Privacy - Wat niemand over je mag weten

BSN nummer gestolen in buitenland

25-01-2024, 15:37 door Anoniem, 41 reacties
Ik ben terug van een vakantie in Azie (Thailand-Laos-Cambodja) en in een lokatie daar stelden ze het bij meerdere hotels in die plaats verplicht onder "lokale wet" dat ze mijn paspoort voorblad moeten kopieren. Nu heb ik een ouder model waar de BSN er nog bij opstaan op de voorkant (maar dit staat ook in de 2 regels machinetaal beneden)

Allemaal geen probleem en ik ging uit van goed vertrouwen. Maar een paar weken later heb ik vernomen dat dat specieke hotel (zo'n 1* lokatie) eem louche onderneming was, waarbij meerdere mensen al slachtoffer zijn geworden omdat hun paspoort gegevens werden misbruikt voor louche scams

Bij enkele waren zelfs de social security of BSN nummer gebruikt om door de scammers informatie op te vragen bij verzekeraars van de reiziger

Nu de vraag hoe kan het dat dit BSN gegeven wat alleen voor de overheid/verzekeraars is, gewoon niet te veranderen is bij diefstal ? Ze hebben het tegenwoordig wel op de achterkant van het voorblad gezet maar bij diefstal is er niks aan te doen.
Het is alleen een overheidsnummer dus het kan gebruikt worden voor phishing en verdere data diefstal , bij zorgveleners

Is dit te moeilijk voor de overheid om te veranderen ofzo?
Reacties (41)
25-01-2024, 16:35 door Anoniem
De wet is er heel duidelijk (en fout in): het is niet te veranderen. De fout zit hem in de aanwijzing dat e.e.a. foutloos moet worden uitgevoerd. Dat is natuurlijk geen geldig beginsel. Alles kan fout gaan.

Het moet uiteraard wel te wijzigen zijn, en in de wet moet zijn opgenomen dat er bij implementatie rekening gehouden moet worden van het wijzigen van het BSN. Het gaat circa 500 keer per jaar fout bij implementatie en daar zijn wel procedures voor. Dat het arbeidsintensief is, is geen geldig argument. Dat betekent dat er niet op is gerekend, en daar zit de echte fout.

https://www.tweedekamer.nl/downloads/document?id=2023D32137

Dit rapport geeft geen goede onderbouwing om maar te blijven weigeren. De implementatie moet worden verbeterd.
25-01-2024, 16:40 door Anoniem
Door Anoniem: Ik ben terug van een vakantie in Azie (Thailand-Laos-Cambodja) en in een lokatie daar stelden ze het bij meerdere hotels in die plaats verplicht onder "lokale wet" dat ze mijn paspoort voorblad moeten kopieren. Nu heb ik een ouder model waar de BSN er nog bij opstaan op de voorkant (maar dit staat ook in de 2 regels machinetaal beneden)

Allemaal geen probleem en ik ging uit van goed vertrouwen. Maar een paar weken later heb ik vernomen dat dat specieke hotel (zo'n 1* lokatie) eem louche onderneming was, waarbij meerdere mensen al slachtoffer zijn geworden omdat hun paspoort gegevens werden misbruikt voor louche scams

Bij enkele waren zelfs de social security of BSN nummer gebruikt om door de scammers informatie op te vragen bij verzekeraars van de reiziger

Nu de vraag hoe kan het dat dit BSN gegeven wat alleen voor de overheid/verzekeraars is, gewoon niet te veranderen is bij diefstal ? Ze hebben het tegenwoordig wel op de achterkant van het voorblad gezet maar bij diefstal is er niks aan te doen.
Het is alleen een overheidsnummer dus het kan gebruikt worden voor phishing en verdere data diefstal , bij zorgveleners

Is dit te moeilijk voor de overheid om te veranderen ofzo?
Welke diefstal? Je hebt zelf de informatie gedeeld tegen waarschuwingen in en je bent er onterecht van uit gegaan dat dit een betrouwbare partij was. Je hebt achteraf pas onderzocht hoe betrouwbaar de partij was.

Diefstal nee, Misbruik mogelijk.

Dus je eerste vraag moet zijn aan jezelf was het nu zo moeilijk om gewoon na te denken voor je de pas deelde of uberhaubt ging reizen?
https://www.rijksoverheid.nl/ministeries/ministerie-van-buitenlandse-zaken/het-werk-van-bz-in-de-praktijk/weblogs/2023/vakantie-reizen-thailand-hier-moet-je-aan-denken


Geef nooit je paspoort af
‘Geef in Thailand nooit je paspoort af. Ook niet als dat wordt geëist voor het huren van een auto of scooter. Geef een kopie van je paspoort af, of huur ergens anders.’

1 minuut voorbereiding tijd.

En op je laatste vraag
https://www.rvig.nl/veelgestelde-vraag/kan-ik-een-nieuw-burgerservicenummer-bsn-krijgen

Je kunt geen nieuw Burgerservicenummer (BSN) krijgen. Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.

Dat BSN nummer is niet je probleem kopie van je foto en overige gegevens dat is fraude gevoelig bijna geen enkel bedrijf kan uberhaubt BSN controleren net als dat een handtekening niet te controleren valt.


Beter voorbereiden. Personen, bedrijven standaard wantrouwen op privacy gevoelige data en pas na verificatie van claims informatie delen met watermerk en nooit origineel.

https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs
25-01-2024, 18:57 door Anoniem
informatie delen met watermerk en nooit origineel.
Niet origineel (een kopie) bewijst niks. Lastig.
25-01-2024, 20:22 door Anoniem
Door Anoniem:
informatie delen met watermerk en nooit origineel.
Niet origineel (een kopie) bewijst niks. Lastig.
Geef nooit je paspoort af
‘Geef in Thailand nooit je paspoort af. Ook niet als dat wordt geëist voor het huren van een auto of scooter. Geef een kopie van je paspoort af, of huur ergens anders.’
Dat is het officiele overheids advies en beleid dus niks lastig aan.

Als je te maken hebt met een partij die een origineel zelf wil kopieren dan bel je de polite wegens vermoedelijke illegale praktijken. Zul je zien hoe snel ze ineens het niet meer nodig hebben of nog beter ga naar wel een reputabele establishment.. Zelf mijn bank krijgt enkel kopie met watermerk als ze erom vragen en een hotel heeft al helemaal niks te willen die krijgt niet eens het persoonsnummer te zien en ik laat de receptie tekenen voor de aanname van een kopie van uitgifte.
25-01-2024, 20:38 door Anoniem
"I am not a number, I am a free man"
-- The Prisoner.

Maar die serie hebben ze in Den Haag nooit gezien.
Alles moet identificeerbaar zijn met een nummertje. Alles in zijn eigen genummerde hokje.
En het idee, dat zo'n nummertje door criminelen misbruikt zou kunnen worden, is (blijkbaar) nooit bij ze opgekomen.

Waarom moet dat BSN nummer zo nodig op een reisdocument staan?
Elk reisdocument heeft al een eigen uniek nummer. En een pasfoto. En een handtekening. En vingerafdrukken.
Het BSN is totaal overbodig, als het document alleen voor reizen gebruikt zou kunnen worden.
Een buitenlandse regering of bedrijf heeft dat BSN nummer niet nodig. Het is dus een overbodig gegeven op dat document.
Als iets er niet op of in staat, kan het ook niet misbruikt worden.
Minder is beter.

Een reisdocument (of rijbewijs) zou eigenlijk nooit als identificatie-bewijs misbruikt moeten worden.
Ze zijn oorspronkelijk bedoeld om te reizen. Niet om je bij officele instanties of bedrijven (in Nederland) te identificeren.
Daar gaat het al fout. Gemakzucht van de overheid en bedrijfsleven.
En de burger wordt opgescheept met de sores als het fout gaat.

Misschien die twee functies eindelijk eens scheiden?
Zo maar een idee.
25-01-2024, 21:54 door Anoniem
Door Anoniem: "I am not a number, I am a free man"
-- The Prisoner.

Maar die serie hebben ze in Den Haag nooit gezien.
Alles moet identificeerbaar zijn met een nummertje. Alles in zijn eigen genummerde hokje.
En het idee, dat zo'n nummertje door criminelen misbruikt zou kunnen worden, is (blijkbaar) nooit bij ze opgekomen.

Waarom moet dat BSN nummer zo nodig op een reisdocument staan?
Elk reisdocument heeft al een eigen uniek nummer. En een pasfoto. En een handtekening. En vingerafdrukken.
Het BSN is totaal overbodig, als het document alleen voor reizen gebruikt zou kunnen worden.
Een buitenlandse regering of bedrijf heeft dat BSN nummer niet nodig. Het is dus een overbodig gegeven op dat document.
Als iets er niet op of in staat, kan het ook niet misbruikt worden.
Minder is beter.

Een reisdocument (of rijbewijs) zou eigenlijk nooit als identificatie-bewijs misbruikt moeten worden.
Ze zijn oorspronkelijk bedoeld om te reizen. Niet om je bij officele instanties of bedrijven (in Nederland) te identificeren.
Daar gaat het al fout. Gemakzucht van de overheid en bedrijfsleven.
En de burger wordt opgescheept met de sores als het fout gaat.

Misschien die twee functies eindelijk eens scheiden?
Zo maar een idee.

Je draait de boel om.

Een paspoort is primair een identificatie document en niet perse een reisdocument. En datgene wat jou als persoon uniek maakt in de wereld is je BSN.

En hoe wens om compleet anoniem te kunnen reizen tussen landen, gaat in deze tijd niet lukken.

