Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Datalek gevonden maar nog steeds geen oplossing; Hoe verder?

Pagina: 1
Acties:

Vraag


  • PTish
  • Registratie: juli 2011
  • Laatst online: 14:29
Ik heb anderhalve maand geleden een datalek gevonden waarmee ik complete bestellingen en persoonsgegevens uit een systeem van een internationale retailer kon halen. Ook mijn gegevens zitten er in en de bestellingen hebben een persoonlijke tint. Ik heb dit probleem naar beste kunnen gemeld en opgepakt met de desbetreffende partij. Ik heb daar in het begin regelmatig contact over gehad en het werd ook, zeker de eerste dagen, zeer direct opgepakt.

Inmiddels is mij 4 weken geleden beloofd dat er een security fix klaar stond en dat deze enkel nog getest diende te worden en dan op korte termijn online ging. Daarbij werd ik nogmaals vriendelijke bedankt en kreeg ik de melding dat er punten op mijn account waren gestort als beloning. Deze mail gaf mij het gevoel dat daarmee de kous af was wat betreft communicatie.

Ik denk nog meerdere malen per week aan dit lek en kijk regelmatig of het lek nog aanwezig is. Ook dit probleem zit hem in een Demandware shop en is vergelijkbaar met Blokker maar vergt net wat meer technische kennis. Wat ik begrijp is het custom code en/of een plugin.

Als ik het Blokker artikel lees en ik lees dan de claim dat het direct dezelfde dag is opgelost, dan vraag ik me af wat de partij waar ik mee bezig ben aan het doen is.

Ik zit een beetje in de knoop hoe nu verder. Moet ik de partij gewoon nog wat meer tijd geven? Moet ik gewoon om een simpele update vragen en het daarbij laten? Of zou ik om een update moeten vragen en het Blokker artikel als referentie moeten gebruiken? Ik wil echter ook weer niet dreigend over komen.

Het lijkt er op dat als je media inschakelt, het veel sneller opgelost krijgt, maar ik heb eigenlijk geen zin in potentiële problemen op mij als persoon. Ik denk namelijk dat als dit lek publiekelijk wordt, ik direct als oorzaak daar van gezien wordt.

Iemand die een zinnig advies voor me heeft?

Alle reacties


  • Craetive
  • Registratie: december 2010
  • Laatst online: 07-06 22:53
Je hebt het over een internationale retailer, om wat voor omvang hebben we het dan? Als het echt om een gigantisch datalek gaat dan zou je wellicht wat extra druk kunnen uitvoeren via de media. Dat hoeft niet bij naam en toenaam, maar zou ook prima kunnen via bijvoorbeeld partijen alla Publeaks.

Maar als ik heel eerlijk ben zou ik het proberen los te laten. Het is niet jouw toko. Jij hebt je plicht gedaan en het lek gemeld, waarvoor ze je al uitgebreid bedankt hebben. Ze zijn dus op de hoogte. Jij bent verder niet verantwoordelijk voor de gevolgen als data blijkt te lekken.

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 14:57

The Eagle

I wear my sunglasses at night

Om een update vragen en that's it.
Jij bent alleen de meldende partij in deze en hebt geen enkele zeggenschap of invloed op wat die retailer doet en wanneer.

Als jij voor mijn deur staat om te melden dat mijn dakgoot lek bedank ik je vriendelijk. Maar is het vervolgens aan mij om te bepalen wanneer ik dat repareer, en hoe.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Osxy
  • Registratie: januari 2005
  • Laatst online: 13:59

Osxy

Holy crap on a cracker

The Eagle schreef op zaterdag 13 februari 2021 @ 14:54:
Om een update vragen en that's it.
Jij bent alleen de meldende partij in deze en hebt geen enkele zeggenschap of invloed op wat die retailer doet en wanneer.

Als jij voor mijn deur staat om te melden dat mijn dakgoot lek bedank ik je vriendelijk. Maar is het vervolgens aan mij om te bepalen wanneer ik dat repareer, en hoe.
Vergelijk gaat scheef omdat in dit geval ook de data van de melder risico loopt.

Dus betere vergelijking zou zijn een appartementen complex waar de onderbuurman meld aan je dat je douche afvoer lek is.

"Divine Shields and Hearthstones do not make a hero heroic."


  • PTish
  • Registratie: juli 2011
  • Laatst online: 14:29
Ik geloof dat ze actief zijn in meer dan 10 landen. Ik weet niet of alle landen hetzelfde probleem hebben of er verschil zit in systemen.

