Datalek gevonden

Directie mailen

Melden bij autoriteit persoonsgegevens?
https://autoriteitpersoon...matie-en-meldpunt-privacy

https://www.consumentenbo...ivacy/meldpunt-datalekken

Klantenservice geeft minder kans van slagen, bellen geeft minder kans van slagen.

Mail inderdaad bv directie of liever als die er is: de functionaris gegevensbescherming. Waarschijnlijk staat er wel ergens in de privacy verklaring oid een contactmanier voor die persoon.

Als je dan nog nul reactie krijgt dan kan een volgende stap idd de AP zijn. Waar je dan IMHO wel duidelijk wilt maken of / waarom dit een groot probleem kan zijn (voor vele accounts, of voor een enkele account al grote impact op de privacy / bijzondere persoonsgegevens).

Voor de volledigheid: ga niet meer accounts proberen. Dan ga je de grens over van beveiligingsgat vinden naar misbruik.

Ik las eerst "Dalek gevonden"

Ik schaar mij inderdaad ook achter @F_J_K. Maak een mooie email naar die functionaris gegevensbescherming van dat bedrijf, die zou dat op moeten pakken. Daar is die voor!

Mx. Alba schreef op dinsdag 15 januari 2019 @ 16:22:
Ik las eerst "Dalek gevonden"

Ook zeker geen onbelangrijke vraag om het antwoord op te weten.

Met handmatig proberen had ik ongeveer na 15x proberen (1min) beet en zat ik in een account van iemand.

Dit is al te laat, maar doe dit nooit meer. Dit gaat veel verder dan nodig is om de ernst van het lek aan te tonen, je had dit na het "proberen" op je eigen account (ga ik even van uit) al kunnen melden. Dat je op "iemands" account terecht bent gekomen is niet handig, nog zacht uitgedrukt.

eric.1 schreef op dinsdag 15 januari 2019 @ 16:30:
Dit is al te laat, maar doe dit nooit meer. Dit gaat veel verder dan nodig is om de ernst van het lek aan te tonen, je had dit na het "proberen" op je eigen account (ga ik even van uit) al kunnen melden. Dat je op "iemands" account terecht bent gekomen is niet handig, nog zacht uitgedrukt.

Het klopt inderdaad dat je jezelf daarmee aardig in de nesten kunt werken! Stel dat je een manier hebt gevonden om een bepaald type deurslot heel eenvoudig open te krijgen. Je komt ook flink in de problemen als je dan vervolgens bij een aantal random huizen naar binnen loopt "om te bewijzen dat het heel makkelijk gaat"...

MaartenBW schreef op dinsdag 15 januari 2019 @ 15:27:

Ik heb de klantenservice van de organisatie gebeld en uitgelegd wat het probleem is. Ik kreeg hier letterlijk het antwoord; we gaan onze werkwijze niet veranderen en het is de verantwoordelijkheid van de mensen zelf om hun WW te wijzigen. Het lukt niet om iemand anders aan de lijn te krijgen.

Op een klantenservice moet je nooit rekenen. Laat staan het probleem uitleggen, want zij zien de gevaren niet.

Wees gewoon straight to the point:

Hoi met Maarten!
Ik heb een gevaarlijk lek in jullie website ontdekt! Mag ik de IT'er of een leidinggevende?


Zo heb ik vroeger ook een telefoongesprek gevoerd toen ik een SQL-injection tegen kwam in een grote nieuwssite. Binnen 5 minuten belde die IT'er terug!

MaartenBW schreef op dinsdag 15 januari 2019 @ 17:02:
[...]


Eensch, doch weet je pas of een sleutel werkt wanneer je hem op het slot probeert.

Ik hoop dat ze het me vergeven wanneer ik meteen daarna direct daarna het bij hun heb gemeld.

Ik heb net de zelfde mail naar nog wat andere gegokte mail adressen gestuurd inc. de directie. Waarvan ik er op 1 geen delivery failure kreeg.

Het zit dus helemaal fout bij het bedrijf, want normaal zou je een "silent discard" verwachten bij een fout e-mail adres.

Klein dingetje, als je pech heb kom je met je huidige aanpak niet weg met een responsible disclosure, je bent veel te ver gegaan.

Je had al een melding moeten maken op het moment dat je de fouten ziet. hierna heb je vervolgens een "Brute Force aanval" uitgevoerd. Dit valt per definitie niet onder een responsible disclosure!

medal schreef op dinsdag 15 januari 2019 @ 22:18:
Klein dingetje, als je pech heb kom je met je huidige aanpak niet weg met een responsible disclosure, je bent veel te ver gegaan.

Je had al een melding moeten maken op het moment dat je de fouten ziet. hierna heb je vervolgens een "Brute Force aanval" uitgevoerd. Dit valt per definitie niet onder een responsible disclosure!

Fouten zien/vermoeden/onderzoeken hebben niets te maken met responsible disclosure; dat is de manier waarop je het gevondene meldt

Hmmm.. Ik kende ook zo'n bedrijf..