Een terecht
25-01-2024, 21:59 door Anoniem
Door Anoniem: .... en ik ging uit van goed vertrouwen. Maar een paar weken later heb ik vernomen dat dat specieke hotel (zo'n 1* lokatie) eem louche onderneming was, waarbij meerdere mensen al slachtoffer zijn geworden omdat hun paspoort gegevens werden misbruikt voor louche scams

Heb je er al last van gehad?

Wie zegt dat die reacties niet gewoon gedaan zijn door personen die andere verwachtingen hadden bij een 1-sterren hotel.
25-01-2024, 22:40 door Erik van Straten
@Anoniem 16:40, ik herhaal alles behalve de eerste zin uit https://www.rvig.nl/veelgestelde-vraag/kan-ik-een-nieuw-burgerservicenummer-bsn-krijgen:
Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Alleen "de overheid' komt ermee weg om burgers met zulke leugens het bos in te sturen.

a) Een BSN is helemaal niet "informatieloos", het is een uniek identificerend getal voor de meeste mensen in Nederland.

b) Een geboortedatum is nog veel "informatielozer" want redundante foutendetecterende informatie (zoals een elf-proef) ontbreekt en als een geboortedatum als 01-02-03 wordt opgeschreven, wanneer was dat dan? (Vraag dit ook aan een Amerikaan).

c) In tegenstelling tot bij een BSN kun je een persoon niet uniek "herkennen", in de zin van uniek identificeren, op basis van een geboortedatum, want meestal worden er meerdere mensen op dezelfde dag geboren. Ook bij veel namen is dat het geval. Een BSN is dus juist informatierijker dan alle andere losse (eveneens door mensen bedachte) identificerende gegevens - zoals naam, geboortedatum en -plaats (hoewel het aantal keren dat het vóórkomt beperkt zal zijn, hoeft zelfs de combinatie daarvan niet uniek te zijn en is "geoorloofd" - terwijl een hergebruikt BSN onmiddellijk gecorrigeerd moet worden om chaos te voorkómen).

d) Mensen kunnen wel dégelijk identiteitsfraude plegen met een BSN. Dat feit is krankzinnig, maar het is wel een feit. Anders had het BSN niet naar de achterkant van het paspoort hoeven te verhuizen en zou diezelfde RvIG geen "kopie-ID-app" hoeven aan te bevelen die het BSN verbergt: https://www.rvig.nl/kopieid-app.

Dat identiteitsfraude wel mogelijk is met een BSN, blijkt -zomaar een voorbeeld- uit de privacyverklaring van u-diagnostics.com die ik toevallig vandaag (https://security.nl/posting/826875) tegenkwam. Uit die privacyverklaring [1] (de 4 items zijn door mij genummerd):
Gebruik maken van uw rechten
U kunt uw rechten slechts uitoefenen voor zover de wet u deze rechten toekent en door contact op te nemen via het bovengenoemde e-mailadres van de Functionaris Gegevensbescherming.
Om er zeker van te zijn dat het verzoek door u zelf is gedaan, passen wij een tweefactor authenticatie toe.
We gebruiken hiervoor de cliëntgegevens uit onze eigen administratie om te kunnen controleren doormiddel van:

1) E-mail: na het ontvangen van een verzoek via e-mail een bevestiging te vragen per telefoon. Het opgegeven mobiele nummer moet dan wel kloppen met de cliëntgegevens uit onze administratie.

2) Telefoon: Het per e-mail vragen om bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de cliëntgegevens uit onze administratie.

3) IBAN: via mail te vragen om de laatste drie cijfers van het rekeningnummer of geboortedatum en/of het cliëntnummer voor controle. Deze nummers moeten natuurlijk wel overeenkomnen met de gegevens uit onze administratie.

4) BSN: het telefonisch of via mail navragen van de laatste drie cijfers van het BSN. Deze nummers moeten natuurlijk wel overeenkomen met de gegevens uit onze administratie, indien toepasbaar.

Je kunt, in dit geval, hooguit van tweefactor-authenticatie spreken indien de kennelijke klant een verzoek indient (ongeacht op welke wijze, en ongeacht het soort verzoek: verwijderen, opvragen, corrigeren...) en het bedrijf een willekeurige code naar het e-mailadres, en een andere willekeurige code naar het telefoonnummer van de klant, zoals bekend in de administratie, stuurt - en de klant daarna opnieuw contact opneemt en beide codes correct noemt.

In de praktijk zal elke fraudeur liegen dat zij of hij ondertussen een ander telefoonnummer heeft, en wellicht ook een ander e-mailadres.

Probleem: dit overkomt ook mensen die niet frauderen, namelijk zij die zijn vergeten om dergelijke wijzigingen aan alle relevante organisaties door te geven (zie bijv. https://arstechnica.com/tech-policy/2024/01/meta-verification-proved-useless-and-my-family-is-still-locked-out-of-instagram/). Omdat het plausibel is dat contactgegevens veranderen, is dit in de praktijk een waardeloos authenticatiemiddel - want, zoals zo vaak, is het voorkómen van impersonatie hier het doel.

De rest, zeker punt 3 en 4, hebben helemaal niets met authenticatie te maken: het kennen van niet geheime informatie bewijst geenszins dat die informatie (jouw IBAN, BSN, jouw geboortedatum en zelfs jouw cliëntnummer) van "jou" zijn.

Wat er in de praktijk gaat gebeuren, indien het BSN van de kennelijke klant in de administratie is opgenomen, is dat het bedrijf (via de telefoon of via e-mail) vraagt: "hoe luiden de laatste drie cijfers van uw BSN". Als een fraudeur met een gespoofed telefoonnummer belt, of met een iets afwijkend e-mailadres mailt, volstaat het kennen van de laatste 3 cijfers van jouw BSN om jou schade te berokkenen. Dat noem ik 0FA (nul-factor-authenticatie).

Om van authenticatie met een minimale betrouwbaarheid te mogen spreken heb je een minimale zekerheid nodig dat je met een specifieke persoon te maken hebt, die je met een minimale betrouwbaarheid hebt geïdentificeerd. Hoe meer een fraudeur kan verdienen of anderszins voordeel kan behalen met impersonatie (zoals het verzamelen van aanvullende gegevens door deze op te vragen), hoe groter de kans op "identiteitsfraude" (de woorden "authenticatiefraude" of "identiteitsbewijsfraude" waren hier wellicht beter op z'n plaats geweest).

Kortom: de RvIG liegt én spreekt zichzelf tegen. Ofwel de overheid moet streng optreden tegen elke partij die het BSN (of andere, niet geheime, informatie) misbruikt als authentiecatiemiddel, met als consequentie dat het BSN niet geheimgehouden en/of afgeschermd op je kopietje-paspoort hoeft te worden, ofwel het BSN wordt, net als een wachtwoord, een strikt bewaard geheim tussen jou en één centrale overheidsinstantie.

Maar voor die laatste optie is een BSN sowieso veel te kort, want als die centrale overheid daar een cryptografische hash van opslaat, is dat veel te eenvoudig te reversen (een wachtwoord plain text opslaan is natuurlijk helemaal taboe als MD5 al niet goed genoeg is, zie [2]).

Bovendien was het BSN juist ontworpen om als kort, eenvoudig uitwisselbaar, identificatienummer (ooit als SOFI-nummer) te worden ingezet. De wellicht belangrijkste reden om mensen geen nieuw BSN te geven noemt het RvIG niet: dat is dat een BSN uit exact 9 cijfers bestaat en, mede door de foutdetectiecode, binnenkort opraakt.

Overigens is de reden dat een beperkt aantal partijen het BSN mag verwerken niet het geheimhoudingsargument, maar het grotere risico op privacy-inbreuken als databases van allerlei partijen foutloos gekoppeld zouden kunnen worden; enige ruis in uw persoonsgegevens is goed voor uw privacy.

[1] https://static1.squarespace.com/static/6123641cd3e54c0b8e775b7e/t/62349aa3dbe0cb552291840f/1647614627388/Privacyverklaring+UD-Lab+v0.5.pdf

[2] https://security.nl/posting/796600/#_380.000_boete_voor_HTTP,_MD5_en_trackingcookies
25-01-2024, 23:30 door Anoniem
Je kunt iemands zorgverzekering makkelijk opzeggen, als je iemand wil pesten. Doe het dan in december, telefonisch.

Ze hebben het dan druk, stellen 2 controle vragen en geef als excuus op dat je overstapt in januari. Dit snappen ze , u was niet de enige.

Dan meld je "ik kan mijn bsn wel effe geven als dat handig is". Ja, want wie de BSN opdreunt telefonisch dat komt aardig betrouwbaar over.

BSN
NAAM
DOB

Dit zijn de gegevens om iemands verzekeringen op te kunnen zeggen, telefonisch.

Het slachtoffer merkt dit 3 weken later wel , als na de drukte de dingen in de soep beginnen te lopen.


Ik heb mij nooit hoeven te legitimeren, alles kan telefonisch. Zo gaat het ook bij het wijzigen van medicatie of het opvragen van iemands ziekte.

