[datalek] gemeld, kan ik het openbaar maken?

Waarom wil je het perse openbaar melden?

Ligt een beetje aan de impact van het lek, wat is er precies gelekt? Melding maken bij AP oid kun je sowieso al doen.

DJMaze schreef op maandag 7 mei 2018 @ 15:01:
[...]

Niet persé.
Als je op internet kijkt gebeurt het regelmatig dat "onwetenden" dit direct doen (bijv. coolblue anyone?!?) met de vraag waar ze dit moeten melden.
Op dat moment is het dus eigenlijk al direct openbaar en is er direct eventuele imago schade terwijl het misschien niet daar zit, maar bij één van de partners/derden.
Dit wil ik dus fatsoenlijk voorlopig vermijden.

De vraag blijft waarom je het überhaupt wil openbaren?

Misschien moet je even telefonisch contact opnemen met het betreffende bedrijf?

Het lijkt me persoonlijk niet netjes om dit 'datalek' in de openbaarheid te gooien. Jij hebt immers je deel gedaan en de melding gedaan bij het bedrijf. Nu is het aan het bedrijf om dit eventueel te verhelpen en zelf eventueel ook nog dit datalek te melden bij het AP.

Mocht het nou over een halfjaar nog niet verholpen zijn kun je eventueel nog een keer contact opnemen met het bedrijf, of weer een melding doen bij het AP.

Het openbaar maken voegt in dit hele verhaal volgens mij weinig toe.

Brainscrewer schreef op maandag 7 mei 2018 @ 15:06:
[..]
Het openbaar maken voegt in dit hele verhaal volgens mij weinig toe.

Je punt snap ik op zich wel.. maar jouw informatie ligt dus wel mooi op straat.
Men meld netjes wat men heeft gevonden en vervolgens blijft het bedrijf stil qua reactie.
Ondertussen blijft jou informatie voor iedereen publiekelijk beschikbaar. (bij wijze van)

Als het bedrijf een dergelijke lakse houding blijft aannemen en jouw dus niet serieus neemt.
Waarom zou je het bedrijf dan niet publiekelijk aan de schandpaal nagelen? Het gaat wel om jouw gegevens.
Door het publiekelijk kenbaar te maken zijn bedrijven vaak ineens wel bereid om hun zooi op orde te maken of zien ze dan pas ineens in om wat voor ernstig lek het gaat.

Het is inderdaad niet netjes om dit meteen te doen. Maar als je het een aantal keer hebt aangegeven en na een half jaar (wat ik al lang vind eigenlijk) is het nog steeds niet opgelost, dan zou ik toch wel vervolgstappen ondernemen. Nogmaals, jouw data ligt op straat.

Ik zou gaan voor: Responsible disclosure

quote: https://en.wikipedia.org/wiki/Responsible_disclosure

In computer security or elsewhere, responsible disclosure is a vulnerability disclosure model in which a vulnerability or issue is disclosed only after a period of time that allows for the vulnerability or issue to be patched or mended. This period distinguishes the model from full disclosure.

Stel een realistisch termijn en communiceer dit termijn. Is het termijn verstreken (of de kwetsbaarheid verholpen), dan ga je de details publiceren.

DonJunior schreef op maandag 7 mei 2018 @ 15:22:
[...]

Je punt snap ik op zich wel.. maar jouw informatie ligt dus wel mooi op straat.
Men meld netjes wat men heeft gevonden en vervolgens blijft het bedrijf stil qua reactie.
Ondertussen blijft jou informatie voor iedereen publiekelijk beschikbaar. (bij wijze van)

Als het bedrijf een dergelijke lakse houding blijft aannemen en jouw dus niet serieus neemt.
Waarom zou je het bedrijf dan niet publiekelijk aan de schandpaal nagelen? Het gaat wel om jouw gegevens.
Door het publiekelijk kenbaar te maken zijn bedrijven vaak ineens wel bereid om hun zooi op orde te maken of zien ze dan pas ineens in om wat voor ernstig lek het gaat.

Het is inderdaad niet netjes om dit meteen te doen. Maar als je het een aantal keer hebt aangegeven en na een half jaar (wat ik al lang vind eigenlijk) is het nog steeds niet opgelost, dan zou ik toch wel vervolgstappen ondernemen. Nogmaals, jouw data ligt op straat.

