IP overhandigen van hacker aan accounteigenaar

99ruud99 schreef op donderdag 11 juni 2020 @ 14:50:
@.oisyn puur omdat ze helemaal niet @wies leenders het ip adres van de dader mogen geven.
Dat mag alleen de politie aanvragen en krijgen.

Dat lijkt me echt onzin, ze mogen toch zeker wel vertellen op welke ip's jij hebt ingelogd. Dat jij jij niet was betekent niet ineens dat ze het dan niet meer mogen, zij weten niet beter . Iemand anders deed zich voor als jou, maar dat maakt het dus jouw gegevens, niet van die iemand anders.

Bovendien zijn er zat sites die je een mailtje sturen met "hey er was een login vanaf <IP>" als je voor het eerst vanaf een nieuw device oid inlogt.

[ Voor 8% gewijzigd door .oisyn op 11-06-2020 14:56 ]

Bitvavo zit op de Herengracht


Btw, dat artikel dat je daar aanhaalt gaat over heel iets anders, namelijk dat iemand de gegevens heeft gekregen van de personen waarmee hij zaken heeft gedaan. Natuurlijk mag dat niet!

[ Voor 74% gewijzigd door .oisyn op 11-06-2020 15:09 ]

99ruud99 schreef op donderdag 11 juni 2020 @ 15:10:
dan vind ik het helemaal gek dat ze een ip adres doorgeven wanneer je specifiek vraagt naar "iemand anders heeft ingelogd".

Dat is een aanname die je maakt, het is nog helemaal niet bekend hoe de TS aan dat adres komt. Zoals ik al zei, het kan ook een mailtje zijn geweest.

Had je mijn edit trouwens gezien?

Btw, dat artikel dat je daar aanhaalt gaat over heel iets anders, namelijk dat iemand de gegevens heeft gekregen van de personen waarmee hij zaken heeft gedaan. Natuurlijk mag dat niet!

En natuurlijk is een ip-adres een persoonsgegeven, dat trek ik helemaal niet in twijfel.

[ Voor 28% gewijzigd door .oisyn op 11-06-2020 15:13 ]

.oisyn schreef op donderdag 11 juni 2020 @ 15:11:
[...]

Dat is een aanname die je maakt, het is nog helemaal niet bekend hoe de TS aan dat adres komt. Zoals ik al zei, het kan ook een mailtje zijn geweest.

Had je mijn edit trouwens gezien?

[...]

Dit is zeker bij exchanges redelijk gemeen goed, dus dat lijkt mij een logische verklaring.

99ruud99 schreef op donderdag 11 juni 2020 @ 15:15:
Ja ik had het gelezen, zelf kwam ik er later ook achter, maar volgens cyberjuristen mag sinds de AVG een ip adres ook niet meer opgevraagd worden...

Alle persoonsgegevens die zijn opgeslagen mogen opgevraagd worden (door de eigenaar van die gegevens). Je bedoelt dat ze niet zomaar meer worden opgeslagen. Zonder meer idd, er moet een goede reden zijn. Een financiele instelling als Bitvavo heeft natuurlijk een goede reden om dergelijke gegevens een redelijke termijn te bewaren. Tweakers doet dat ook.

[ Voor 5% gewijzigd door .oisyn op 11-06-2020 15:19 ]

@.oisyn De AVG definieert persoonsgegevens als:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”)

Het ip-adres een persoonsgegeven van de hacker (het ip-adres wijst naar hem). Het is geen persoonsgegeven van de TS. Het ip-adres is weliswaar aan het account van TS gekoppeld, maar zegt niets over TS. Het zegt wat over het account van TS, maar niets over TS zelf. Dat maakt dat TS geen inzagerecht heeft in dit ip-adres.

Het e-mailen na een login (of het tonen van recente logins) zou je onder de verweringsgrondslag van het gerechtvaardigd belang kunnen scharen. Het is belangrijk dat een gebruiker direct kan zien als er misbruik van zijn account wordt gemaakt. Wel kun je daarbij de vraag stellen of het laatste octet niet weggelaten moet worden.

[ Voor 18% gewijzigd door GlowMouse op 11-06-2020 15:59 ]

GlowMouse schreef op donderdag 11 juni 2020 @ 15:42:
Het ip-adres een persoonsgegeven van de hacker (het ip-adres wijst naar hem). Het is geen persoonsgegeven van de TS. Het ip-adres is weliswaar aan het account van TS gekoppeld, maar zegt niets over TS. Het zegt wat over het account van TS, maar niets over TS zelf. Dat maakt dat TS geen inzagerecht heeft in dit ip-adres.