Ik heb een tijdje socialengineering gedaan en voor anderen bij allerlei zorgverleners info opgevraagd gewoon met het BSN als handig steunmiddel en een excuus dat de laptop kapot was en ik niet in de digitale omgeving kwam. Super easy

Zo ben ik achter de aandoeningen en medicaties gekomen van de opdrachtgever
26-01-2024, 01:49 door Anoniem
Door Erik van Straten: @Anoniem 16:40, ik herhaal alles behalve de eerste zin uit https://www.rvig.nl/veelgestelde-vraag/kan-ik-een-nieuw-burgerservicenummer-bsn-krijgen:
Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Alleen "de overheid' komt ermee weg om burgers met zulke leugens het bos in te sturen.

a) Een BSN is helemaal niet "informatieloos", het is een uniek identificerend getal voor de meeste mensen in Nederland.

b) Een geboortedatum is nog veel "informatielozer" want redundante foutendetecterende informatie (zoals een elf-proef) ontbreekt en als een geboortedatum als 01-02-03 wordt opgeschreven, wanneer was dat dan? (Vraag dit ook aan een Amerikaan).

c) In tegenstelling tot bij een BSN kun je een persoon niet uniek "herkennen", in de zin van uniek identificeren, op basis van een geboortedatum, want meestal worden er meerdere mensen op dezelfde dag geboren. Ook bij veel namen is dat het geval. Een BSN is dus juist informatierijker dan alle andere losse (eveneens door mensen bedachte) identificerende gegevens - zoals naam, geboortedatum en -plaats (hoewel het aantal keren dat het vóórkomt beperkt zal zijn, hoeft zelfs de combinatie daarvan niet uniek te zijn en is "geoorloofd" - terwijl een hergebruikt BSN onmiddellijk gecorrigeerd moet worden om chaos te voorkómen).

d) Mensen kunnen wel dégelijk identiteitsfraude plegen met een BSN. Dat feit is krankzinnig, maar het is wel een feit. Anders had het BSN niet naar de achterkant van het paspoort hoeven te verhuizen en zou diezelfde RvIG geen "kopie-ID-app" hoeven aan te bevelen die het BSN verbergt: https://www.rvig.nl/kopieid-app.

Dat identiteitsfraude wel mogelijk is met een BSN, blijkt -zomaar een voorbeeld- uit de privacyverklaring van u-diagnostics.com die ik toevallig vandaag (https://security.nl/posting/826875) tegenkwam. Uit die privacyverklaring [1] (de 4 items zijn door mij genummerd):
Gebruik maken van uw rechten
U kunt uw rechten slechts uitoefenen voor zover de wet u deze rechten toekent en door contact op te nemen via het bovengenoemde e-mailadres van de Functionaris Gegevensbescherming.
Om er zeker van te zijn dat het verzoek door u zelf is gedaan, passen wij een tweefactor authenticatie toe.
We gebruiken hiervoor de cliëntgegevens uit onze eigen administratie om te kunnen controleren doormiddel van:

1) E-mail: na het ontvangen van een verzoek via e-mail een bevestiging te vragen per telefoon. Het opgegeven mobiele nummer moet dan wel kloppen met de cliëntgegevens uit onze administratie.

2) Telefoon: Het per e-mail vragen om bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de cliëntgegevens uit onze administratie.

3) IBAN: via mail te vragen om de laatste drie cijfers van het rekeningnummer of geboortedatum en/of het cliëntnummer voor controle. Deze nummers moeten natuurlijk wel overeenkomnen met de gegevens uit onze administratie.

4) BSN: het telefonisch of via mail navragen van de laatste drie cijfers van het BSN. Deze nummers moeten natuurlijk wel overeenkomen met de gegevens uit onze administratie, indien toepasbaar.

Je kunt, in dit geval, hooguit van tweefactor-authenticatie spreken indien de kennelijke klant een verzoek indient (ongeacht op welke wijze, en ongeacht het soort verzoek: verwijderen, opvragen, corrigeren...) en het bedrijf een willekeurige code naar het e-mailadres, en een andere willekeurige code naar het telefoonnummer van de klant, zoals bekend in de administratie, stuurt - en de klant daarna opnieuw contact opneemt en beide codes correct noemt.

In de praktijk zal elke fraudeur liegen dat zij of hij ondertussen een ander telefoonnummer heeft, en wellicht ook een ander e-mailadres.

Probleem: dit overkomt ook mensen die niet frauderen, namelijk zij die zijn vergeten om dergelijke wijzigingen aan alle relevante organisaties door te geven (zie bijv. https://arstechnica.com/tech-policy/2024/01/meta-verification-proved-useless-and-my-family-is-still-locked-out-of-instagram/). Omdat het plausibel is dat contactgegevens veranderen, is dit in de praktijk een waardeloos authenticatiemiddel - want, zoals zo vaak, is het voorkómen van impersonatie hier het doel.

De rest, zeker punt 3 en 4, hebben helemaal niets met authenticatie te maken: het kennen van niet geheime informatie bewijst geenszins dat die informatie (jouw IBAN, BSN, jouw geboortedatum en zelfs jouw cliëntnummer) van "jou" zijn.

Wat er in de praktijk gaat gebeuren, indien het BSN van de kennelijke klant in de administratie is opgenomen, is dat het bedrijf (via de telefoon of via e-mail) vraagt: "hoe luiden de laatste drie cijfers van uw BSN". Als een fraudeur met een gespoofed telefoonnummer belt, of met een iets afwijkend e-mailadres mailt, volstaat het kennen van de laatste 3 cijfers van jouw BSN om jou schade te berokkenen. Dat noem ik 0FA (nul-factor-authenticatie).

Om van authenticatie met een minimale betrouwbaarheid te mogen spreken heb je een minimale zekerheid nodig dat je met een specifieke persoon te maken hebt, die je met een minimale betrouwbaarheid hebt geïdentificeerd. Hoe meer een fraudeur kan verdienen of anderszins voordeel kan behalen met impersonatie (zoals het verzamelen van aanvullende gegevens door deze op te vragen), hoe groter de kans op "identiteitsfraude" (de woorden "authenticatiefraude" of "identiteitsbewijsfraude" waren hier wellicht beter op z'n plaats geweest).

Kortom: de RvIG liegt én spreekt zichzelf tegen. Ofwel de overheid moet streng optreden tegen elke partij die het BSN (of andere, niet geheime, informatie) misbruikt als authentiecatiemiddel, met als consequentie dat het BSN niet geheimgehouden en/of afgeschermd op je kopietje-paspoort hoeft te worden, ofwel het BSN wordt, net als een wachtwoord, een strikt bewaard geheim tussen jou en één centrale overheidsinstantie.

Maar voor die laatste optie is een BSN sowieso veel te kort, want als die centrale overheid daar een cryptografische hash van opslaat, is dat veel te eenvoudig te reversen (een wachtwoord plain text opslaan is natuurlijk helemaal taboe als MD5 al niet goed genoeg is, zie [2]).

Bovendien was het BSN juist ontworpen om als kort, eenvoudig uitwisselbaar, identificatienummer (ooit als SOFI-nummer) te worden ingezet. De wellicht belangrijkste reden om mensen geen nieuw BSN te geven noemt het RvIG niet: dat is dat een BSN uit exact 9 cijfers bestaat en, mede door de foutdetectiecode, binnenkort opraakt.

Overigens is de reden dat een beperkt aantal partijen het BSN mag verwerken niet het geheimhoudingsargument, maar het grotere risico op privacy-inbreuken als databases van allerlei partijen foutloos gekoppeld zouden kunnen worden; enige ruis in uw persoonsgegevens is goed voor uw privacy.

[1] https://static1.squarespace.com/static/6123641cd3e54c0b8e775b7e/t/62349aa3dbe0cb552291840f/1647614627388/Privacyverklaring+UD-Lab+v0.5.pdf

[2] https://security.nl/posting/796600/#_380.000_boete_voor_HTTP,_MD5_en_trackingcookies
Ja maar hij wou weten waarom de overheid niet wisseling van BSN nummer toelaat niet wat andere hiervan vinden.
En dat is de officiele (hoe dom ook) antwoord van de overheid.

De kans dat er met zijn BSN nummer wordt gefraudeerd vergeleken met alle andere informatie is zeer klein. Nogmaals bijna geen enkel bedrijf kan BSN controleren en als ze het al kunnen doen ze het bijna nooit werkelijk. Wat ze wel vragen je geboorte datum, adres, postcode en mail adres. Is de kans er dat er met BSN wordt gefraudeerd uiteraard maar vele malen kleiner dan met de overige gegevens waar je tig sneller mee wegkomt. Want als dat paspoort gelekt is in een hotel dan is ook de bankrekening gelekt. En enige wat je dan hoeft te doen is naar een leuke winkel te gaan op nabetaling te kopen alle gegevens in te vullen je past het bezorg adres aan naar een dummy en klaar.

Ik heb wel eens als test mijn verzekering gebeld gegevens gegeven door de telefoon met expres een fout BSN nummer en raadt eens het viel niet op.Heb ze achteraf op de hoogte ervan gesteldt en dat ik een andere verzekeraar ging nemen.
Hell ik kan iemands leven zuur maken zonder BSN door simpelweg een verhuur makelaar in te schakelen met kopie van paspoort *zonder* BNS zichtbaar.

En tot 2027 is het helemaal feest gezien het BSN nummer zelfs in het BTW nummer van zzpers zat verwerkt door de belastingdienst tot 2020 en je raadt het al bedrijven, organisaties zijn verplicht 7 jaar boekhouding te behouden hiervan.


BSN was en is een dom idee het biedt niks is enkel een extra problematische waarde in de groep van vele anderen.
Ik ben het echter niet eens met je dat de hoeveelheid combinaties een probleem is. Want wat doe je dan in de praktijk dan plak je een extra plek erachter en geeft aan dat validatie met 9 of 10 cijfers kan. Zo ging het met telefoonnummers, kentekens, wachtwood lengte, dns record limieten etc. Het probleem is dat het bestaat en dat men werkelijk niks van Sofinummers heeft geleerd.

En de belangrijkste reden voor BSN niet wijzigen is dan ook niet omdat RvIG het niet kan nu of in de toekomst maar koud gezegd het ze niet intereseert. We zijn niet belangrijk genoeg. Lekt een BN'er hun BSN nummer wel dan kan het namelijk wel ineens of een wat hogere politicus onder het mom van verhoogd risico. Of als je met een rechtzaak aankomt.

