een backup van een database dit doet hij met zijn eigen username en wachtwoord, de user heeft dus een bepaald recht hij zit in een usergroup die dus recht heeft de volledige database uit te lezen en te backuppen. Als ik dit doe op mijn eigen server en ik gooi een bestand in het gedeelte van een klant dan kan die persoon in loggen op zijn website en het bestand zien maar downloaden data niet aangezien hij dan te zien krijg dat hij niet de owner is van het bestand. Op het moment dat de TS het bestand kon downloaden was hij gelijke nivo als de eigennaar van het bestand of het bestand is aangepast om het beschikbaar te maken voor derden. Hoe dan ook iets zit erg fout met die server en rechten en ook de beveiliging die erop draait mogen ze wel nakijken aangezien een systeem bestand niet zomaar op een publieke plaats te recht mag komen, dit hoort af geschermd te zijn.

You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.

maandag 14 januari 2008 20:31

Acties:

0 Henk 'm!

MrAngry

wolkje schreef op maandag 14 januari 2008 @ 20:07:
Aangezien het het gehele klantenbestand is van een bedrijf, lijkt me 'substantieel in geïnvesteerd' wel van toepassing toch? Dat is waar het hele bedrijf om draait namelijk.

Ik vind dat je nu wel heel selectief leest.
Ik quote de regel er boven:

Het Hof oordeelt allereerst dat de investeringen die zijn gedaan in het creëren van de gegevens voor de databank (in dit geval het verzamelen en actualiseren van alle gegevens die nodig zijn voor de organisatie van paardenrennen) niet mogen meetellen bij de beantwoording van de vraag of er substantieel geïnvesteerd is in de databank.

Dit maakt dat ik denk dat het voor elke databank moeilijk is om aan te tonen dat er substantieel in geinvesteerd is.

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 januari 2008 20:43

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

MrAngry schreef op maandag 14 januari 2008 @ 20:31:
Dit maakt dat ik denk dat het voor elke databank moeilijk is om aan te tonen dat er substantieel in geinvesteerd is.

Ik bedoelde het meer in de trend van;

Dit klantenbestand met álle klanten van Planet is het enige doel van Planet (ik zeg het wat vreemd). Planet is een bedrijf dat zoveel mogelijk klanten wil hebben en investeert dan ook in het krijgen van méér klanten. Een bestand waarin dus alle klanten van Planet staan, is gewoon sowieso in geïnvesteerd. Dat kan niet anders

Dat de fysieke lijst nou niet zo moeilijk samen is te stellen (database dump), doet er volgens mij helemaal niet toe. Het gaat puur om de waarde van de inhoud van die lijst. We hebben het immers niet over een rapportje ofzo, we hebben het over de gegevens van 2,5 miljoen klanten van een bedrijf.

Sowieso bekijken we nu alleen de TS vs Planet. Maar denk eens aan de klanten van Planet? Klanten van Planet hebben alleen Planet toestemming gegeven om gebruik te maken van hun gegevens. En zeker niet de TS die op foute wijze aan hun gegevens is gekomen. Het lijkt mij niet dat je als Planet-klant op deze manier, plotseling die privacybescherming kwijt kunt raken. Dat zou toch wel heel raar zijn.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 14 januari 2008 20:52

Acties:

0 Henk 'm!

eMiz0r

Zeg, die informatie ben ik wel nieuwsgierig naar, wat moet je er voor hebben?

Blijkbaar vind Planet het niet belangrijk genoeg om er serieus mee om te gaan.

Ik als ondernemer zijnde vind dit een blunder van jewelste en het zou een potentiële doodklap voor het betreffende bedrijf moeten betekenen. Zoiets als dit in 2008 van een dergelijk bedrijf met een miljoenenbudget zou niet meer voor mogen komen. Dat dat nog wel gebeurd getuigt van een hoge dosis amateurisme binnen Planet.

maandag 14 januari 2008 20:59

Acties:

0 Henk 'm!

djiwie

Wie?

LauPro schreef op maandag 14 januari 2008 @ 19:56:
[...]
Mensen verwachten gebruikersvriendelijkheid. En op dit moment hoort daar vanuit providersoogpunt plain text passwords bij. Waarom? Omdat hoe je een wachtwoord ook versleuteld opslaat, je zal het toch altijd naar de klant moeten communiceren. Per post of per e-mail staat deze brief dus al in het systeem.

Dan heb ik nog liever dat men een nieuw wachtwoord voor me genereert dan mijn wachtwoorden plain text opslaan.
Maar ja, dat is natuurlijk niet gebruiksvriendelijk genoeg.

Ik weet dat in ieder geval Tiscali alle wachtwoorden plain text opslaat en dat iedere helpdeskmedewerker hier dus ook bij kan (bron: een helpdeskmedewerker van Tiscali).

maandag 14 januari 2008 21:45

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik kan alleen maar spreken voor het bestand dat ik gedownload en ge-unzipt had... dat is niet meer. Niet op verzoek van Planet/KPN, maar omdat ik dat zelf van plan was.
De backup van m'n systeem, waar het uiteraard ook op stond is nu ook exit (Niet vergeten een nieuwe backup te maken vanavond. En vooral hopen dat ik geen typefout maak).

Maar wil je heel zeker zijn dat de gegevens nooit meer boven water komen, dan moet je eigenlijk mijn HD's vernietigen. En hopen/bidden dat ik de afgelopen 2 weken het bestand toch niet op cd, dvd of usb-stick gezet heb.

En dan is er nog altijd de mogelijkheid dat het bestand gedurende de 2 dagen voordat ik het ondekte en verwijderde, niet door iemand anders van mijn webspace is geplukt. Want zou het er echt per ongeluk neer gezet zijn?

Het leven is vol onzekerheden. Tja, je weet het vaak niet... en dat hou je toch.

maandag 14 januari 2008 21:49

Acties:

0 Henk 'm!

soulrider

RedHat schreef op maandag 14 januari 2008 @ 19:37:
Ik wil wel eens weten wat dit voor gevolgen heeft voor je contract met planet.
Ik wil er ook vanaf maar door hun administratieve teringzooi zit ik er nog een jaar aan vast.