En ik ben het niet eens met de mensen hierboven dat je te ver bent gegaan. Om zeker te weten of het lek bestaat (dat iedereen met een reset hetzelfde wachtwoord krijgt) zul je 1 keer moeten inbreken. Straks is het een algoritme op het usernummer oid en dan valt het lek opeens heel erg mee... Het zal namelijk niet in hun algemene voorwaarden staan, dat bij een nieuw wachtwoord een standaard wachtwoord wordt toegekend.

RobIII schreef op dinsdag 15 januari 2019 @ 22:25:
[...]

Fouten zien/vermoeden/onderzoeken hebben niets te maken met responsible disclosure; dat is de manier waarop je het gevondene meldt

Niet helemaal, indien het bedrijf aangifte doet zal het OM in deze casus oordelen dat er te ver gegaan is en dit niet onder responsible disclosure rekenen.

Heeft iets te maken met het gedoog beleid dat het om aanhoudt en hoe zij kijken of dit "Responsble" gedaan is. Maar over de benaming heb je gelijk dat is over het algemeen de vorm van melden.

TomsDiner schreef op dinsdag 15 januari 2019 @ 22:28:
Hmmm.. Ik kende ook zo'n bedrijf..

En ik ben het niet eens met de mensen hierboven dat je te ver bent gegaan. Om zeker te weten of het lek bestaat (dat iedereen met een reset hetzelfde wachtwoord krijgt) zul je 1 keer moeten inbreken. Straks is het een algoritme op het usernummer oid en dan valt het lek opeens heel erg mee... Het zal namelijk niet in hun algemene voorwaarden staan, dat bij een nieuw wachtwoord een standaard wachtwoord wordt toegekend.

Een extra account aanmaken had dit opgelost, dan had het prima geweest.

[ Voor 53% gewijzigd door medal op 15-01-2019 22:39 ]

medal schreef op dinsdag 15 januari 2019 @ 22:36:
[...]


Niet helemaal, indien het bedrijf aangifte doet zal het OM in deze casus oordelen dat er te ver gegaan is en dit niet onder responsible disclosure rekenen.

Heeft iets te maken met het gedoog beleid dat het om aanhoudt en hoe zij kijken of dit "Responsble" gedaan is. Maar over de benaming heb je gelijk dat is over het algemeen de vorm van melden.

Deze discussie heeft totaal geen toegevoegde waarde noch nut dus ik ga 't verder bij deze reply laten maar here goes: de naam zegt het al: responsible disclosure; ofwel: de manier waarop je het gevondene 'openbaart' of 'onthult' (c.q. meldt). Dat houdt in dat je 't niet meteen op twitter gooit of met naam-en-toenaam op een forum gooit* maar eerst meldt bij het bedrijf in kwestie en ze de kans geeft (en voldoende tijd) om er iets aan te doen voordat je 't wereldkundig maakt (hence: het responsible deel). Niets meer en niets minder. En het (responsible disclosure dus) heeft dus geen drol te maken met hoe je een datalek gevonden krijgt/hebt.

Los van dat alles: als je 't bij één ding proberen hebt gehouden en niet verder dan nodig bent gaan graven zal er weinig aandacht aan geschonken worden. Het wordt pas vervelend als je hele databanken gaat lopen downloaden of diep in iemands persoonlijke data gaat lopen graven nadat al lang duidelijk is dat je ergens bent waar je niet hoort te zijn. Dus die bangmakerij is nergens voor nodig. Er is een verschil tussen "hee, ik heb een vermoeden -> test -> bewijst vermoeden -> meldt" en "hee, ik heb een vermoeden -> downloadt complete databank, rommelt 6 weken in allerlei bestanden, kijkt vrolijk rond hoe 'ver' hij/zij kan komen -> meldt het dan". En elke zichzelf respecterende rechter of OM zal dat ook zo zien.

medal schreef op dinsdag 15 januari 2019 @ 22:36:

Een extra account aanmaken had dit opgelost, dan had het prima geweest.

Beetje lastig als 't om een instantie gaat waar je niet zomaar even een extra account kunt aanmaken. Ik denk daarbij aan de DigId ofzo. Bij een hotmail of een openbaar forum is 't natuurlijk andere koek.

* En om je voor te zijn: aangezien TS niet meldt om wélke organisatie 't gaat is er hier (in dit topic) ook geen sprake van een disclosure, mocht je die zijweg in willen slaan.

[ Voor 44% gewijzigd door RobIII op 15-01-2019 23:07 ]

MaartenBW schreef op maandag 3 juni 2019 @ 15:47:
Op verzoek van @Flamesz een update.

Op advies van de mensen in dit topic heb ik dus de Privacy Functionaris een mail gestuurd. Deze reageerde vrij snel met de mededeling dat er 'Technische en Organisatorische maatregelen' genomen waren op het probleem op te lossen.

Niet snel daarna is het hele inlogsysteem op de schop gegaan. Onderdeel hiervan was dat iedereen zijn wachtwoord moest wijzigen. Ik weet niet of dit al in de pijplijn zat of dat dit na aanleiding van mijn melding was.

Ik heb het net nog even getest, de wachtwoord reset procedure werkt nu zoals je zou verwachten.

Niet snel daarna, of juist wel snel daarna?

Ik neem aan dat deze reply een late reply van jouw kant was, in plaats van het een half jaar geduurd heeft tot het opgelost was. Anders vind ik het alsnog zorgelijk...