Maar laten we ook eerlijk zijn RvIG is maar een deel van het probleem het is ook aan de burger om nee te zeggen op verwerking. Het voorbeeld dat je stelt is zo eentje.
Maar wie leest er nu privacy verklaringen voor ze een dienst afnemen of doet een reputatie analyse. Jij ik en een groepje andere maar de rest wel je mag blij wezen als ze uberhaubt de naam controleren op spelling.

En dan komen we bij de kern van het hele probleem we (de samenleving) gaan veel te slordig om met gegevens dataowners en datacontrollers en BSN is maar een klein deel van de zorg.

En dat reflecteert zich ook in TS zijn, haar post.
Geen enkel zelfreflectie zichtbaar enkel Ich habe er nicht gewusst mentaliteit.
Geen voorbereiding voor reis, geen risico analyse zich niet afvragen of het boeken van een 1 ster hotel wel slim is en enkel de vraag waarom de overheid niet meewerkt.


Oh dat brengt me btw nog bij vraag aan de TS heb je ook daar de WIFI gebruikt of een oplaadpunt zonder een datablocker ertussen? in hotel vliegveld of bijvoorbeeld een restaurant? Ga da maar al je wachtwoorden ook even aanpassen je apparaten op malware scannen en wipen en scherp je spamfilter maar goed aan. Naast al je contacten op de hoogte brengen als je die hebt opgeslagen in je tel of andere systeem dat mogelijk hun naarm telefoonnummer en mailadres ook is gelekt.
26-01-2024, 05:52 door Anoniem
Wauw, Erik, en ik zit me al meer dan een maand zorgen te maken over een brief van de sociale dienst die nooit is aangekomen, die wel in de PostNL app stond met foto, met mijn bsn boven mijn naw.
Klacht ingediend, volgens de PostNL analfabete intelligentie is het na 5 dagen echt kwijt, sociale dienst geïnformeerd, geen reactie.
Hopelijk lezen ze jouw betoog en snappen ze het eens.
26-01-2024, 09:58 door boudewijn
Het probleem is natuurlijk dat het BSN een identificatie middel is maar wordt ingezet als authenticatie middel (icm met ander persoonsgegevens). Ofwel het feit dat je BSN is gelekt zou geen probleem moeten zijn maar het feit dat men daar misbruik van kan maken wel.

Maar goed daar heb je nu natuurlijk niks aan.
26-01-2024, 10:24 door Anoniem
@Boudewijn 9:58

Een ander probleem is dat als je buiten de EU reist, je in situaties kan komen waarin je BSN-nummer of je paspoort geëist wordt en als je dan niet gehoorzaamt, mag je bijv. in Bangkok of Lagos 's nachts op straat slapen als je geen geld hebt voor een luxe hotel.

Haagse en Brusselse bestuurders en ambtenaren kunnen zich niet voorstellen dat iemand wil "reizen" . Zij weten niet eens wat dat is, ze denken dat het zoiets is als toerisme of een bezoek aan zakenrelaties. Wat hun betreft moet iedereen 24/7 gevolgd en geregistreerd worden dus wat is er mis met een BSN-nummer op je paspoort? Controle = goed, meer controle = is beter, zo denken deze bureauhelden.

Als een Thais hotel fraudeert, denken ze niet: "Wij moeten Nederlandse burgers op dat punt minder kwetsbaar maken." Nee, ze denken: "Wij zijn niet verantwoordelijk voor EU-burgers die zich buiten de EU bevinden." Of: "De macht van de EU moet worden uitgebreid, wij willen meer zeggenschap over hoe dingen in Thailand worden geregeld."

Zo denken verreweg de meeste bestuurders en ambtenaren: ze willen meer bevoegdheden maar minder verantwoordelijkheden.
26-01-2024, 11:18 door Anoniem
Ik woon 15 jaar in deze regio en je zal bij overheidsdiensten en hotels/*huur vaak een kopie moeten laten maken. Nooit problemen van ondervonden maar ik schrijf er wel bewust doorheen, de datum en instantie waar kopie voor is. Dat wordt altijd geaccepteerd.

Ik maak mij meer zorgen om de digitale dienstverleners zoals booking.com en immigratie. Beiden hebben al gelekt.
26-01-2024, 12:03 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 26-01-2024, 12:11
Door Anoniem op 25-01-2024 om 21:54 uur:
Door Anoniem op 25-01-2024 om 20:38 uur: "I am not a number, I am a free man"
-- The Prisoner.

.........

Een reisdocument (of rijbewijs) zou eigenlijk nooit als identificatie-bewijs misbruikt moeten worden.
Ze zijn oorspronkelijk bedoeld om te reizen. Niet om je bij officele instanties of bedrijven (in Nederland) te identificeren.
Daar gaat het al fout. Gemakzucht van de overheid en bedrijfsleven.
En de burger wordt opgescheept met de sores als het fout gaat.

Misschien die twee functies eindelijk eens scheiden?
Zo maar een idee.

Je draait de boel om.

Een paspoort is primair een identificatie document en niet perse een reisdocument. En datgene wat jou als persoon uniek maakt in de wereld is je BSN.

En hoe wens om compleet anoniem te kunnen reizen tussen landen, gaat in deze tijd niet lukken.

Een terecht

Ahem... Het woord "paspoort" (passport, passeport) geeft al aan dat het primair een reisdocument (grenspasseerdocument) is, waarbij identificatie dient als voorwaarde voor instemming van autoriteiten met een doel, namelijk het doel van een burger om, door middel van het passeren van een grens, naar een bepaalde plek (meestal een land) te reizen.

In het Chinees is het woord voor paspoort "huzhao", wat letterlijk betekent: "bescherm - bewijs/vergunning/foto/reflectie". Hierin komt tot uiting dat een paspoort bedoeld is ter bescherming van iets of iemand. De vraag is dan natuurlijk: WAT wil men beschermen? De burgers, de openbare orde, het collectief, de staat of bijvoorbeeld de Partij? In China vindt de Partij dat als zij zichzelf beschermt, zij daarmee ook al die andere dingen/mensen beschermt. In democratische rechtsstaten denken wij daar anders over, omdat wij ons realiseren dat het eigenbelang van een regerend bewind kan verschillen van zowel het belang van individuele burgers als het belang van het collectief of het belang van de staat.

Uit Wikipedia:

A passport is an official travel document issued by a government that contains a person's identity for international travel. A person with a passport can travel to and from foreign countries more easily and access consular assistance. A passport certifies the personal identity and nationality of its holder. It is typical for passports to contain the full name, photograph, place and date of birth, signature, and the issue and expiration dates of the passport. While passports are typically issued by national governments, certain subnational governments are authorised to issue passports to citizens residing within their borders.

Many nations issue (or plan to issue) biometric passports that contain an embedded microchip, making them machine-readable and difficult to counterfeit. As of January 2019, there were over 150 jurisdictions issuing e-passports. Previously issued non-biometric machine-readable passports usually remain valid until their respective expiration dates.

Let op de kwalificatie "identity for international travel". De identificatie is er niet voor zichzelf, maar voor een bepaald, gelimiteerd doel.

Dat meer controle en meer inbreuken op privacy mogelijk zijn, bijvoorbeeld door middel van het opslaan van biometrische gegevens, wil nog niet zeggen dat dat wenselijk zou zijn. Uiteindelijk zouden paspoorten moeten dienen als instrument om het voor burgers veiliger en makkelijker te maken om te reizen, en om niet-reizende burgers te beschermen in hun woongebied. Dat zijn heel andere doelen dan om het voor autoriteiten makkelijker te maken om burgers te controleren, te volgen, in hun vrijheid te beperken en/of te onderdrukken. Dat zouden hooguit secundaire doelen moeten zijn, dus middelen om de primaire doelen te kunnen realiseren. Alleen wordt dat door autoriteiten structureel vergeten. Niet alleen in China, maar ook hier bij ons.

De EU heeft op papier privacy-regelgeving (bijv. art.. 8 EVRM en de AVG) die de belangen van individuele burgers en van het collectief zou moeten beschermen, maar onze autoriteiten laten zich daardoor slechts ongaarne afremmen in hun wens om steeds meer controle uit te oefenen.

M.J.
26-01-2024, 12:20 door Erik van Straten
@Anoniem 05:52: voor de mensen die mijn reactie te technisch vinden, laat hen deze eye-opener lezen: https://www.rtlnieuws.nl/lifestyle/artikel/5411351/chantal-wil-nooit-meer-slachtoffer-zijn-van-identiteitsfraude-schulden.

Het belangrijkste doel van authenticatie, het voorkómen van impersonatie, wordt (gemakshalve door bankzittende consumenten, en uit financiële overwegingen: zowel door commerciële organisaties als door overheden) steeds vaker "vergeten". En tegelijkertijd wil niemand ook maar één Eurocent uitgeven aan vangnetten voor de onvermijdelijke slachtoffers van deze "vooruitgang". De reactie lijkt bijna altijd iets als:
Chantal en al die andere slachtoffers zullen ongetwijfeld iets stoms hebben gedaan dat MIJ heus nooit gaat overkomen. En anders: sneu voor haar en die anderen. Hee kijk, de zon schijnt!
Zie ook https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalysel#r_19517952.

