Mag een site me tegen betaling zeggen of ik gehackt ben?

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens het gaat, dan moet je even € 4,95 afrekenen alvorens je een rapportje ontvangt. Ik heb het geprobeerd maar niets gekregen, dus in de tussentijd maar even een blogje: eh, mag dat?

Zoals ik het begrijp, zoekt men in openbare bronnen naar gelekte bestanden met logingegevens zoals emailadressen en wachtwoorden. Deze combineert men dan om zo gegeven een e-mailadres te kunnen melden welke sites er gehackt zijn, en welke informatie op straat ligt (e-mailadres, wachtwoordhash, wachtwoord, beveiligingsvragen, et cetera). Dat bundelen en ter informatie verstrekken aan de slachtoffers lijkt me een prima idee.

Het doet ahem wat raar aan dat je moet betalen om die informatie te krijgen. Je zou zeggen dat als je weet dat iemand slachtoffer is van een misdrijf, je die persoon gratis helpt. Maar goed, dat is een ethische discussie. Een slotenmaker vraagt ook geld als hij een door inbraak vernield voordeurslot gaat vervangen, en je gestolen fiets wordt ook niet gratis vervangen. Ik kan in ieder geval geen juridische grond bedenken waarom je géén geld mag vragen om die informatie te delen.

Waar het wel mis mee gaat, is dat er nul identiteitsverificatie plaatsvindt. Je moet een vinkje aanvinken met “Ja, ik ben de eigenaar van dit e-mailadres” maar dat doorstaat natuurlijk de giecheltoets niet: geen redelijk mens zal denken dat dát identiteitsfraude tegenhoudt. En vervolgens krijg je dus – althans, dat zegt men – de gegevens toegemaild naar een willekeurige e-mailadres. Dus de bekende gelekte wachtwoorden, beveiligingsvragen et cetera van een willekeurig gekozen e-mailadres.

En ja daar weet ik wel wat juridisch op, dat noemen we volgens mij een datalek. Een inbreuk op de organisatorische beveiliging (namelijk de check, spreken we hier met de eigenaar) die leidt tot een onrechtmatige verstrekking van persoonsgegevens waardoor de betrokkene nadeel kan ondervinden (namelijk het misbruiken van zijn account). Dus nee, dit mag niet.

(Ik weet het, die informatie staat allemaal al in openbare bronnen dus kwaadwillenden kunnen het toch al vinden. Maar dat boeit onder de Wbp of de AVG werkelijk helemaal niets: als jij informatie bijeen brengt en herpubliceert dan ben jij daar verantwoordelijk voor. En nee, niks notice/takedown of beperkte aansprakelijkheid.)

Arnoud

31 reacties

    1. Het grote verschil met haveibeenpowned
      In tegenstelling tot websites als haveibeenpwned die u alleen laten zien waar de desbetreffende gegevens zijn gelekt toont ismijndatagelekt.nl u de precieze inloggegevens zoals gebruikersnamen, wachtwoorden en/of bekende beveiligingsvragen, zodat u hier ook daadwerkelijk actie op kunt ondernemen.
      1. Tja, dat klinkt mij in de oren als “wij verkopen inloggegevens aan kwaadwillenden, maar doen alsof het een checker is zodat we niet in de problemen komen”. Zal niet de eerste site zijn die zoiets doet, dat truukje bestaat al langer.

  1. Jij vraagt of je gegevens op straat liggen zij gaan voor je kijken, zodra zij ja zeggen kan je dus betalen om die gegevens te ontvangen. Maar op dat moment hebben zij dan toch persoonsgegevens van jou in hun systeem staan? Kan je niet altijd jou eigen gegevens opvragen bij een bedrijf. En als ze dan al kosten in rekening mogen brengen, dan waarschijnlijk alleen voor het daadwerkelijk opsturen van de data, dat zal lager zijn dan die 5 euro die het normaal kost, de verzamelkosten en de winstmarge zit hier namelijk niet bij.

