Die heb ik gelezen, daar heb ik namelijk op gereageerd. In mijn vorige reactie op jou staat het wellicht te beknopt verwoord maar, dus nogmaals, het is inderdaad niet te bewijzen dat er niet gelekt is bij jezelf, sterker nog dat is het nooit, zelfs met een volledig random e-mailadres als stern_jhsoqpsbfjttaaevendekatovertoetsenbordlatenlo4pe6nsbbd7euuhdjj31415sjsjywvdpqjsfjshjs@mijncatchalldomein.ergens. Dat kan ook geprobeerd zijn (ja echt! maar ik laat de kansberekening even achterwege maar de kans is NIET nul), dat kan ook door jouzelf gelekt zijn, dat kan ook door het bedrijf gelekt zijn. Enige wat over blijft is zeer aannemelijk maken dat het lek bij het bedrijf in kwestie ligt en nergens anders, dus dan zet ik de scenario's en de redenering nog eens op een rijtje want dat was blijkbaar niet duidelijk uit mijn eerste post:
1. Het mailadres is gegenereerd en gewoon geprobeerd door een spammer.
De kans dat een adres willekeurig gegenereerd wordt en het direct prijs is bij de eerste poging is echt astronomisch klein. Als dit daadwerkelijk gedaan is zou je dus verwachten dat er in de logbestanden van de mailserver pogingen zijn geweest op andere gegenereerde adressen. Gezien de structuur die ik (en ook TS) gebruiken is de kans op succesvol genereren van een kloppend adres ook heel klein. Niet zichtbaar voor de partij die dit verweer wenst te voeren wegens gebrek aan toegang tot mijn logbestanden, maar de praktijk leert op mijn 10 domeinen en ook volgens enkele andere posters in dit topic (en andere topics) dat dit niet gebeurt, noch willekeurig noch volgens de specifieke adresstructuur. Ook is het een enorm inefficiënt gebruik van de capaciteit die een spammer heeft om spam te sturen. Het is dus zeer onwaarschijnlijk dat dit gebeurt of gebeurd is.
2. Het mailadres is gelekt door een lek bij jezelf (aliasdatabase, mailbox, adresboek).
Aangezien ik zelf 800+ aliassen heb en deze ook vrijwel allemaal terug te vinden zijn in mijn mailbox bij ontvangen mail, is de verwachting hier ook dat niet alleen toevallig dat ene adres gebruikt wordt om spam heen te sturen. Ook dit is niet zichtbaar voor de tegenpartij, maar de afwezigheid van spam op andere adressen zou genoeg aanleiding moeten geven om te concluderen dat dit ook niet aan de hand is. Mocht een spammer "slim" proberen te zijn door slechts een van de adressen te spammen, zou je verwachten dat na het verwijderen van adres in kwestie en het bouncen van de daarheen gestuurde spam de spammer overstapt op een van de andere buitgemaakte aliassen. Dit heb ik ook nog nooit meegemaakt, de spam hield altijd op direct na het verwijderen van een gelekt alias. Het is dus zeer onwaarschijnlijk dat dit gebeurd is.
3. Een gerichte aanvaller weet de structuur van jouw mailadressen en genereert daarmee bestaande adressen.
De voorwaarde hiervoor is dat de aanvaller voldoende mailadressen heeft gezien om af te leiden wat voor structuur je gebruikt voor dit soort adressen. Op het moment dat deze adressen al in het bezit zijn is het vele malen makkelijker om daar gewoon de spam heen te sturen. Maar mocht je om wat voor reden dan ook een spammer hebben met dermate veel tijd teveel dat deze een dergelijk systeem gaat analyseren en adressen te genereren die ongeveer dezelfde kans van slagen hebben als onder puntje 1 (je weet immers niet met welke bedrijven iemand die je niet kent interactie heeft), gaat dit eigenlijk gewoon helemaal terug naar punt 1. Je zal dan in je logs pogingen vinden om mail af te leveren op niet-bestaande adressen, en dat is niet gebeurd. Als je dan toch bedrijven aan het gokken bent zou ik bij de echt grote jongens beginnen, niet bij een autoverhuurder. Ik had persoonlijk nog nooit van Stern gehoord totdat ik dit topic zag dus ik vind dit een van de onwaarschijnlijke startpunten. Het is dus ook hier zeer onwaarschijnlijk dat dit gebeurd is.
Voor dit alles hoef je niet eens random tekens in de aliassen te hebben, het enige wat dat doet is het voor de beschuldigde partij verweer 1 onmogelijk maken maar verweer 2 wordt daardoor niet beïnvloed.
Ondertussen zijn we statistisch gezien al diep in de homeopathie beland en hoewel er een absoluut minimale kans is dat ondanks alle voor de ontvanger zichtbare informatie toch iemand in 1x prijs heeft gehad zonder een datalek, is een datalek gewoon de meest logische conclusie en eigenlijk ook de enige mogelijke conclusie. Of dat vervolgens bij het bedrijf zelf is gebeurd of bij een van de bedrijven waar zij de gegevens mee hebben gedeeld maakt niet uit, het is nog steeds verantwoordelijkheid van het bedrijf zelf.