Ok, maar de website weet dat natuurlijk niet. Het is dus dan verstandig om er niets over te zeggen en gewoon de gegevens op te vragen?

.oisyn schreef op donderdag 11 juni 2020 @ 15:43:
[...]

Ok, maar de website weet dat natuurlijk niet. Het is dus dan verstandig om er niets over te zeggen en gewoon de gegevens op te vragen?

Praktisch wel het eenvoudigst. In geval van fraude kan bitavo het ip-adres ook afgeven (mag ook van de avg), maar het is altijd de vraag of zo'n bedrijf daar eenvoudig aan meewerkt.

GlowMouse schreef op donderdag 11 juni 2020 @ 15:54:
In geval van fraude kan bitavo het ip-adres ook afgeven (mag ook van de avg)

Ok, maar dat vind ik gek. Is er bij iemand die inlogt op jouw account niet per definitie sprake van fraude (identiteitsfraude)?

[ Voor 60% gewijzigd door .oisyn op 11-06-2020 16:05 ]

Volgens eenom, binnen de AVG is een bedrijf toch verplicht alle data te overhandigen die men over jou bezit?
wanneer je nu vraagt om al je gegevens , vallen daar dan ook de logfiles van je account onder? op die manier kan je het toch achterhalen en is er weinig mis? dat de IP's van de dader daar tussen staan.....

@Anoniem: 135360
Het lijkt mij dat die gegevens dan geanonimiseerd zouden moeten worden...

Even een iets langere reactie omdat het nu een apart topic is. Zoals eerder betoogd, gaat het om persoonsgegevens van een derde. Als je die gegevens wilt hebben, kan dat niet via een inzageverzoek, omdat je daarmee alleen je eigen persoonsgegevens op kunt vragen.

De spelregels rondom het opvragen van persoonsgegevens van een derde zijn bepaald in het arrest Lycos/Pessers dat hier wordt besproken. Er moet aan de volgende vier criteria worden voldaan:
a) de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
b) de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
c) aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
d) afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

Je moet deze criteria per geval toetsen. Een wraakpornoslachtoffer kon bijvoorbeeld het ip-adres van de dader bij facebook opvragen, en FB moest dat ip-adres afgeven. Als aan deze criteria wordt voldaan, is de AVG geen aparte hobbel meer die moet worden genomen (de belangenafweging in d is dezelfde als in de AVG). Maar omgekeerd geldt ook dat als er niet aan deze criteria wordt voldaan, het bedrijf deze gegevens niet hoeft af te geven, en het van de AVG ook niet mag.

99ruud99 schreef op donderdag 11 juni 2020 @ 16:12:
Dat klopt, maar dan is de vraag of je voor eigen rechter mag spelen.
Want op dat moment zegt het bedrijf "ik vind jouw vergrijp erger dan mijn vergrijp", zonder dat hier een externe toetsing op plaatsvindt.

Onder Lycos/Pessers is er geen externe toetsing. Als bedrijf handel je onrechtmatig door gegevens niet te verstrekken als dat wel moet. Als de schade daardoor groter wordt, ben je daarvoor als bedrijf aansprakelijk.

Even een vraag, wat wil je met het IP-adres doen? Los van dat deze niet altijd statisch zijn, kan ik me voorstellen dat een hacker gebruik maakt van VPN, Tor, etc. en je bent al wat lastiger te traceren. Idealiter gebruikt de hacker het IP-adres van een ander slachtoffer.

1. iedere kwaadwillende zal de juiste methodes gebruiken om o.a. niet op te vallen. Het was jaren terug al zaak dat men inlogpogingen, registraties, bestellingen e.d. geautomatiseerd lieten controleren op geografische afkomst: "wordt de bestelling gedaan in hetzelfde land als waar het account aangemaakt is" etc
Dus het eerste wat ze doen is een VPN regelen die in de geografische buurt van het slachtoffer zit

2. Iedere crypto exchange stuurt je mails wat betreft inlogpogingen met IP adressen naast dat je dit ook vrijwel nog altijd in je account terug kan zien. Wat als een Exchange dit handmatig verstrekt nadat deze gegevens al eens gepubliceerd zijn aan de account eigenaar?

99ruud99 schreef op donderdag 11 juni 2020 @ 17:06:
Dat klopt, maar wie bepaalt wanneer dat je gegevens moet delen? In het geval van de wraakporno was dat de rechtbank.

Nee, de rechtbank oordeelde dat FB de gegevens had moeten delen. Het recht (de wet, jurisprudentie, gebruiken, doctrine; i.c. de criteria uit Lycos/Pessers) bepaalt dat FB de gegevens moest verstrekken.

[ Voor 19% gewijzigd door GlowMouse op 11-06-2020 18:02 ]