  2. Hier een redenatie die inderdaad zou kunnen leiden tot een ‘daar mag je geen geld voor vragen’: De informatie die wordt verzameld is natuurlijk persoonsinformatie. Dat deze verzameld en bewerkt wordt, lijkt me vanuit ‘eigen nuttig doel’ wel te verdedigen. Echter, als ik het me goed herinner is er ook in dat geval een verplichting om indien dat praktisch mogelijk is personen te melden wat je aan informatie over hen verzamelt en hoe je dat gebruikt. Een verzoek als ‘wat hebben jullie over mij in jullie database’ hoort dus gewoon beantwoord te worden, zonder kosten.

    1. Een inzageverzoek hoeft (onder de huidige WBP) niet gratis te zijn. De organisatie mag een redelijk bedrag (te weten €0,23 per pagina met een maximum van €5, en maximaal €5 als “de mededeling die op een andere gegevensdrager dan papier wordt verstrekt”) in rekening brengen voor het afhandelen van een inzageverzoek. Onder de AVG moet het volgens mij wel kosteloos, maar niet als het verzoek “ongegrond of buitensporig” is (met name als je bijvoorbeeld heel veel verzoeken in een korte periode indient).

  3. Ze doorzoeken dus gehackte en gelekte databases op het opgegeven e-mailadres. Om dat te kunnen doen moeten ze beschikken over al die volledige databases met alle persoonsgegevens daarin. Als ik ooit toestemming heb gegeven aan partij X om mijn gegevens te verwerken en die partij wordt gehackt, mag iedereen daarna maar gewoon die gehackte database voor dit soort doeleinden gebruiken? Kan me dat haast niet voorstellen.

  4. Natuurlijk is het niet mogelijk om de gegevens van een willekeurig e-mailadres op te vragen. Ismijndatagelekt.nl is zelf zeker niet in het bezit van een dergelijke database. Het is heel simpel: je kunt er checken of er inloggegevens vaan de hand van dit e-mailadres kunnen worden gevonden en zo ja machtig jij hun tot het onderzoeken van deze data. Op deze manier geef jij hun dus de toestemming om deze gegevens te verwerken en is het nogmaals zeker niet mogelijk om zomaar de gegevens van een willekeurig e-mailadres op te vragen.

    Wanneer er word gekozen voor een verschillend notificatie-adres dan moet er natuurlijk het een en ander geverifieerd worden.

    1. Dan is het nog steeds mogelijk om de inloggegevens van een verlaten emailadres te achterhalen. Volgens mij zijn er mail-services zoals Hotmail die bij het cancellen van een email, dat adres weer beschikbaar stellen. Zelfs als dat niet zo is, kun je nog steeds proberen een emailadres te hacken. Natuurlijk kun je vanaf een emailadres altijd een wachtwoord resetten (ervan uitgaande dat er geen extra beveiliging op de account zit), maar het kan goed zijn dat je niet weet waarop een adres allemaal geabonneerd is. Via deze website kan dat dus wel (als er gelekt is). Ik vind de stelling dat, voor 5 euro, de site zorgvuldig controleert wie de informatie vraagt én informatie uit lekken verzamelt zonder zelf de databases te hebben ook wel erg ver gezocht. Het lijkt dat het meest waarschijnlijk is dat ze oplichters zijn, met als goede tweede de kans dat dit gewoon een shady business is die geld verdient aan lekken.

    1. Leg eens uit hoe dat werkt, dan? Waar komt die informatie vandaan, en als het daadwerkelijk zoveel werk is als je impliceert (anders had het immers ook geautomatiseerd gekund), wie gaat er voor minder dan het minimumloon het internet afstruinen op zoek naar wachtwoorden?

      Ik vind het absoluut geen geloofwaardige verdediging, en ik krijg hier een beetje de indruk dat je zelf verbonden bent aan de dienst in kwestie en het hier probeert goed te praten.

      1. Omdat jij niet snapt hoe iets werkt hoeft dat nog niets te betekenen dat het niet klopt Sven. Zei gaan simpelweg op zoek naar data tegen een betaling . Dat is wat de website zegt.

