Niet echt een nette manier van zaken doen. Ik geef je concurrent hier geen ongelijk als hij zou zeggen dat je hierin te ver bent gegaan. De optie "gebruik de klantgegevens voor je eigen site" heb je hopelijk niet serieus overwogen.

Het anoniem melden is misschien de beste (en enigszins ethische) optie.

Beste Elmartino,

Eerst de Marketing kant van je verhaal:


Dit is een standaard tekst die of door een Marketing Communicatie persoon geadviseerd is om op de site te zetten om de klant een veilig gevoel te geven. Als er dan toch iets gebeurt dan krijg je van die meldingen als "incidenteel geval, beveiliging NOG MEER aanscherpen", afijn je leest ze hier 5 x per dag in de nieuws berichten, standaard leuzes.
Als ze schrijven: "Ons security beleid is gebaseerd op een summier budget dus als u van een gokje houdt, kom bij ons". Dan spreken ze wel de waarheid maar commercieel gezien geeft dat beperkingen;-)


Je geweten gaat hier spreken ;-)

1. Je hebt geen meldplicht dus is het aan jezelf. Omdat wij hier niet weten wat er met die gegevens gedaan kan worden het volgende:
Als met die gegevens onschuldige mensen op een of andere manier benadeeld kunnen worden dan denk ik zelf altijd: "hoe zou ik het vinden als mijn moeder het slachtoffer zou worden door zo'n aktie". Dat moet jij dan tegenover je business afwegen. Daarnaast is de vraag, komen al die klanten dan naar jou toe als ze er achter komen dat de boel daar lek is.

2. Op het moment dat je dat doet is het waarschijnlijk "oorlog". De concurrent gaat jou in de gaten houden of zelfs onwaarheden over jou en je bedrijf laten publiceren (bijvoorbeeld in reviews: Nou vroeger kocht ik bij "elmartino" maar dat is me zo slecht bevallen, hier is alles beter" , je snapt het wel.

3. Als ze daar achter komen (en je verrader slaapt nooit) heb je natuurlijk een ander probleem. Nogmaals ik ken je business niet maar juridisch zou dit wel eens consequenties kunnen hebben (hetgeen je verder aan Arnoud kan vragen).

Mijn visie op je verhaal maar ik sta niet in jouw schoenen dus doe er je voordeel mee.
Je neemt in iedere geval de moeite om visies te verzamelen voordat je een beslissing maakt en dat is al goed op zichzelf.

Succes ermee.

Vertel het ze gewoon. Doet men na geruime tijd niets en is de boodschap herhaaldelijk wel ontvangen, dan kun je het theoretisch wel publiceren - ook al is dat niet in het belang van betrokkenen, inclusief jezelf. Als je het publiceert, dan laat dat zien dat je nogal ver gaat om de concurrent aan te pakken. Dat is bepaald geen reclame.

Als je het online publiceert zonder iets te zeggen, geeft dat aan wat voor soort persoon jij bent. Je zou mijn vertrouwen nooit krijgen.

Als je inbreekt, hoe simpel dat ook gaat door falende beveiliging, dan bega je een misdrijf. Je mag sowieso geen gestolen privé gegevens gebruiken.

Ik snap dat optie 3 verleidelijk is, maar het is vrij simpel: dat doe je niet. Optie 2 kan, maar als ik in jouw schoenen stond zou ik dat pas doen nadat ik eerst 1 gedaan had en er na bijvoorbeeld een week nog niets met mijn feedback zou zijn gedaan.

als het aan mij ligt puntje 2 en 3

Zoals ik het zie zou het publiceren of het gebruiken voor je eigen site wel eens een probleem kunnen zijn. Zoals ik het lees heb je kennelijk ook geprobeerd om de site op een andere manier te gebruiken dan toegestaan is. Ik ga er van uit dat er een inlog mechanisme op de site is. Het zou dan ook goed kunnen dat je je schuldig hebt gemaakt aan een strafbaar feit (Computervredebreuk). Volgens mijn opvattingen is het nog steeds zo (ook in zaken doen) dat eerlijk het langst duurt.

Laat ik het zo stellen: Hoe zou jij het vinden als jouw concurrent hetzelfde bij jou zou doen (geen beveiliging is immers 100% waterdicht).

Mijn advies: Neem contact op met de concurrent, geef je bevindingen aan, geef ze, net als een normale security resarcher, aan dat ze een redelijke tijd om het probleem op te lossen, en geef aan dat je je anders het recht voorbehoud de situatie voor reclame doeleinden te gebruiken en wacht op de reactie van de concurrent. Maar neem voor je dat doet contact op met je advocaat (ik hoop voor jou dat je die hebt als je ondernemer bent).

Elmartino, om te beginnen heb je al een misdrijf gepleegd. En als ik je bericht zo lees, weet je zelf eigenlijk donders goed wat je te doen staat.

1) Is nobel

2) Pas op dat je je niet schuldig maakt aan smaad of laster

3) Is een misdrijf en kan je een paar jaar gevangenisstraf opleveren


Aangezien het hier een concurrent betreft dan zou ik dat gat lekker laten zitten en daar vooral geen ruchtbaarheid aan geven. Als jij het kunt vinden kunnen anderen dat ook en gaat die site vanzelf een keertje plat zonder dat jij daar iets mee te maken hebt gehad. De concurrentie elimineert zichzelf dan.

Tot zover bedankt allemaal. Andere adviezen zijn ook nog altijd welkom.
Ik lees verschillende meningen. Ik wil inderdaad voorkomen dat er een "oorlog" uitbreekt. Waarschijnlijk schiet ik er zelf qua klanten niet eens veel mee op en heb wel een hoop extra gezeur, papierwerk en waarschijnlijk een rechtzaak.

Stel dat ik ze een redelijke tijd geef (1, 2 maanden genoeg?), en ze doen er niks mee. Hebben jullie tips over hoe ik dit dan het beste kan aanpakken om het voor reclame doeleinden te gebruiken? Gewoon een persbericht uitsturen ofzo ?

Er helemaal niks mee doen zoals SirDice al zegt is natuurlijk ook een goede optie.

Nogmals bedankt!

Waarom heb ik een misdrijf gepleegd? Omdat ik een volgnummer in de adresbalk heb gewijzigd?

Eerlijk zaken doen leeft het langst.
Hoewel het hier de concurrent betreft, siert het een mens en daarmee je bedrijf als je ze van dit lek op de hoogte stelt. Denken aan de verleiding om anderszins te doen is menselijk, maar moraalbesef haalt de mens in je naar boven.

De concurrent kan door deze opstelling in de toekomst wel eens heel anders gaan denken over zaken die jullie beide kan raken. Succes met je besluit.

"2. Publiceer het online en vermeld dat jou site wel veilig is (ben tenslotte concurrent)."

Haha, nog afgezien van het feit dat dit ethisch gezien nogal dubieus zou zijn, zou dit tegelijkertijd een uitnodiging voor anderen zijn om te gaan proberen jouw sites te hacken - en dan is het maar de vraag of jouw website zo veilig is als je veronderstelt (leef je in de veronderstelling dat jouw website 100% veilig is?) ;)))

Dat is inderdaad ook zo. Ik geloof niet dat er een website is die 100% veilig is, maar in ieder geval is het niet zo slecht beveiligd dat elke willekeurige nono alle klantgegevens kan inzien :p
Maar je hebt uiteraard gelijk, ik kan ze beter niet uitnodigen :-)

Precies!

Ik denk dat je zo genoeg hebt gedaan. Je heb ons de tekst gegeven die op de website staat, en je alias zul je vast ergens anders hebben gebruikt. Kortom met een beetje hulp van google kun je er achterkomen voor welk bedrijf je werkt, en wie je concurent is. Waarschijnlijk zijn de eerste "hackers" al bezig.
Is nu dus een kwestie van afwachten.

