Bank eist dat Google verkeerd gestuurde e-mail verwijdert
De Amerikaanse bank Goldman Sachs heeft Google aangeklaagd omdat het een verkeerd gestuurde e-mail niet wil verwijderen. Een externe partij had vanwege nieuwe wettelijke richtlijnen de interne processen van de bank getest en vervolgens een rapport opgesteld.
Dat rapport werd door een fout niet naar een adres eindigend op gs.com gestuurd, het domein van de bank, maar naar een Gmail-adres. Goldman Sachs nam contact op met de eigenaar van het account maar kreeg geen reactie. Daarop stapte de bank naar Google en eiste dat de verkeerd gestuurde e-mail zou worden verwijderd om een "onnodig en groot" privacylek te voorkomen, alsmede onnodige reputatieschade.
Het verwijderen van de e-mail zou daarnaast een kleine moeite voor Google zijn, zo stelt de bank. Een werknemer van Google zou echter hebben laten weten dat het de e-mail alleen met een gerechtelijk bevel kan verwijderen. De bank is dan ook naar de rechter gestapt, zo meldt Reuters. Zowel Google als Goldman Sachs wilden niet op de zaak reageren.
Reacties (17)
Goh, prima reactie van de medewerker van Google.... dat ik dat ooit nog eens zou zeggen.
Ja en de postbode is ook verantwoordelijk als je het verkeerde adres hebt op geschreven.
"Een externe partij had vanwege nieuwe wettelijke richtlijnen de interne processen van de bank getest en vervolgens een rapport opgesteld."
De procedure voor het versturen van vertrouwelijke informatie is hierbij dus niet goed.
"Het verwijderen van de e-mail zou daarnaast een kleine moeite voor Google"
Ja dat wel. Het zou lekker zijn als Google te pas en te onpas mailtjes gaat verwijderen. Zorg eerst dat je je eigen zaakjes op orde hebt voor je anderen gaat betichten van van alles. Gewoon naar de rechter briefje halen waar in Google wordt gevraagd het mailtje weg te halen.
"Een externe partij had vanwege nieuwe wettelijke richtlijnen de interne processen van de bank getest en vervolgens een rapport opgesteld."
De procedure voor het versturen van vertrouwelijke informatie is hierbij dus niet goed.
"Het verwijderen van de e-mail zou daarnaast een kleine moeite voor Google"
Ja dat wel. Het zou lekker zijn als Google te pas en te onpas mailtjes gaat verwijderen. Zorg eerst dat je je eigen zaakjes op orde hebt voor je anderen gaat betichten van van alles. Gewoon naar de rechter briefje halen waar in Google wordt gevraagd het mailtje weg te halen.
Door Anoniem: Ja en de postbode is ook verantwoordelijk als je het verkeerde adres hebt op geschreven.
"Een externe partij had vanwege nieuwe wettelijke richtlijnen de interne processen van de bank getest en vervolgens een rapport opgesteld."
De procedure voor het versturen van vertrouwelijke informatie is hierbij dus niet goed.
"Het verwijderen van de e-mail zou daarnaast een kleine moeite voor Google"
Ja dat wel. Het zou lekker zijn als Google te pas en te onpas mailtjes gaat verwijderen. Zorg eerst dat je je eigen zaakjes op orde hebt voor je anderen gaat betichten van van alles. Gewoon naar de rechter briefje halen waar in Google wordt gevraagd het mailtje weg te halen.
be·tich·ten (betichtte, heeft beticht) "Een externe partij had vanwege nieuwe wettelijke richtlijnen de interne processen van de bank getest en vervolgens een rapport opgesteld."
De procedure voor het versturen van vertrouwelijke informatie is hierbij dus niet goed.
"Het verwijderen van de e-mail zou daarnaast een kleine moeite voor Google"
Ja dat wel. Het zou lekker zijn als Google te pas en te onpas mailtjes gaat verwijderen. Zorg eerst dat je je eigen zaakjes op orde hebt voor je anderen gaat betichten van van alles. Gewoon naar de rechter briefje halen waar in Google wordt gevraagd het mailtje weg te halen.
1. beschuldigen
Ik zie een bericht over een verzoek - weliswaar geformuleerd als eis. Geen bericht over beschuldigingen, dus vraag me af waar je "voor je anderen gaat betichten van van alles." over gaat...
Daarnaast lijkt het me ook nogal wiedes dat voordat je iets met een rechtgang probeert te bereiken, je eerst het even gewoon vraagt. Vragen kan altijd en kost erg weinig, als dit eens in de 1000 keer een rechtsgang kan voorkomen is het het vast en zeker waard.
kulverhaal,
google wil wel verwijderen, met gerechtelijk bevel. het gaat niet alleen om de onvangende partij, maar ook doorgestuurde mailtjes.
ik had zuiverder journalistiek verwacht van securit punt nl
google wil wel verwijderen, met gerechtelijk bevel. het gaat niet alleen om de onvangende partij, maar ook doorgestuurde mailtjes.
ik had zuiverder journalistiek verwacht van securit punt nl
03-07-2014, 12:10 door
Overcome
Het artikel geeft niet aan of de verstuurde gegevens versleuteld waren of niet. Gezien de felheid waarmee Goldman Sachs achter de data aan gaat zou het me niet verbazen dat versleuteling van de gegevens niet heeft plaatsgevonden, hoewel dat in dit geval overduidelijk wel had moeten gebeuren. Wat Goldman Sachs in eerste instantie deed grenst aan het arrogante, maar als mijn aanname juist is vind ik datgene dat de betreffende consultant heeft gedaan nog veel erger. Wie stuurt er vertrouwelijke gegevens die (wellicht met wat korrels zout) tonnen aan schade kunnen veroorzaken leesbaar over het Internet? Gezien de security testcontracten bij banken zal dit minimaal contractbreuk zijn, met in het slechtste geval maar weer een rechtszaak. Daar zijn ze toch al zo dol op.
03-07-2014, 12:50 door
spatieman
dus de verzender wil hierbij zijn handen in onschuld wassen.
nou lekker dan.
nou lekker dan.
Door Overcome: Het artikel geeft niet aan of de verstuurde gegevens versleuteld waren of niet. Gezien de felheid waarmee Goldman Sachs achter de data aan gaat zou het me niet verbazen dat versleuteling van de gegevens niet heeft plaatsgevonden, hoewel dat in dit geval overduidelijk wel had moeten gebeuren.
Mee eens, maar merk wel op dat dat het probleem niet per se had voorkomen. Als ik in mijn e-mailprogramma 'versleutelen' aanvink dan wordt de publieke sleutel van het geselecteerde bestemmingsadres gebruikt. Selecteer ik het verkeerde adres dan wordt de e-mail met de verkeerde publieke sleutel versleuteld, en dan kan de foute ontvanger hem nog steeds lezen. Het is natuurlijk wel zo dat je van een onbekende ontvanger geen sleutel zal hebben, dus bij verschrijvingen helpt het.Het helpt alleen niet in alle situaties. En mocht e-mailversleuteling ooit nog eens aanslaan bij een groot publiek dan kan je erop wachten dat hulpvaardige softwareleveranciers zorgen dat hun software ontbrekende publieke sleutels automatisch ophalen, zodat het alsnog foutgaat. Gemak dient de mens, maar veiligheid vergt soms iets anders dan maximalisatie van het gemak. Het vergt ook zorgvuldigheid, nog eens een keer extra nakijken of je wel de goede gegevens hebt ingetypt, kopiëren en plakken in plaats van overtypen om typefouten te voorkomen, of dubbel invoeren, dat soort dingen.
Dit is wellicht vergelijkbaar met de beheerder van een stel postbussen (gebouwbeheerder, posterijen) proberen te dwingen een pakket uit een postbus te vissen wegens "verkeerd verstuurd". En hoe weet de beheerder dat? Er staat immers een correct adres op, en is in de juiste bus gedeponeerd.
Wellicht dat het "makkelijk" is om het stuk er weer uit te vissen, als in niet technisch onmogelijk, maar dat is eigenlijk geen argument. Niet aan de beheerder om poststukken uit andermans bus te vissen.
