11/21/2014

9lives - een antwoord van de Privacycommissie (en enkele bedenkingen)

Dit is de brief die ik mocht ontvangen van de privacycommissie 9lilves1.PNG

9lives2.PNG

enkele opmerkelijke zaken 

First these are all the postings we did about 9lives

1. Telenet kan NIET zonder enige twijfel vertellen welke gegevens werden gecopieerd wat erop wijst dat de logging van haar database beperkt is terwijl er toch veel professionelere software bestaat die toelaat om te weten welke gegvens uit welke colomnen van de database werden gestolen (en dat in feite zelfs onmogelijk te maken).  Indien men natuurlijk zo goedkoop mogelijk wenst te werken zonder geld uit te geven dan kan men niet verwachten dat men veel informatie heeft. 

2. Niet iedereen werd geïnformeerd omdat de hacker waarschijnlijk niet zoals Telenet de data copieerde maar ze ook vernietigde. Hoe is het anders mogelijk dat Telenet in dezelfde brief zegt dat ze de mensen niet persoonlijk kon verwittigen omdat ze geen backup meer had. Je hebt een backup enkel en alleen nodig als je niet meer over het origineel beschikt.  Het doet tevens de vraag rijzen wat de hacker eventueel nog heeft vernietigd, logs vb ? Dit verklaart dan ook weer waarom breach notification rules of 48 hours were not respected tegenover een aantal personen. 

3. wij blijven bij onze zaak dat de gebruikte software wel kwetsbaarheden had want het was NIET de betaalde onderhouden software maar de gratis versie die al een geruime tijd niet werd onderhouden en waarvoor met een simpele zoekopdracht op het internet exploits voor konden worden gevonden. En we spreken hier wel over slechts 400 dollar, dit is gewoon al die miserie niet waard. Ook ik ben voor opensource software maar we nemen bijna altijd betalende of ondersteunde versies indien er belangrijke data mee gemoeid is. 

De privacycommissie noteert enkel dat Telenet dit ontkent. Ik begrijp dit niet. Dit is toch zo duidelijk. 

Trouwens wat is dit ? "Telenet kon door het onderzoek gedurende een week niet aan de servers van de site, maar heeft ondertussen een oplossing gevonden. Het lek zat naar verluidt bij software van een externe leverancier, maar Telenet heeft het probleem zelf opgelost. http://www.demorgen.be/technologie/telenet-zet-gehackte-g...  Dus toch een lek of een kwetsbaarheid, waar het ook vandaan komt, dat doet er niet toe, je blijft even verantwoordelijk voor je platform. 

4. De privacycommissie heeft haar onderzoek niet voortgezet om het juridisch onderzoek niet te hinderen, maar deze zijn in feite twee totaal verschillende zaken en misschien moet moet het FCCU en de privacycommissie hierover een aantal afspraken maken. De FCCU kan gerust werken op basis van een copie terwijl de privacycommissie haar 'feitenanalyse' kan voortzetten. De doelstelling van de FCCU is om de verantwoordelijke te vinden als enkel de firma klacht heeft neergelegd. Indien gebruikers of hun vertegenwoordigers klacht zouden neerleggen tegen Telenet en 9lives dan moet zij ook onderzoeken of wel alle nodige maatregelen zijn genomen.  In de toekomst zou ze zich hiervoor misschien moeten laten bijstaan door specialisten die de juiste vragen stellen en de antwoorden ook technisch kunnen beantwoorden. Het kan zijn dat de software veilig is maar 

En om af te sluiten kunnen we gewoon vaststellen dat deze ooh zo veilige server van 9lives na de veilige heropstart een zodanig onveilige encryptie en certificatie gebruikte dat er het aantal aanvalsmogelijkheden nog altijd groot genoeg was. 

Een andere reden waarom het voor de privacycommissie zo belangrijk is om het onderzoek naar 9lives toch weer op te nemen is om de sector van de hosting er toch zo op te wijzen dat zij ook bepaalde verantwoordelijkheden hebben en meer beveiliging van hun servers, hostingplatformen, netwerken en firewalls moeten voorzien - ongeacht de verantwoordelijkheden van de eigenaren van de websites zelf.

Permalink | |  Print |  Facebook | | | | Pin it! |

The comments are closed.