Privacy Refoweb tijdelijk gegarandeerd
Refo Websecurity | 46 reacties | 02-09-2013 | 10:05
Beste heer van Rossem,
Allereerst excuses voor de trage reactie. Wij vierden gisteren de wekelijkse rustdag met onze broeders en zusters en konden helaas niet eerder de arbeid hervatten.
Onze dank voor de melding! De privacygevoelige informatie is inmiddels niet meer (eenvoudig) te achterhalen van ons aller Refoweb. Overigens kunnen wij deze maar tijdelijk garanderen. Dat geldt tevens voor de privacy van jullie bezoekers overigens: “Want niets dat verborgen is blijft geheim; alles wat verborgen is zal bekend worden en aan het licht komen.” (Lucas 8: 17) Misschien goed om de reaguurders daarvan al op de hoogte te stellen.
We zijn inmiddels gewend aan jullie evangelisatiewerk waardoor eens per maand enkele tienduizenden extra bezoekers onze kant opgestuurd worden om ze met de bijbelse notie in aanraking te brengen. Dat er nu ook actief zendingswerk volgt, waarderen we vanzelfsprekend. Een week geleden werd u al getipt over dit ongerief. Zeer prijzenswaardig dat u het bericht direct verwijderde van Twitter. Ongetwijfeld om duistere figuren met snode plannen niet op een idee te brengen!
P.S. Ons systeem bleek nog meer privacygevoelige informatie prijs te geven. De gebruikersnaam VanRossem leverde deze link op.
P.S. Overigens is Refoweb bij mij ontzettend traag, meer mensen hier last van?
Ik krijg overigens veel fanmail sinds gisteren. Dank Geenstijl!
Het gaat niet over blij zijn dat er hier geenstijlers komen koekeloeren. Die hebben hier niks te zoeken dan alleen te bashen en trollen.
Of denken jullie dat je hen op kunt bekeren als ze hier meelezen?
Met die slechte naam valt het blijkbaar nog wel mee.
Sambal heeft overigens wel een punt. Je piept en gilt voordat je geknepen wordt en ondertussen roep je op om te klikken bij CBP. Als Refoweb een slechte naam krijgt dan is dat dankzij sommige christenen...
In onze winkel zijn de spullen gratis. Ook op zondag ;-)
Overigens is een datalek niet altijd te voorkomen. Waar het mij omgaat is dat Refoweb al een week geleden van het probleem op de hoogte is geweest en geen actie ondernomen heeft. Nee, het is zelfs nog bonter, gevraagd het bericht te verwijderen. Echter is er blijkbaar eerst een artikel voor nodig op GeenStijl om Refoweb over te doen gaan tot actie. Dat lijken Omega en Sambalbij te vergeten.
Zelf ben ik echt geen voorstander om alles direct te melden aan het CBP, maar als een website (Refoweb in dit geval) de privacy van de bezoekers niet serieus lijkt te nemen is dat gerechtvaardigd. Dat is geen klikken, maar enkel en alleen met het doel privacy af te dwingen die ons allen lief zou moeten zijn.
Tot slot, je zegt dat de spullen gratis zijn. Dat kan zo zijn, maar ook dan moet er opgelet worden. Er zijn nu eenmaal onderdelen die niet gratis af te halen (mogen) zijn (gebruikersinformatie - waaronder ons email adres). Ik heb weliswaar zo'n mooie 'Spam' map in mijn email, maar die houd ik toch graag leeg.
Daarnaast kan het wel zo zijn dat deze site gratis is, er wordt ook zat verdiend aan advertenties, dus dit soort dingen moet gewoon goed geregeld zijn. Gegevens van je gebruikers horen niet zichtbaar te zijn.
Hier heb je je mailadres zelf openbaar gemaakt: www.refoweb.nl/vragenrubriek/20649 (derde reactie).
Beste Tante Pollewop,
Tot voor kort stond je met je foto op het forum van Refoweb.
@sambalbij, met scheldwoorden als lafbek ga je al aardig in de richting van de "geenstijlers". Schandalig.
Verder eens met @mluther en @tante pollewop. En erg eens met @catherine. De zaak op slot op zondag. We zijn tegen zondagsopenstelling. Deze dag kunnen we veel beter besteden. Dat blijkt nu wel.
Ik verbaas me over deze reactie. Zeg gewoon: Sorry, excuus, helaas zijn er onbedoeld email-adressen zichtbaar geweest, we zullen er alles aan doen om dit in de toekomst te voorkomen.
Heel simpel, sorry zeggen. Door alles te bagatelliseren maak je van een relatief onbetekenende kwestie iets groots, doordat mensen door deze kinderachtige en klungelige manier van doen alleen maar boos worden.
Dus geef gewoon toe dat je fout zat en geef gebruikers het gevoel dat jullie de privacy van je gebruikers enigszins waardevol vindt.
