“U krijgt geen logs van hackpogingen want dat is strijdig met de privacy”

| AE 7171 | Beveiliging, Privacy | 15 reacties

ip-adres-logfile-logbestandEen lezer vroeg me:

Mijn account bij AirBNB was gekaapt, en alleen met heel veel moeite heb ik de toegang terug kunnen krijgen. Nu wil ik achter de kaper aan, en daarvoor heb ik IP-adressen en tijdstippen van inlogpogingen nodig. AirBNB wil me die echter niet geven, omdat dit onder de privacywet niet zou mogen. Ik moet een gerechtelijk bevel halen, zeggen ze. Maar het gaat toch om mijn account?

Het voelt een beetje als een gemakzuchtig standaardantwoord, zo’n reutelzin over dat men de privacy serieus neemt en alleen met een gerechtelijk bevel IP-adressen afgeeft.

In het algemeen snap ik het, je gaat niet Jan en alleman IP-adressen geven omdat ze erom vragen. Maar specifiek bij deze situatie doet het wat gek aan: het betreft hier de accounteigenaar die wil weten wie zijn account heeft gebruikt. Dus wiens privacy wordt er dan beschermd?

Een inbreker kan bij het begaan van zijn activiteiten geen privacy verwachten, dus ligt het niet voor de hand om op die grond afgifte van IP-adressen te weigeren. Maar niet iedere login van een ander is automatisch van een inbreker. Een partner, assistent of werknemer kan ook ingelogd hebben, en dan wordt het ineens iets genuanceerder of de vrager de IP-adressen en logintijden mag hebben. Je zou dat (in theorie) kunnen gebruiken voor oneigenlijke doelen zoals die persoon lastigvallen. Maar toegegeven, dat voelt nogal theoretisch. (Hoewel? Wil je iemand opsporen, leg dan een telefoon met in zijn/haar auto en vraag een week later aan de provider waar die telefoon allemaal langs geweest is. Scheelt weer een dure GPS-doorbelverbinding.)

Wat vinden jullie? Mag de beheerder van een account altijd de IP-adressen et cetera van alle inlogs? Of zijn er situaties dat hij dat niet behoort/hoeft te weten?

Arnoud

Deel dit artikel

  1. Je zou dan ook zelf onderzoek kunnen doen om te zien of er afwijkend gedrag is.

    Als eigenaar van AirBnB neem ik aan dat je ook wilt weten wat er gebeurt is. Domme gebruiker of fout in de site?

    PS klinkt wel heel erg USA “You need a court order!” Kan dat wel als particulier een gerechtelijk bevel halen? Of moet je dan een kort geding aanspannen oid?

  2. Volgens de Wbp kan je inzage eisen in de verwerking van je persoonsgegevens. Dat houdt ook in dat je kan opvragen aan wie je persoonsgegevens zijn verstrekt. Je zou kunnen stellen dat de gegevens door AirBNB aan de hacker zijn verstrekt, immers heeft die toegang gekregen tot je profielinformatie. Ze zouden je dus moeten vertellen wie die hacker is. Als ze dat niet weten lijkt een IP adres me wel het minste.

  3. Als het echt om een hackpoging gaat, dan voelt het natuurlijk raar. Aan de andere kant kan ik me goed voorstellen dat AirBNB niet zomaar gelooft dat het echt om een hackpoging gaat: het zou ook een “social engineering” verhaaltje kunnen zijn waarmee iemand onterecht andermans gegevens probeert te verkrijgen.

    Is dit niet iets om in de algemene voorwaarden te zetten? Zoiets als een specificatie van alle gelogde gegevens, en dat alle gelogde gegevens ten alle tijde overhandigd kunnen worden aan de account-eigenaar?

    Het is nog mooier als alle gelogde gegevens gewoon na het inloggen direct op de web-interface te zien zijn. Er wordt dan helemaal geen vals gevoel van privacy meer gecreëerd. Ik heb dit wel eens gezien op een Duitse website; wellicht niet toevallig, want Duitsers zijn wel vaker bewust bezig met dit soort dingen. Ik moet zeggen dat het me wel beviel: je kreeg een compleet lijstje van geslaagde en mislukte inlog-pogingen, inclusief IP-adres. Ik had het voor de privacy nog beter gevonden als er helemaal niets gelogd zou worden, maar dat is een trade-off tegen de mogelijkheid om eventuele hackers op te sporen.

    • Als het echt om een hackpoging gaat, dan voelt het natuurlijk raar. Aan de andere kant kan ik me goed voorstellen dat AirBNB niet zomaar gelooft dat het echt om een hackpoging gaat: het zou ook een “social engineering” verhaaltje kunnen zijn waarmee iemand onterecht andermans gegevens probeert te verkrijgen.

      Deze persoon heeft al met veel moeite zijn account teruggegkregen dus blijkbaari s AirBNB is overtuigd dat ze u met de juiste persoon communiceren. Dan is het niet meer dan logisch om informatie de verschaffen.