Je kan wellicht zelfs beargumenteren dat de postbus dan wel in beheer is maar dat daarin deponeren al betekent dat het eigendomsrecht op de ontvanger overgaat. Dus dan kan je wel Goldman Sachs heten, het eigendom op dat verstuurde stuk ben je al kwijt en dus heb je niets meer te zeggen.
Merk op dat google hier recent druk was zijn eigen glazen in te gooien door te stellen dat ze zoiets zijn als jouw secretaresse en dus door jouw post mogen snuffelen. Dat mandaat hebben ze helemaal niet, maar als wel dan kunnen ze zo'n beslissing nemen. Waren ze slim geweest dan hadden ze dat nooit geclaimd. Nu lopen ze het risico dat het tegen ze gebruikt gaat worden, waarna er klanten gaan roepen "ho eens even" en dan zou het wel eens rechtszaken op google kunnen gaan regenen.
Verder ben ik sterk geneigd te zeggen dat deze bankiers maar gewoon op hadden moeten letten. Email werkt net als een brievenbus: Eenmaal eringestopt en je kan niet meer "ont-zenden". Dan had je maar geen alternatief systeem moeten gebruiken die dat wel kan binnen de eigen groep, dan had je wellicht geleerd na te denken voor je de boel wegstuurt. En inderdaad, kennelijk doen ze niet aan encryptie daar, dus hebben ze zich niet ingedenkt voor als het misgaat. Zo'n grootgraaiend grootbedrijf en dan op zo'n schlemielerige wijze jezelf in je vingers snijden, daar heb ik eigenlijk geen sympathie voor.
Wellicht dat het "makkelijk" is om het stuk er weer uit te vissen, als in niet technisch onmogelijk, maar dat is eigenlijk geen argument. Niet aan de beheerder om poststukken uit andermans bus te vissen.
Je kan wellicht zelfs beargumenteren dat de postbus dan wel in beheer is maar dat daarin deponeren al betekent dat het eigendomsrecht op de ontvanger overgaat. Dus dan kan je wel Goldman Sachs heten, het eigendom op dat verstuurde stuk ben je al kwijt en dus heb je niets meer te zeggen.
Merk op dat google hier recent druk was zijn eigen glazen in te gooien door te stellen dat ze zoiets zijn als jouw secretaresse en dus door jouw post mogen snuffelen. Dat mandaat hebben ze helemaal niet, maar als wel dan kunnen ze zo'n beslissing nemen. Waren ze slim geweest dan hadden ze dat nooit geclaimd. Nu lopen ze het risico dat het tegen ze gebruikt gaat worden, waarna er klanten gaan roepen "ho eens even" en dan zou het wel eens rechtszaken op google kunnen gaan regenen.
Verder ben ik sterk geneigd te zeggen dat deze bankiers maar gewoon op hadden moeten letten. Email werkt net als een brievenbus: Eenmaal eringestopt en je kan niet meer "ont-zenden". Dan had je maar geen alternatief systeem moeten gebruiken die dat wel kan binnen de eigen groep, dan had je wellicht geleerd na te denken voor je de boel wegstuurt. En inderdaad, kennelijk doen ze niet aan encryptie daar, dus hebben ze zich niet ingedenkt voor als het misgaat. Zo'n grootgraaiend grootbedrijf en dan op zo'n schlemielerige wijze jezelf in je vingers snijden, daar heb ik eigenlijk geen sympathie voor.
Door Anoniem: kulverhaal,
google wil wel verwijderen, met gerechtelijk bevel. het gaat niet alleen om de onvangende partij, maar ook doorgestuurde mailtjes.
google wil wel verwijderen, met gerechtelijk bevel. het gaat niet alleen om de onvangende partij, maar ook doorgestuurde mailtjes.
Als je bedoelt dat ze ook doorgestuurde mail verwijderd willen hebben, hebben ze een probleem. Vooral als die straks op Pastebin terecht komt (Ik zal zo eens kijken).
Ik vind de bank wel weer ontzettend arrogant bezig zijn:
"By contrast, Google faces little more than the minor inconvenience of intercepting a single email - an email that was indisputably sent in error," it added.
Peter
Die bank heeft een fout gemaakt en dat is niet het probleem van de ontvanger. En ook niet dat van Google.
Er zijn ook mensen die hun e-mail ophalen, waarbij de e-mail automatisch van de server wordt verwijderd. Dat doe ik ook (maar dan van mijn eigen server). Ze kunnen bij mij claimen wat ze willen, maar mijn antwoord zal dan altijd zijn dat de e-mail reeds verwijderd is. En of die e-mail nog op mijn pc staat, dat weten zij niet, en daar hebben ze ook niets mee van doen. De e-mail is van de server verwijderd. Punt.
Er zijn ook mensen die hun e-mail ophalen, waarbij de e-mail automatisch van de server wordt verwijderd. Dat doe ik ook (maar dan van mijn eigen server). Ze kunnen bij mij claimen wat ze willen, maar mijn antwoord zal dan altijd zijn dat de e-mail reeds verwijderd is. En of die e-mail nog op mijn pc staat, dat weten zij niet, en daar hebben ze ook niets mee van doen. De e-mail is van de server verwijderd. Punt.
03-07-2014, 14:15 door
Overcome
Door Anoniem:
Het helpt alleen niet in alle situaties. En mocht e-mailversleuteling ooit nog eens aanslaan bij een groot publiek dan kan je erop wachten dat hulpvaardige softwareleveranciers zorgen dat hun software ontbrekende publieke sleutels automatisch ophalen, zodat het alsnog foutgaat. Gemak dient de mens, maar veiligheid vergt soms iets anders dan maximalisatie van het gemak. Het vergt ook zorgvuldigheid, nog eens een keer extra nakijken of je wel de goede gegevens hebt ingetypt, kopiëren en plakken in plaats van overtypen om typefouten te voorkomen, of dubbel invoeren, dat soort dingen.
Door Overcome: Het artikel geeft niet aan of de verstuurde gegevens versleuteld waren of niet. Gezien de felheid waarmee Goldman Sachs achter de data aan gaat zou het me niet verbazen dat versleuteling van de gegevens niet heeft plaatsgevonden, hoewel dat in dit geval overduidelijk wel had moeten gebeuren.
Mee eens, maar merk wel op dat dat het probleem niet per se had voorkomen. Als ik in mijn e-mailprogramma 'versleutelen' aanvink dan wordt de publieke sleutel van het geselecteerde bestemmingsadres gebruikt. Selecteer ik het verkeerde adres dan wordt de e-mail met de verkeerde publieke sleutel versleuteld, en dan kan de foute ontvanger hem nog steeds lezen. Het is natuurlijk wel zo dat je van een onbekende ontvanger geen sleutel zal hebben, dus bij verschrijvingen helpt het.Het helpt alleen niet in alle situaties. En mocht e-mailversleuteling ooit nog eens aanslaan bij een groot publiek dan kan je erop wachten dat hulpvaardige softwareleveranciers zorgen dat hun software ontbrekende publieke sleutels automatisch ophalen, zodat het alsnog foutgaat. Gemak dient de mens, maar veiligheid vergt soms iets anders dan maximalisatie van het gemak. Het vergt ook zorgvuldigheid, nog eens een keer extra nakijken of je wel de goede gegevens hebt ingetypt, kopiëren en plakken in plaats van overtypen om typefouten te voorkomen, of dubbel invoeren, dat soort dingen.
Daarom gebruiken we hier versleutelde Winzip bestanden (AES-256, lang wachtwoord met forse entropie), waarbij het wachtwoord wordt doorgestuurd via sms of WhatsApp. De kans dat zowel het wachtwoord als het bestand naar dezelfde verkeerde persoon wordt gestuurd is minimaal en vanuit een risicoperspectief prima te verdedigen. Hetzelfde kan met versleutelde PDF bestanden gebeuren.
Door Anoniem: Die bank heeft een fout gemaakt en dat is niet het probleem van de ontvanger.
De bank heeft geen fout gemaakt, maar de externe partij die een rapport naar de bank gestuurd heeft. De bank is natuurlijk wel de meest belanghebbende partij om te voorkomen dat anderen dat rapport te zien krijgen. Ik denk ook dat Google er niet op in moet gaan. Google zou hooguit de verzender tegemoet kunnen komen met het wissen van de mail, mocht hij nog niet geopend zijn, maar niet als de beoogde ontvanger er om vraagt.