(Opgezegd: geen bevestiging: Nog een keer brief: geen bevestiging: Bellen: Contract is NET met een jaar verlengt.. Volgend jaar weer proberen). Het zijn dus gewoon een stelletje oplichters.

Maargoed ik hoor graag (Wekkel? Steven?) wat wettelijk mogelijk is.

Voor de eerlijkheid een jaartje gratis voor de TS ofzo

(en als je een aangetekende brief hebt gestuurd kan je de ontbinding eisen zonder meerkost en zonder zever van hun kant - een wijze les voor volgend jaar: zulke dingen altijd opzeggen via aangetekend schrijven, dan kunnen ze niet verlengen

)

en ja, ik ben diegene die het submitte voor de frontpage, enkel omdat ik wist/vermoedde dat de newsposters mogelijk iets meer los konden krijgen bij Planet/KPN (of net iets meer 'geforceerd' konden krijgen), en dat er eerlijk en correct gecommuniceerd ging worden (mocht het idd gepubliceerd worden). Hoe dan ook het digitale balletje is beginnen rollen, en actie's zijn ondernomen. De helpdeskmedewerk(st)er(s) die dit naast zich legden zullen wrs ook wel een uitbrander gekregen hebben. (uit mijn ervaring als helpdesker moeten calls namelijk altijd gelogd worden met minstens een kleine uitleg, en daarbij wordt natuurlijk ook gelogd wie de call afgehandeld heeft telkens, zelf zou ik er toen nooit zo licht op gereageerd hebben, maar dat wilt niet zeggen dat een hogere het niet naast zich legt)

maandag 14 januari 2008 21:57

Acties:

0 Henk 'm!

Ray

ik heb momenteel een deels vergelijkbaar conflict met relatieplanet. Schijnbaar heeft iemand ook hun database in zijn bezit gekregen (of een deel daarvan) dus ik krijg nu mail van diverse poolse dames etc. RP ontkent in alle toonaarden. Als ik van de week tijd heb zal ik er een apart topic aan wijden aangezien RP ook niet meer doet dan op mijn mail standaard copy / paste onzin terug zenden en praat over spamfilters etc....

maandag 14 januari 2008 22:00

Acties:

0 Henk 'm!

ShadowLord

Ik lees dat de TS het bestand (helaas?) al vernietigd heeft. Persoonlijk zou ik het nog een aantal dagen in geëncrypte vorm hebben bijgehouden op een CD. Op CD zodat het offline is (veiliger) en geëncrypt, mocht iemand besluiten om toevallig net nu je woning leeg te halen.

Waarom de data nog een paar dagen bijhouden? Als bepaalde media (die de slechte praktijken bij Planet aan willen kaarten) willen verifieeren hoe erg dit was kan dat bestand erg handig zijn. De TS roept dat er o.a. NAW gegevens en wachtwoorden bij het bestand zitten. Ik heb het gevoel dat Planet gaat beweren dat het alleen maar gebruikersnamen en instellingen waren waar je verder niet heel veel mee kan. Nu valt het niet meer te controleren.

You see things; and you say, "Why?" But I dream things that never were; and I say, "Why not?"

maandag 14 januari 2008 22:01

Acties:

0 Henk 'm!

gambieter

Just me & my cat

Ray schreef op maandag 14 januari 2008 @ 21:57:
ik heb momenteel een deels vergelijkbaar conflict met relatieplanet. Schijnbaar heeft iemand ook hun database in zijn bezit gekregen (of een deel daarvan) dus ik krijg nu mail van diverse poolse dames etc. RP ontkent in alle toonaarden. Als ik van de week tijd heb zal ik er een apart topic aan wijden aangezien RP ook niet meer doet dan op mijn mail standaard copy / paste onzin terug zenden en praat over spamfilters etc....

Daar heeft Relatieplanet al veel langer "last" van, of beter gezegd de gebruiker. Zie bijvoorbeeld Spam via relatieplanet : russiandating.ru etc. Dus een nieuw topic is niet echt nodig, denk ik zo

[ Voor 3% gewijzigd door gambieter op 14-01-2008 22:01 ]

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 14 januari 2008 22:10

Acties:

0 Henk 'm!

Verwijderd

Is er al iemand op het idee gekomen ons aller Privacy Beschermings Waakhond in te lichten?

maandag 14 januari 2008 22:45

Acties:

0 Henk 'm!

Ray

gambieter schreef op maandag 14 januari 2008 @ 22:01:
[...]

Daar heeft Relatieplanet al veel langer "last" van, of beter gezegd de gebruiker. Zie bijvoorbeeld Spam via relatieplanet : russiandating.ru etc. Dus een nieuw topic is niet echt nodig, denk ik zo

hee had hem niet gevonden. net even een kick gegeven!

maandag 14 januari 2008 23:04

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op maandag 14 januari 2008 @ 21:45:
Ik kan alleen maar spreken voor het bestand dat ik gedownload en ge-unzipt had... dat is niet meer. Niet op verzoek van Planet/KPN, maar omdat ik dat zelf van plan was.

Heb je nog gekeken naar wat het hashing algoritme was?

dinsdag 15 januari 2008 00:51

Acties:

0 Henk 'm!

Tourniquet

Hiya, fellas!

Verwijderd schreef op maandag 14 januari 2008 @ 22:10:
Is er al iemand op het idee gekomen ons aller Privacy Beschermings Waakhond in te lichten?

Zie de derde post in dit topic.

De Pers heeft trouwens het bericht niet klakkeloos overgenomen, maar zelf een berichtje gemaakt, wat een stuk dichter bij de waarheid blijft. Netjes!

Planet zelf heeft gewoon het ANP-bericht overgenomen op hun nieuwspagina. De ironie.