  4. Dubbele standaarden lijkt mij dit. Waarom zou je wel over de IP adressen mogen hebben als je zelf de server runt, maar als iemand anders dat voor je doet is het opeens taboe? Ik zie niet het verschil tussen jouw account of jouw server, in beide gevallen zou ik ivm misbruik standaard een log met alle toegang willen bijhouden.

  5. Het lijkt me een optie AirBNB aan te schrijven dat jij de verantwoordelijke voor het illegaal gebruik van jouw account aansprakelijk wilt stellen voor de schade die je hebt geleden.

    Als AirBNB niet willen meewerken met je legitieme verzoek om de informatie over via welke IP adressen jouw account is benaderd dan blijft voor jou de enige keuze om AirBNB zelf aansprakelijk te stellen voor deze schade omdat zij dan als enige verantwoordelijk gehouden kunnen worden de illegale toegang tot jouw account.

  6. Ik heb iets in die aard meegemaakt. Ik was opgelicht op een PokerStars door iemand. Pokerstars heeft toen mijn account geblokkeerd (met geld op), want er was fraude gepleegd en die andere kerel was met de noorderzon verdwenen.

    Ze weigerden mij toen zijn gegevens te geven (ook gescherm met privacy). Ik wou naar de politie stappen, maar zij gingen dat wel regelen. Nooit iets meer van gehoord, ondanks aandringen van mijn kant. Het voelt toch onaanvaardbaar dat bedrijven de ‘verkeerde’ klanten beschermen, zelfs na dat er al criminele feiten gepleegd waren.

  7. Het is nog maar zeer de vraag of je iets met een IP adres aan kan vangen. Al was het maar omdat je bij de provider terecht kom die naw gegevens ook niet zomaar af zal geven. En trouwens, iemand die slim genoeg is om een wachtwoord te raden weet wellicht ook een manier om het eigen ip adres niet te laten tonen.

    Maar goed, het is eveneens de vraag of men logs bijhoud van alle inlogpogingen. Waarbij niet vergeten mag worden dat privacy hier ook zeker een puntje zou kunnen zijn, iemand die per ongeluk een paar keer de verkeerde gebruikersnaam in heeft getoetst hoeft immers niet degene die daadwerkelijk in heeft gebroken. Mede daarom lijkt enige terughoudendheid mij zeker op z’n plaats.

    Om terug te komen op de vraag of de keren dat in is gelogd in een account weer mag worden gegeven: wat mij betreft wel. Ik zie geen redenen om het (als de functionaliteit bestaat) niet te tonen. Van de andere kant: hoeveel mensen gaan daar nu echt naar kijken..

    In het verleden overigens wel websites gebouwd waar alle pogingen om in te loggen bij werden gehouden, maar dat was alleen voor ondersteuningsdoeleinden. Zo kwamen we er achter wie er problemen ondervond bij het inloggen. Overigens wel met beperkt in de tijd, na 45 dagen werden loggings gewist.

      • Ja, dat kan. Maar of de politie dat ook doet is maar de vraag… Je zult daarvoor sowieso aangifte voor moeten doen en de zaak moet serieus genoeg lijken te zijn voor justitie om in actie te komen. De politie heeft het sowieso al druk genoeg. Omdat het dan een strafrechtelijke kwestie wordt heb je daarna nog maar weinig invloed over hoe het verder wordt afgehandeld.

        Maar civielrechtelijk kan het ook maar dan moet je een advocaat inschakelen en de betreffende provider mededelen om de betreffende gegevens te overhandigen wegens een schadeclaim die je gaat neerleggen bij de dader. De advocaat kan dan eventueel melden dat er een gerechtelijk bevel zal volgen als de provider vervolgens weigert en de kosten ervan kunnen dan mogelijk op de provider worden verhaald omdat deze procedure noodzakelijk was om de dader op te sporen.

  8. AirBNB is een bedrijf dat behoorlijk de grenzen van de wet opzoekt en op voet van oorlog leeft met belastingdiensten die graag willen weten wie er allemaal zwart zijn huis verhuurt en lokale overheden die willen weten wie geen toeristenbelasting afdraagt en de regels voor onderhuur ontduikt. Een groot deel van de aantrekkelijkheid van het AirBNB-systeem is dat het lastig is daar achter te komen. De hele mentaliteit is dus dat er nooit, nooit gegevens afgegeven gaan worden. Dat is leuk als je niet enkele tientallen procenten van de opbrengst van je verhuur hoeft over te maken naar de Belastingdienst, maar nadelig als je account wordt gehackt.

      • AirBNB is juist heel dubieus voor de privacy van mensen. Je moet gigantisch veel info afgeven aan airbnb waaronder een scan van je paspoort. Een scan van een kopie van je paspoort waarop je privacy gevoelige info, zoals je BSN, hebt overschreven wordt afgekeurd. Dat soort informatieverzameling is dus totaal niet nodig en zelfs strijding met onze nationale wet- en regelgeving. De gegevens die airbnb verzamelend zijn dus erg riskant ivm zaken als identiteitsdiefstal. Je weet al niet precies wat ze gaan doen met die info en als zij gehackt worden of als een medewerker de klantgegevens steelt heeft iedereen klant sowieso een groot probleem.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS