T.s. hier,
Aanvulling :
1) Met name bij de
Cineville organisatie, die vele tienduizenden klanten moet hebben, realiseerde ik mij na het plaatsen van de forum post dat
achter het inlogscherm mogelijk veel meer persoonsgegevens moeten staan omdat mensen een maandabonnement kunnen afsluiten en ook een pasfoto moeten uploaden voor hun pas.
De kans is dus groot dat daar extra gegevens zijn aan te treffen als naam, adres, bank/girorekeningnummer voor automatische afschrijving en een pasfoto voor de pas.
Met het inbreken op de niet beveiligde verbinding heb je dan de volgende persoonsgegevens.
• Wachtwoord om in te loggen
• Gebruikersnaam
• Pasfoto
• Geboortedatum
• Adres woonplaats
• Bank/giro rekeningnummer
• Pasnummer
• E-mailadresAls dat zo is dan zijn dat een heleboel persoonsgegevens die niet veilig worden beheerd met het aanbieden van een verbinding over http.
Wat heb je nog meer nodig voor sterke fraude? Ja, het sofinummer staat er niet bij inderdaad.
Stelt de Autoriteit Persoonsgegevens (voormalig College Bescherming Persoonsgegevens) hier eigenlijk niet ergens concrete eisen aan het beheer en transport van gevoelige persoonsgegevens of heeft het daarvoor een gedragscode?2) @ 15:02 door Anoniem
Ik schijf gemiddeld 1 keer per week een partij aan en soms is dat met succes
Nobel van je, die route neem ik
(eigenlijk) niet
(meer)Expres niet omdat ..., vul maar in
(geen gehoor of negatieve reactie).Met een publieke discussie starten hoop ik meer bereik te hebben dan bij 1 persoon binnen 1 organisatie waarvan de grote kans is dat die het laat zitten.
Met de illustratie hier wil ik dus jullie
(lezers) wakker maken en helpen meekijken.
Ik vermoed namelijk dat dit binnen de culturele sector breed aan de hand is en misschien wel daar security wat/nog lager op de agenda staat dan elders.Jullie 'techns' gaan vast ook wel eens ergens iets cultureels doen
(neem het mee en kijk ernaar).
Het staat je/jouw/jullie verder vrij te proberen die Cineville organisatie te overtuigen. Daarbij eventueel nog te attenderen op deze publieke discussie natuurlijk..
En anders in de hoop dat klanten zelf ook gaan vragen stellen/gaan klagen.
Want, let wel : die organisatie bestaat al jaren en is inmiddels zo groot dat het argument van https implementatie te zijn vergeten niet meer geloofwaardig overkomt, het is een aanname maar ik denk dat het een keuze is.
Een onterechte dan want met 38 aangesloten theaters over het hele land, dat gaan echt over essentiële persoonsgegevens van heel veel mensen.
Als eerder gesteld; een ideaal homogene groep om te targeten als je er misbruik van zou willen maken
(en dat willen we nou juist niet!).
3) 16:30 door Anoniem
Even een opmerking over www.lantarenvenster.nl:
https toegang is wel mogelijk, maar http wijst niet automatisch door naar https. Me dunkt toch een lompe security fout.
Bij bezoek van de website had ik de addon
"HTTPS Everywhere" geactiveerd en ging er daarmee voetstoots vanuit dat als er https zou zijn geïmplementeerd ik dan ook redirected zou worden naar de https versie.
Kennelijk staan zij nog niet op de lijst van
"HTTPS Everywhere".
Beter was het geweest dat ze zelf dit verhelpen, in de tijd dat ze toch geen eigen programmering hebben in verband met het Rotterdamse Filmfestival waarvan ze de films nu vertonen.
Wederom, voel je vooral vrij om te mailen met een technische onderbouwing die ik er niet bij kan geven door gebrek aan kennis.
Een technische onderbouwing maakt wellicht wat meer indruk dan mijn
"héhallo moet je horen.."->> •) Vooralsnog kan ik alleen maar hopen dat deze post door veel mensen, die af en toe wat cultureels doen, gelezen wordt en dat zij
als klanten individueel organisaties gaan attenderen en vragen om correcte omgang met de eigen persoonsgegevensL:
het kwalitatief beschermen/afschermen van persoonsgegevens.
Groet
T.s.