[ Voor 14% gewijzigd door Tourniquet op 15-01-2008 00:55 ]

If our brain was easy to understand, we would be too dumb to understand.

dinsdag 15 januari 2008 03:18

Acties:

0 Henk 'm!

LauPro

Prof Mierenneuke®

burne schreef op dinsdag 15 januari 2008 @ 02:10:
Sorry, maar zo simpel is het niet. De stappen om de klant over een gecrypt pad aan een nieuw wachtwoord te helpen zijn te simpel om waar te zijn. Je vlagt het wachtwoord als ongeldig, stuurt de klant een passend gecrypte url (iets als dit) en vraagt 'm daar om z'n klantnummer en de geboortedatum van z'n moeder. Alles over ssl, niks op papier of leesbaar in logs. Klaar. Een beetje pr3l-hacker zet dat in tien minuten voor elkaar, dus een Planet moet dat voor 50.000 euro gewoon van de plank bij Cap Gemini kunnen kopen.

HOE kan je in godsnaam een dergelijke links via de telefoon overleggen, en per mail kan niet want zijn client kan niet inloggen. En ja Internet Service Provider gaat tegenwoordig verder dan OSI layertje 3. Dit soort uitspraken getuigen niet echt van veel inzicht en inlevingsvermogen.

Niet iedereen heeft diepgaande kennis van 'computers' en men wil gewoon simpel kunnen internetten. Als iets het dan al niet 'doet' is er al een probleem wat gewoon asap opgelost moet worden, de vraag of er een 32-alfanumerieke reeks moet worden ingevoerd zal menig persoon tegen de haren in strijken.

Natuurlijk zijn er procedures te bedenken maar elke extra check kost meer tijd bij het invoeren en wordt door de gebruiker als ongemakkelijk ervaren. Dit is ook exact de reden waarom non-ssl POP3 nog niet opgerot is ook; de legacy.

Bij dergelijke bedrijven ligt klantvriendelijk gewoon hoog en aangezien de meeste helpdesks nog steeds om te huilen zijn zal de invoer van dergelijke encrypties alleen maar meer frustratie oproepen - als er überhaupt capaciteit voor is.

Tja er zijn wel meer dingen die een programmeur in 10 minuten in elkaar kan draaien maar softwareontwikkeling is meer dan dat. Je zit met requirements, acceptatie, documentatie uitrol etc etc.. En bij dergelijke projecten op deze schaal zijn er vrij weinig software development pakketten die je zo van de plank kan trekken, natuurlijk veel componenten maar de meeste tijd gaat zitten in het integreren etc etc..

Die scheiding is wellicht de reden waarom de anonieme medewerker een tarretje in z'n homedir wilde zetten om de backup thuis op een cdrom te kunnen zetten, en de scheiding van die systemen kun je dan zien als oorzaak en niet als bescherming.

Hoe je het ook wend of keert, het komt er op neer dat men gewoon wil dat dingen werken. Blijkbaar heeft het management geen fatsoenlijke regelementen hoe om te gaan met back-ups of kopieën in welke vorm dan ook. Dergelijke klantgegevens op een non-SSL ftp server gooien is gewoon vragen om problemen. Dat hoort minimaal over iets van VPN/SSH/SSL (combinatie van) te gaan.

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!

dinsdag 15 januari 2008 08:50

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Toen ik mijn wachtwoord vergeten was, moest ik gewoon een werkdag wachten op een brief met de nieuwe hoor. Niets geen ingewikkelde URL's, moeilijke telefoongesprekken e.d.

Ik kreeg gewoon een brief met het nieuwe wachtwoord. Dood simpel

Dat wachtwoord wordt gewoon gegenereerd tegelijkertijd met de brief, zodat de enige plek waar het wachtwoord 'plain-text' staat, de brief is.

Er is m.i. echt géén geldige reden waarom een helpdeskmedewerker een wachtwoord van een klant zou moeten kunnen lezen. Ook andere medewerkers eigenlijk niet, niemand niet.

[ Voor 3% gewijzigd door Cloud op 15-01-2008 08:53 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 09:00

Acties:

0 Henk 'm!

Tallguy

There is no place like 127.0.0

Dan ben jij dit dus

Klantgegevens Planet verstuurd naar particulier
DEN HAAG - De klantgegevens van internetprovider Planet zijn door een fout eind december naar de webruimte van een klant gestuurd. De klant zag tijdens het uploaden van eigen bestanden een bestand staan dat hij zelf niet had geplaatst. In het bestand bleken alle klantgegevens van de internetprovider te staan. Het ging volgens een woordvoerster van moederbedrijf KPN om 585.000 abonnees.

Zij liet maandag weten dat er een fout is gemaakt. „Een medewerker heeft een back-up verkeerd opgeslagen. Het bestand kwam daardoor op de persoonlijke webruimte terecht. Maar dit was niet toegankelijk voor publiek. Alleen de klant kon de gegevens zien”, aldus de zegsvrouw.

De klant maakte overigens vrij snel melding van zijn vondst met privégegevens. Maar door een interne communicatiefout kwam het probleem pas enkele weken later aan het licht. „Door onze fout is de melding niet direct bij de security-afdeling terechtgekomen. Normaal gaat deze direct aan de slag.”

KPN gaat contact zoeken met de klant om te vragen of hij het bestand kan vernietigen. Verder trof het bedrijf maandag maatregelen zodat een fout als deze in de toekomst niet meer kan voorkomen.

bron: Telegraaf.nl 15-01-2008

specs | 3360wP met SE3000

dinsdag 15 januari 2008 09:02

Acties:

0 Henk 'm!

burne

Mine! Waah!

LauPro schreef op dinsdag 15 januari 2008 @ 03:18:
Dat hoort minimaal over iets van VPN/SSH/SSL (combinatie van) te gaan.

Met drie-letter-woorden gooien is ook de oplossing niet. De systeembeheerder kopieerde het bestand waarschijnlijk met scp, maar, begrijp ik, als 'ie het via een VPN gekopieert had, en La Muis het via https gedownload had, dan was er niets aan de hand geweest?