Op basis van mijn eigen "onderzoek" bestaat het probleem ruim 2 jaar. Ik neem aan dat het nooit eerder gemeld is, dus als het nu 2x gemeld wordt in zeer korte tijd (het zij via publeaks) is het niet zeker maar mogelijk aannemelijk dat ik het ben.

Daarbij gaan de bestellingen ook niet zo zeer om spullen zoals een pan en een mixer a la de Blokker. Ik denk dat er mogelijk mensen zijn die liever ook niet de bestelling publiekelijk hebben. Ik heb er geen moeite mee, maar het is dus zo ver mijn probleem dat ik er ook in zit. Meerdere malen.

  • mcDavid
  • Registratie: april 2008
  • Laatst online: 16:31
Heeft de betreffende partij een responsible Disclosure procedure? Zo ja dan heb je die aan te houden. Zo niet dan zou je een veelgebruikte procedure kunnen opzoeken (bijvoorbeeld van het Zero Day Initiative) en aangeven dat je op basis daarvan wilt handelen. Het is gebruikelijk dat je de partij 120 dagen (of net wat je afspreekt) de tijd geeft om orde op zaken te stellen voordat je in de publiciteit treedt.

Het siert zo'n partij natuurlijk niet als ze een exploit lang open laten, maar je weet als buitenstaander niet hoeveel impact het patchen heeft. Je zult ze dus altijd een redelijke termijn moeten geven als je ter goeder trouw wilt handelen. Alleen als je reden hebt om aan te nemen dat de exploit al bekend is en actief misbruikt wordt kun je daar redelijkerwijs van afwijken.

[Voor 31% gewijzigd door mcDavid op 13-02-2021 15:13]


  • kamerplant
  • Registratie: juli 2001
  • Niet online

kamerplant

lekker toch

Het zegt veel over de professionaliteit van de betreffende IT partner of afdeling. Ik zou het laten gaat, je hebt er geen enkel belang bij toch?

  • mcDavid
  • Registratie: april 2008
  • Laatst online: 16:31
@kamerplant je kunt hier wel degelijk belang bij hebben. Ten eerste bestaat de mogelijkheid dat ook je eigen gegevens (die van ts dus) uitlekken, ten tweede is een stukje erkenning erg belangrijk voor (de carrière van) een security researcher.

Daarnaast is het voor het algemeen belang natuurlijk beter als zo'n probleem zo snel mogelijk opgelost wordt.

  • PTish
  • Registratie: juli 2011
  • Laatst online: 14:29
Laat ik even een aantal vragen / opmerkingen globaal beantwoorden;

Ik ben geen security researcher. Ik heb echter een sterke development achtergrond en heb de implementatie van ISO 27001 verzorgd bij de onderneming waar ik nu actief ben. Enig gevoel met security en privacy is dus wel aanwezig en ik hecht daar tot op zeker hoogte ook veel waarde aan. Mijn naam deert niet zo, zolang het maar niet negatief is ;)

Responsible Disclosure was niet aanwezig. Ik heb gewoon het hoofdkantoor gebeld en vanuit daar zat ik binnen een half uur met de juiste mensen om de virtuele tafel. Er zijn geen enkele afspraken of wat dan ook gemaakt. De beloning die ik heb mogen ontvangen was ook niet gevraagd maar puur vanuit de organisatie gekomen als dank. In dat opzicht zijn er dus 0 afspraken en heeft ieder maar "wat gedaan".

Mijn eigen gegevens staan meermaals in het systeem. Dat is mijn belang. Daarnaast vind ik het vervelend voor de andere mensen waar zo maar de gegevens van op straat kunnen komen te liggen. Dat is wellicht niet mijn probleem en verantwoordelijkheid, maar ik ervaar het wel als vervelend.

  • fsfikke
  • Registratie: maart 2003
  • Niet online

fsfikke

* * * *

Als jij ook een account hebt bij die tent, is het dan geen optie om je persoonsgegevens in dat account te wijzigen in dummy data? Dan loop jij iig geen risico meer.

DUT Racing


  • kodak
  • Registratie: augustus 2001
  • Laatst online: 13-06 15:36

kodak

FP ProMod
Er lijken een aantal belangrijke vragen niet beantwoord te zijn. Ten eerste is niet duidelijk of ze zich bewust zijn dat er binnen de EU strenge wetgeving is over het hebben en oplossen van een datalek. Daarbij is het ook nodig dat het bedrijf weet dat er niet pas een lek is als ze massaal verkeerd gebruik gezien hebben.