Dit alles naast dat meldingen van datalekken ons in toenemende mate om de oren vliegen, die steeds minder vaak de reguliere media halen (zoals https://security.nl/posting/826805/ over coronalab.eu). Steeds meer mensen lijken hun ogen te sluiten voor onaangenaam nieuws, halen hun schouders op of denken dat zij zelf er toch niets aan kunnen doen. Hoe meer mensen dat denken, hoe kleiner de kans dat de situatie verbetert i.p.v. verslechtert.
26-01-2024, 12:47 door Anoniem
>>Bovendien was het BSN juist ontworpen om als kort, eenvoudig uitwisselbaar, identificatienummer (ooit als SOFI-nummer) te worden ingezet. De wellicht belangrijkste reden om mensen geen nieuw BSN te geven noemt het RvIG niet: dat is dat een BSN uit exact 9 cijfers bestaat en, mede door de foutdetectiecode, binnenkort opraakt.

Misschien een zegen dat dit gebeurd... hebben ze een kans om het meteen goed te doen.

Raakt dit binnenkort op (wat is binnenkort) ? Enig idee wat ze gaan doen? Er een nummer voor plakken net zoals bij de telefonnummers?

Andere landen hebben geen BSN , en dus staat dit ook niet in het paspoort. Wel een citizen-ID denk ik want er moet een nummer in de human readable code beneden, of dit kan ook het document nummer zijn , uitgegeven door bijv de RVIG.


@ andere

Klopt inderdaad dat je met NAW, DOB, BSN en een handige tong anoniem informatie over iemand kunt lospeuteren bij allerlei zorgbedrijven.

Maar het is pas tot iemand dit bij een belangrijke ambtenaar doet voor het BSN wijzigbaar kan worden. Dit is simpelweg een kwestie van de systemen van RVIG en GBA raadplegen en dan volgen welke ministeries en instanties met die persoon interactie hebben, en daar de wijziging ook doorgeven. Maar de ene persoon heeft zijn BSN in 30 systemen , en de andere misschien in 4. Dit uitzoek werk zal wel een issue zijn, en het feit dat de burger zelf ook bepaalde wijzigingen zelf moet doorgeven, evenals een nieuw document moet aanvragen , en daar is dan altijd gedoe over... het kan niet 100% automatisch.

Het is jammer dat er geen verantwoordelijke in de overheid is die bij een leak van je gegevens of een probleem in het buitenland je maar laat zitten. En dan maar praten over dat iedereen moet participeren en we in zo'n gaaf land wonen.

Zoals ik het al jaren zie is het een land van daders en slachtoffers. Het is al lang niet meer leuk in dit land. De veiligheid is er alleen voor elites en de rest moet eraan geloven, desnoods worden opgeofferd. Op een dag gaat het mis... hopelijk wordt dan iedereen wakker inclusief de hele tweede kamer, en dan blijft weer dat "niemand die het ziet", wij hebben het niet geweten... maar na de grote boem of dataleak is dan toch gelukkig iedereen wakker. Dan betalen we maar de collectieve schuld. Want security.nl lezen ze ook niet. Geen enkele ambtenaar komt hier en tipt iemand hogerop... nope wij zijn ziende blind

Het is wachten tot iemand met toegang tot bulk BSN ze ergens anoniem dumpt op leaksites... iemand die ook verandering wil zien, iemand die het ook zat is allemaal....... het is geen crime als het voor het grote goed is , imho

^^^


Maar goed aan het einde van de dag zijn de BSN alleen nodig voor: Overheid, Zorg (ziekenhuis/apotheek), zorgverlener, en ik geloof de bank. Niemand heeft je BSN verder nodig
Bij overheden moet je je altijd nog legitimeren, bij de bank ook, maar in de zorg is die controle nogal laks.


Overigens is het mij gelukt om zonder ID bij de bank binnen te lopen en informatie te laten wijzigen. Dus die controle is ook niet altijd aanwezig. Moet je alleen niet doen bij het openen van een rekening.
Ik loop dus fysiek een bank binnen en laat informatie wijzigen. Vervolgens vraag ik op het nieuwe adres een nieuw pas aan.
In dit geval was het mijn eigen bank.

Maar het kan... het kan allemaal

Ziende blind, horende doof

Dus van mij mag het een keer goed misgaan
https://www.security.nl/posting/826296/Het+gaat+nog+een+keer+goed+mis
26-01-2024, 12:56 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 26-01-2024, 13:04
Door Erik van Straten: @Anoniem 05:52: voor de mensen die mijn reactie te technisch vinden, laat hen deze eye-opener lezen: https://www.rtlnieuws.nl/lifestyle/artikel/5411351/chantal-wil-nooit-meer-slachtoffer-zijn-van-identiteitsfraude-schulden.

Inderdaad een schrijnend verhaal. Dit maakt twee dingen nogmaals duidelijk:
(1) Het belang van doelbinding bij gegevensverwerking. Is het voor een bepaald doel (bijvoorbeeld zoals in het verhaal het aanschaffen van een online gekochte telefoon) echt nodig om jezelf te identificeren bij het aan de deur aannemen van het pakketje, en zo ja, op welke wijze?
(2) Het belang van (de beschikbaarheid van) een infrastructuur die de doelbinding veilig stelt op een manier die voor alle betrokken partijen, en in ieder geval voor het datasubject, tijdig verifieerbaar is, d.w.z. voorafgaand aan het delen van de persoonsgegevens. Dat is dus iets heel anders dan een infrastructuur die voor één partij de beschikbaarheid van data veilig stelt.

Zelf heb ik vele malen afgezien van het doen van bepaalde transacties als het mij niet duidelijk was of de infrastructuur waarmee dat gebeurde, de doelbinding van de gegevensverwerking voldoende veilig stelde. Ik heb dan bepaalde diensten niet afgenomen of bepaalde producten niet aangeschaft. Soms word je echter gedwongen om gegevens toch in een onveilige infrastructuur te laten verwerken, omdat je afhankelijk bent van een bepaalde dienst.

Het belangrijkste doel van authenticatie, het voorkómen van impersonatie, wordt (gemakshalve door bankzittende consumenten, en uit financiële overwegingen: zowel door commerciële organisaties als door overheden) steeds vaker "vergeten". En tegelijkertijd wil niemand ook maar één Eurocent uitgeven aan vangnetten voor de onvermijdelijke slachtoffers van deze "vooruitgang". De reactie lijkt bijna altijd iets als:
Chantal en al die andere slachtoffers zullen ongetwijfeld iets stoms hebben gedaan dat MIJ heus nooit gaat overkomen. En anders: sneu voor haar en die anderen. Hee kijk, de zon schijnt!
Zie ook https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalysel#r_19517952.

Dit alles naast dat meldingen van datalekken ons in toenemende mate om de oren vliegen, die steeds minder vaak de reguliere media halen (zoals https://security.nl/posting/826805/ over coronalab.eu). Steeds meer mensen lijken hun ogen te sluiten voor onaangenaam nieuws, halen hun schouders op of denken dat zij zelf er toch niets aan kunnen doen. Hoe meer mensen dat denken, hoe kleiner de kans dat de situatie verbetert i.p.v. verslechtert.

Mee eens. De onveiligheid van de digitale infrastructuren die ons worden opgedrongen, wordt steeds meer genormaliseerd en daarmee onder het vloerkleed geveegd en genegeerd. Er is sprake van "victim blaming" waarbij de mensen die onder druk worden gezet om een bepaalde, onveilige infrastructuur te gebruiken, vervolgens de schuld krijgen als er bij dat gebruik iets misgaat.

Een onveilige infrastructuur kan ook betekenen: een infrastructuur die mensen verleidt tot instemming met onveilige gegevensverwerking, daarbij inbegrepen de druk om gegevens te laten verwerken die objectief gezien (dus los van het opgedrongen systeem) niet nodig zijn voor het realiseren van het betreffende doel.

Veel online-verkopers schermen bijvoorbeeld met de vermeende tijdwinst die iemand zou boeken (tijd die iemand voor zichzelf zou besparen) door een product of dienst online te bestellen en digitaal af te rekenen. Zoals het door jou gelinkte verhaal van Chantal laat zien, heeft (vermoedelijk) de online aanschaf van een telefoon haar uiteindelijk een enorme hoeveelheid tijd gekost, en daarnaast ongeveer zestigduizend euro. De conclusie die hieruit moet worden getrokken, is tweeledig:
(1) Bij de beoordeling van (geplande) infrastructuren moeten ook de voordelen en risico's op het gebied van tijdsbesteding worden meegewogen;
(2) Bij de inrichting van onze maatschappij, inclusief onze keuzes m.b.t. infrastructuren, moeten we bewust aansturen op een vermindering van de tijdsdruk die ertoe leidt dat mensen in een tijdsklem komen te zitten die hen dwingt of verleidt tot onveilig gedrag. Onder het juk van het neoliberalisme worden mensen opgejaagd tot een steeds hoger tempo, waarbij ze steeds sneller steeds meer taken moeten afhandelen. Dit doet op zichzelf al afbreuk aan hun veiligheid.

Maar dit alles vereist natuurlijk om te beginnen een verandering van de attitude van overheden en bedrijven, zodat ze gaan stoppen met veiligheidsrisico's op het gebied van data over de schutting te gooien naar burgers.

M.J.
26-01-2024, 13:32 door Anoniem
Door Erik van Straten: @Anoniem 05:52: voor de mensen die mijn reactie te technisch vinden, laat hen deze eye-opener lezen: https://www.rtlnieuws.nl/lifestyle/artikel/5411351/chantal-wil-nooit-meer-slachtoffer-zijn-van-identiteitsfraude-schulden.