Het is een stomme fout, maar die worden nou eenmaal gemaakt, en het is vooral de afwikkeling die het tot een regelrechte blunder maakt. Verbieden en een handje TLA's sprenkelen gaan niet voorkomen dat er andere fouten gemaakt gaan worden, en wellicht op dezelfde blunderende wijze 'aangepakt' worden.

Ik heb ook wel eens een stomme fout gemaakt en de vers gescande documenten van klanten in een voor andere gebruikers leesbare dir gezet, maar toen iemand het melde is dat binnen minuten aangepakt en niet twee weken blijven slingeren.

I don't like facts. They have a liberal bias.

dinsdag 15 januari 2008 09:07

Acties:

0 Henk 'm!

Verwijderd

Kensei schreef op dinsdag 15 januari 2008 @ 09:00:
Dan ben jij dit dus

bladiebla...

Is ook pas 10x geplaatst joh

[ Voor 77% gewijzigd door Verwijderd op 15-01-2008 09:08 ]

dinsdag 15 januari 2008 09:12

Acties:

0 Henk 'm!

Tallguy

There is no place like 127.0.0

Verwijderd schreef op dinsdag 15 januari 2008 @ 09:07:
[...]

Is ook pas 10x geplaatst joh

Weet ik wel, maar Planet is niet de enige die traag reageert...Telegraaf kan er ook wat van

. Dat bedoelde ik ermee.

specs | 3360wP met SE3000

dinsdag 15 januari 2008 09:41

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op maandag 14 januari 2008 @ 21:45:
En dan is er nog altijd de mogelijkheid dat het bestand gedurende de 2 dagen voordat ik het ondekte en verwijderde, niet door iemand anders van mijn webspace is geplukt. Want zou het er echt per ongeluk neer gezet zijn?

Dat kan Planet vrij simpel zelf checken door de webserver logs door te ploegen. Ik mag hopen dat ze daar zelf ook opgekomen zijn.

Overigens, stel dat het inderdaad nog door anderen gedownload geweest is, en ze zien dat inderdaad... Dan vraag ik me af wat de volgende stap is. Ik bedoel, ik neem aan dat op de plek waar die file stond geen directory-listing aan staat/stond? Maw: je zou niet zo maar per ongeluk op je site kunnen komen en dan het bestand voor je zien, wat betekent dat als iemand anders het gedownload heeft, dat die dan al moest weten dat het bestand er stond. En als dat dan niet iemand is die het bestand had mogen ontvangen... Dan is die beheerder nog veel verder van huis. Magoed, dat is speculatie en conspiracy-theory materiaal.

dinsdag 15 januari 2008 10:05

Acties:

0 Henk 'm!

Jim423

Wel ff backupje maken op USB stick is altijd handig voor later

AMD Ryzen 5800X - 32GB DDR4 Corsair RGB - XFX 6900XT - Panasonic HIT 990Wp - AE200L WPB met cv-ondersteuning

dinsdag 15 januari 2008 10:09

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Jim423 schreef op dinsdag 15 januari 2008 @ 10:05:
Wel ff backupje maken op USB stick is altijd handig voor later

Handig op welke manier?

Overigens heeft de TS het bestand al verwijderd:

Verwijderd schreef op maandag 14 januari 2008 @ 21:45:
Ik kan alleen maar spreken voor het bestand dat ik gedownload en ge-unzipt had... dat is niet meer. Niet op verzoek van Planet/KPN, maar omdat ik dat zelf van plan was.
De backup van m'n systeem, waar het uiteraard ook op stond is nu ook exit (Niet vergeten een nieuwe backup te maken vanavond. En vooral hopen dat ik geen typefout maak).

Een nette, gepaste, actie van de TS.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 10:30

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd schreef op dinsdag 15 januari 2008 @ 09:41:
[...]

Dat kan Planet vrij simpel zelf checken door de webserver logs door te ploegen. Ik mag hopen dat ze daar zelf ook opgekomen zijn.

Is dat zo? Logt planet elk bezoek en elk request aan alle homepages? En bewaren zij die logs? En kunnen zij dan zien welk ip welk bestand heeft opgevraagd en gekregen?

[conspiracy-theorie]
Ik zou mijn medeplichtige een mailtje sturen met de link: http://home.planet.nl/~naamgebruiker/naambestand.zip
Eén click en wat downloadtijd later is het bestand in Verwegistan.
En dan zou ik zeggen dat ik het bestand per ongeluk op een verkeerde plek gezet had.
Maar ja... ik ben wat paranoia.
[/conspiracy-theorie]

O nee... toch maar geen mailtje. De url doorbellen laat minder sporen na.

[ Voor 5% gewijzigd door Verwijderd op 15-01-2008 10:38 ]

dinsdag 15 januari 2008 10:33

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Verwijderd schreef op dinsdag 15 januari 2008 @ 10:30:
Is dat zo? Logt planet elk bezoek en elk request aan alle homepages? En bewaren zij die logs? En kunnen zij dan zien welk ip welk bestand heeft opgevraagd en gekregen?

De meeste webservers doen dit standaard

Of en hoe lang Planet deze logfiles bewaard is natuurlijk een andere vraag. Maar waarschijnlijk bewaren ze deze wel een tijdje ja. En daarmee is inderdaad op te vragen wie het bestand allemaal gedownload heeft via HTTP.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 10:34

Acties:

0 Henk 'm!

P5ycho

Als Planet zijn logs gechecked heeft en tot de conclusie is gekomen dat het bestand niet verder verspreid is dan de download naar de TS kunnen ze verder niets doen dan TS een NDA laten tekenen en de admin de laan uit sturen. Je gaat mij namelijk niet vertellen dat dit per ongeluk was. Hoe fucked-up de interne backup policies ook zijn. Als het nu 1 wachtwoordje van een mailbox was (zoals bij Tiscali blijkbaar heel normaal is

) kon je nog een uitbrander uitdelen of een evt. bonus intrekken. Echter, 585.000 of misschien wel meer klantrecords incl. password uit laten lekken, dan is het gewoon klaar.