Verder heb ik dan toevallig geen persoonlijk emailadres meer aan deze website verbonden, maar er zullen genoeg gebruikers zijn die dat wel hebben gedaan. Voor deze gebruikers probeer ik het dan ook op te nemen. Als gebruiker dien jezelf te beslissen of je dit openbaar maakt of niet. Dat ik het openbaar heb gemaakt heeft niets met het lek te maken.
Refoweb lijkt het niet zo heel erg te vinden als er wat data wordt gelijkt. Gelukkig denkt de minister daar anders over, daar er een boete wordt gegeven als het datalek niet gemeld wordt: http://webwereld.nl/beveiliging/78247-boete-voor-niet-melden-datalek-maximaal-450-duizend-euro Voor mij gaat dit eigenlijk nog niet ver genoeg, maar dat zal ondertussen wel duidelijk zijn. Wat mij betreft, 3 keer een datalek is een fikse geldboete (indien je niet kan betalen werkstraf o.i.d.) en de website dient gesloten te worden totdat aangetoond is dat deze veilig is (tot zover dat gegarandeerd kan worden).
Ik ben niet betrokken bij het beheer of onderhoud van de software van refoweb, maar als software maker van beroep (sinds meer dan 20 jaar) meen ik wel enig inzicht te hebben in de zaak.
Ik ben het eens met pollewop dat het een relatief onbetekenende kwestie is, maar zijn het juist niet mluther en pollewop die de zaak hier opblazen?
De regelrechte aantijging van mluther dat refoweb onzorgvuldig met privacy gegevens omgaat, dat dit waarschijnlijk nog maar 'het topje van de ijsberg is' en de oproep aan alle leden om refoweb aan te klagen bij het CPB is ronduit schandalig en mist elke grond. Wat mluther betreft krijgen de refoweb beheerders (die vrijwillig hun tijd geven) een boete van maximaal 450.000 euro of een werkstraf en mluther ziet er wel heil in de website te laten sluiten.
Je kan het misschien wijten aan gebrek aan kennis en inzicht van de kant van mluther (hetgeen overduidelijk blijkt), maar ik vind dat reakties van ongehoorde proporties. En mluther wil al deze aantijgingen ook nog eens anoniem doen. Ik kan een hele reeks van bijbelgedeelten noemen die hier van toepassing zouden zijn maar ik zal die achterwege laten.
Laten we even kijken wat er aan de hand was. Bij het verzoek om een wachtwoord te wijzigen werd een melding gegeven dat er een email verstuurd was. Deze melding bevatte klaarblijkelijk het email adres waar deze email naartoe verstuurd was. Vermoedelijk heeft de persoon die dat zo opgezet heeft gedacht dat dat hulpvolle informatie zou zijn voor de gebruiker. Begrijpelijk. Het komt trouwens wel meer voor (op andere sites) dat dergelijke informatie wordt getoond op zo'n moment.
Dit is geen veiligheidslek, het is geen datalek, het is geen op straat komen liggen van gevoelige informatie, het is geen slordig omgaan met privacy gegevens, het is geen opening om het systeem te hacken. Het enige dat iemand die hier misbruik van wil maken ermee kan is een gebruikersnaam verbinden met een email adres. Big deal. Alleen een probleem voor mensen die aan de ene kant menen hun mening te moeten geven op de vraag van een vragensteller en/of het antwoord van een panellid en daarbij koste wat het kost volledig anoniem willen blijven. De anoniemiteit van de vragenstellers is er niet mee gemoeid en voor zover ik begrijp van de forum gebruikers ook niet, aangezien de vragenrubriek en het forum gescheiden zijn.
Je kan dit overigens niet voorkomen door het systeem op zondag offline te halen of het 24 uur per dag in de gaten te houden. Het is gewoon iets dat de maker vermoedelijk met goede bedoelingen zo heeft opgezet maar nu verkeerd uitpakte. Een klein stukje informatie dat bij nader inzien wegens potentieel verkeerd gebruik beter niet kon worden gegeven. Refoweb heeft dat nu gemerkt en gecorrigeert of laten corrigeren. Ik ken het systeem niet maar ik kan me voorstellen dat dit te corrigeren even kan duren, misschien moest de juist persoon gevonden en benaderd worden. Refoweb is geen commerciële onderneming met mensen in dienst, maar een groepje van vrijwilligers die hun tijd steken in het belang van anderen.
Overigens heeft vermoedelijk geen enkele gebruiker dit ooit gemeld, en ik kan me niet voorstellen geen enkele gebruiker dit ooit gezien heeft. Niemand heeft het ooit als een probleem gezien totdat geenstijl er misbruik van ging maken.
Laten we nuchter en dankbaar zijn, ook voor wat refoweb doet en die kleine oneffenheden toedekken.
En boven alles geldt wat hierboven al terecht werd gezegd: “Want niets dat verborgen is blijft geheim; alles wat verborgen is zal bekend worden en aan het licht komen.” Laten we God meer vrezen dan mensen.