        “wie gaat er voor minder dan het minimumloon het internet afstruinen op zoek naar wachtwoorden?”

        ismijndatagelekt.nl dus

        1. Ten eerste: Ze controleren niet of de aanvrager van de informatie de persoon in kwestie is. Er is een vinkje dat je moet aanvinken, maar dat doet in dit geval niet veel. Als het was om iets als “Ik ben 18 jaar of ouder” of iets dergelijks, kun je nog stellen dat je hebt geprobeerd te voorkomen dat minderjarigen op je site komen. Maar bij dit gaat het om het verstrekken van persoonsgegevens. Deze zijn blijkbaar wel al gelekt, maar toch, voor 5 euro kun je ze blijkbaar laten verzamelen en hoef je zelf niet te zoeken, of het nu om jouw gegevens zijn of die van iemand anders.

          Ten tweede: Dit lijkt me toch echt een verspreiding van de persoonsgegevens. Zoals ik bij mijn eerste punt al zei, de gegevens zijn al gelekt, maar iedereen kan deze nu van elk emailadres deze gegevens opvragen.

          Ten derde: Ze beschikken weldegelijk over de informatie. Ze verzamelen deze namelijk. Hoe je het ook went of keert, zelfs als ze zelf de databases niet hebben, ze gaan op zoek naar de informatie en bundelen deze. Op dat moment hebben ze de informatie, zelfs als deze alleen in hun verzonden berichten staat.

          Oh, en zij is het persoonlijk voornaamwoord. Zei is verleden tijd van zeg.

        2. Ik denk dat Sven het juist wel snapt. Ze schrijven namelijk zelf:

          Eenvoudige Google-zoekopdrachten hebben talloze downloads van .gz-bestanden met daarin duizenden inloggegevens te onthullen.
          Om in een .gz bestand te zoeken naar data van een specifiek persoon dient het hele bestand gedownload en gedecomprimeerd te worden. Op dat moment beschikken ze dus over al die data.

            1. Sterker nog, 3 dagen geleden linkte de hele “Meer info” knop nog naar een heel andere URL, namelijk /info in plaats van /meer-informatie: cache

              In combinatie met de aanvallende reacties van Julius, waarvan ik inmiddels vrijwel zeker ben dat hij direct bij de site betrokken is, lijkt het mij zeer waarschijnlijk dat de informatie op de site inderdaad aangepast is om zich in te dekken.

              Dit hele circus, inclusief reacties van Julius en website-aanpassingen, is overigens precies volgens het gebruikelijke draaiboek van scriptkiddies die dubieuze diensten proberen legitiem over te laten komen. Snel even de tekst veranderen als er toch iets niet zo legitiem blijkt te zijn, en vervolgens hard in de aanval op iedereen die kritiek heeft, en natuurlijk constant over de site spreken in derde persoon.

              Gelijk maar even een kopietje in de Wayback Machine gegooid, mochten er nog meer aanpassingen volgen. Overigens is de eigenaar van de site volgens mij druk bezig om profielen te verwijderen, zoals zijn Medium-account, dus dit zaakje stinkt nogal.

              1. Zoals hieronder aangegeven hebben wij, omdat er nogal wat onduidelijkheden waren, tekst aan de website toegevoegd. De tekst in de url is aangepast van /info naar /meer-informatie. Wij vonden dit toch beter passend. Er is enkel tekst toegevoegd.

  5. Beste Arnoud,

    Ik begrijp dat er onduidelijkheid is over het gebruik en de werkwijze van ismijndatagelekt.nl. Laat mij het proberen om de volgende punten te verduidelijken:

    1. Wij verzenden de informatie enkel en alleen naar de rechtmatige eigenaar die hier ons natuurlijk uitdrukkelijk de toestemming voor geeft.