Wat dan weer in het voordeel van het backup verhaal spreekt:
Als deze records bestemd waren voor de verkoop hebben de passwords ook geen nut. Je wilt tenslotte email en NAW verkopen als evil admin en toch ook jezelf geen gigantische global mandatory password reset bezorgen oid indien de MD5 hashes niet 'salted' waren, of een common salt gebruiken oid. Als je een beetje met je tijd mee gaat gebruik je Blowfish btw, de eerste MD5 is van begin '90, en de eerste flaws kwamen al in '96 aan t licht.

TS, kudo's voor de correcte omgang met de gelekte gegevens. Goed dat je je realiseert wat je in de kuip had (hebt?

)

Offtopic:

LauPro schreef op dinsdag 15 januari 2008 @ 03:18:
[...]
HOE kan je in godsnaam een dergelijke links via de telefoon overleggen, en per mail kan niet want zijn client kan niet inloggen. En ja Internet Service Provider gaat tegenwoordig verder dan OSI layertje 3. Dit soort uitspraken getuigen niet echt van veel inzicht en inlevingsvermogen.

Niet iedereen heeft diepgaande kennis van 'computers' en men wil gewoon simpel kunnen internetten. Als iets het dan al niet 'doet' is er al een probleem wat gewoon asap opgelost moet worden, de vraag of er een 32-alfanumerieke reeks moet worden ingevoerd zal menig persoon tegen de haren in strijken.

Natuurlijk zijn er procedures te bedenken maar elke extra check kost meer tijd bij het invoeren en wordt door de gebruiker als ongemakkelijk ervaren. Dit is ook exact de reden waarom non-ssl POP3 nog niet opgerot is ook; de legacy.

Bij dergelijke bedrijven ligt klantvriendelijk gewoon hoog en aangezien de meeste helpdesks nog steeds om te huilen zijn zal de invoer van dergelijke encrypties alleen maar meer frustratie oproepen - als er überhaupt capaciteit voor is.

Tja er zijn wel meer dingen die een programmeur in 10 minuten in elkaar kan draaien maar softwareontwikkeling is meer dan dat. Je zit met requirements, acceptatie, documentatie uitrol etc etc.. En bij dergelijke projecten op deze schaal zijn er vrij weinig software development pakketten die je zo van de plank kan trekken, natuurlijk veel componenten maar de meeste tijd gaat zitten in het integreren etc etc..
[...]
Hoe je het ook wendt of keert, het komt er op neer dat men gewoon wil dat dingen werken. Blijkbaar heeft het management geen fatsoenlijke regelementen hoe om te gaan met back-ups of kopieën in welke vorm dan ook. Dergelijke klantgegevens op een non-SSL ftp server gooien is gewoon vragen om problemen. Dat hoort minimaal over iets van VPN/SSH/SSL (combinatie van) te gaan.

Als je het gebruiksvriendelijk wilt maken zou je het volgende kunnen overwegen (off the top of my head):
1. Stuur klant een brief met een key (8-16 char?).
2. Klant logt voor het eerst in met zijn dsl modem, de nameserver point em automatisch naar een first login page. Evt. MAC van modem meenemen als extra verificatie (deze kan al geregistreerd worden op moment van versturen/aanmaken dsl aansluitpakket, zoals @home bijv. ook doet).
3. laat je de klant zijn eigen wachtwoord maken, 'sterktemeter' ernaast en key via mail ook invoeren ter verificatie. Klaar.
4. Evt. password reset vragen opgeven (stuk of 5, bij reset random 3 vragen), extra mailboxen aanmaken, etc.

Als het wachtwoord ooit compromized is, wachtwoord wordt als invalid geflagged door de helpdesk en klant krijgt nieuwe key toegestuurd via post. Zie bovenstaande procedure, echter via de website van de provider ipv. een nameserver-redirect.
Niks moeilijke urls, toch?

Overigens zou pop3s al lang aanbevolen, zo niet verplicht moeten worden. Hetzelfde geldt voor het uploaden van je website naar webspace met een plain password. lekke zooi.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 10:44

Acties:

0 Henk 'm!

Brons

Fail!

burne schreef op dinsdag 15 januari 2008 @ 09:02:
Ik heb ook wel eens een stomme fout gemaakt en de vers gescande documenten van klanten in een voor andere gebruikers leesbare dir gezet, maar toen iemand het melde is dat binnen minuten aangepakt en niet twee weken blijven slingeren.

Dat is een fout die te begrijpen is. Hier ging het echter om complete andere locaties (hoop ik, anders is het wel slecht gesteld bij Planet).

dinsdag 15 januari 2008 11:30

Acties:

0 Henk 'm!

Coltrui

iddqd

Kensei schreef op dinsdag 15 januari 2008 @ 09:00:
[[knip] Alleen de klant kon de gegevens zien”, aldus de zegsvrouw.[/knip]

bron: Telegraaf.nl 15-01-2008

Hoor je de bellen al rinkelen? Wat gebeurt er als later blijkt dat er iets met die gegevens gedaan werd?

dinsdag 15 januari 2008 11:59

Acties:

0 Henk 'm!

P5ycho

Total meltdown bij de PR afdeling van Planet waarschijnlijk.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 14:16

Acties:

0 Henk 'm!

Marcel

Planet heeft nu eindelijk een statement op haar eigen site gezet...

dinsdag 15 januari 2008 14:29

Acties:

0 Henk 'm!

P5ycho

Linkje dr bij: http://pmg.custhelp.com/c.../std_adp.php?p_faqid=4587

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 14:50

Acties:

0 Henk 'm!

djiwie

Wie?

Van die pagina:
Hoewel uw wachtwoord gecodeerd is en niet voor derden te lezen is geweest, kunt u uit voorzorg een nieuw wachtwoord instellen

Hoe zeker is men van hun zaak? Ik geloof TS wel dat hij het bestand heeft weggegooid, maar Planet zal La Muis ook maar op zijn woord moeten geloven...

dinsdag 15 januari 2008 14:56

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

djiwie schreef op dinsdag 15 januari 2008 @ 14:50:
Van die pagina:
Hoewel uw wachtwoord gecodeerd is en niet voor derden te lezen is geweest, kunt u uit voorzorg een nieuw wachtwoord instellen
Hoe zeker is men van hun zaak? Ik geloof TS wel dat hij het bestand heeft weggegooid, maar Planet zal La Muis ook maar op zijn woord moeten geloven...

