Privacy - Wat niemand over je mag weten

ihavebeenpwnd.com is niet gericht op privacy

05-10-2019, 18:50 door Anoniem, 23 reacties
Je kent de site wel, ihavebeenpwnd.com houdt al jouw login gegevens bij van elke website die ooit zijn gehackt geweest en waarvan jij de dupe van bent geworden. Ihavebeenpwnd heeft ervoor gezorgt een zoeksysteem te maken waardoor iedereen zomaar jou kan opzoeken met jouw email, gebruikersnaam, wachtwoord (als ze die weten), etc. en op deze manier kan achter halen waar jij een account hebt aangemaakt. Zelf vind ik 7 accounts op ihavebeenpownd die ik jaren geleden heb aangemaakt met mijn enige email adres die ik ook gebruikte om te mailen naar kennissen en vrienden.

Ik heb troyhunt over dit probleem gemailt en na maanden geen reactie te horen gekregen. Ik denk dat dit probleem gewoon wordt genegeerd, omdat er geen functie in het systeem zit om bepaalde emailadressen/gebruikersnamen etc te blokkeren in de zoekmachine.

Dit is echt luiheid dat leid tot schandaligheid.

Wat vinden jullie ervan?
Reacties (23)
05-10-2019, 19:51 door Anoniem
Gelukkig bepaald iedereen zelf wat hij/zij maakt en gratis aanbiedt, je hoeft het niet te gebruiken.
Neemt niet weg dat ik mijn bedenkingen heb in dit specifieke geval maar om een heel andere reden.
05-10-2019, 20:02 door Anoniem
In plaats van een hele rant op te houden zou je beter kunnen kijken wat je aan het tikken bent. "ihavebeenpwnd.com" wijst naar een dubieuze website (die inderdaad niet op privacy is gericht, dat heb je dan wel weer goed gezien). Je bedoelt waarschijnlijk "haveibeenpwned.com"

Als je iemands adres hebt kun je al bij allerlei websites proberen te registreren en zo zien waar hij of zij een account heeft. Neemt niet weg dat HaveIBeenPwned het wel makkelijker maakt. En sinds meneer Hunt een commerciele partij zoekt kun je ook zijn motieven in twijfel trekken.

Maar dat neemt niet het onderliggende probleem weg, de klootzakken die je e-mailadres lekken omdat het fucking prutsers zijn die niets van security snappen. Al die bedrijven mogen ze van mij opdoeken. Waarom bestaat LinkedIn nog na zo'n groot datalek?! Dat kun je je beter afvragen...
05-10-2019, 20:17 door Anoniem
Goed dat je dit aankaart!

Beste gebruik je daarom standaard, naast het wachtwoord, ook altijd een uniek mailadres. Voorbeeld met pm.me; jouwnaam+willeukerigetekst(a)pm.me.
05-10-2019, 20:38 door Anoniem
Door Anoniem:

[..]
Dit is echt luiheid dat leid tot schandaligheid.

Wat vinden jullie ervan?

Een powned site ligt toch op straat, met of zonder Troy Hunt.
Pech gehad.

Tip: koppel niet je werkmail/primaire mail aan je porno accounts.
05-10-2019, 21:12 door Anoniem
De data die HIBP laat zien, is sowieso al publiek, en niet een compleet overzicht van alle sites waar jij een account hebt gemaakt... Alleen van die sites die gehackt zijn, EN waarvan Troy de data heeft gekegen...

Daarnaast: als ik wil weten of jij een account bij website X hebt, kan ik ook gewoon naar website X gaan, en een nieuwe user proberen aan te maken met jouw email-adres... Als de site tijdens het aanmaken zegt: dit email-adres is reeds in gebruik, weet ik genoeg, en zoniet, dan cancel ik het aanmaken van de user...

Met andere woorden: als je niet wilt laten weten dat jij een account bij website X hebt: gebruik een wegwerp-email-adres tijdens het registereren, of creeer een nieuw email-forward-adres als een wegwerp-adres niet praktisch is bij die website...
05-10-2019, 21:15 door Anoniem
Oh, en je kan niet zoeken op username, en zoeken op wachtwoord laat niet zien wie dat wachtwoord heeft gebruikt, en ook niet op welke websites... alleen hoe vaak een wachtwoord voorkomt in de lijst, en is dus ook niet koppelbaar aan jou...

