image

Onderzoeker deelt dataset met 572 miljoen gelekte wachtwoordhashes

vrijdag 19 juni 2020, 12:08 door Redactie, 22 reacties

Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned heeft een nieuwe versie van zijn "Pwned Passwords" dataset beschikbaar gemaakt. Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen.

Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben.

De eerste versie van Pwned Passwords bestond uit 306 miljoen wachtwoordhashes. Met de lancering van versie 6 is dat naar 572 miljoen wachtwoordhashes gestegen, een toename van 17,3 miljoen wachtwoorden ten opzichte van versie 5 die een jaar geleden uitkwam. Naast de hash van het wachtwoord wordt ook aangegeven hoe vaak het wachtwoord in de betreffende datalekken is voorgekomen. De dataset is als bestand te downloaden, maar ook door websites online te gebruiken. Die kunnen gebruikers zo waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt en daardoor kwetsbaarder voor aanvallen is.

In eerste instantie bestond de dataset alleen uit SHA-1-wachtwoordhashes. Hunt kreeg echter het verzoek om de dataset met wachtwoordhashes ook als NTLM-hashes aan te bieden. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund.

Door de gestolen wachtwoorden als NTLM-hashes beschikbaar te maken kunnen Active Directory-beheerders kijken of die hashes met de wachtwoordhashes in hun AD-omgeving overeenkomen. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen.

Reacties (22)
19-06-2020, 12:26 door [Account Verwijderd]
Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen.
Ter herinnering, in Nederland is strafbaar om te handelen in gestolen gegevens. Bovendien nergens voor nodig, als je je beveiliging wilt verbeteren kan je veel beter overstappen op veiligere inlogmethoden zoals die gebaseerd op asymmetrische cryptografie, dan denken dat server-side opgeslagen wachtwoorden de moeite waard zijn.
19-06-2020, 12:41 door Anoniem
Door iatomory:
Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen.
Ter herinnering, in Nederland is strafbaar om te handelen in gestolen gegevens.
Wie heeft het hier over handelen in gestolen gegevens?

Bovendien nergens voor nodig, als je je beveiliging wilt verbeteren kan je veel beter overstappen op veiligere inlogmethoden zoals die gebaseerd op asymmetrische cryptografie, dan denken dat server-side opgeslagen wachtwoorden de moeite waard zijn.
Dit is een klassiek staaltje probleemwegwimpelen wat je vaak tegenkomt onder computerjongens. "Wat, fijnstofproblemen? ah joh we herbouwen het wegennet wel naar monorail, probleem opgelost!" "Asymmetrische cryptografie" lost veel problemen op maar niet dit probleem. Want zodra je met externen te maken hebt kom je er (nog?*) niet onderuit om wachtwoorden te ondersteunen. Dat, of je geeft het probleem aan een derde partij zoals facebook of google... en daarmee haal je jezelf en je gebruikers ook weer een berg problemen op de hals.

* Alle vervangers tot nu toe hebben ook "geef het probleen aan een derde partij" als defining property of blijken op een andere manier [X] Ongeschikt om wachtwoorden te vervangen in de praktijk.
19-06-2020, 13:57 door Anoniem
Door Anoniem:
Door iatomory:
Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen.
Ter herinnering, in Nederland is strafbaar om te handelen in gestolen gegevens.
Wie heeft het hier over handelen in gestolen gegevens?

De gegevens die Troyke de Hunter in zijn zoekmachine heeft staan zijn afkomstig van diefstal.
Hij heeft aktief mee gedaan aan die diefstal en/of van diefstal afkomstige gegevens in zijn database opgenomen.

Zie ook https://www.security.nl/posting/657177/Onbeveiligde+Elasticsearch-server+lekt+23+miljoen+e-mailadressen
19-06-2020, 13:59 door Anoniem
https://www.security.nl/posting/657177/Onbeveiligde+Elasticsearch-server+lekt+23+miljoen+e-mailadressen


Ik zal het nog een keer in Jip en Janneke taal uitleggen.