Dat hangt af van het feit op welke manier het wachtwoord gecodeerd is natuurlijk. Als het geen simpele MD5 is, maar iets veel complexers (wat ik echt hoop), dan kunnen ze dit wel stellen hoor.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 15:01

Acties:

0 Henk 'm!

djiwie

Wie?

Ik hoop ook op iets sterkers dan plain MD5, maar gezien het geklungel van nu verwacht ik eigenlijk vrij weinig van Planet.

dinsdag 15 januari 2008 15:03

Acties:

0 Henk 'm!

P5ycho

Daar zul je de TS om moeten vragen, maar ik hoop toch dat de boel minstens 'salted' MD5 was... Anders weet je in no time alle wachtwoorden. Ik acht de kans op blowfish toch echt wel klein eigenlijk.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 15:04

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

djiwie schreef op dinsdag 15 januari 2008 @ 15:01:
Ik hoop ook op iets sterkers dan plain MD5, maar gezien het geklungel van nu verwacht ik eigenlijk vrij weinig van Planet.

Daar heb je een punt

P5ycho schreef op dinsdag 15 januari 2008 @ 15:03:
Daar zul je de TS om moeten vragen, maar ik hoop toch dat de boel minstens 'salted' MD5 was...

Minstens 'salted' MD5 ja. Maar hoe had de TS kunnen zien welk algoritme gebruikt werd? Of de passwords 'salted' zijn of niet is ook niet te zien. Je zou hooguit een paar hashes kunnen googlen, dat wel.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 15:07

Acties:

0 Henk 'm!

djiwie

Wie?

Ik neem aan dat TS zijn eigen wachtwoord wel herkent en kan vergelijken of een plain MD5 van zijn wachtwoord hetzelfde is als het wachtwoord in de database. Zo kun je in ieder geval herkennen of het een plain MD5-hash is.

dinsdag 15 januari 2008 15:11

Acties:

0 Henk 'm!

P5ycho

Je kunt t ook al zien aan de MD5 hash zelf, meestal krijg je dan iets als $1$salted$md5hash oid.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 15:16

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

djiwie schreef op dinsdag 15 januari 2008 @ 15:07:
Ik neem aan dat TS zijn eigen wachtwoord wel herkent en kan vergelijken of een plain MD5 van zijn wachtwoord hetzelfde is als het wachtwoord in de database. Zo kun je in ieder geval herkennen of het een plain MD5-hash is.

Goede, daar had ik nog niet aan gedacht

P5ycho schreef op dinsdag 15 januari 2008 @ 15:11:
Je kunt t ook al zien aan de MD5 hash zelf, meestal krijg je dan iets als $1$salted$md5hash oid.

Hoe bedoel je dit? Er is maar één hash hoor, niet een samenstelling van meerdere losse hashes lijkt me.

Tenminste aan:

code:

1	8f999a07b2a46d51241d0190d11a3dde

Kun jij niet zien dat hij gesalt is hoor

of begrijp ik je reactie nu verkeerd?

[ Voor 3% gewijzigd door Cloud op 15-01-2008 15:22 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 15:22

Acties:

0 Henk 'm!

Verwijderd

Ja hoor, Planet Internet heeft de zaken reuze goed voor elkaar...
Als je nu probeert bij je klantgegevens te komen via de hierboven genoemde link, dan krijg je deze pagina voorgeschoteld:

http://csc.maranello.planet.nl/SystemError.aspx?code=3002

en dat terwijl alle Javascript opties in de browser aan staan.
Maar de reclame voor het dure helpdesk nummer staat er uiteraard prima leesbaar op.

Het gaat tegenwoordig lekker met de service van Planet Internet.

[ Voor 0% gewijzigd door Verwijderd op 15-01-2008 15:24 . Reden: typefoutje. ]

dinsdag 15 januari 2008 15:58

Acties:

0 Henk 'm!

P5ycho

wolkje schreef op dinsdag 15 januari 2008 @ 15:16:
[...]

Goede, daar had ik nog niet aan gedacht

[...]

Hoe bedoel je dit? Er is maar één hash hoor, niet een samenstelling van meerdere losse hashes lijkt me.

Tenminste aan:
code:
1
8f999a07b2a46d51241d0190d11a3dde
Kun jij niet zien dat hij gesalt is hoor
of begrijp ik je reactie nu verkeerd?

Is al een tijd geleden dat ik opgezocht heb hoe dat nu ook alweer werkte. Je kunt een vaste salt gebruiken of een random per password nietwaar? De salt wordt bij de te MD5en code geconcat en dat creert de MD5 hash.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 16:03

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

P5ycho schreef op dinsdag 15 januari 2008 @ 15:58:
Je kunt een vaste salt gebruiken of een random per password nietwaar?

Dat klopt

De salt wordt bij de te MD5en code geconcat en dat creert de MD5 hash.

Dat klopt ook. De salt wordt geconcat vóór een eventuele hash ja. Daarom kun je aan de uiteindelijke hash nooit zien, of deze gesalt is of niet. Het is gewoon een hash. Maar blijkbaar snap jij dit ook wel, alleen begreep ik je verkeerd.

Maar goed dit gaat offtopic, laten we terug ontopic gaan

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 15 januari 2008 17:18

Acties:

0 Henk 'm!

P5ycho

Nog even offtopic
$1$salted$md5hash is het format waarin het in mijn mailserver wordt opgeslagen, dwz eerst de random salt en daarna de hash waarin de salt verwerkt zit.

Ontopic:
Als ik het principe van de zgn rainbow tables goed begrijp kun je zelfs met een vaste salt nog een heel eind komen met het 'dehashen' van die passwords, zeker met 585.000 records. Laten we maar hopen dat er dus geen 3e partij met die gegevens zit te rekenen nu...

