Ca. 2 weken geleden kreeg ik een ongewenste mail van de Consumentenbond (waar ik -nog- lid van ben). De consumentenbond concurreert tegenwoordig met andere energieleveranciers en vond het een goed idee als ik naar hun "Energiecollectief" zou overstappen.

Off-topic: belachelijk natuurlijk dat een consumentenorganisatie zich in een concurrentiepositie manouvreert, van objectiviteit blijft er niets over zo.

Omdat ik dit soort mails niet meer wil ontvangen heb ik op de "unsubscribe" link gedrukt, en kwam op een site uit die niet eindigt op consumentenbond.nl. Daar moest ik, via http (niet https dus), allerlei gegevens over mezelf invullen, inclusief naam en woonplaats. Dat heb ik niet gedaan. Ik overweeg nu sterk (2 redenen) om m'n lidmaatschap op te zeggen.

Het is inderdaad een bende in unsubscribe land.

Grote vraag: en wat gaan we daar aan doen? Tot nu toe is zelfs de branch zelf zo sterk voorstander van zelfregulering dat niemand verantwoordelijkheid neemt. Roepen dat het niet zo bedoeld is, dat het niet mag, dat het beter kan, helpt niets! Pak zowel de afnemers als aanbieders van deze diensten aan! Pas dan gaan ze het voelen!

Ik heb het probleem met Adobe Systems. Je kan je afmelden maar dan krijg je een database error...
Dus verder gezocht en zeg van ah je kan je ook afmelden via een email adres. Dus ik dat gedaan, krijg ik echter nog steeds deze "Wij hebben nieuwe software spam" mailtjes.... >:||

Ik blokkeer gewoon het emailadres, je emailadres blijft toch wel achter in een databank, dus uitschrijven heeft alleen zin om de nieuwsbrieven te voorkomen.

Het is iig wel een stuk beter dan een paar jaar geleden. Er is dus vooruitgang gelukkig !
Ik erger me nog het meest aan organisaties waarbij ik een account nodig moet hebben om mezelf af te melden van een nieuwsbrief.

Er moet gewoon actief op gehandhaafd worden. Gegronde klacht over niet kunnen un subscriben: boem 1000 euro boete. Zal altijd de enige manier zijn die werkt.

En tja, ik schiet al in de lach als ik in wat voor context dan ook de term "zelfregulering" hoor. Komop, het is geen moeilijk optelsommetje: die lui verdienen hun geld dankzij marketing, nieuwsbrieven, reclame inkomsten obv abonnees: die hebben toch geen enkele winst te behalen met het unsubscriben makkelijk te maken. Ik kan het ze niet eens kwalijk nemen dat men zich niet houdt aan de regels als er amper gevolgen zijn aan het niet naleven.

Mijn zwager is overleden. Hij had zich geabonneerd op een flink aantal elektronische nieuwsbrieven, maar wat een crime om alles op te zeggen.
De ergste:
de Volkskrant, beweren dat het e-mail-adres waar ze naar toe mailen niet bestaat
De Pers.nl beweert ook vrolijk dat het gebruikte e-mail adres niet bestaat (en wil ook nog even een cross-site scripting uitvoeren)
Vroom en Dreesman, kunnen niet lezen......

en zo kan ik nog wel even doorgaan.

Gelukkig komt dit allemaal in zijn gmail-account binnen en over een paar weken hef ik die gewoon op. Dan zitten ze zelf met een vervuilde database, maar ik vrees dat ze dat niet eens weten of merken.

Oja, Linkedin deelt mee er 14 (veertien) dagen over te moeten doen om de accoount op te heffen. Faceboek heeft enkele dagen nodig.

Droevig allemaal

Het is bizar hoe organisaties die op andere momenten je voorlichten over phishing en social engineering (en dat doet de Consumentenbond) dit soort dingen doen. Het is kennelijk bijzonder moeilijk voor veel mensen om zich voor te stellen dat als ze zelf iets uitbesteed hebben aan een derde partij het voor de ontvanger van zo'n e-mail niet automatisch duidelijk is dat die derde partij legitiem is. Mensen die door insider-kennis van een organisatie weten hoe iets geregeld is nemen kennelijk heel makkelijk aan dat iemand die die kennis niet heeft het net zo duidelijk vindt, terwijl de basis daarvoor ontbreekt. Ik heb meer dan eens bedrijven (inclusief twee banken) erop gewezen dat dat tegenvalt, en dat het een slecht idee is om dingen die kenmerken met social engineering gemeen hebben uit te doen gaan. Als je niet wilt dat mensen daar intrappen voed ze dan niet op in het nonchalant accepteren van dingen die erop lijken, maak de kloof tussen de werelden juist zo breed mogelijk door zelf altijd hyperduidelijk en -controleerbaar te zijn in wie de afzender is en wiens website het is. Glazige blikken en onbeantwoorde e-mails zijn het resultaat, het komt helaas totaal niet aan.