Ik ben hacker Hans (fictief) en breek in bij 500pixels.com (fictief).
Vervolgens steelt Hansje daar 14.8 miljoen email adressen en zet deze op een website copypasta.com (fictief natuurlijk)
Daarna ziet Troyke de Hunter (fictief) die adressen op copypasta.com staan en frot deze in een database.

Of Troyke de Hunter doet actief mee (Zoals hierboven) aan het "zich toegang verschaffen" tot een computer die niet van hem is en haalt daar 23 miljoen adressen weg en frot deze ook in zijn database.

Hij komt er mee weg omdat hij de database aanbiedt voor een "nobel" doel namelijk maar het is heling en diefstal.

Als Troyke de Hunter genoeg geld had gekregen voor zijn website was hij overstag gegaan dan zou de wereld te klein zijn.


gr,
Hansje W.
19-06-2020, 14:02 door Anoniem
Door Anoniem: Wie heeft het hier over handelen in gestolen gegevens?
Met handelen bedoel ik niet diect dat HIBP op geld uit is. Al moet je ook niet vergeten dat HIBP geen stichting of goed doel is, maar gewoon een bedrijf dat database dumps van het internet verzameld en doorzoekbaar maakt. Het verzamelen, voor handen hebben en beschikbaar stellen van dit soort gegevens is in Nederland strafbaar:
Artikel 139g
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:
a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen
b. ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

Persoonlijk wacht ik nog op de dag dat ik mijn eigen mailadres bij Scatted Secrets tegen kom. Want dan zal echt blijken of dit soort bedrijven (soms tegen betaling) wel door de beugel kunnen en het 'algemeen belang' dienen.
19-06-2020, 15:20 door Anoniem
Door Anoniem: Het verzamelen, voor handen hebben en beschikbaar stellen van dit soort gegevens is in Nederland strafbaar:
Artikel 139g
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:
a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen
b. ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.
Als je citeert, doe dat dan niet selectief:
Artikel 139g
1 Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:
a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
b. ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.
2 Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.
Ik ben geen jurist, maar ik vermoed dat dat tweede punt Troy Hunt vrijpleit.

Was er een reden om dat weg te laten?
19-06-2020, 15:35 door Anoniem
Het zal zeker aan mij liggen, maar ik heb 2x moeten lezen om nu te begrijpen wat precies het probleem / risico is. Het zijn toch alleen hashes? Waarom zou dit nu erg zijn? Je kunt er niet direct mee inloggen, en even 'unhashen' lijkt me niet zo makkelijk.....
19-06-2020, 16:06 door [Account Verwijderd] - Bijgewerkt: 19-06-2020, 16:07
Door Anoniem: Je kunt er niet direct mee inloggen, en even 'unhashen' lijkt me niet zo makkelijk.....
99.9% is al gekraakt: https://hashes.org/leaks.php?id=515

Door Anoniem:Was er een reden om dat weg te laten?
Ja, zoals ik al schreef lijkt het er niet op dat dit soort diensten een 'algemeen belang' nastreven.

Allereerst is het zo dat HIBP (maar ook Nederlandse diensten als Scattered Secrets) helemaal geen beroep doet op een soort algemeen belang. HIBP benoemt dat het o.a. inzichtelijk wil maken wat de omvang is van grote datalekken. Begrijpelijk, maar geen verklaring waarom je dat verplicht om een database met miljoenen mailadressen op te tuigen. Als je verder het belangrijk zou vinden dat mensen geïnformeerd worden over het feit dat hun wachtwoord is gelekt, waarom stuur je dan alleen een melding naar iedereen die zich eerst heeft aangemeld op jou (betaalde, Scattered Secrets) dienst? En waarom denk je dat dit nodig is, bovenop de meldplicht bij datalekken zoals wij die hier in de EU hebben? En waarom vereist dit belang dat al deze gegevens ook nog tot in de oneindigheid worden opgeslagen op Troy Hunt zijn servers?

Kortom, nergens blijkt uit welk 'algemeen belang' er precies nagestreefd wordt (anders dan clicks en hits op de site van een commercieel bedrijf) en waarom het daarbij vereist zou zijn dat je de gesloten inloggegevens van miljoenen internet gebruikers in een database moet bewaren. HIBP als Australisch commercieel bedrijf heeft uiteraard lak aan onze Nederlandse wetgeving, dat neemt niet weg dat ook in NL/EU dit soort bedrijfjes bestaan.
19-06-2020, 16:15 door Briolet
Door Anoniem: Het zal zeker aan mij liggen, maar ik heb 2x moeten lezen om nu te begrijpen wat precies het probleem / risico is. Het zijn toch alleen hashes? Waarom zou dit nu erg zijn? Je kunt er niet direct mee inloggen, en even 'unhashen' lijkt me niet zo makkelijk.....

Er is geen probleem/risico. Er staat alleen dat ze beschikbaar zijn. b.v. om te vergelijken met hashes van jou gebruikers. Dan kun je ze waarschuwen dat ze geen uniek wachtwoord gekozen hebben. Lees b.v. de laatste alinea.
19-06-2020, 17:17 door Anoniem
Door iatomory:
Door Anoniem:Was er een reden om dat weg te laten?
Ja, zoals ik al schreef lijkt het er niet op dat dit soort diensten een 'algemeen belang' nastreven.

Allereerst is het zo dat HIBP (maar ook Nederlandse diensten als Scattered Secrets) helemaal geen beroep doet op een soort algemeen belang.
Nee?
I created HIBP as a free resource for anyone to quickly assess if they may have been put at risk due to an online account of theirs having been compromised or "pwned" in a data breach. I wanted to keep it dead simple to use and entirely free so that it could be of maximum benefit to the community.
https://haveibeenpwned.com/About
Nadruk door mij toegevoegd. Hoe expliciet wil je geformuleerd zien dat algemeen belang het doel is? En aangezien het heel makkelijk te vinden op die website staat, hoe kom je erbij dat HIBP geen beroep op algemeen belang doet?

En waarom vereist dit belang dat al deze gegevens ook nog tot in de oneindigheid worden opgeslagen op Troy Hunt zijn servers?
2 Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.
Iemand die te goeder trouw aanneemt dat het het een vereiste is is al niet strafbaar. Ik denk dat de dienst die HIBP biedt, je laten controleren of je wachtwoord in een verzameling gelekte wachtwoorden voorkomt, het algemeen belang dient op een manier die niet gerealiseerd kan worden zonder hashes van wachtwoorden op te slaan. Omdat HIBP werkelijk iets toevoegt denk ik dat Troy Hunt, mocht hij volgens Nederlands strafrecht vervolgd worden ervoor, heel sterk zou staan.

Merk trouwens op dat niet de wachtwoorden op de server staan maar hashes ervan.

Kortom, nergens blijkt uit welk 'algemeen belang' er precies nagestreefd wordt (anders dan clicks en hits op de site van een commercieel bedrijf) en waarom het daarbij vereist zou zijn dat je de gesloten inloggegevens van miljoenen internet gebruikers in een database moet bewaren. HIBP als Australisch commercieel bedrijf heeft uiteraard lak aan onze Nederlandse wetgeving, dat neemt niet weg dat ook in NL/EU dit soort bedrijfjes bestaan.
Het blijkt wel degelijk welk algemeen belang wordt nagestreefd, als je niet je uiterste best doet om eroverheen te lezen. Het online-systeem bevat e-mailadressen en hashes van wachtwoorden, waarbij de koppeling tussen e-mailadressen en hashes niet is vastgelegd. Ga niet doen of daar kant en klare inloggegevens te verkrijgen zijn, zo werkt het niet.

HIBP is begonnen als gratis dienst en het kan nog altijd gratis gebruikt worden. Je kan doneren om te helpen de kosten te dekken. Wel heeft Troy Hunt op een gegeven moment rate limiting ingevoerd en met commerciële grootverbruikers contracten afgesloten voor hun gebruik. Het is dus deels commerciëel geworden, maar je negeert de voorgeschiedenis en de motieven waarmee die begonnen is, en het feit dat het grootschalig gebruikt wordt en dat er een prijskaartje aanhangt om dat te kunnen bieden, naast alle tijd die het kost om dit te doen. Ik kan het Troy Hunt niet kwalijk nemen dat hij daar voorzieningen voor treft. Dat is nog steeds een heel andere insteek dan de winstmaximalisatie van menig commercieel bedrijf.

