Planet openbaart 2,5 miljoen klantgegevens

Een systeembeheerder van Planet heeft een back-up van alle 2,5 miljoen klanten bij een gebruiker geparkeerd. Het was z’n bedoeling het bestand in zijn eigen directory neer te zetten, maar hij maakte een typefout – toevallig een bestaand account. In het bestand stonden de accountnamen, aliassen, Ip-adressen, versleutelde wachtwoorden en afgenomen diensten van alle klanten. De bewuste gebruiker kon, door zijn eigen wachtwoord te vergelijken met de versleutelde versie en daarnaast het programma Hashmaster te gebruiken, alle wachtwoorden ontcijferen.

De klant waarschuwde Planet twee weken geleden. Planet deed niets. Uiteindelijk lichtte de klant vandaag de media in. Planet vroeg de klant daarop het bestand te wissen en zegt nu dat ze hun back-up beleid zal aanpassen.

Zie ook:


Aantal reacties: 28

  1. Kitty ≡ 14 Jan 2008 ≡ 04:07

    Wat een sukkels! Hebben ze nog mazzel dat deze persoon niet van kwade wil was.

  2. Thomas J. Boschloo ≡ 14 Jan 2008 ≡ 04:07

    De meeste mensen zijn al blij als hun internet het doet! Dat zal bij de systeem beheerders van planet niet anders zijn. Ik zal mijn vader binnenkort maar aanbieden zijn wachtwoord te veranderen evengoed.

  3. Yiri ≡ 15 Jan 2008 ≡ 04:07

    Wat mij toch het meest verontrustende van dit bericht lijkt, is dat het al twee weken geleden zou zijn gebeurd, en Planet niet direct zelf naar buiten is gekomen met een melding toen ze attent werden gemaakt op de blunder.

    Of het nou door je eigen stommiteit is, door een beveiliging die te kort schiet, of door wat voor externe factoren ook: wanneer je een 2,5 miljoen klantgegevens onder je hoede hebt, moet je toch op z’n minst voorbereid zijn op het moment dat die onverhoopt toch op straat komen te liggen.

    Je kunt mij niet wijsmaken dat je daar geen rekening mee houdt – met die mogelijkheid. Doodzwijgen lijkt me in dit geval wel het stomste dat je kunt doen – je schaadt het vertrouwen van je klanten maximaal, lijkt mij.

    Maar ja, wie ben ik.

  4. Ron C. de Weijze ≡ 16 Jan 2008 ≡ 04:07

    Ik begrijp niet goed de noodzaak van privacy. Als iemand die al wil hacken, lukt hem/haar dat (uiteindelijk) tóch wel.

  5. JuZo ≡ 16 Jan 2008 ≡ 04:08

    Ik begrijp dat eigenlijk ook niet. Als ik al die gegevens heb, en die heb ik, wat moet ik er dan mee? Chanteren? Iemand beschadigen? Waarom? Leg me eens uit. Wat is het nut, als ik, als wie, dat zou doen? Psychologische afwijkingen straffen zichzelf. En hardhandig ook.

    Ik heb de beschikking over alle rapporten van reclassering en sociale dienst in strafzaken. Van iedereen. Wie ik maar wil. Het hele land. Daar staat alles in. Maar dan ook werkelijk alles. Vanaf de geboorte. Wat moet ik ermee?

    Ooit waaiden eens print-uitdraaien van persoonsgegevens uit een kantoorraam. Die hebben we beneden opgevangen en meegenomen naar kantoor. We hebben de gegevens uiterst zorgvuldig bestudeerd. Wat moeten we ermee? Niks. Helemaal niets en nooit ofte nimmer wat.

    Van veel gegevens die we hebben is het zo, dat het beter voor ons was, als we ze niet wisten. Nu moeten we ons, bij de ontmoeting met bepaalde personen schielijk terugtrekken, omdat we iets weten. Bij sommige strafzaken snelde ik gauw naar buiten. Anderen spaarde ik voor de extra, veel zwaardere veroordeling, van publicatie in de krant. Ik maakte het gebaar en dat was voor hun de grootste opluchting, totale blijdschap. Een soort vrijspraak. Publicatie had geen enkele zin. Wat is het nut er dan van?