    2. Wij zijn zelf niet in het bezit van deze databases. Het downloaden van .gz bestanden is voor ons niet nodig. Ook zonder het downloaden hiervan is het voor ons mogelijk om deze data voor de gebruikers in kaart te brengen. De tekst met betrekking tot de .gz bestanden dient slechts als voorbeeld. Het moet aantonen hoe dit soort informatie over het internet verspreid wordt maar beperkt zich hier niet toe.

    3. Ismijndatagelekt.nl heeft nooit beweerd dat de informatie direct aan gebruikers getoond kan worden. Dit is simpelweg niet mogelijk gezien wij de data zelf niet bezitten.

    De vraagstelling is overigens onjuist. Ismijndatagelekt laat gebruikers namelijk niet tegen betaling weten of er gegevens zijn gelekt. Deze controle is kosteloos.

    Wanneer een gebruiker wilt weten welke gegevens er precies op het internet bekend zijn dan kan deze gebruiker een dienst afnemen. Deze dienst betreft het dataonderzoek: een overeenkomst tussen gebruiker en ismijndatagelekt.nl.

    1. Dank je voor de verduidelijking! Gelijk wat vervolgvragen:

      1. Hoe verifiëren jullie dat iemand werkelijk de betrokken persoon is? Ik zie nergens een identiteitsverificatie.
      2. Op de site wordt mij beloofd “ismijndatagelekt.nl [toont] u de precieze inloggegevens zoals wachtwoord in tekstvorm en/of bekende beveiligingsvragen zodat u hier ook daadwerkelijk actie op kunt ondernemen.” Als jullie me dat tonen, dan heb je die gegevens dus. Ik zie nu ook in een banner “De inloggegevens van 427.820 Nederlandse Adult Friend Finder geregistreerden zijn onlangs bij ons bekend geworden” Daar staat dat je ze kent. En als ik mijn e-maiadres invul in de gratis dienst, dan krijg ik “Onder deze inloggegevens zijn in ieder geval meerdere gebruikersnamen en wachtwoorden bekend. Wij kunnen u de exacte data tonen.” Dit kun je toch alleen maar nagaan als je een eigen lijst hebt met e-mailadressen gekoppeld aan diverse gelekte gegevens? Hoe bedoel je dan dat je ze niet hebt?

      3. Bij de uitslag van de gratis dienst krijg ik “Na het voltooien van de betaling kunt u de exacte data bekijken. Onder deze inloggegevens zijn er van u, in ieder geval, meerdere gebruikersnamen en wachtwoorden bekend. In sommige gevallen worden er buiten deze gegevens ook beveiligingsvragen gevonden.” Dit interpreteer ik redelijkerwijs als dat ik na betaling direct de exacte data (dus de namen en wachtwoorden die van mij gelekt zijn) ga ontvangen. Als de bedoeling is “na het voltooien van de betaling gaan wij voor u zoeken waar er data te vinden is”, dan is dit een misleidende uitleg en dat is een economisch delict, wat vast niet je bedoeling is. Dus hoe moet ik die teksten dan interpreteren?

  6. Beste Arnoud,

    Zoals eerder gezegd beschikken wij niet over deze gegevens. De manier waarop dingen geinterpeteerd worden veranderd niks aan dit feit. Wij hebben een methode ontwikkeld waarbij er, zonder dat wij zelf over deze data beschikken, gecontroleerd kan worden of er gegevens van dit e-mailadres, op het internet bekend zijn. Wij zijn er vrijwel zeker van deze gegevens te vinden. In sommige gevallen hebben wij het mis en is er enkel een e-mailadres bekend. In dit geval storten wij het door gebruiker betaalde bedrag terug.

    De gebruiker gaat een overeenkomst aan met ismijndatagelekt.nl waarin zij de uitdrukkelijke toestemming geven om deze data te mogen onderzoeken en waarin de gebruiker ook aangeeft de legitieme eigenaar van dit e-mailadres te zijn. De date wordt enkel naar het door gebruiker gegeven e-mailadres verstuurd. Wij versturen geen resultaten naar een afwijkend notificatie-adres totdat dit e-mailadres geverifieerd is. Wij voelen ons op dit moment niet genoodzaakt om hier de precieze processen uit te leggen maar zoals je kan zien wordt er met iDEAL betaald en worden deze betalingen natuurlijk niet geanonimiseerd.