Er is je kennelijk veel aan gelegen om HIBP in een zo negatief mogelijk daglicht te zetten. Je doet daarbij alsof makkelijk te vinden informatie die je daar niet bij helpt er helemaal niet is, en gebruikt selectief wat nuttig voor jou is om je negatieve beeld mee te onderbouwen. Ik vraag me af waarom. Wat is jouw agenda?
19-06-2020, 19:47 door Anoniem
Door iatomory:
Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen.
Ter herinnering, in Nederland is strafbaar om te handelen in gestolen gegevens. Bovendien nergens voor nodig, als je je beveiliging wilt verbeteren kan je veel beter overstappen op veiligere inlogmethoden zoals die gebaseerd op asymmetrische cryptografie, dan denken dat server-side opgeslagen wachtwoorden de moeite waard zijn.
Deze wet geldt alleen in Nederland. Niet in Australië.
19-06-2020, 20:10 door [Account Verwijderd] - Bijgewerkt: 19-06-2020, 20:12
Door Anoniem:Er is je kennelijk veel aan gelegen om HIBP in een zo negatief mogelijk daglicht te zetten. Je doet daarbij alsof makkelijk te vinden informatie die je daar niet bij helpt er helemaal niet is, en gebruikt selectief wat nuttig voor jou is om je negatieve beeld mee te onderbouwen. Ik vraag me af waarom. Wat is jouw agenda?

Zoals je beschrijft is HIBP in het verleden begonnen met een nobel doel, namelijk het inlichten van gebruikers dat hun gegevens zijn gelekt. Vroeger was het niet gebruikelijk was dat mensen daarvan op de hoogte gesteld werden en konden ze dat via HIBP terug zoeken. Echter leven we nu in een tijd waar wettelijk staat vastgelegd is dat gebruikers op de hoogte moeten worden gesteld van een data. In de praktijk gebeurt dat niet altijd of is niet duidelijk bij die een dump vandaan komt, maar voor zover ik het zie zijn dat uitzonderingen op de regel. Mijn inziens had Troy Hunt op dat moment moeten besluiten dat HIBP geen toegevoegde waarde meer had. (Daarvoor had je al kunnen afvragen wat je moet met een database met persoonsgegevens als je niet actief mensen gaat informeren, immers slaat het nergens op al die mailadressen oneindig lang bewaard blijven.)

Mijn agenda is dus hardop afvragen of dat wat vroeger nog onder het acceptabel zou zijn onder de noemer 'onderzoek'/'kijk hier of je gegevens gelekt zijn want niemand anders vertelt het je' vandaag de dag nog steeds op gaat. Mijn inziens is dat niet meer het geval en kan je dus ook niet meer spreken van een soort 'algemeen belang'. Let ook op, het feit dat HIBP dit doet (en ongetwijfeld op een van de meest privacy vriendelijke manieren) gelijk betekend dat een hele serie grijze bedrijven hetzelfde gaan doen. Waar trek jij de grens tussen wat nog moreel verantwoord is en wat niet meer? Geld vragen om je eigen gegevens in te zien? Wanneer je gegevens van anderen kan opvragen? Of als je actief je website gaat promoten op het darkweb?

In het artikel hier gaat het echter nog over Pwnd Passwords waarvan ik het nut uiteraard nog wel kan inzien (als filter van gelekte wachtwoorden om zo password spraying te voorkomen). Met als kanttekening uiteraard dat je veel beter van wachtwoorden kunt afstappen.
19-06-2020, 20:52 door Anoniem
klaarblijkelijk waren deze hashes niet 'salted'? laat staan dat er 'peper' is gebruikt op de plekken waar die hashes vandaan komen...
19-06-2020, 20:56 door Anoniem
Ter herinnering, in Nederland is strafbaar om te handelen in gestolen gegevens.