    Daar komt bij, dat er niets geheim is, in deze wereld. Nooit. Van niemand. En over niets. Er is hoogstens een tijdsverschil. Tussen het moment dat je het wil hebben, en dat je het krijgt. Dat is alles. Meer is er niet. Alles, wat we willen hebben, krijgen we. Er is alleen een beetje tijdsverschil. Vanwaar dan die gekke zenuwendoenerij? Dat is toch al lang en breed achterhaald in andere landen? In die landen doen ze niet moeilijk over privacy. Ze zijn vriendelijk. Ze lachen. Ze weten alles, maar dan ook alles, van elkaar. Ook dát. Er is niets meer geheim. Er is niets meer ongezond.

    Waar maken al die trillerige persoontjes zich dan zo bang voor? Druk om? Hebben ze helemaal geen ander projectiepunt meer? Is hun geestelijke veerkracht en creativiteitszin zover weg-gedecadeerd? Zijn dat de schrijvers en voorgangers van deze tijd? Wat een armoe. Arme zenuwpeesjes.

    Als allerlaatste zij opgemerkt, dat er tussen alle mensen op de aardbol absoluut geen enkel verschil is. Ze, we zijn allemaal hetzelfde. Geen enkel verschil. We doen denken willen en kunnen alleen maar allemaal hetzelfde. Sommigen zien dat nog steeds niet in. Niet genoeg levenservaring.

    Het heeft dus geen enkele zin ook maar enige privacy in acht te nemen. Bijgevolg hoeft ze dus ook niet zo kramp- en manhaftig beschermd en verdedigd te worden. Energieverknoei en over 250 jaar ziet de wereld er nog precies hetzelfde uit. Het kán, niet anders. Ook al zouden we willen.

    ‘\°_°/’

    Van m’n eigen provider kreeg ik eens per ongeluk alle namen en alle gegevens van alle klanten, door een UNIX-opdracht. Ik deed er niks mee. Ik had er niks aan. Later controleerde ik. Het werkt nog steeds.

  6. JuZo ≡ 16 Jan 2008 ≡ 04:08

    Enerzijds komt bij dit onderwerp het aspect “verhandelbaarheid van de (geheime) informatie” om de hoek kijken, anderzijds is het zonder meer doelmatig, economisch, winstgevend, om privacygegevens met opzet in de openbaarheid te brengen.

    Zoals ik al eerder betoogde is openbaar maken (worden) van privacygegevens alleen maar interessant, als het belangrijke, “hooggeplaatste”, interessante personen betreft. Informatie van onbelangrijke personen, en dat is verreweg het gros, het leeuwendeel van alle personen, is waardeloos. In ieder opzicht. Het levert niks op, en het is om op te spugen.

    Wat ik, en ieder ander, bij de supermarkt koop, is allang bekend, en lang niet alleen bij de supermarktdirectie. De “privacy” van het doosje condooms heeft geen enkele waarde. Ze weten toch allemaal allang met wie, wat en wanneer. Daar kunnen we de oorlog niet mee winnen.

    In de informatieverstrekking (journalistiek) is ruilhandel van de informatie een algemeen erkend en aanvaard instrument, om tot door het (ieder) bedrijf winstgevend geachte resultaten te geraken. “Als jij iets weet van die en die, vertel ik jou iets over die en die”. Met gesloten beurzen, en, hoe hoog en on-elitair, on-ethisch de prijs ook is, die daarvoor moet worden betaald. Als je dat niet wil, moet je niet in dat vuile beroep gaan.

    Daar schieten we dus allemaal niet zoveel mee op, als die non-valois-privacy-informatiegegevens “open en bloot”, “zomaar ineens”, op straat komen te liggen. Daar wordt Nederland niet wakker van, zoals blijkt.

    Het wordt pas echt interessant, als het privacy gegevens van alleen maar hoge, tot zeer hoge, tot de allerhoogste personen zijn, die, in de geleide ruilhandel, zomaar ineens, “op straat” zijn komen te liggen. Het lagere volk dat telt niet mee.