M.a.w., daar is privacy-technisch wel over nagedacht...
05-10-2019, 21:17 door Anoniem
Oh, en nog wat: er is WEL een opt-out functie:

How the opt-out feature works

HIBP provides an opt-out feature that removes the email address from public visibility. It does this by flagging the record as being opted-out rather than permanently deleting it to ensure that if the email address appears in subsequent data breaches, it doesn't become publicly searchable again.
06-10-2019, 00:08 door Anoniem
Wat wil je precies? Deze dienst is bedoeld om te checken welke sites gekoppeld aan een email adres mogelijk in het verleden gecompromiteerd zijn en dat is precies het resultaat wat je krijgt te zien.

Hoezo privacy? De databases zijn uitgelekt en overal te vinden. Deze site dekt tenminste nog de wachtwoorden af.

Bij een lek is er sowieso geen privacy meer. Dat is boel is ontploft, zaak afgelopen. Die databases zijn wijd verspreid dus die kun je ook nooit laten verwijderen. Dat is vervelend als er bijv. porno sites tussen zitten maar wie loopt jou na via haveibeenpwnd.com? Realistisch... Van mij staat ook dingen online die ik er niet opgezet heb maar een ander maar ach het is maar internet en dat barst van de rommel... Trek het je niet aan. Ik rommel daarom al jaren op internet, geen serieuze onderwerpen meer, alleen domme rotzooi posten want dat heeft het mij ook opgeleverd. What goes around comes around!

Wat voor oplossing stel je zelf voor?

Je kunt ook geen privacy van die site eisen want jij kunt niet aantonen dat jij bent wie je zegt voor een "blokkade", of wil je soms een kopie paspoort gaan opsturen voor een "privacy check"? Dan lek je nog meer privacy gevoelige data. En het doet niets af van het feit dat je data in de handen zijn van alle hackerclubjes ter wereld.
06-10-2019, 08:20 door [Account Verwijderd]
Volgens mij mis je het concept van de genoemde site een beetje....
06-10-2019, 09:24 door Anoniem
Op basis van je wachtwoord kun je niet zoeken, je kunt alleen kijken of jouw wachtwoord gelekt is (ergens, maar niet “waar”).

Op basis van gebruikersnaam kun je niet zoeken.

Op basis van emailadres wel, waarbij je een beperkte lijst te zien krijgt van sites die jouw gegevens hebben gelekt. Dat zijn al publieke lijsten. Jouw emailadres is dus al publiek gemaakt door iemand anders, haveibeenpwnd toont alleen door wie.

Op zich zou het leuk zijn als Troy een optie maakt om een emaildres-zoekactie te kunnen blokkeren, maar daarmee maakt hij dan wel weer publiek dat jij daarvoor kiest.
06-10-2019, 12:00 door [Account Verwijderd]
...Zoals het toneelstuk van Shakespeare: Much ado about nothing.

Wat is dat toch de laatste tijd?
Het Internet computertijdperk beïnvloedt schijnbaar/blijkbaar in toenemende mate labiele(1) mensen. Ik vind het echt triest om zo vaak topics te zien hier van personen die schijnbaar vertwijfeld met hun privacy aan het worstelen zijn. Zij zien achter elke website of in elke email etc. een boze genius schuilgaan die je privéleven belaagt..

Nu weer Troy Hunt. De man heeft gewoon een nobele missie en nu wil hij er een centje aan gaan verdienen. Oef wat is daar nu mis aan? Niemand kan stellen dat aan centjes verdienen iets mis is, dus men gooit het over de boeg dat Troy Hunt 'onze privacy belaagt. Als er geen basis is voor kritiek dan verzint iemand wel een basis voor kritiek. Poneer het woord privacy en bij iedereen (nou ja iedereen...) gaan de antennes op maximale gevoeligheid (0,01 uV)

Ik ben nieuwsgierig naar wie of wat er hierna volgt...

(1) Labiel: wankelbaar. Pathetisch: bovenmatig beïnvloedbaar.
06-10-2019, 12:08 door Anoniem
Er wordt hier altijd over security, avg, GPDR en privacy gepraat. Maar nu stapt men daar even snel overheen.

TS heeft hier een goed punt. Er zou een extra controle achter de controle moeten zitten, dat de aanvrager ook toegang heeft tot het email adres. Vanuit Privacy een gewenst oplossing.

Door EnGeeX: Volgens mij mis je het concept van de genoemde site een beetje....
En jij de vraag van TS.
De vraag is namelijk volledige valide.
Er wordt nu even snel een bevestiging gegeven op welke sites dit mail adres gebruikt is, zonder enige controle dat jij ook eigenaar van dit mail adres bent. Dat is een privacy issue, niets meer of minder.