Ter herinnering, de onderzoeker in dit artikel valt onder Australische wetgeving.
20-06-2020, 08:54 door Anoniem
Door iatomory: Echter leven we nu in een tijd waar wettelijk staat vastgelegd is dat gebruikers op de hoogte moeten worden gesteld van een data. In de praktijk gebeurt dat niet altijd of is niet duidelijk bij die een dump vandaan komt, maar voor zover ik het zie zijn dat uitzonderingen op de regel.
Het is onder druk van de AVG aan het verbeteren, maar ik denk dat het wat optimistisch is om te denken dat we er al min of meer zijn.
Mijn inziens had Troy Hunt op dat moment moeten besluiten dat HIBP geen toegevoegde waarde meer had.
Zou de interesse in de dienst niet vanzelf tot een marginaal niveau teruglopen als hij geen toegevoegde waarde meer had? Ik denk dat de aanhoudende populariteit ervan je ongelijk geeft. Maar het is te hopen dat je gelijk krijgt en de belangstelling ervoor verpietert omdat de dienst niets meer toevoegt.

Mijn agenda is dus hardop afvragen of dat wat vroeger nog onder het acceptabel zou zijn onder de noemer 'onderzoek'/'kijk hier of je gegevens gelekt zijn want niemand anders vertelt het je' vandaag de dag nog steeds op gaat.
Daar is helemaal niets mis mee.
Mijn inziens is dat niet meer het geval en kan je dus ook niet meer spreken van een soort 'algemeen belang'.
Ik denk dat je die conclusie te vroeg trekt, maar dat is natuurlijk mijn mening maar. Dat ik op je reageerde lag aan wat anders: ik kreeg de indruk dat je niet bezig was je dingen af te vragen en te verifiëren of de beschikbare informatie dat beeld bevestigt maar dat je je conclusie al getrokken had en selectief informatie toeliet of juist negeerde om maar naar de gewenste conclusie toe te kunnen redeneren.
Let ook op, het feit dat HIBP dit doet (en ongetwijfeld op een van de meest privacy vriendelijke manieren) gelijk betekend dat een hele serie grijze bedrijven hetzelfde gaan doen.
Dat is niet de verantwoordelijkheid van Troy Hunt. Als je alles waar twijfelachtige naäpers op duiken gelijk stelt aan wat die naäpers doen dan is er schrikbarend veel waar de samenleving beter mee kan ophouden.
Waar trek jij de grens tussen wat nog moreel verantwoord is en wat niet meer? Geld vragen om je eigen gegevens in te zien? Wanneer je gegevens van anderen kan opvragen? Of als je actief je website gaat promoten op het darkweb?
Er zijn zeker grenzen, maar ik schud op dit moment niet even uit mijn mouw waar die voor mij nou precies liggen. Wat ik over HIBP heb gelezen en wat Troy Hunt zelf schrijft over hoe hij het heeft aangepakt en waarom heeft bij mij nog geen alarmbellen doen afgaan, en dat is volgens mij waar het over ging.
20-06-2020, 11:29 door Briolet
Door Anoniem:https://haveibeenpwned.com/About
Nadruk door mij toegevoegd. Hoe expliciet wil je geformuleerd zien dat algemeen belang het doel is? …

Dat is een beetje naïef om een bewering van "wij van wc-eend" als bewijs te zien. Als ik iets laakbaars doe, zou ik het op mijn eigen website ook als nobel doel omschrijven.
20-06-2020, 14:09 door Anoniem
ik ben wel blij met de service van troy; ik weet nu vrij duidelijk welke organisaties het niet zo nauw nemen met andermans gegevens. dat kan wat mij betreft niet openbaar en duidelijk genoeg bekend gemaakt worden. ik denk dat er vele anderen hier ook last hebben van de linkedin saga en hun profesionele e-mail adres niet kunnen aanpassen of vervangen en dus flink at meer spam ontvangen:

https://en.wikipedia.org/wiki/2012_LinkedIn_hack
https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/
https://haveibeenpwned.com/PwnedWebsites