Goldman Sachs gaat hier gewoon met de billen bloot, ze konden Griekenland failliet laten gaan maar een eenmaal verzonden email terughalen dat lukt helaas niet, er zit geen terugspoel knop op.
03-07-2014, 20:59 door
jep_z11
Het is me onduidelijk wat hier aan de hand is.
Een verkeerd geadresseerde mail, eenmaal verstuurd is toch enkel verantwoordelijkheid van de afzender.
Hoe kan dat mailtje dat kennelijk niet opgehaald is van de server en verwijderd door de (foutief) geadresseerde, een
veiligheidsrisiko voor GoldmanSachs zijn, zo erg dat GS hemel en aarde beweegt Google te dwingen het te wissen?
Eenmaal verstuurd is de geheime informatie nu eenmaal al gelekt. Zelfs al haalt de fout geadresseerde het mailtje helemaal niet op, dat ie het gelezen *kan* hebben is al een lek.
Lijkt me bovendien een volstrekt onredelijke eis, dat Google het mailtje moet wissen. Het is simpelweg niet de rol van een serveradmin aan de mails zelf te komen omdat een netwerkbeheerder zich niet heeft te bemoeien met wat en aan wie iets gestuurd wordt.
Waarschijnlijk is het wettelijk best mogelijk dat Google mailtjes leest of weg gooit, maar het is nu eenmaal een soort van stilzwijgende afspraak dat serverbeheerders niet aan de mail zelf komen, net zoals er een briefgeheim bestaat en een postbode geen brief mag weggooien of lezen.
Of dat bij wet zo vast ligt of niet doet daar eigenlijk niet bij terzake.
In feite wil GS Google dus dwingen tot machtsmisbruik. Op heel kleine schaal, een enkel mailtje, en toch blijft dat machtsmisbruik.
Een verkeerd geadresseerde mail, eenmaal verstuurd is toch enkel verantwoordelijkheid van de afzender.
Hoe kan dat mailtje dat kennelijk niet opgehaald is van de server en verwijderd door de (foutief) geadresseerde, een
veiligheidsrisiko voor GoldmanSachs zijn, zo erg dat GS hemel en aarde beweegt Google te dwingen het te wissen?
Eenmaal verstuurd is de geheime informatie nu eenmaal al gelekt. Zelfs al haalt de fout geadresseerde het mailtje helemaal niet op, dat ie het gelezen *kan* hebben is al een lek.
Lijkt me bovendien een volstrekt onredelijke eis, dat Google het mailtje moet wissen. Het is simpelweg niet de rol van een serveradmin aan de mails zelf te komen omdat een netwerkbeheerder zich niet heeft te bemoeien met wat en aan wie iets gestuurd wordt.
Waarschijnlijk is het wettelijk best mogelijk dat Google mailtjes leest of weg gooit, maar het is nu eenmaal een soort van stilzwijgende afspraak dat serverbeheerders niet aan de mail zelf komen, net zoals er een briefgeheim bestaat en een postbode geen brief mag weggooien of lezen.
Of dat bij wet zo vast ligt of niet doet daar eigenlijk niet bij terzake.
In feite wil GS Google dus dwingen tot machtsmisbruik. Op heel kleine schaal, een enkel mailtje, en toch blijft dat machtsmisbruik.
Door Anoniem: Ja en de postbode is ook verantwoordelijk als je het verkeerde adres hebt op geschreven.
ja, als het het adres van die postpode is. Er staat toch gmail adres! niet domein.com
04-07-2014, 00:55 door
jep_z11
Door Anoniem:
ja, als het het adres van die postpode is. Er staat toch gmail adres! niet domein.com
Door Anoniem: Ja en de postbode is ook verantwoordelijk als je het verkeerde adres hebt op geschreven.
ja, als het het adres van die postpode is. Er staat toch gmail adres! niet domein.com
Het adres is niet *van* Google, het is een gmail adres van een onbekende derde.
Dus wel een post-adres maar geen adres van de postbode zelf.
Hoe kan de postbode verantwoordelijk zijn voor een van de vele postadressen, en al helemaal, voor een vd vele verstuurders van post.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