Dat is nog maar de vraag natuurlijk. Het is aan de Autoriteit Persoonsgegevens om te beoordelen wat de reikwijdte van het datalek is, en vervolgens wat de schade is. Zij kunnen vervolgens overgaan tot het opleggen van een boete, en dat is gewoon openbare informatie.

Vergelijk het even met een politieonderzoek n.a.v. een misdrijf: ook daar noemen ze de dader niet bij naam en/of geven ze details over het misdrijf totdat diegene veroordeeld is. Vanaf dat moment is alles immers openbaar.

Het is niet aan jou, mij, TS of wie dan ook om die informatie openbaar te maken vóórdat het onderzoek is afgerond. En ja, dat betekent inderdaad dat je voor je schade niet gecompenseerd wordt. Maar de dader zal desondanks heus wel 'boeten' als die iets verkeerd heeft gedaan. Een inbreker hoeft toch ook nooit de schade aan jouw deurslot te betalen? Dat is iets voor jouw verzekering. Je kunt je alleen niet verzekeren tegen datalekken...

P1nGu1n schreef op maandag 7 mei 2018 @ 15:28:
Ik zou gaan voor: Responsible disclosure


[...]


Stel een realistisch termijn en communiceer dit termijn. Is het termijn verstreken (of de kwetsbaarheid verholpen), dan ga je de details publiceren.

Even nog n.a.v. deze post, maar niet perse tegen P1nGu1n gericht: dit soort 'openbaarmakingen' kunnen nog wel eens illegaal zijn ook... maar IANAL, dus ik zou daar zeker eerst meer info over inwinnen!

[ Voor 11% gewijzigd door Icephase op 07-05-2018 15:30 ]

Icephase schreef op maandag 7 mei 2018 @ 15:28:
[...]


Dat is nog maar de vraag natuurlijk. Het is aan de Autoriteit Persoonsgegevens om te beoordelen wat de reikwijdte van het datalek is, en vervolgens wat de schade is. Zij kunnen vervolgens overgaan tot het opleggen van een boete, en dat is gewoon openbare informatie.

Vergelijk het even met een politieonderzoek n.a.v. een misdrijf: ook daar noemen ze de dader niet bij naam en/of geven ze details over het misdrijf totdat diegene veroordeeld is. Vanaf dat moment is alles immers openbaar.

Het is niet aan jou, mij, TS of wie dan ook om die informatie openbaar te maken vóórdat het onderzoek is afgerond. En ja, dat betekent inderdaad dat je voor je schade niet gecompenseerd wordt. Maar de dader zal desondanks heus wel 'boeten' als die iets verkeerd heeft gedaan. Een inbreker hoeft toch ook nooit de schade aan jouw deurslot te betalen? Dat is iets voor jouw verzekering. Je kunt je alleen niet verzekeren tegen datalekken...


[...]


Even nog n.a.v. deze post, maar niet perse tegen P1nGu1n gericht: dit soort 'openbaarmakingen' kunnen nog wel eens illegaal zijn ook... maar IANAL, dus ik zou daar zeker eerst meer info over inwinnen!

Ik begrijp het. Je hoeft overigens niet precies te zeggen hoe en wat er fout gaat.
Je kan ook een Tweet de wereld in sturen met iets dergelijks als "@bedrijf heb nu aantal keer een melding gedaan van #datalek, wordt hier nog iets mee gedaan?"
Dan geef je niets prijs in eerste instantie.. (soort van niets) maar trek je wel meer publieke aandacht waardoor dergelijke bedrijven wel even gaan nadenken (hoop ik dan)

Maar inderdaad misschien niet helemaal jofel om te doen.

Op het moment zit ik midden in de security en datalekken dus ik ben al vrij snel te fanatiek omdat ik vind dat bedrijven hun shit gewoon op orde moeten hebben. Zeker nu het ene na het andere datalek zich voor doet.
Punt is dat ik ook iets te veel lakse bedrijven tegenkom die denken "Dat overkomt ons toch niet" of "Die applicatie wordt alleen door onze medewerkers gebruikt"
Nja nogmaals, ik snap je punt, het is niet heel netjes om te doen.

DonJunior schreef op maandag 7 mei 2018 @ 15:35:
[...]


Ik begrijp het. Je hoeft overigens niet precies te zeggen hoe en wat er fout gaat.
Je kan ook een Tweet de wereld in sturen met iets dergelijks als "@bedrijf heb nu aantal keer een melding gedaan van #datalek, wordt hier nog iets mee gedaan?"
Dan geef je niets prijs in eerste instantie.. (soort van niets) maar trek je wel meer publieke aandacht waardoor dergelijke bedrijven wel even gaan nadenken (hoop ik dan)

Maar inderdaad misschien niet helemaal jofel om te doen.