    Ik zeg “geleide ruilhandel”, omdat je als regering, regeerders, machthebbers, wel moet zorgen dat het volk brood en spelen heeft. Dan hou je ze makkelijk in de hand. Brood en spelen kunnen alleen maar van de allerhoogsten komen. Het lagere volk telt nooit ergens in mee. Dat moet alleen maar dom, kudde, zwijgend nors en in toom gehouden worden en dat desnoods met geweld. Anders besturen we het land niet.

    In het zuiden ligt geen informatie op straat, want daar hebben die mensen daar niks aan. Daar spugen ze op. In het zuiden hebben ze in plaats van privacy-gevoelige informatie, al of niet op straat, veel bier, carnaval en schutterijen. Hetgeen allemaal precies hetzelfde is als voor de noorderling zijn of haar zenuwachtig op straat liggende privacy gevoelige informatie.

    Maar dat zal hier wel niemand begrijpen.

    ‘\°_°/’

    Dus, welke provider is zo slim (XS4all?) om “op tijd”, zo af en toe weer eens wat privégegevens de keien op te gooien? (de verantwoordelijken er achteraan. Dat ruimt zo lekker op, want het Internet brengt allang geen rooie rotsent meer op.) En met noorderlingen bemoeien we ons toch al niet, hier in het zuiden dat blijkt wel weer.

  7. Yiri ≡ 17 Jan 2008 ≡ 04:08

    @JuZo: Ik denk dat ik je grotendeels wel kan volgen. Al ontgaat mij de relevantie van het verschil tussen noorder- en zuiderlingen in dit verhaal. Relevanter lijkt mij het verschil tussen diegenen die dankzij internet een vinger aan de pols van de organische wereld kunnen houden, en diegenen die ‘nog gewoon’ in die organische wereld zijn geboren en getogen. Maar wellicht doelt u in symbolische zin op hetzelfde verschil?

    Veel bier, carnaval en schutterijen lijken mij namelijk ook welhaast een verwijzing naar het cultuur-verschil tussen de Nederlandse bevolking ‘boven en onder de rivieren’. Nou kan ik mij indenken dat mensen in het zuiden van het land eerder geisoleerd raken bij afwijkingen aan het zenuwstelsel dan mensen in het noorden.

    Doch terzake: de opmerking dat brood en spelen van de allerhoogste zouden moeten komen, daar kan ik met mijn verstand niet bij. Het internet is ontwikkeld TUSSEN de mensen, en heeft pas sinds commerciele uitbuiting ervan alles met brood en spelen te maken gekregen. Het is daardoor al een hels karwij geworden om het internet bruikbaar te houden voor diegenen die er voor hun contact met de organische wereld van afhankelijk zijn, en als er met vooruitziende blik aan brood en spelen was gedacht door die zogenaamde ‘bestuurders’ dan had men een kwart eeuw geleden reeds ten volste beseft dat het juist de in de hoogste regionen tot een voordeel zal uitpakken om naar volledige transparantie te streven. Je zult immers zelf ook tussen de mensen moeten kunnen komen wil je in staat zijn de golfbewegingen in de hand te houden.

  8. JuZo ≡ 17 Jan 2008 ≡ 04:09

    Ik heb even alle zeilen moeten bijzetten om je te volgen maar ik volg je wel. Het Internet is iets heel moois vooral omdat we vanaf eind tachtiger jaren onder werktijd en zorgvuldig afgeschermd met een scheef hoofd konden Flightsimulateren (één magic touch en Excel stond er weer op). Maar het op straat gooien van alle privacy is al zo oud als de wereld.

    De enige zorg die we hebben is, WIE kunnen we uitzoeken om DAAR de privacy gegevens van op straat te gooien? Het volk verveelt zich namelijk. De grootste ergste vijand van alle vijanden is de verveling. Het volk verveelt zich tot stomheid, tot dwaasheid aan toe. Daarom moet het volk brood en spelen hebben en krijgen van hogerhand, anders gaat het zich dood en stomvervelende volk lastig worden en dingen doen die wij niet willen.

    Dus zoeken we ons suf, zoeken we ons ‘t lebbes naar personen, waarvan we de heimelijke, stiekeme geheimiglijke gegevens op straat kunnen gooien. Zodat het volk kan gniffelen. En zich niet meer verveelt. Degenen die zo’n pover schaap tot grote hoogte verheffen, door er de privacy gegevens van op straat te gooien, moeten wel goed weten wat ze doen natuurlijk.

    Je moet er wel wat aan hebben. Je moet er wat aan overhouden en liefst veel. Als ‘t niks blijkt te zijn sta je mooi te kakken.

    Arme ik. Gelukkig is ‘t me nooit gebeurd. Met de arme schapen die ik omhoogvioolde. Met hun te openbaren privacy gegevens.

    ‘\^_^/’

    Ik heb er weinig (narigheid) aan overgehouden.

  9. Jan Kuba ≡ 17 Jan 2008 ≡ 04:09

    Ron> Ik begrijp niet goed de noodzaak van privacy. Als iemand die al wil hacken, lukt hem/haar dat (uiteindelijk) tóch wel.

    Ron, Vervang “privacy” eens door “bezit” en lees de zin dan eens opnieuw. Zou je dan ook het moede hoofd in de schoot leggen?

  10. Jesse ≡ 18 Jan 2008 ≡ 04:09

    @Ron: Privacy is vooral noodzakelijk om de burgers tegen de staat te beschermen. Zonder privacy heb je geen democratie.

  11. Jan Kuba ≡ 18 Jan 2008 ≡ 04:10

    Juzo,

    Blaaspatat met natte watten in je toetsenbord; zonder computer ben jij niet hier…….

    Regs, Kuba

  12. JuZo ≡ 18 Jan 2008 ≡ 04:09

    Privacy is geen bezit van jezelf. Zelf, heb je geen bezit en ben je niets. Privacy en bezit zijn wat anderen je toestaan en gunnen.

    ‘\°_°/’

    Of niet.

    Het blijkt, dat vele halve garen nog denken dat ze alleen op de wereld / het onbewoonde eiland zijn.

  13. JuZo ≡ 18 Jan 2008 ≡ 04:09

    Zonder burgers heb je geen staat. – ‘\°_°/’

  14. JuZo ≡ 19 Jan 2008 ≡ 04:10

    Providers moeten de verplichting krijgen alle data te versleutelen. ‘\Ô_Ô/’

  15. Ron C. de Weijze ≡ 19 Jan 2008 ≡ 04:10

    Kuba, “Ron, Vervang “privacy” eens door “bezit” en lees de zin dan eens opnieuw. Zou je dan ook het moede hoofd in de schoot leggen?”

    – Zoals geld moet rollen, moet ook informatie rollen, zeker in onze moderne attentie-economie. Dus die kennis is geen bezit.

    Jesse, “@Ron: Privacy is vooral noodzakelijk om de burgers tegen de staat te beschermen. Zonder privacy heb je geen democratie.”

    – De staat is er voor de burgers, niet andersom. Als dat wel zo is, moeten wij daartegen protesteren: http://www.hetvrijevolk.com/?pagina=5202&titel=De_monocultuur_van_het_vrije_volk_%2B_reactie

  16. Henk2 ≡ 19 Jan 2008 ≡ 04:11

    Voor je verzameling: Data 600.000 Britten zoek na diefstal
    http://www.nrc.nl/buitenland/article900392.ece/Data_600.000_Britten_zoek_na_diefstal

  17. Spaink ≡ 19 Jan 2008 ≡ 04:11

    Henk: dankjewel, maar op ‘mijn’ lijst wil ik alleen Nederlandse datalekken bijhouden, anders wordt het een dagtaak vrees ik :)

  18. JuZo ≡ 19 Jan 2008 ≡ 04:10

    In het kader van de privacybescherming is het verplicht dat personeel van internetproviders en aanverwante bedrijven, en internet-publicisten, de eed tot geheimhouding afleggen (kettingbeding) en dat de bedrijven door de klanten, burgerij en staatsoverheid gecontroleerd worden.

    ‘\°_°/’

    Niet alleen in tijden van vrede, maar ook precuratief in oorlog.