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

dinsdag 15 januari 2008 19:17

Acties:

0 Henk 'm!

Vincentio

Artikel 5
Vermelding Databank
5.1. De gegevens van gebruiker worden opgenomen in een database van KPN
Internet. Deze database is aangemeld bij het College Bescherming Persoonsgegevens
onder de nummers: m1045783 en m1046801.
6
De gegevens van gebruiker worden opgenomen in een database van Planet Internet.
Planet Internet verwerkt deze (persoons)gegevens, waaronder gebruiksgegevens van
gebruiker die nodig zijn voor een goede dienstverlening. Deze gegevens worden
verwerkt in overeenstemming met de wet. Verwerkingen van persoonsgegevens zullen
door Planet Internet overeenkomstig de toepasselijke wettelijke regels worden
aangemeld.
Planet Internet draagt zorg voor passende organisatorische en technische maatregelen
om persoonsgegevens te beveiligen. Persoonsgegevens worden niet langer bewaard
dan vereist is voor een goede bedrijfsvoering of dan wettelijk verplicht is.
5.2. Met betrekking tot de in artikel 5.1. genoemde gegevens is het "Privacy
Reglement" van Planet Internet van toepassing. Dit reglement is te vinden via de link
[privacy] onderaan de startpagina van Planet Internet: www.planet.nl.

In het Privacy Reglement, staat dat bij hun de privacy van de klanten gewaarborgd is. Nu vind ik dit persoonlijk best wel een overscheiding van veilig.
A. Ze maken de grove fout door dit gewoon in een publieke homepage te gooien van La Muis,
B. Ze negeren La Muis voor 2 weken, in welke tijd als hij of iemand anders die het adres wist kwaad had willen doen, dit goed mogelijk was geweest

Het is dat La Muis goede intenties heeft en daarom de klantgegevens netjes mee om is gegaan en alle lof voor hem hiervoor, maar Planet heeft er imho een troep van gemaakt.

In andere woorden zou je hierdoor de verbintenis met Planet kunnen beeindigen?

dinsdag 15 januari 2008 22:50

Acties:

0 Henk 'm!

martinvdm

Martinvdm = TechJunky.nl

geweldig topic dit. wat een blunder.

He who laughs last thinks slowest! | ▶️ Youtube | 🌐 TechJunky.nl | ☀️ 3000Wp PV

dinsdag 15 januari 2008 22:59

Acties:

0 Henk 'm!

LauPro

Prof Mierenneuke®

burne schreef op dinsdag 15 januari 2008 @ 09:02:
Met drie-letter-woorden gooien is ook de oplossing niet. De systeembeheerder kopieerde het bestand waarschijnlijk met scp, maar, begrijp ik, als 'ie het via een VPN gekopieert had, en La Muis het via https gedownload had, dan was er niets aan de hand geweest?

Er werd hier duidelijk gesproken over een FTP-verbinding, dus was die map unencrypted toegankelijk. Sowieso is het scheiden van fileserver voor klanten en die voor de administratie een goed idee.

P5ycho schreef op dinsdag 15 januari 2008 @ 10:34:
Offtopic:
[...]
Als je het gebruiksvriendelijk wilt maken zou je het volgende kunnen overwegen (off the top of my head):
1. Stuur klant een brief met een key (8-16 char?).
2. Klant logt voor het eerst in met zijn dsl modem, de nameserver point em automatisch naar een first login page. Evt. MAC van modem meenemen als extra verificatie (deze kan al geregistreerd worden op moment van versturen/aanmaken dsl aansluitpakket, zoals @home bijv. ook doet).
3. laat je de klant zijn eigen wachtwoord maken, 'sterktemeter' ernaast en key via mail ook invoeren ter verificatie. Klaar.
4. Evt. password reset vragen opgeven (stuk of 5, bij reset random 3 vragen), extra mailboxen aanmaken, etc.

Als het wachtwoord ooit compromized is, wachtwoord wordt als invalid geflagged door de helpdesk en klant krijgt nieuwe key toegestuurd via post. Zie bovenstaande procedure, echter via de website van de provider ipv. een nameserver-redirect.
Niks moeilijke urls, toch?

Het zijn toch behoorlijk wat handelingen als men hun wachtwoord vergeten is. Een dergelijke procedure doorlopen kan (telefonisch) wel een half uur duren, gaat helemaal leuk worden als men ook nog een vorm van VoIP heeft

. Als je toch een brief gaat sturen, waarom dan niet direct het wachtwoord per post? Eventueel gebruikersnaam en wachtwoord in gescheiden brieven versturen.

Overigens zou pop3s al lang aanbevolen, zo niet verplicht moeten worden. Hetzelfde geldt voor het uploaden van je website naar webspace met een plain password. lekke zooi.

Tja, dat onderscheid de professionals van de amateurs, ik denk dat de meesten hier sowieso geen POP3 meer gebruiken.

P5ycho schreef op dinsdag 15 januari 2008 @ 17:18:
Nog even offtopic
$1$salted$md5hash is het format waarin het in mijn mailserver wordt opgeslagen, dwz eerst de random salt en daarna de hash waarin de salt verwerkt zit.

Die hash heeft waarschijnlijk geen security doeleind want een salten van een md5 hashed string doe je in tegenstelling bij het koken voordat je het gerecht bereid.

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!

woensdag 16 januari 2008 06:09

Acties:

0 Henk 'm!

paella

LauPro schreef op dinsdag 15 januari 2008 @ 22:59:
[...]
Tja, dat onderscheid de professionals van de amateurs, ik denk dat de meesten hier sowieso geen POP3 meer gebruiken.

Encrypt je je mail dan zelf ook even? Want de demail komt in de mailbox gewoon plaintext terecht, en gaat dus unencrypted over het internet...

No production networks were harmed during this posting

woensdag 16 januari 2008 08:22

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

LauPro schreef op dinsdag 15 januari 2008 @ 22:59:
Als je toch een brief gaat sturen, waarom dan niet direct het wachtwoord per post? Eventueel gebruikersnaam en wachtwoord in gescheiden brieven versturen.

Precies. Als het kan? Waarom dan niet?

Binnen één werkdag later heb je het nieuwe wachtwoord wel op locatie.

Die hash heeft waarschijnlijk geen security doeleind want een salten van een md5 hashed string doe je in tegenstelling bij het koken voordat je het gerecht bereid.

lol

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

woensdag 16 januari 2008 09:32

Acties:

0 Henk 'm!

P5ycho

Mijn redenatie was dat je met een key niets kunt doen dan een password aanmaken, vanaf de lijn van de user. Met een password kun je meteen in de mailbox/settings etc van de user als de brief onderschept wordt. Nu kunnen we gaan discussieren over de kans dat de brief wordt onderschept, die kans is idd klein.

Die hash heeft waarschijnlijk geen security doeleind want een salten van een md5 hashed string doe je in tegenstelling bij het koken voordat je het gerecht bereid.

Ik volg zelf ook even niet waarom ik m'n passwords zo gedaan heb, moet dat toch eens even uitzoeken. Of misschien gewoon meteen blowfish.
edit: link. Daarom.
de db query trekt "$1$salt$saltedmd5$" uit mekaar, en doet md5($salt.$pass). comparen en klaar.
Dit gaat wel erg offtopic nu, dus hier wou ik t bij laten. Anders via PM.

Ontopic:
Is er nog nieuws van de TS of van Planet?
Planet probeert nu natuurlijk de boel in de doofpot te stoppen. Eigenlijk vind ik het terecht als hier op een degelijke manier werk van gemaakt wordt. Niet (alleen) voor de mensen die graag onder hun contract uit willen, maar vooral om te zorgen dat er netter met gevoelige data omgegaan wordt.

[ Voor 33% gewijzigd door P5ycho op 16-01-2008 10:14 ]

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

woensdag 16 januari 2008 09:48

Acties:

0 Henk 'm!

Verwijderd

Ben ik blij dat wij opgezegd hebben zeg. Wij waren zowel zakelijk als prive klant bij Planet maar zijn er vertrokken na de migratie van hun administratieve pakket waarbij echt alles (blijkt wel uit deze topic) fout ging.

Blijkbaar is dat pakket zo'n verbetering dat ze alle gegevens maar direct op straat gooien ?

Mooiste is nog dat er hier mensen zeggen "Ach, foutje. Kan gebeuren" maar volgensmij zich niet realiseren hoeveel gegevens mogelijk zo uitgelekt kunnen worden. Dit was Planet, alle NAW gegevens etc. Maar wat als de grote boze blauwe wolf (belastingdienst) of gemeente de zelfde "Oeps" zou maken? Is het dan nog steeds een situatie van "Kan gebeuren" ?

woensdag 16 januari 2008 10:18

Acties:

0 Henk 'm!

P5ycho

Net of Planet minder gevoelige data blootlegt. Als de belastingdienst dit zou flikken zou het natuurlijk van een andere orde zijn en zou er ook heel snel een hoop gedonder zijn omdat de politiek dan meteen er bovenop duikt naast de media. Maar, er kan best voor tientallen miljoenen euro's schade geleden worden als zo even je zakelijke account compleet verneukt wordt. Per klant. Ik zou 7 kleuren schijten als ik zo'n blunder beging.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

woensdag 16 januari 2008 11:47

Acties:

0 Henk 'm!

Vincentio

Planet net aan de lijn gehad, verhaal was bij 2 medewerkers nog niet bekend, maar kon toch per maand annuleren blijkbaar ondanks dat ik automatisch per jaar verleng en de afdeling opzeggen zag staan dat het contract tot medio juni zou lopen.

Edit: Voor de duidelijkheid ik kon opzeggen via optie product annuleren niet opzeggen

[ Voor 16% gewijzigd door Vincentio op 16-01-2008 12:14 ]

woensdag 16 januari 2008 11:52

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

P5ycho schreef op woensdag 16 januari 2008 @ 09:32:
Ontopic:
Is er nog nieuws van de TS of van Planet?
Planet probeert nu natuurlijk de boel in de doofpot te stoppen. Eigenlijk vind ik het terecht als hier op een degelijke manier werk van gemaakt wordt. Niet (alleen) voor de mensen die graag onder hun contract uit willen, maar vooral om te zorgen dat er netter met gevoelige data omgegaan wordt.

Nee, en ik denk ook niet dat er nog iets gaat komen... de damage control machine van KPN heeft zijn werk goed gedaan: de fouten zijn toegegeven, de belofte voor beterschap is gedaan, er zijn uiteindelijk geen gegevens gelekt, er is geen schade aangericht, de OV-chipknip werd godzijdank ook gekraakt, dus dit incident sterft een stille dood...

woensdag 16 januari 2008 11:54

Acties:

0 Henk 'm!

djiwie

Wie?

Vincentio schreef op woensdag 16 januari 2008 @ 11:47:
Planet net aan de lijn gehad, verhaal was bij 2 medewerkers nog niet bekend, maar kon toch per maand annuleren blijkbaar ondanks dat ik automatisch per jaar verleng en de afdeling opzeggen zag staan dat het contract tot medio juni zou lopen.

Nou, dan weten de Planet-gebruikers in dit topic dus wat zij moeten doen.

donderdag 17 januari 2008 11:12

Acties:

0 Henk 'm!

Brons

Fail!

Vincentio schreef op woensdag 16 januari 2008 @ 11:47:
Planet net aan de lijn gehad, verhaal was bij 2 medewerkers nog niet bekend, maar kon toch per maand annuleren blijkbaar ondanks dat ik automatisch per jaar verleng en de afdeling opzeggen zag staan dat het contract tot medio juni zou lopen.

Edit: Voor de duidelijkheid ik kon opzeggen via optie product annuleren niet opzeggen

Mooi. Misschien moet ik het dan ook maar overwegen. Nu eerst nog even een vervangende provider vinden en hopen dat het migratie traject wat makkelijker gaat dan we gewend zijn van Planet.