Op mijn site of op hun site? :-P

ik zou m'n aandacht lekker op m'n eigen security richten als ik jou was, daar is ook vast nog wat aan te verbeteren.

Was ik inderdaad mee bezig. Ik was wel benieuwd hoe mijn concurrentie zijn veiligheid geregeld had. Aangezien er in hun privacy policy staat dat ze zich aan uitgebreide veiligheidsprocedures houden.

Probeer jij je eens in je collega te verplaatsen! Zou jijzelf zo benaderd willen worden?

Heb je gelijk in. Of ik vertel het diegene, of ik laat het zo en ik maak mijn concurrentie ook niet sterker. Ik ga er in ieder geval geen misbruik van maken.

Ik denk dat het laatste het geval is. Ik laat het erbij. Ik vind het ontzettend laks van diegene om ten eerste een privacy beleid en algemene voorwaarden te copy pasten, en vervolgens echt 0,0 aan beveiliging te doen.

Ik ga me focussen op mijn eigen applicatie en energie steken in het beter te maken.

Iedereen bedankt.

Wat je denk ook zou kunnen doen, is de site aangeven bij CBP of soort gelijke instantie. Lijkt mij dat die dan contact opnemen met de concurent en erop wijzen dat ze de wet overtreden.

Just my 2 cents

Klantgegevens stelen voor eigen gebruik lijkt me strafbaar.

Wat je wel kunt doen, is zelf erover publiceren en/of het lek aanmelden voor vermelding in het Zwartboek Datalekken van stichting Bits of Freedom. Meld dit wel eerst aan je concurrent en geef die de gelegenheid het lek eerst te dichten. (m.a.w. zorg voor responsible disclosure)

Over laksheid gesproken.
Als je eenmaal weet hebt van een bepaalde kwetsbaarheid kun je het er niet bij laten zitten. Eigenlijk heb je nu een zekere verantwoordelijkheid naar de gebruikers van de oplossing van je collega. Mensen die je in bescherming kunt nemen door je collega in te lichten.

Het is een concurrent dus jullie bevinden je in dezelfde branche....

dan zou ik me wel twee keer bedenken om het klantvertrouwen te schaden in mijn eigen branche.

Misbruik van gegevens komt vroeg of laat altijd uit.
Zeker na je bericht hier. Je bericht hier leidt niet naar de site van jou of je concurrent, maar als je verhaal uitgekomen is pas dit puzzelstukje wel in de blootgelegde puzzel.

En kennelijk draag je al kennis van de klantgegevens van de concurrent.
Ik zou er oppassen want volgens de Nederlandse wet ben je al te ver gegaan.
Ook al ontbreekt er een bepaalde form beveiliging, je had kunnen weten dat accountnamen en ww vertrouwelijk zijn.
En het feit dat je bent gaan neuzen zegt, voor de wet al genoeg.

Hmmm.. Wie is anoniem? Of: Wie is anoniem?

Ik was mijn eigen beveiliging aan het verbeteren. Daarop ging ik kijken hoe de concurrentie dit beveiligd had. Bij toeval kwam ik er dus achter. Ik vind het een beetje het verhaal van de inbreker en de bewoner, waarbij de bewoner de inbreker een lel verkoopt, maar wel strafbaar is, terwijl de inbreker vrijuit gaat. Helaas werkt het zo in Nederland.

Wat ga je nu doen?

Dat zijn nogal wat websites die volgens Google die letterlijke tekst gebruiken... 1.590 stuks
Allemaal klanten van dezelde webbouwer?

Ik hoop het niet voor zijn klanten :-D

Maak gebruik van Bof (http://www.bof.nl/category/zwartboek-datalekken/) en laat hun het lek opnemen in hun zwartboek en melden bij jouw concurent.