Dat staat los van het nut van de site. Er zou alleen een controle moeten zijn of jij ook eigenaar bent van het mail adres.
06-10-2019, 12:48 door Anoniem
Door Anoniem: Ik heb troyhunt over dit probleem gemailt en na maanden geen reactie te horen gekregen. Ik denk dat dit probleem gewoon wordt genegeerd, omdat er geen functie in het systeem zit om bepaalde emailadressen/gebruikersnamen etc te blokkeren in de zoekmachine.
De functie die je zoekt heet "Opt-out" en staat gewoon in het menu van de website. In dat menu vind je ook iets dat "Privacy" heet en iets dat "FAQs" heet waar een heleboel informatie staat waaruit blijkt dat die site anders werkt dan jij denkt.
Dit is echt luiheid dat leid tot schandaligheid.
Je hebt kennelijk niet werkelijk naar die website gekeken, niet de informatie die er staat gelezen, en misschien wel niet de moeite gedaan om uit te zoeken dat het niet ihavebeenpwned.com maar haveibeenpwned.com is. Wie denk je dat er hier overkomt als schandalig lui?
Wat vinden jullie ervan?
Ik denk dat iemand die een dienst aan meer dan 4 miljard op het internet aangesloten mensen beschikbaar stelt onmogelijk iedereen persoonlijk kan beantwoorden, dat zou ongetwijfeld meer dan een dagtaak opleveren. Dus staan er FAQs op zijn website, en privacy-informatie, legt hij alles wat regelmatig in die vragen langskomt uit aan iedereen die niet te lui is om het zelf te lezen. Dat hij vragen negeert waarvan het antwoord al lang en breed op de website staat vind ik niet verbazingwekkend en niet van luiheid getuigen. Als Troy Hunt lui was geweest had die hele website niet bestaan.

Als je antwoord wilt op de vraag of haveibeenpwned.com legaal is volgens onze privacywetgeving, doe dan eens een zoekactie op "haveibeenpwned avg". De tweede hit die ik op startphage.com zie na de advertenties is van een jurist die die vraag beantwoordt, op deze website nog wel. Deze website heeft zelf trouwens ook een zoekfunctie. Als je niet schandalig lui bent kom je daar verder zelf wel uit, lijkt me.
06-10-2019, 13:36 door Anoniem
Door Wilbert Wintergaard: ...Zoals het toneelstuk van Shakespeare: Much ado about nothing.

Wat is dat toch de laatste tijd?
Het Internet computertijdperk beïnvloedt schijnbaar/blijkbaar in toenemende mate labiele(1) mensen. Ik vind het echt triest om zo vaak topics te zien hier van personen die schijnbaar vertwijfeld met hun privacy aan het worstelen zijn. Zij zien achter elke website of in elke email etc. een boze genius schuilgaan die je privéleven belaagt..

Mijn indruk van de post van TS is niet zozeer iemand die labiel is en overal privacy spoken (of geheime diensten) ziet, maar gewoon iemand die boos is - mijn speculatie [5-10 20:38] is dat iemand in z'n omgeving gezien heeft dat hij ook accounts had op sites waar hij liever niet voor uitkomt. [gok op sex/porno/second love e.d.]

Het soort humor en commentaar dat je altijd ziet als bij een breach van zo'n site de statistiekjes van aantallen .gov of .mil mail adressen genoemd worden. Maar een leermomentje als je er door je vriendjes mee betrapt wordt.
06-10-2019, 15:33 door Anoniem
Door Wilbert Wintergaard: ...Zoals het toneelstuk van Shakespeare: Much ado about nothing.

Wat is dat toch de laatste tijd?
Het Internet computertijdperk beïnvloedt schijnbaar/blijkbaar in toenemende mate labiele(1) mensen. Ik vind het echt triest om zo vaak topics te zien hier van personen die schijnbaar vertwijfeld met hun privacy aan het worstelen zijn. Zij zien achter elke website of in elke email etc. een boze genius schuilgaan die je privéleven belaagt..

Ik ben nieuwsgierig naar wie of wat er hierna volgt...
(1) Labiel: wankelbaar. Pathetisch: bovenmatig beïnvloedbaar.

Sommige mensen worden opzettelijk labiel gemaakt maar dat terzijde want dit lijkt hier niet van toepassing.
Zo kun je ook een complete site in discrediet brengen. Bijvoorbeeld door te trollen met security en privacy onderwerpen, een vorm daarvan is onmogelijk te beantwoorden vragen te stellen.[1]

Hij mist het concept van de site (in een korte zin). Die databases zijn eenmaal uitgelekt. Uitgelekt is uitgelekt. Die druppels water gaan niet meer terug in de kraan. Er wordt dan gevraagd om een oplossing voor privacy[1] terwijl het bij de site ihavebeenpwnd.com om security gaat. Twee verschillende themas die op dit forum toevallig samensmelten, dus logisch om de vraag hier te stellen.