  19. Henk2 ≡ 19 Jan 2008 ≡ 04:11

    Hm. Nederlandse datalekken in het internettijdperk? Dat geeft heel veel extra werk denk ik :(

    Zover ik weet is er in ieder geval een Fransman klant bij Planet; moet die van die 2.5 miljoen af getrokken worden? Als ik een vliegticket naar Amerika boek, sta ik dan in een Amerikaanse en/of een Nederlandse database? En moeten die gegevens dan in Nederland of ergens anders op het internet rondslingeren om op jouw lijst te komen? En als een gefrustreerde Luxemburgse bankmedewerker een lijstje met Nederlandse rekeninghouders in België aanbiedt, waarop de Nederlandse belastingdienst heffingen gaat opleggen aan de hand van een illegaal verkregen lijstje?

    Als je je beperkt tot Nederlandse publicaties, zouden die Britten er weer bij moeten.

    Veel extra werk dus :(
    Sterkte.

  20. JuZo ≡ 19 Jan 2008 ≡ 04:11

    Als iemand ontslagen wordt / wegloopt bij ‘n provieddert? Wat neemt hij dan mee?

    ‘\°_°/’

    voor de verkoop

  21. Spaink ≡ 22 Jan 2008 ≡ 04:12

    JuZo: het gebeurt inderdaad wel eens dat een ontslagen werknemer gegevens meeneemt, maar dat is ontvreemding en strafbaar. Waar deze zaak over gaat is dat het bedrijf zelf verkeerd omspringt met data, en dat is een ander verhaal.

  22. Jesse ≡ 22 Jan 2008 ≡ 04:12

    Karin: er zijn ook data-lekkages waarbij sprake is van zowel een strafbare ex-werknemer als een bedrijf dat onzorgvuldig is.

    Vaak ontbreken goede maatregelen m.b.t. het mee naar huis nemen van data. Bovendien zijn er bij bedrijven zelden procedures in werking waarbij toegang van vertrekkende werknemers goed wordt afgesloten. Daarbij worden toegangscodes op veel plekken tussen collega’s gedeeld.

    Dit geeft de ex-werknemer nog maanden of zelfs jaren de gelegenheid privacy-gevoelige gegevens te betrekken. Dat is heel zorgwekkend. Hoeveel mensen kunnen op dit moment bij mijn gegevens omdat ze in het verleden voor een bedrijf hebben gewerkt dat mijn gegevens heeft? Honderden, of meer?

    Ik denk dat bedrijven daar een verantwoordelijkheid hebben, die over het algemeen niet genomen wordt. Ik pleit er dus voor de gevallen met de ex-werknemers goed te bekijken en soms ook op het lijstje te zetten.

  23. Spaink ≡ 22 Jan 2008 ≡ 04:12

    Jesse: dat die zaken wel eens door elkaar heen lopen betekent niet dat je het juridisch onderscheid zomaar kunt vergeten. Maar je pleidooi om ook bewuste data-lekkages door ex-werknemers op de lijst te zetten, zal ik vermoedelijk wel honoreren.

  24. Henk2 ≡ 22 Jan 2008 ≡ 04:12

    Dat alle Nederlandse schoolsystemen lek zijn verbaast niemand.
    http://www.kennisnet.nl/nieuwsportal/algemeen/schoolcomputers_vrij_eenvoudig_te_kraken.html

    Maar hoe lek moeten die systemen zijn voordat ze in je lijstje mogen?

  25. Spaink ≡ 22 Jan 2008 ≡ 04:13

    Henk2, in mijn lijstje neem ik gevallen op waarin data daadwerkelijk naar de buitenwereld gelekt is en onbevoegden toegang hadden. Als bij een test blijkt dat onbevoegden het systeem in zouden kunnen, kwalificeert dat niet. (Testers zijn immers geen onbevoegden.) Maar het klopt wel dat de scheidslijn soms dun is…

  26. JuZo ≡ 22 Jan 2008 ≡ 04:12

    Nou, zo gemakkelijk als Karin het stelt ligt het niet, maar daar zullen we ‘t ‘n andere keer nog wel ‘ns over hebben. – ‘\^_^/’

  27. nee@niet.grom ≡ 24 Jan 2008 ≡ 04:13

    http://attrition.org/dataloss/index.html
    http://attrition.org/dataloss/why.html

  28. Spaink ≡ 24 Jan 2008 ≡ 04:13

    Grom: Attrition heeft een mooi archief. Jammer dat er zo op het oog niets uit NL wordt bijgehouden. Anderzijds: des te meer reden voor mijn lijst.

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *