Een lezer vroeg me:
Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via een soort van lek-check laten zien wat er gestolen is en dit op naam, adres, email, iban etc zoekbaar aanbieden. Indirect verwerken en verspreiden zij zo opnieuw de gestolen data. Hebben zij daar een grondslag voor?Om bij het begin te beginnen: het is strafbaar (art. 139g Sr) om gegevens te verwerven of voorhanden te hebben waarvan je redelijkerwijs kunt vermoeden dat ze uit misdrijf zijn verkregen. De Odido-datadump voldoet aan die omschrijving.
Vereist bij dit strafwetartikel is dat de gegevens “niet-openbaar” zijn, en daar kunnen we ondertussen over twisten. De gegevens zijn niet alleen te vinden via een specifieke .onion link of een in Nederland onbekende site, maar ook via vrij makkelijke kanalen, al moet je nog even nadenken over de Google-zoekopdracht. De wetgever was niet duidelijk over het criterium voor “niet-openbaar”.
Verder geldt een uitzondering voor een openbaarmaking die het algemeen belang dient, en daar beroepen alle datalek-checkers zich natuurlijk op. Dat is belangrijk, want zonder algemeen belang is het een strafbaar feit om de data te ontsluiten en daarmee verbiedt ook de AVG de verwerking (artikel 5 lid 1 onder a, geen rechtmatig doel).
Wat is dat algemeen belang? Naar zijn aard is dat vrij generiek. Het heeft maatschappelijk nut, de mensen vragen erom, er is behoefte in brede zin. Gezien de zeer beperkte communicatie vanuit Odido snap ik goed dat mensen concreet willen weten wat er gelekt is, en een checker komt aan die behoefte tegemoet. Dat is wel algemeen belang.
Daar staat tegenover dat er al diverse aanbieders zijn, waaronder het bekende en vertrouwde Have I Been Pwned. Ook onze politie heeft een kopie, dus je kunt (in theorie) een inzageverzoek onder de Wet politiegegevens bij ze doen. Formeel weegt “anderen doen het ook” niet mee bij een algemeen-belang afweging, want je zegt bij nieuws ook niet dat de nieuwswaarde vervallen is als drie kranten het al gebracht hebben. Maar ik vermoed dat dit hier zeker een discussie gaat zijn mocht dit bij de (straf)rechter komen.
Aangenomen dat de checker in het algemeen belang handelt, kom je bij de vraag welke grondslag. Er zijn er twee die relevant lijken:
- vitale belangen van de betrokkene
- gerechtvaardigd belang van de aanbieder of een derde
Gerechtvaardigd belang dus. Dit belang is dan gelijk aan het algemeen belang dat de aanbieder van de dienst nastreeft (en dus niet het belang van de betrokkene, want die is niet een ‘derde’ volgens dit artikel). Daar moet deze dan een belangenafweging bij doen: is voldoende rekening gehouden met de privacy van de betrokkenen die allemaal in die dataset zitten, had dit met minder ingrijpende middelen gekund en is het allemaal netjes ingericht?
Een eerste checkvraag voor mij is altijd hoe men de AVG-rechten van betrokkenen respecteert. Kun je zonder gedoe verlangen dat je uit de checker wordt gehaald? Ik heb vele van deze diensten gezien en zelden zit dat er netjes in.
Tweede vraag is hoe de dienst beveiligd is. Het is natuurlijk niet de bedoeling dat bezoekers de dataset kunnen downloaden of leegtrekken met systematische zoekopdrachten.
Derde is hoe en of je de data met derden deelt, zoals je websitebouwer of de plek waar je de eigenlijke dataset hebt neergezet. Ik weet van diverse partijen die de dienst door AI laten schrijven. Dat is nogal spannend, want dan geef je dus die data zonder voorbehoud aan een Amerikaanse partij die er alles mee mag doen. Dat ligt onder de AVG op zijn zachtst gezegd nogal gevoelig. Los daarvan is de kans groot dat je code niet zo veilig is als je zou hopen.
Een juridisch detail is nog of de AP zou mogen optreden tegen zo’n site. Vanwege het beroep op het algemeen belang is hier denk ik de uitzondering voor journalistieke doeleinden van toepassing (artikel 43 lid 1 Uitvoeringswet AVG). De AP is niet bevoegd op te treden tegen gebruik van persoonsgegevens in de media.
Arnoud
Ik vraag me af of die Watchmen checker wel daadwerkelijk de gegevens uit het lek verwerkt (als is het natuurlijk al wel snel verwerken) ->
‘Uw invoer wordt omgezet naar een cryptografische vingerafdruk. De ruwe gegevens (wat u invoert in het veld) wordt nooit opgeslagen of gelogd. Het platform beschikt niet over de gelekte data, alleen over de vingerafdrukken ervan.’
Hangt er vanaf hoe zo’n website het doet. Als ze, zoals het hoort, alleen de hashes in de database hebben en daartegen de invoer checken, hebben ze geen tot natuurlijke personen herleidbare gegevens. Dus AVG is dan niet meer relevant.
Het belang dat de aanbieder nastreeft … Als het om mijn gegevens gaat, dan raakt dat toch mijn belang “dat nagestreefd wordt” ? Hoe kan dat (voor de aanbieder) gerechtvaardigd zijn als ik nooit enige rechtsverhouding met die aanbieder heb gehad ? Want met dat aanbod vergroot die aanbieder alleen maar het risico, zonder mijn betrokkenheid …
Zowel de check van HaveIBeenPowned als de ‘Check je hack’ van de politie zijn waardeloos. Als ik mijn email adres daar invul krijg ik alleen een hit dat mijn e-mail adres in die dataset zit. Maar dat wist ik al. Ik wil weten wélke gegevens van mij daar in zitten. Bijvoorbeeld gaat het om mijn id, paspoort of rijbewijs? En gaat het dan om mijn huidige rijbewijs? Of mijn rijbewijs wat 12 jaar geleden al verlopen is? Welk IBAN zit er van mij in? Is dat een IBAN wat ik nog gebruik? Of is dat een IBAN wat ik 6 jaar geleden al afgestoten heb? Welk adres hebben ze van mij? Is dat het adres waar ik 4 jaar geleden woonde of waar ik nu woon? Dát is waarom ik zo’n checker zou willen gebruiken, de rest heeft echt geen waarde.
Nederland is weer op zijn Nederlands het braafste jongetje van de klas op dit gebied.
In bijvoorbeeld Duitsland is het downloaden van de gegevens alleen strafbaar als je die doet met de bedoeling er strafbare feiten mee te plegen. Daar kan je dus wel het bestand downloaden om je eigen gegevens te bekijken. Als je daarna alles van anderen weggooit is ook dat puur theoretische risico dat je het risico op verdere verpreiding en misbruik vergroot – wat ze hier als argument gebruiken – geadresseerd.
Je hebt gelijk; dat is ook het soort informatie dat ik zelf zou willen weten.
Het probleem daarmee is alleen dat als jij die informatie in kunt zien, anderen dat ook kunnen. Je wilt vermijden dat een willekeurig persoon naar een dergelijke site gaat en zegt “Hoi, ik ben willem-alexander@vanoranje.nl, welke van mijn gegevens heb je?”
Dat is één van de redenen dat dergelijke websites alleen bevestigen dát je in een dergelijk lek voorkomt, maar verder niet zeggen wát er precies in voorkomt. Troy Hunt van Have I Been Pwned heeft dat o.a. aangekaart in deze blogpost van 8 mei 2017.
Oh maar ik claim ook helemaal niet dat Have I Been Pwned al die gegevens moet publiceren. Dat lijkt me inderdaad ook geen best plan. Alhoewel ze inmiddels al zó openbaar zijn, dat je je ook af kan vragen wat het nog uitmaakt als Have I Been Pwned het wel doet. Maar het betekent wel dat het gebruik van Have I Been Pwned (en al die andere 1001 diensten) geen alternatief is voor het gewoon zélf downloaden van die dataset,jezelf op te zoeken en de dataset weer te verwijderen.
En als je dan zegt, “we hebben een mail naar wimlex@ gestuurd met de lijst gegevens die bekend zijn”? Zo doet de meldsite van onze eigen politie het, meen ik.
Bovenstaand krijg je van de politie. Daar heb ik dus niets aan.
Je kunt je natuurlijk afvragen dat als de data die je publiceert gelekte email-adressen en (informatie over) wachtwoorden omvat, hoe veilig het nog is om dan verdere gegevens naar dat emailadres te sturen.
Toegegeven, dat geldt iets meer voor de gevallen waarin de gelekte data voornamelijk uit inloggegevens bestaan; voor het Odido-lek gaat het grotendeels om overige persoonsgegevens.
Dat is waar, tegelijkertijd kan de persoon met die wachtwoorden dan óók al alles met je account. Nog even los van of er werkelijk rauwe wachtwoorden en geen hashes opgeslagen zijn, zelfs bij Odido had ik díe nog niet gehoord.
Er zaten geen wachtwoorden, ook geen hashes daarvan, in de dataset.
Dat blijft wel het risico over dat je informatie van een ander ontvangt, als dat mailadres nu door een ander in gebruik is.
Onze eigen politie mailt inderdaad. Maar ook die vermeld alleem maar wat er mogelijk is gelekt, zonder de daadwerkelijk gelekte paspoort- en andere nummers te mailen. Dat was dus net zo nutteloos.
Ik ben er inmiddels achter dat het een verlopen paspoort nummer is wat is gelekt, naast mijn e-mail, naam, volledig adres en IBAN.
Ik ben het e-mail adres al volledig buiten gebruik aan het stellen, die stamde nog uit de tijd dat ik geen eigen domein had en is op meerdere plekken gebruikt. Recentere abonnementen hebben allemaal hun eigen unieke e-mail adres.
Helaas heeft een andere bankrekening te veel voeten in de aarde.
Dan moet ik altijd denken aan die keer dat de belastingdienst een gestolen cd-rom gebruikte om zwartspaarders in het buitenland op te sporen 😉
Ik heb de dataset gedownload om voor mijzelf en familie te kijken welke gegevens precies gelekt zijn. De data was triviaal eenvoudig te downloaden; er waren ook media die ter illustratie bij een artikel een foto hadden van een ethisch hacker of security expert die duiding gaf en waarbij je op de foto kon zien waar je naar kon zoeken. Het was heel eenvoudig te vinden, ook met een paar simpele zoekopdrachten.
Waar ik me bijzonder aan erger is dat de informatie-voorziening vanuit Odido zelf buitengewoon summier is, en dat het er naar uit zien dat ze ook gelogen hebben over het verwijderen van gegevens. Voor zover ik kan zien in de records die ik er uit heb gefilterd is de reden dat er gegevens zijn gelekt van mensen die al tien jaar geen klant meer zijn terwijl Odido zelf zei dat gegevens na een jaar of twee werden gewist dat dat “wissen” niet meer betrof dan het veld “IsMarkedDeleted” op “true” zetten. Odido zou iedereen heel precies moeten melden exact welke gegevens gelekt zijn, in plaats van alleen zeggen dat er “gegevens” gelekt zijn. Het maakt nogal uit of alleen je naam en email gelekt zijn of ook notities van de helpdesk, meldingen over betalingsachterstanden, adres, geboortedatum, nummers van paspoorten en dat soort dingen.
Er zijn voor allerlei redenen uitzonderingen op het verbod om die gegevens voorhanden te hebben. Bedrijven mogen de dataset blijkbaar downloaden en verwerken voor vage zoeksites waarin wederom alleen staat dat je gegevens gelekt zijn. Journalisten mogen de dataset downloaden om te schrijven over wat voor soort gegevens er in de dataset zitten. De daadwerkelijke slachtoffers echter moeten maar lijdzaam stil zitten, mogen niets zelf doen, en moeten er maar van uit gaan dat de instituten van de staat voor ze gaan zorgen, als je geluk hebt door het opleggen van een boete waar je zelf niets aan over houdt. Alleen derde partijen en kwaadwillenden kunnen weten wat er van je gelekt is, maar jij zelf niet, want dat is verboten in dit land.