we hebben vaak de mond vol van it en security bij de overheid, maar laat deze lijst en de observaties van troy duidelijk maken dat het bij bedrijven vaak nog droeviger aan toe gaat. het wordt alleen niet zo openbaar gemaakt.
20-06-2020, 14:31 door [Account Verwijderd]
Door Anoniem: Ik denk dat je die conclusie te vroeg trekt, maar dat is natuurlijk mijn mening maar. Dat ik op je reageerde lag aan wat anders: ik kreeg de indruk dat je niet bezig was je dingen af te vragen en te verifiëren of de beschikbare informatie dat beeld bevestigt maar dat je je conclusie al getrokken had en selectief informatie toeliet of juist negeerde om maar naar de gewenste conclusie toe te kunnen redeneren.
Mijn posts zijn vaak wat scherp en ongenuanceerd geformuleerd, maar dat wil niet altijd zeggen dat ik mij niet bewust ben van die nuance. Wat dat betreft denk ik dat de discussie nu beide kanten van het verhaal beschreven heeft. Het laatste woord over of dit soort diensten nu wel of niet het algemeen belang dienen zal nog niet gesproken zijn, al is het natuurlijk wel interessant om te zien waar verschillende mensen die grens trekken.
20-06-2020, 15:24 door Anoniem
Door Briolet:
Door Anoniem:https://haveibeenpwned.com/About
Nadruk door mij toegevoegd. Hoe expliciet wil je geformuleerd zien dat algemeen belang het doel is? …

Dat is een beetje naïef om een bewering van "wij van wc-eend" als bewijs te zien.
Helemaal niet. Je stelde niet dat er iets staat wat je niet gelooft, je stelde dat het er niet staat:
Allereerst is het zo dat HIBP (maar ook Nederlandse diensten als Scattered Secrets) helemaal geen beroep doet op een soort algemeen belang.
En ik heb laten zien dat het er wel degelijk staat. Dat is niet naïef, dat is je met je neus op de feiten drukken. Het is geen bewijs dat hij de waarheid spreekt over algemeen belang als doel, maar wel dat hij aangeeft dat dat het doel is, en dus dat hij er wel degelijk een beroep op doet, precies wat jij beweerde dat hij niet doet.

Als een uitspraak op een website staat en jij gelooft hem niet, dan is het daarmee niet zo dat die uitspraak niet op die website staat. Als jij dat toch beweert dan ben je zelf onwaarheden aan het verkondigen. Doe je zoiets bewust dan heet dat liegen.

Als ik iets laakbaars doe, zou ik het op mijn eigen website ook als nobel doel omschrijven.
Ik niet. Voor mij klinkt dit alsof je je prima kan inleven in een oplichter maar niet in iemand die iets vanuit eerlijke motieven doet.

Hoe dan ook, wat Troy Hunt als doel van HIBP noteert is geen bewijs dat hij geen andere agenda heeft. Het is ook geen bewijs dat hij wel een andere agenda heeft. Mijn indruk ervan is echt niet alleen daarop gebaseerd, maar ook op de vele berichten erover die ik al jaren her en der tegenkom. Daaruit heb ik alleen maar de indruk gekregen dat HIBP precies is wat het pretendeert te zijn, en niet iets anders.
20-06-2020, 15:28 door Anoniem
Door Briolet:
Door Anoniem:https://haveibeenpwned.com/About
Nadruk door mij toegevoegd. Hoe expliciet wil je geformuleerd zien dat algemeen belang het doel is? …

Dat is een beetje naïef om een bewering van "wij van wc-eend" als bewijs te zien. Als ik iets laakbaars doe, zou ik het op mijn eigen website ook als nobel doel omschrijven.
Aanvulling op mijn (op dit moment nog niet geplaatste) reactie van zojuist: ik zie nu pas dat ik op Briolet reageerde, niet op iatomory. Sorry dat ik jullie door elkaar haalde.
20-06-2020, 18:27 door Anoniem
Ik ben hier fel tegen.
20-06-2020, 23:04 door Anoniem
Door Anoniem: Ik ben hier fel tegen.

het probleem met het verstoppen van de vuile was is dat er nooit echt gewassen wordt. net als "zachte heelmeesters maken stinkende wonden".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.