De consumentebond heeft dit proces ondertussen enigszins verbeterd.

Toen ik eerder vanavond op "afmelden" links onderaan de laatste e-mail van de Consumentenbond klikte, ging dat achtereenvolgens via de volgende URL's ("gevangen" met wireshark):

(1) http://pub.consumentenbond.nl/r/<reeks_1>/<reeks_2>/<reeks_3>
Die site zette die 3 alfanumerieke reeksen om in mijn Consumentengids abonnementnummer (bij mij het 8 cijferige getal dat ook achterop de papieren Consumentengids gedrukt staat die ik nog ontvang), en dat leidde onmiddelijk (zonder getoonde pagina) tot de volgende URL:

(2) http://www.consumentenbond.nl/rekenmodules/lidworden/optout/?id=<abonnementnummer, 8 cijfers>
Die pagina maakte meteen een MD5 hash van dat 8 cijferige nummer, waarna een pagina werd geopend (met inhoud):

(3) http://www.consumentenbond.nl/rekenmodules/lidworden/optout/?id=<md5 hash>
In die pagina werd me gevraagd om ter bevestiging mijn e-mail adres in te typen en daarna op de knop "Afmelden" te drukken. Nadat ik dat had gedaan:

(4) POST http://www.consumentenbond.nl/rekenmodules/lidworden/optout/uitschrijven.html met daarin iets vergelijkbaars met: "email=user%40example.com".

Onder water wordt (pas vanuit pagina 3 hierboven) er ook met wa.consumentenbond.nl = consumentenbond.112.2o7.net gecommuniceerd, waarmee die 2o7 site (in de referrer) ook de md5 hash van jouw abonnementnummer heeft. Van die 2o7 site krijg je natuurlijk ook een (5 jaar geldig) tracking cookie op je schijf, maar dat schijnt er nou een keer bij te horen tegenwoordig.

Conclusie: dit is geen "single-click" afmelding, maar wat mij betreft acceptabel. Wel jammer is dat alle communicatie onversleuteld plaatsvindt en daarbij zowel je Consumentengids abonnementnummer als het ingevoerde e-mail adres plain-text (via http) worden uitgewisseld. Het is dus niet verstandig om zoiets via een public WiFi hotspot te doen.

Afgelopen vrijdag heb ik me dus afgemeld, maar dat werkt dus niet.

Vandaag (2012-04-18) om 14:05 kreeg ik spam van de consumentenbond met als onderwerp "Bespaar flink met de Consumentenbond" met daarin de oproep "Doe mee met het Energiecollectief!".

Dus maar eens gekeken wat er gebeurt als ik ook vanuit deze mail op unsubscribe druk:

(1) http://pub.consumentenbond.nl/r/<andere_reeks_1>/<andere_reeks_2>/<ZELFDE_reeks_3>
Die reeks_3 is in alle links in elke mail van de Consumentenbond aan mij hetzelfde, die is dus gekoppeld aan mijn account. Reeks_2 lijkt uniek per e-mail, en die reeks_3 (uniek voor elke URL in de mail) zal te maken hebben met de pagina waar je naar toe gaat als je op die link klikt.

Het antwoord op (1) bevat een http 302 code waardoor m'n browser word doorgestuurd naar de volgende pagina:

(2) https://www.consumentenbond.nl/rekenmodules/contact/?afmelden=servicemail
Let op: nu wel https! Echter hierbij zijn mijn abonnenmentsgegevens volledig verdwenen.
Als je Javascript uit hebt staan is het https slotje gebroken, want dan wordt er er via http een gifje opgehaald: en er wordt natuurlijk door 2o7.net een tracking cookie op je PC gezet.

Die pagina (2) vraagt weer om mijn NAW gegevens om te kunnen afmelden! Dus: geen single-click afmeldlink EN de eerdere afmelding werkte niet. Ik heb deze pagina (2) nu NIET ingevuld. Wie weet zat deze spam nog in een queue of zo.

Maar ik ben wel benieuwd of ik nu daadwerkelijk ben afgemeld, of niet. Als experiment open ik met Firefox nogmaals de afmeldlink die ik vorige week vrijdag heb gebruikt (d.w.z. http://pub.consumentenbond.nl/r/<reeks_1>/<reeks_2>/<reeks_3>). Tot mijn verbazing verschijnt er een pagina met de volgende tekst:Ik snap er helemaal niets meer van...