Het belangrijkste doel van authenticatie, het voorkómen van impersonatie, wordt (gemakshalve door bankzittende consumenten, en uit financiële overwegingen: zowel door commerciële organisaties als door overheden) steeds vaker "vergeten". En tegelijkertijd wil niemand ook maar één Eurocent uitgeven aan vangnetten voor de onvermijdelijke slachtoffers van deze "vooruitgang". De reactie lijkt bijna altijd iets als:
Chantal en al die andere slachtoffers zullen ongetwijfeld iets stoms hebben gedaan dat MIJ heus nooit gaat overkomen. En anders: sneu voor haar en die anderen. Hee kijk, de zon schijnt!
Zie ook https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalysel#r_19517952.

Dit alles naast dat meldingen van datalekken ons in toenemende mate om de oren vliegen, die steeds minder vaak de reguliere media halen (zoals https://security.nl/posting/826805/ over coronalab.eu). Steeds meer mensen lijken hun ogen te sluiten voor onaangenaam nieuws, halen hun schouders op of denken dat zij zelf er toch niets aan kunnen doen. Hoe meer mensen dat denken, hoe kleiner de kans dat de situatie verbetert i.p.v. verslechtert.
Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Of gaan we nu iedereen als gelijkwaardig slachtoffer zien? Ik pas daarvoor er heet ook zo iets als verantwoordelijkheid dragen voor je acties.

Ik kan me nog herrinneren dat er jaar of zo terug een jank verhaal stond van een IT specialist die vertelde dat iedereen het kan overkomen dat je trapt in een phising mailtje en ook hem zelf. En wat had hij gedaan dat hij gehacked was? Hij had op een link in een mail geklikt in een verstandverbijstering moment. Dan gaan mijn nekharen overeind staan dat je als IT specialist het gore lef hebt je eigen onkunde te bagataliseren onder het mom van het kan toch iedereen overkomen.

Dat een reguliere gebruiker niet de mailheaders eerst uitleest, linkclicking vermijd of vanuit de mail of media inlaad dat weten we allemaal wel daar gaan we ze helaas ook nooit zover tot krijgen hoe graag we het ook willen en hoe verstandig het ook is. Maar iemand die geleerd heeft voor het vak en dan zo een domme fout maakt en zegt ach het kan iedereen overkomen die mag mij betreft aan de schandpaal dat is geen persoon die zich mag profileren als IT specialist en die hoort al helemaal geen aandacht te krijgen van de media.

En dat wil niet zeggen dat diefstal van BSN het intrappen in phising of social engineering een bepaalde groep nooit kan voorkomen inclusief IT specialisten want dat is natuurlijk klinkklare onzin. Maar hoe het gedaan wordt zegt wel toch iets over hoe goed of slordig iemand omgaat met zijn gegevens. En er zijn genoeg inbraken waar een gebruiker met data diefstal niks aan kon doen en tot er bewijs van onzorgvuldigheid is gevonden zouden politie, verzekeraars etc de gene puur als slachtoffer moeten behandelen. Maar de slimerikken waar dat wel evident naar voren komt die dom zijn geweest mogen best wel een moment realisatie hebben dat ze iets stoms hebben gedaan en de kosten voor hun stupiditeit dragen.

Mensen die door de telefoon nummer hun bank inlog informatie geven terwijl er honderden waarschuwingen zijn afgegeven bij je contract tekenen bij het inloggen in bankzaken bij voorlichting campagnes. Mensen die inloggen op een app van een verkoper bij een marktplaats deal. Mensen die klikken op een gewonnen prijs in een mail terwijl ze nooit lid zijn geweest van een loterij. En mensen die hun identiteits bewijs afgeven zonder na te gaan of het uberhaubt wel gevraagd mag worden en vervolgens niet eens informatie afschermen.

Dat zijn slimerikken die moeten ze verplicht op cursus zetten.
Noem dat victim blaming ik heb er een ander woord voor. Victims zijn mensen in mijn ogen die niks fouts hebben gedaan of in onvoorziene situatie zijn beland zonder hun eigen toe doen. En die moeten geholpen worden de overige hebben mij betreft geen prioriteit.
26-01-2024, 14:56 door Anoniem
<snip>Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Of gaan we nu iedereen als gelijkwaardig slachtoffer zien? Ik pas daarvoor er heet ook zo iets als verantwoordelijkheid dragen voor je acties.<snip>

Ik vraag me af of TS echt zo stom is geweest als jij hier beweert... Als je in Thailand bij je hotel staat na een dag reizen - ga je dan in discussie met de receptionist over het al dan niet afgeven van je paspoort? Als je die discussie niet wint, sta je op straat en moet je op zoek naar een alternatief. Sterker, de Nederlandse wet zegt wellicht dat je je paspoort niet af mag geven, maar zegt de Thaise wet dat ook?

Zelfde met verhuurbedrijven: je staat vast in je recht om te weigeren en kopie van je paspoort in te leveren - maar met 5 koffers en een jengelende baby naast je, wat is dan stommer? Je paspoort geven of tegen de familie zeggen dat papa nog even naar die andere verhuurder wil gaan, een eindje verderop?

TheYosh
26-01-2024, 16:10 door Erik van Straten - Bijgewerkt: 26-01-2024, 16:24
Door Anoniem: Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Je snapt duidelijk niets van wat ik schreef. Bovendien, zowel Chantal als de TS hebben, naar verluidt, hun identiteitsbewijs door een (potentieel) onbetrouwbare partij laten scannen.

Ik vind geen van beiden dom, want onder allerlei omstandigheden stellen verifiërende partijen dat zij dit moeten doen, of bestaat daartoe zelfs een wettelijke plicht. Zoals TheYosh hierboven ook al ongeveer schreef: vaak sta je op zo'n moment met je rug tegen de muur. Ga je stampij maken met als gevolg dat je het product of de dienst niet krijgt, of accepteer je het risico? Voorbeeld: https://gathering.tweakers.net/forum/list_messages/2225574.

Wat ik probeerde aan te tonen is juist waarom het zelden de schuld van slachtoffers is als er identiteitsfraude plaatsvindt, doch dat dit te wijten is aan het systeem - dat een meerderheid prima lijkt te vinden maar ondertussen slachtoffers aan hun lot overlaat. Iets anders geformuleerd:

1) Ofwel sta je, als overheid, toe dat er (digitale) kopiën van identiteitsbewijzen worden gemaakt en bewaard, bijv. om alle identificerende gegevens, zoals van een auto-huurder, bij elkaar te hebben. Het wordt m.i. al discutabel als je, als verifieerder, met het bezit van zo'n kopie meent aan te kunnen tonen dat jij die kopie van het originele identiteitsbewijs hebt gemaakt. Immers, indien er partijen zijn die (digitale, verliesvrij kopieerbare) kopiën van identiteitsbewijzen gaan maken en bewaren, is het onvermijdelijk dat een deel van die (digitale) kopiën in verkeerde handen valt. In dit scenario is een kopie van een identiteitsbewijs precies evenveel waard als een tekstbestand met uit een identiteitsbewijs overgenomen persoonsgegevens, maar ook als een zeer goede kopie van een bankbiljet van een bedrag naar keuze: niets.

(Voor marketeers zijn kale persoonsgegevens vaak wél wat waard, vooral indien in combinatie met andere gegevens zoals locaties, interesses en potientiële aanschafplannen - maar die waarde staat geheel los van de waarde als mogelijk authenticatiemiddel).

2) Ofwel verbied je, als overheid, dat er (digitale) kopiën van identiteitsbewijzen worden gemaakt en bewaard. Dan kun je, zolang er géén (digitale) kopiën van identiteitsbewijzen in omloop zijn, veilig authenticeren met een (digitale) kopie van een identiteitsbewijs. "Probleempje": op het moment dat de eerste persoon dit doet is dit als een slang die z'n eigen staart opvreet en faalt deze optie.

Conclusie: het is het één of het één; ik zie geen andere mogelijkheden. Sowieso hoort een identiteitsverifieerder de onderhavige persoon in levenden lijve te vergelijken met de pasfoto en andere kenmerken vermeld op een origineel identiteitsbewijs - dat de verifieerder tevens op manipulatie en/of vervalsing hoort te controleren. Echter, de meeste echtheidskenmerken komen helemaal niet mee op een kopie. Bovendien kan een kopie van een identiteitsbewijs veel eenvoudiger (en veel lastiger detecteerbaar) worden gemanipuleerd; denk aan het vervangen van "pasfoto" op zo'n kopie. Een persoon die zich in levenden lijve meldt met zo'n kopie zegt dus helemaal niets.

Het is dus ook in jouw belang dat iemand met een kopie van jouw identiteitsbewijs (bijvoorbeeld gelekt bij een hack van een cloudsysteem van jouw werkgever), waarop de pasfoto is vervangen, geen lening kan afsluiten op jouw naam - of een hotelkamer in Thailand kan boeken en die vervolgens leegroven, niet betalen voor maaltijden, kinderporno verspreiden via de hotel-WiFi en/of een andere hotelgast verkrachten.

Een kopie van een identiteitsbewijs is simpelweg geen origineel identiteitsbewijs en kan dat nooit vervangen. Het zijn de mensen zoals jij, en/of bankzittende consumenten, en uit financiële overwegingen handelende commerciële organisaties en overheden, die maar blijven drammen dat dit wél zo is als hen dat uitkomt, en niet in situaties waarin dat in hun nadeel zou kunnen werken.

In https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalysel#r_19517952 beschreef ik overigens een oplossing.
26-01-2024, 16:14 door Anoniem
Door Anoniem:
<snip>Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Of gaan we nu iedereen als gelijkwaardig slachtoffer zien? Ik pas daarvoor er heet ook zo iets als verantwoordelijkheid dragen voor je acties.<snip>

Ik vraag me af of TS echt zo stom is geweest als jij hier beweert... Als je in Thailand bij je hotel staat na een dag reizen - ga je dan in discussie met de receptionist over het al dan niet afgeven van je paspoort? Als je die discussie niet wint, sta je op straat en moet je op zoek naar een alternatief. Sterker, de Nederlandse wet zegt wellicht dat je je paspoort niet af mag geven, maar zegt de Thaise wet dat ook?