Ik heb de impressie dat de vragensteller de themas privacy en security met elkaar mixed en de achterliggende concepten van haveibeenpwnd.com niet begrijpt. Er zijn veel specialisten hier en ook mensen die net beginnen. Laat iedereen s.v.p. mee doen en serieus op elkaar reageren d.w.z. op een professionele manier zonder de psychiatrie erbij te halen zodat je de ander helpt op een hoger niveau uit te komen. Iemand die een domme vraag stelt is niet labiel of pathetisch of schizofreen of vul je eigen favoriete geestesstoornis maar in. Help elkaar op een intelligente en professionele manier.
06-10-2019, 15:37 door Anoniem
Ik bedenk net dat het inderdaad mogelijk is om een geautomatiseerd systeem te maken waarbij mensen met een email adres een mailtje kunnen aanvragen en beantwoorden om van de site gefilterd te worden. (Niet eens een snede in de databases, gewoon niet op te vragen)

Misschien hebben ze dat toegepast op die site (zie FAQ hierboven genoemd). Zelf ben ik te lui om daar te gaan kijken maar dit zou technisch makkelijk zijn, een opt-out filtertje. Daar stond ik gisteren niet bij stil.
06-10-2019, 15:44 door botbot - Bijgewerkt: 06-10-2019, 15:44
zomaar jou kan opzoeken met jouw email, gebruikersnaam, wachtwoord (als ze die weten),

En daar gaat het dus fout. Waarom weten ze jouw wachtwoord? En belangrijker, veel belangrijker: waarom gebruik jij dat wachtwoord ook bij andere sites? En waarom is jouw wachtwoord niet een random gegenereerde tekenreeks van 20 of 25 karakters?

Het niet toepassen van een goed wachtwoord beleid bij jezelf leidt tot die schadelijkheid en luiheid. Oh ff snel een accountje aanmaken wachtwoord: BananeNijSje!2#4%, zo lekker veilig wachtwoord, en omdat ik die ken ga ik hem op nog 15 accounts gebruiken. Sorry hoor, maar dan ben je zelf dom bezig, en als mensen daar misbruik van maken is dat je eigen fout.
06-10-2019, 19:39 door Anoniem
Door Anoniem:Er wordt nu even snel een bevestiging gegeven op welke sites dit mail adres gebruikt is, zonder enige controle dat jij ook eigenaar van dit mail adres bent. Dat is een privacy issue, niets meer of minder.

Dat staat los van het nut van de site. Er zou alleen een controle moeten zijn of jij ook eigenaar bent van het mail adres.
Die controle bestaat op de site overigens wel voor de 'domain-search'... Dat kan alleen als je aantoonbaar de eigenaar bent van een domein...

Misschien kan die check ook voor 'gewone' lookups ingebouwd worden, al verhoog je daarmee wel de drempel/maak je het ingewikkelder/minder bruikbaar voor de 'gewone' gebruiker...Da's een afweging die gemaakt moet worden/waarschijnlijk al gemaakt is...
07-10-2019, 11:50 door Anoniem
Het lijkt me een interessante om te zien hoe dit AVG-technisch allemaal in elkaar steekt. Misschien iets voor Arnoud Engelfriet!
07-10-2019, 12:34 door Anoniem
helemaal de weg kwijt, betreft hier opensource data die gebruikt wordt. ja het zal een hoop mensen dwars zitten...pech gehad ! dan had je maar betere credentials moeten bedenken! oja en bashen op de ''nieuws brenger"haveibeenpwnd diep triest. zoals ik zei allemaal opensource data! en zint het je niet ? zet je opsec goed inelkaar!
07-10-2019, 13:22 door Anoniem
Een powned site ligt toch op straat, met of zonder Troy Hunt.

Sommige mensen klagen nu eenmaal graag.
08-10-2019, 12:55 door Anoniem
Je kunt er zo weinig mee.. Vul eens in google "mijnemail@whatever.com" met quotes. EN je zult dumps gaan vinden via Google. Dus Troy Hunt de schuld geven voor het hunten is overbodig. HIj heeft alleen de zoekmachine bedacht.
08-10-2019, 14:57 door Anoniem
Door Anoniem: Het lijkt me een interessante om te zien hoe dit AVG-technisch allemaal in elkaar steekt. Misschien iets voor Arnoud Engelfriet!
Dan suggereer ik dat je met een goed geformuleerde zoekopdracht de juridische vraag opzoekt waarin het aan de orde komt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.