Je melding zou wat wetgeving betreft al voldoende moeten zijn om het lek direct te stoppen. Dat ze tijd hebben om het op te lossen is geen redelijke reden dat het nog gebruikt kan worden.

Het lijkt me normaal dat als je met elkaar afspreekt dat een bedrijf een lek gaat verhelpen dat je er contact over blijft hebben. Als ze aangegeven hebben wat tijd nodig te hebben om met een oplossing te komen dan is het redelijk om ook die tijd te geven, maar dan kan je best eens in de paar weken vragen wat de status is als ze niet willen aangeven hoe lang het gaat duren. Zeker als ze het lek kennelijk pas willen verhelpen als ze een oplossing hebben (laten) maken. Het probleem is niet de uiteindelijke oplossing, maar dat het lek zo snel mogelijk niet meer misbruikt kan worden.

Ik denk dat je dus het beste weer even contact met ze kan opnemen om te vragen of ze al maatregelen hebben genomen om de schade voor de klanten te beperken en wat de verwachting is om het geheel op te lossen. Daarbij kan je ze ook vragen of ze melding hebben gedaan bij de toezichthouder in de EU.

  • JaDatIsPeter
  • Registratie: februari 2019
  • Niet online
PTish schreef op zaterdag 13 februari 2021 @ 14:31:
datalek gevonden waarmee ik complete bestellingen en persoonsgegevens uit een systeem van een internationale retailer kon halen. Ook mijn gegevens zitten er in en de bestellingen hebben een persoonlijke tint.
Is het een toko met kantoor in NL? Dan een tip aan de AP:
https://autoriteitpersoon...n/klacht-melden-bij-de-ap
Niet dat dat veel zoden aan de dijk zal zetten..

Misschien dat een AP-collega in een ander land wat harder gaat lopen, dan dat land kiezen..

  • PTish
  • Registratie: juli 2011
  • Laatst online: 14:29
kodak schreef op zaterdag 13 februari 2021 @ 18:29:
Er lijken een aantal belangrijke vragen niet beantwoord te zijn. Ten eerste is niet duidelijk of ze zich bewust zijn dat er binnen de EU strenge wetgeving is over het hebben en oplossen van een datalek. Daarbij is het ook nodig dat het bedrijf weet dat er niet pas een lek is als ze massaal verkeerd gebruik gezien hebben.

Je melding zou wat wetgeving betreft al voldoende moeten zijn om het lek direct te stoppen. Dat ze tijd hebben om het op te lossen is geen redelijke reden dat het nog gebruikt kan worden.

Het lijkt me normaal dat als je met elkaar afspreekt dat een bedrijf een lek gaat verhelpen dat je er contact over blijft hebben. Als ze aangegeven hebben wat tijd nodig te hebben om met een oplossing te komen dan is het redelijk om ook die tijd te geven, maar dan kan je best eens in de paar weken vragen wat de status is als ze niet willen aangeven hoe lang het gaat duren. Zeker als ze het lek kennelijk pas willen verhelpen als ze een oplossing hebben (laten) maken. Het probleem is niet de uiteindelijke oplossing, maar dat het lek zo snel mogelijk niet meer misbruikt kan worden.

Ik denk dat je dus het beste weer even contact met ze kan opnemen om te vragen of ze al maatregelen hebben genomen om de schade voor de klanten te beperken en wat de verwachting is om het geheel op te lossen. Daarbij kan je ze ook vragen of ze melding hebben gedaan bij de toezichthouder in de EU.
Het feit dat ze een Data Security & Privacy Officer in dienst hebben en er meerdere mensen werken met een titel waar het woord "security" in voor komt, doet vermoeden dat er toch wel enige kennis van aanwezig is. Maar goed, je weet nooit. 8)7

Voor mij is exact het punt wat jij benoemd; Je wil zo'n lek zo snel mogelijk dichten. Gezien het lek in een sub systeem zit en niet in het daadwerkelijke bestelsysteem, zou mij vermoeden dat het toch een stuk makkelijker maakt om al dan niet iets tijdelijks te fixen. Het simpelste is zelfs om de persoonsgegevens weg te halen. Ik weet vrij zeker dat dit geen afbreuk doet aan de functionaliteit die ze aanbieden.

Ik neem je laatste alinea als basis voor nog een eenmalige mail die kant uit.
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True