Zelfde met verhuurbedrijven: je staat vast in je recht om te weigeren en kopie van je paspoort in te leveren - maar met 5 koffers en een jengelende baby naast je, wat is dan stommer? Je paspoort geven of tegen de familie zeggen dat papa nog even naar die andere verhuurder wil gaan, een eindje verderop?

TheYosh
Nee weet je wat ik doe als ik naar buitenland moet prive of zakelijk? Ik bel het hotel of andere voorziening van te voren op en vraag de voorwaarde op papier. Het gesprek leg ik vast als record en neem ik mee en als eentje moeilijk gaat doen bel ik de politie met die bewijslast en melding dat het richting ambasade gaat. Moet je opletten hoe snel het ineens niet meer hoeft. Ik ga niet achteraf vervoer regelen en pas op locatie nadenken over plan B. Ik bereid me ruim een maand voor ik ergens heen ga voor. De keren dat je ooit naar het buitenland hoeft te reizen adhoc zijn op 1 hand te tellen tenzij het je werk is maar dan verwacht je dat andere de voorbereidingen voeren.

En je gaat al helemaal de wetgeving in het buitenland *na* voor dat je gaat reizen.
Nogmaals ambasade en overheid paginas geven het nadrukkelijk aan.
https://www.rijksoverheid.nl/ministeries/ministerie-van-buitenlandse-zaken/het-werk-van-bz-in-de-praktijk/weblogs/2023/vakantie-reizen-thailand-hier-moet-je-aan-denken
Geef nooit je paspoort af
‘Geef in Thailand nooit je paspoort af. Ook niet als dat wordt geëist voor het huren van een auto of scooter. Geef een kopie van je paspoort af, of huur ergens anders.’

Sterker nog de politie in Thailand is niet eens gemachtigd om het paspoort af te nemen enkel het Thaise gerechtshof kan dat want het is niet jou eigendom het is van de Nederlandse staat. Maar uiteraard corruptie ten top dus daarom moet je leverage hebben. Wat heel goed werkt als je in een stad verblijft in buitenland voor langere tijd is weten wie de politici en comissaris daar is en de naam tijdens enige conflict noemen. Geen enkel corrupt agent gaat het risico nemen namelijk een vriend van hogerop lastig te vallen en ze zijn ook niet in staat om het te controleren.

Ze zoeken makkelijke doelwitten als ze vermoeden dat het hun kop kost zijn de eisen weg. De niet corrupte politie heeft ook genoeg aan een foto kopie van je paspoort met bsn doorgestreept ze zijn namelijk niet bevoegd en hebben geen middelen om de werkelijke controle te doen dat kan enkel op een bureau.Naast dat de kans uberhaubt klein is dat niet corrupte politie jou spontaan aanspreekt tenzij je uiteraard niet aan de cultuur en wetgeving aanpast. Maar dan heb je het ook er zelf naar gemaakt.

En een extra tip ben iedergeval de basis taal machtig en zeg dat niet tegen enig persoon daar van te voren.
Moet je eens opletten wat ze vertalen naar het engels en wat ze werkelijk zeggen in hun eigen taal daaraan kan je gauw al opmerken wat hun intentie is.

En ja de TS is in mijn ogen dom geweest I quote.
daar stelden ze het bij meerdere hotels in die plaats verplicht onder "lokale wet" dat ze mijn paspoort voorblad moeten kopieren
Allemaal geen probleem en ik ging uit van goed vertrouwen
Ja dat ben je dom als je een onbekende partij vertrouwd met je privacy gevoelige data en op wat het argument dat iets moet volgens lokale wet? Gevraagd om welke wet gecontroleerd welke wet? Nee uiteraard niet want die is er niet.

Voor het uitvoeren van enige acties opgelegd door een ander authenticeren en verifieren wat ze mogen.
Dan heb je 9 van de 10 keer geen ellende over je heen.

En een andere tip ga gewoon naar een reputabele hotelketen wees geen cheapskate en betaal voor je veiligheid.
Het is anders altijd duur koop. En heb je het geld daar niet voor dan ga gewoon niet tot je het wel hebt het is het niet waard om risico te lopen op jaren ellende. En for f sake gebruik nooit WIFI in buitenland nog openbaar in uberhaubt Nederland.
26-01-2024, 18:55 door Anoniem
Door Anoniem:
Door Anoniem:
<snip>Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Of gaan we nu iedereen als gelijkwaardig slachtoffer zien? Ik pas daarvoor er heet ook zo iets als verantwoordelijkheid dragen voor je acties.<snip>

Ik vraag me af of TS echt zo stom is geweest als jij hier beweert... Als je in Thailand bij je hotel staat na een dag reizen - ga je dan in discussie met de receptionist over het al dan niet afgeven van je paspoort? Als je die discussie niet wint, sta je op straat en moet je op zoek naar een alternatief. Sterker, de Nederlandse wet zegt wellicht dat je je paspoort niet af mag geven, maar zegt de Thaise wet dat ook?

Zelfde met verhuurbedrijven: je staat vast in je recht om te weigeren en kopie van je paspoort in te leveren - maar met 5 koffers en een jengelende baby naast je, wat is dan stommer? Je paspoort geven of tegen de familie zeggen dat papa nog even naar die andere verhuurder wil gaan, een eindje verderop?

TheYosh
Nee weet je wat ik doe als ik naar buitenland moet prive of zakelijk? Ik bel het hotel of andere voorziening van te voren op en vraag de voorwaarde op papier. Het gesprek leg ik vast als record en neem ik mee en als eentje moeilijk gaat doen bel ik de politie met die bewijslast en melding dat het richting ambasade gaat. Moet je opletten hoe snel het ineens niet meer hoeft. Ik ga niet achteraf vervoer regelen en pas op locatie nadenken over plan B. Ik bereid me ruim een maand voor ik ergens heen ga voor. De keren dat je ooit naar het buitenland hoeft te reizen adhoc zijn op 1 hand te tellen tenzij het je werk is maar dan verwacht je dat andere de voorbereidingen voeren.

En je gaat al helemaal de wetgeving in het buitenland *na* voor dat je gaat reizen.
Nogmaals ambasade en overheid paginas geven het nadrukkelijk aan.
https://www.rijksoverheid.nl/ministeries/ministerie-van-buitenlandse-zaken/het-werk-van-bz-in-de-praktijk/weblogs/2023/vakantie-reizen-thailand-hier-moet-je-aan-denken
Geef nooit je paspoort af
‘Geef in Thailand nooit je paspoort af. Ook niet als dat wordt geëist voor het huren van een auto of scooter. Geef een kopie van je paspoort af, of huur ergens anders.’

Sterker nog de politie in Thailand is niet eens gemachtigd om het paspoort af te nemen enkel het Thaise gerechtshof kan dat want het is niet jou eigendom het is van de Nederlandse staat. Maar uiteraard corruptie ten top dus daarom moet je leverage hebben. Wat heel goed werkt als je in een stad verblijft in buitenland voor langere tijd is weten wie de politici en comissaris daar is en de naam tijdens enige conflict noemen. Geen enkel corrupt agent gaat het risico nemen namelijk een vriend van hogerop lastig te vallen en ze zijn ook niet in staat om het te controleren.

Ze zoeken makkelijke doelwitten als ze vermoeden dat het hun kop kost zijn de eisen weg. De niet corrupte politie heeft ook genoeg aan een foto kopie van je paspoort met bsn doorgestreept ze zijn namelijk niet bevoegd en hebben geen middelen om de werkelijke controle te doen dat kan enkel op een bureau.Naast dat de kans uberhaubt klein is dat niet corrupte politie jou spontaan aanspreekt tenzij je uiteraard niet aan de cultuur en wetgeving aanpast. Maar dan heb je het ook er zelf naar gemaakt.

En een extra tip ben iedergeval de basis taal machtig en zeg dat niet tegen enig persoon daar van te voren.
Moet je eens opletten wat ze vertalen naar het engels en wat ze werkelijk zeggen in hun eigen taal daaraan kan je gauw al opmerken wat hun intentie is.

En ja de TS is in mijn ogen dom geweest I quote.
daar stelden ze het bij meerdere hotels in die plaats verplicht onder "lokale wet" dat ze mijn paspoort voorblad moeten kopieren
Allemaal geen probleem en ik ging uit van goed vertrouwen
Ja dat ben je dom als je een onbekende partij vertrouwd met je privacy gevoelige data en op wat het argument dat iets moet volgens lokale wet? Gevraagd om welke wet gecontroleerd welke wet? Nee uiteraard niet want die is er niet.

Voor het uitvoeren van enige acties opgelegd door een ander authenticeren en verifieren wat ze mogen.
Dan heb je 9 van de 10 keer geen ellende over je heen.

En een andere tip ga gewoon naar een reputabele hotelketen wees geen cheapskate en betaal voor je veiligheid.
Het is anders altijd duur koop. En heb je het geld daar niet voor dan ga gewoon niet tot je het wel hebt het is het niet waard om risico te lopen op jaren ellende. En for f sake gebruik nooit WIFI in buitenland nog openbaar in uberhaubt Nederland.
Jij denkt dat het veiliger is als een hotel niet weet aan wie ze een kamer verhuren?
26-01-2024, 19:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
<snip>Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Of gaan we nu iedereen als gelijkwaardig slachtoffer zien? Ik pas daarvoor er heet ook zo iets als verantwoordelijkheid dragen voor je acties.<snip>

Ik vraag me af of TS echt zo stom is geweest als jij hier beweert... Als je in Thailand bij je hotel staat na een dag reizen - ga je dan in discussie met de receptionist over het al dan niet afgeven van je paspoort? Als je die discussie niet wint, sta je op straat en moet je op zoek naar een alternatief. Sterker, de Nederlandse wet zegt wellicht dat je je paspoort niet af mag geven, maar zegt de Thaise wet dat ook?