Inmiddels heb ik, na familie en vrienden geinformeerd te hebben, de dataset verwijderd. Een aantal mensen zijn in elk geval gerustgesteld nu ze gewoon beter weten precies wat er van ze bekend is. De onzekerheid daarover, en in het zo bewust in het midden laten daarvan door odido was voor enkelen van hen erger dan het daadwerkelijke lek zelf.
En ik ben net overgestapt. Sinds 1998 had ik dat abonnement steeds verlengd bij Ben, T-mobile en nu Odido. Maar het prutswerk heeft mijn vertrouwen ernstig beschadigd en de non-communicatie was de druppel die de emmer heeft doen overlopen.
Als je de attack surface zo klein mogelijk wilt houden moet je niet overstappen. Als je wel overstapt loop je het risico dat de andere partij wordt gehackt en je nieuwe paspoortnummer ook op straat ligt.
Ik heb een nieuw complex email adres gebruikt, mijn ID moet volgend jaar alweer verlengd worden, dus nu overstappen is ideaal en de rest van de data ligt al op straat. attack surface is volkomen onbelangrijk in dat licht.
Dusdaar gaat het mij niet om.
Odido had al waarschuwingen over gebrekkige beveiliging gehad. Weliswaar voor een ander systeem, maar dan mag je toch verwachten dat ze over beveiliging gaan nadenken. Dat een account lekt door phishing is iets wat kan gebeuren, maar dat een account onbeperkt dossiers kan raadplegen is gewoon grof nalatig en had niet mogen gebeuren. Als ze deugdelijk realistische limieten hadden ingesteld hadden ze met een enkel account hooguit een handvol dossiers kunnen stelen. Als ze meer deden dan merkt de eigenaar dat omdat hij zijn werk niet kan doen omdat er te veel dossiers zijn opgevraagd. Dat is basis beveiliging en eenvoudig mogelijk met salesforce (de gestolen data komt overduidelijk uit salesforce)
Daarna informeren ze mij compleet onvoldoende over welke data er buit is gemaakt. En als ik dan zelf ga kijken dan blijkt dat ze ook hebben gelogen over hoe lang ze data bewaren.
Dat is waarom ik weg ben: ze zijn op elk vlak incompetent en/of onbetrouwbaar gebleken en vertrouwen gaat te paard.
Letterlijk het enige wat Odido goed heeft gedaan is niet betalen.
Als je met een simpele zoekopdracht de data kunt vinden dan is ie openbaar. Ik snap niet hoe je dat kunt betwisten.
In ieder geval is “simpel” iets anders voor jou in vergelijking met mijn 85+ moeder.
Ik wil de discussie voeren over wat een “simpele zoekopdracht” is. Als ik “odido gelekte gegevens” intyp in Yandex, dan krijg ik in ieder geval geen Excelbestand met de data. Simpeler dan dat kan toch niet?
Dat zijn ook teveel woorden, het is veel korter, en de juiste termen zijn meermaals op televisie te zien geweest. Meestal in van die shots waar een of andere expert dan voor een computer met op het scherm die data, om te illustreren dat het een computerexpert is. Het is misschien niet heel erg simpel, maar het is wel heel erg eenvoudig.
Als je daarentegen in ChatGPT typt: Ik zoek naar X data op het internet, hoe kan ik die het beste zoeken?
Dan krijg je naar wens een stappenplan hoe je effectief zoekt dat je in google kan copy pasten. ChatGPT vertelt je wat je niet weet/kan en daar heb je zelf geen skills meer voor nodig. De drempel voor wat simpel is is met de huidige LLMs ver opgeschoven.
Dit begrijp ik niet. Als ik 1 geanonimiseerde regel JSON uit die dataset (dus alleen de veldnamen) aan Gemini geef dan bouwt die een mooie dienst eromheen, zonder dat ik “die data” aan wat voor partij dan ook gaf?