Door Briolet: Nee, niet alle info is gelekt. Je voert nml zelf een email adres in om te testen of die gelekt is. In de meeste gevallen zal dit een nieuw adres zijn, die bij lekken voor een nieuwe phishing campagne gebruikt kan worden.
Door Anoniem: Het nadeel van die site is wel dat Google daar een script uitvoert. Voor Google dan een koudkunstje om mail-, IP-adres, browser etc. te koppelen. Ieder beetje data is tenslotte voor Google interessant.
Mensen, verlies alsjeblieft het onderscheid niet uit het oog tussen wat zou kunnen gebeuren en wat er werkelijk gebeurt.
Om met Google te beginnen: open de site in Firefox, open de developer tools en daarin de netwerktab. Vul dan een willekeurig e-mailadres in en kijk wat er aan requests gedaan wordt. Ik zie dan één request, die gaat naar haveibeenpwned.com en ik zie niets naar Google gaan. Het ziet er niet uit alsof Google dat koude kunstje ook werkelijk uitvoert. Waarom Google wel beter uitkijkt om dat soort stunts uit te halen kan ik ook makkelijk bedenken. In hun verdienmodel als advertentienetwerk is data verzamelen over mensen een belangrijke bezigheid, dat klopt. Zodra ze zelfs maar de schijn wekken dat ze vertrouwelijke data die mensen in formulieren invullen verzamelen gooien ze echter hun reputatie als degelijke partij voor analytics en dergelijke compleet te grabbel. In de VS is het ook nog eens zo dat als je dingen flikt waarvan je in je voorwaarden expliciet beloofd hebt ze niet te flikken je behoorlijk draconische boetes opgelegd kan krijgen. Zelfs een reus als Google heeft goede redenen om dat soort ellende te mijden als kiespijn.
Wat haveibeenpwned.com zelf met een ingevuld e-mailadres doet uit zich niet in netwerkverkeer. Dat kunnen we dus niet weten. Het is inderdaad mogelijk dat als die site gehackt wordt er e-mailadressen geoogst worden, en het is inderdaad ook mogelijk dat Troy Hunt niet vertrouwd kan worden en stiekem dat soort rotzooi uithaalt. Zijn er aanwijzingen dat die dingen ook werkelijk gaande zijn? Ik zie ze niet. Troy Hunt lijkt qua achtergrond goed in staat te moeten zijn om de beveiliging van zijn site goed in te richten en bij te houden, en als ik lees wat hij schrijft en wat er over hem geschreven is komt hij over als iemand die gemotiveerd wordt door algemeen belang. Misschien behoren jullie tot de groep mensen die niet kunnen geloven dat algemeen belang, of het belang van anderen, een bron van motivatie kan zijn, maar als dat zo is zegt dat in mijn ogen meer over jullie zelf dan over Troy Hunt. Ik kan op geen enkele manier garanderen dat die site deugt, maar ik zie tegelijk geen enkel geloofwaardig signaal dat die site niet deugt en wel signalen dat het goed zit.
Hoe zie je precies dat hij actief aan het
stelen heeft meegedaan? Een andere partij dan hij heeft een onbeveiligde elasticsearch-database gevonden, hem daarover benaderd en hij heeft meegedaan aan het onderzoek ernaar.
En ja, ongetwijfeld zijn die e-mailadressen in haveibeenpwnd.com opgenomen. Ik weet dat er mensen zijn die dat als heling of medeplichtigheid beschouwen, maar bedenk een paar dingen. Ten eerste verschillen wetten van land tot land, en kan je wat je in een Nederlands wetsartikel leest niet zomaar op de hele wereld projecteren. Ten tweede ligt het vaak veel genuanceerder dan een enkel wetsartikel lijkt aan te geven; zo mogen journalisten vaak best ver gaan in hun onderzoeken omdat journalistiek een belangrijk maatschappelijk doel dient - en dat kan ook gelden voor andere dingen die een belangrijk maatschappelijk doel dienen. Ten derde valt op dat Troy Hunt met haveibeenpwned.com internationale bekendheid geniet en dat als je op zoek gaat naar
juristen die wat hij doet als crimineel beschouwen (en dat heb ik een paar keer geprobeerd naar aanleiding van mensen die vonden dat hij subversief bezig was) het opvallende resultaat is dat internationaal de overheersende mening is dat er niets mis is met wat hij doet en dat het zelfs nuttig is. Als juristen daar kennelijk in het algemeen zo over denken zit het er dik in dat je redenatie waarom het illegaal is iets belangrijks overslaat, en dat is een reden om je af te vragen of je daar wel gelijk in hebt.