Op het moment zit ik midden in de security en datalekken dus ik ben al vrij snel te fanatiek omdat ik vind dat bedrijven hun shit gewoon op orde moeten hebben. Zeker nu het ene na het andere datalek zich voor doet.
Punt is dat ik ook iets te veel lakse bedrijven tegenkom die denken "Dat overkomt ons toch niet" of "Die applicatie wordt alleen door onze medewerkers gebruikt"
Nja nogmaals, ik snap je punt, het is niet heel netjes om te doen.

Even in analogie:
"Hee @_politieman ik zie Frans de Vlieger van hiernaast nu al een paar keer 's nachts inbreken bij de overburen, wordt hier nog iets mee gedaan?"

Ik denk dat je wel een claim m.b.t. smaad of laster kunt verwachten om eerlijk te zijn...

Maar stel nu dat jij 1 van de eerste, of mogelijk enige bent die dit heeft gevonden, het publiekelijk maken zou juist de interesse wekken van mensen die er iets minder 'goed' mee om willen gaan. Lomp gezien heb jij dan bijgedragen aan het 'lekken' van deze data (dat er een lek is, betekent niet dat het al gelekt is).

Er is een autoriteit die zich hiermee bezig houd, daar melden lijkt mij dan meer dan genoeg.

DJMaze schreef op maandag 7 mei 2018 @ 14:48:
Wat denken jullie hiervan?

Ik vraag meestal gelijk hoelang ze denken erover te doen om het te fixen. Het verschilt bij mij hoe snel ik iets openbaar maak aan de hand de reactie die ik terug krijg. Ik ben redelijk coulant, maar ik geef ze geen 6 weken de tijd om een lek te dichten. Naar mijn idee moeten datalekken per direct worden gedicht.

Ik wil je nog wel meegeven dat het niet altijd gaat zoals "Bedankt, hier heb je een iPad".

nieuws: Lek in website farmaceutisch bedrijf maakte handel met voorkennis mog...
nieuws: Belegger.nl dwingt nieuwe wachtwoorden af na databasehack

Dit zijn 2 voorbeelden die ik aan tweakers heb gemeld en waarbij ik zonder kleerscheuren er vanaf ben gekomen. Ik kan je ook vertellen dat sommige bedrijven mij hebben aangeklaagd en ik er jaren over heb moeten doen om mijn onschuld te bewijzen. Let dus wel een beetje op! Je bevind je in een grijs gebied...

Icephase schreef op maandag 7 mei 2018 @ 15:38:
[...]


Even in analogie:
"Hee @_politieman ik zie Frans de Vlieger van hiernaast nu al een paar keer 's nachts inbreken bij de overburen, wordt hier nog iets mee gedaan?"

Ik denk dat je wel een claim m.b.t. smaad of laster kunt verwachten om eerlijk te zijn...

Laster is sowieso niet aan de orde wanneer de info die je verspreid gewoon waar is.

Smaad, die is een stuk lastiger. Ik ben van mening dat full disclosure smaad is, responsible disclosure niet. Bij RD heb je het bedrijf namelijk de tijd gegeven het op te lossen, wanneer ze dit niet doen is het in 'algemeen belang' dit aan de kaak te stellen. Bij FD geef je ze geen kans het alvorens publicatie op te lossen, dan is smaad veel eerder van toepassing.

Needless to say, IANAL.

Edit:
Om Arnoud Engelfriet te quoten:

quote: http://www.denieuwereport...n-kans-in-een-rechtszaak/

Bij smaad is het mogelijk dat je denkt dat het waar is (of zelfs dat het écht waar is). Het gaat er uiteindelijk om dat de uitlating nodeloos grievend is, even plat gezegd zoiets zég je niet, het is bedoeld als afzeiken of voor gek zetten, nergens voor nodig.

Lijkt mij echt niet van toepassing.

[ Voor 22% gewijzigd door P1nGu1n op 07-05-2018 19:30 ]

Een vrij standaard termijn is 90 dagen of 3 maanden. Stuur ze een herinnering waarin je ook vermeldt dat je 90 dagen na je aanvankelijke melding dit issue openbaart, of zodra het issue gepatcht is. Whichever comes first.