    Mochten er verdere vragen zijn willen we je graag nog ter woord staan maar dan niet hier.

    Er kan altijd even een mail worden gestuurd naar info@ismijndatagelekt.nl.

    1. Als ik heel eerlijk ben, lees ik hieruit vooral “tsja, we hadden er nooit zo over nagedacht, maar verificatie is wel nodig denken we, dus we doen gewoon alsof we het hebben en er niet over willen praten.” Ook opvallend dat Julius ineens verdwijnt en ismijndatagelekt.nl ineens verschijnt. Hoewel mijn opmerking daarover het risico oproept data deze persoon twee keer zoveel berichten gaat plaatsen om in te dekken dat hij toch echt twee verschillende personen is.

      Maar los van onderbuik gevoelens: Het is heel leuk dat iDeal niet anonimiseert, maar wat heb je daar precies aan? Als de iDeal identiteit Harry van Stoffelen is en de email h.v.stoffelen@hackmijaub.nl is, dan kan ik het nog een beetje begrijpen, hoewel ook daarmee te goochelen is, maar we hebben recent gezien dat mensen worden gebruikt om voor criminele activiteiten hun bankrekening uit te lenen, bijvoorbeeld bij een oplichting waarbij werd gedaan alsof de Belastingdienst belde over een betalingsachterstand. Nu weet ik niet of ze daarvoor dit soort mensen zouden inhuren, maar het laat maar zien dat een identiteit op iDeal niet echt een goede identificatie is. Zeker gezien je emailadressen willekeurig kan kiezen. Ik kan h.v.stoffelen@hackmijaub.nl hebben terwijl ik toch echt De andere Dennis heet. Dus wat weet je uiteindelijk? Je hebt een redelijk aannemelijk vermoeden wie de gegevens besteld heeft, maar in hoeverre hij eigenaar is van het emailadres is erg onduidelijk.

      En een wat meer technische vraag voor zij die meer van internet-gerelateerde protocollen weten dan ik, kun je bij een emailprotocol niet zelf meegeven wat je uitgaande emailadres is?

      En dan het laatste: Zelfs als je met een stel spiderbots het internet laat afstruinen om bepaalde emailadressen in databases te vinden, dan nog heb je die informatie daarna dus (deels) in handen.

      1. Wanneer er een afwijkend notificatie-adres wordt opgegeven dan is het inderdaad zo dat de gegevens van H.v.stoffelen@voorbeeld1.nl alleen naar H.v.stofellen@voorbeeld2.nl zullen worden verzonden als de gegevens van iDEAL overeenkomen met beide adressen. Is dit niet het geval dan is het niet mogelijk en stort ismijndatagelekt.nl het door gebruiker betaalde bedrag terug. Een aanvraag van H.v. Stoffelen die dus eigenlijk De andere Dennis heet zal dus niet werken.

        Ismijndatagelekt.nl verzend de gegevens alleen naar de door gebruiker, op de website ingevoerde e-mailadressen. Of er bij een mailprotocol wel of niet zelf meegegeven kan worden wat het uitgaande e-mailadres is is hier dus totaal niet relevant.

        Op het moment dat er door de gebruikers de toestemming is gegeven om deze gegevens te onderzoeken en te verwerken dan hebben wij deze op een gegeven moment inderdaad in handen. Dit is nodig om de dienst zoals aangeboden te kunnen leveren. Voordat er hiervoor de toestemming wordt gegeven heeft ismijndatagelekt.nl deze data NIET in handen.

  7. Omdat er nogal wat onduidelijkheden zijn over de werkwijze en het gebruik van ismijndatagelekt.nl hebben wij deze twee punten gisteravond nog aan de website toegevoegd. Meer hierover lezen? Bezoek dan ismijndatagelekt.nl/meer-informatie.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.