Zelfde met verhuurbedrijven: je staat vast in je recht om te weigeren en kopie van je paspoort in te leveren - maar met 5 koffers en een jengelende baby naast je, wat is dan stommer? Je paspoort geven of tegen de familie zeggen dat papa nog even naar die andere verhuurder wil gaan, een eindje verderop?

TheYosh
Nee weet je wat ik doe als ik naar buitenland moet prive of zakelijk? Ik bel het hotel of andere voorziening van te voren op en vraag de voorwaarde op papier. Het gesprek leg ik vast als record en neem ik mee en als eentje moeilijk gaat doen bel ik de politie met die bewijslast en melding dat het richting ambasade gaat. Moet je opletten hoe snel het ineens niet meer hoeft. Ik ga niet achteraf vervoer regelen en pas op locatie nadenken over plan B. Ik bereid me ruim een maand voor ik ergens heen ga voor. De keren dat je ooit naar het buitenland hoeft te reizen adhoc zijn op 1 hand te tellen tenzij het je werk is maar dan verwacht je dat andere de voorbereidingen voeren.

En je gaat al helemaal de wetgeving in het buitenland *na* voor dat je gaat reizen.
Nogmaals ambasade en overheid paginas geven het nadrukkelijk aan.
https://www.rijksoverheid.nl/ministeries/ministerie-van-buitenlandse-zaken/het-werk-van-bz-in-de-praktijk/weblogs/2023/vakantie-reizen-thailand-hier-moet-je-aan-denken
Geef nooit je paspoort af
‘Geef in Thailand nooit je paspoort af. Ook niet als dat wordt geëist voor het huren van een auto of scooter. Geef een kopie van je paspoort af, of huur ergens anders.’

Sterker nog de politie in Thailand is niet eens gemachtigd om het paspoort af te nemen enkel het Thaise gerechtshof kan dat want het is niet jou eigendom het is van de Nederlandse staat. Maar uiteraard corruptie ten top dus daarom moet je leverage hebben. Wat heel goed werkt als je in een stad verblijft in buitenland voor langere tijd is weten wie de politici en comissaris daar is en de naam tijdens enige conflict noemen. Geen enkel corrupt agent gaat het risico nemen namelijk een vriend van hogerop lastig te vallen en ze zijn ook niet in staat om het te controleren.

Ze zoeken makkelijke doelwitten als ze vermoeden dat het hun kop kost zijn de eisen weg. De niet corrupte politie heeft ook genoeg aan een foto kopie van je paspoort met bsn doorgestreept ze zijn namelijk niet bevoegd en hebben geen middelen om de werkelijke controle te doen dat kan enkel op een bureau.Naast dat de kans uberhaubt klein is dat niet corrupte politie jou spontaan aanspreekt tenzij je uiteraard niet aan de cultuur en wetgeving aanpast. Maar dan heb je het ook er zelf naar gemaakt.

En een extra tip ben iedergeval de basis taal machtig en zeg dat niet tegen enig persoon daar van te voren.
Moet je eens opletten wat ze vertalen naar het engels en wat ze werkelijk zeggen in hun eigen taal daaraan kan je gauw al opmerken wat hun intentie is.

En ja de TS is in mijn ogen dom geweest I quote.
daar stelden ze het bij meerdere hotels in die plaats verplicht onder "lokale wet" dat ze mijn paspoort voorblad moeten kopieren
Allemaal geen probleem en ik ging uit van goed vertrouwen
Ja dat ben je dom als je een onbekende partij vertrouwd met je privacy gevoelige data en op wat het argument dat iets moet volgens lokale wet? Gevraagd om welke wet gecontroleerd welke wet? Nee uiteraard niet want die is er niet.

Voor het uitvoeren van enige acties opgelegd door een ander authenticeren en verifieren wat ze mogen.
Dan heb je 9 van de 10 keer geen ellende over je heen.

En een andere tip ga gewoon naar een reputabele hotelketen wees geen cheapskate en betaal voor je veiligheid.
Het is anders altijd duur koop. En heb je het geld daar niet voor dan ga gewoon niet tot je het wel hebt het is het niet waard om risico te lopen op jaren ellende. En for f sake gebruik nooit WIFI in buitenland nog openbaar in uberhaubt Nederland.
Jij denkt dat het veiliger is als een hotel niet weet aan wie ze een kamer verhuren?
Nee ik denk dat het veiliger is als je een kopie id met afgelakte informatie kan vertonen en dat dit genoeg is voor een hotel om een kamer te verhuren dan dat je naar een krot gaat van 1 ster waar je niks van hebt onderzocht voor die tijd en je paspoort aan afgeeft aan iemand die je niet kent die niet bevoegd is.

Of is die beredenering nu echt zo moeilijk om te volgen?
26-01-2024, 20:22 door Anoniem
Door Erik van Straten:
Door Anoniem: Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Je snapt duidelijk niets van wat ik schreef. Bovendien, zowel Chantal als de TS hebben, naar verluidt, hun identiteitsbewijs door een (potentieel) onbetrouwbare partij laten scannen.

Ik vind geen van beiden dom, want onder allerlei omstandigheden stellen verifiërende partijen dat zij dit moeten doen, of bestaat daartoe zelfs een wettelijke plicht. Zoals TheYosh hierboven ook al ongeveer schreef: vaak sta je op zo'n moment met je rug tegen de muur. Ga je stampij maken met als gevolg dat je het product of de dienst niet krijgt, of accepteer je het risico? Voorbeeld: https://gathering.tweakers.net/forum/list_messages/2225574.

Wat ik probeerde aan te tonen is juist waarom het zelden de schuld van slachtoffers is als er identiteitsfraude plaatsvindt, doch dat dit te wijten is aan het systeem - dat een meerderheid prima lijkt te vinden maar ondertussen slachtoffers aan hun lot overlaat. Iets anders geformuleerd:

1) Ofwel sta je, als overheid, toe dat er (digitale) kopiën van identiteitsbewijzen worden gemaakt en bewaard, bijv. om alle identificerende gegevens, zoals van een auto-huurder, bij elkaar te hebben. Het wordt m.i. al discutabel als je, als verifieerder, met het bezit van zo'n kopie meent aan te kunnen tonen dat jij die kopie van het originele identiteitsbewijs hebt gemaakt. Immers, indien er partijen zijn die (digitale, verliesvrij kopieerbare) kopiën van identiteitsbewijzen gaan maken en bewaren, is het onvermijdelijk dat een deel van die (digitale) kopiën in verkeerde handen valt. In dit scenario is een kopie van een identiteitsbewijs precies evenveel waard als een tekstbestand met uit een identiteitsbewijs overgenomen persoonsgegevens, maar ook als een zeer goede kopie van een bankbiljet van een bedrag naar keuze: niets.

(Voor marketeers zijn kale persoonsgegevens vaak wél wat waard, vooral indien in combinatie met andere gegevens zoals locaties, interesses en potientiële aanschafplannen - maar die waarde staat geheel los van de waarde als mogelijk authenticatiemiddel).

2) Ofwel verbied je, als overheid, dat er (digitale) kopiën van identiteitsbewijzen worden gemaakt en bewaard. Dan kun je, zolang er géén (digitale) kopiën van identiteitsbewijzen in omloop zijn, veilig authenticeren met een (digitale) kopie van een identiteitsbewijs. "Probleempje": op het moment dat de eerste persoon dit doet is dit als een slang die z'n eigen staart opvreet en faalt deze optie.

Conclusie: het is het één of het één; ik zie geen andere mogelijkheden. Sowieso hoort een identiteitsverifieerder de onderhavige persoon in levenden lijve te vergelijken met de pasfoto en andere kenmerken vermeld op een origineel identiteitsbewijs - dat de verifieerder tevens op manipulatie en/of vervalsing hoort te controleren. Echter, de meeste echtheidskenmerken komen helemaal niet mee op een kopie. Bovendien kan een kopie van een identiteitsbewijs veel eenvoudiger (en veel lastiger detecteerbaar) worden gemanipuleerd; denk aan het vervangen van "pasfoto" op zo'n kopie. Een persoon die zich in levenden lijve meldt met zo'n kopie zegt dus helemaal niets.

Het is dus ook in jouw belang dat iemand met een kopie van jouw identiteitsbewijs (bijvoorbeeld gelekt bij een hack van een cloudsysteem van jouw werkgever), waarop de pasfoto is vervangen, geen lening kan afsluiten op jouw naam - of een hotelkamer in Thailand kan boeken en die vervolgens leegroven, niet betalen voor maaltijden, kinderporno verspreiden via de hotel-WiFi en/of een andere hotelgast verkrachten.

Een kopie van een identiteitsbewijs is simpelweg geen origineel identiteitsbewijs en kan dat nooit vervangen. Het zijn de mensen zoals jij, en/of bankzittende consumenten, en uit financiële overwegingen handelende commerciële organisaties en overheden, die maar blijven drammen dat dit wél zo is als hen dat uitkomt, en niet in situaties waarin dat in hun nadeel zou kunnen werken.

In https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalysel#r_19517952 beschreef ik overigens een oplossing.
Nee Erik ik snap jou mening erin en ben het er niet mee eens dat je een goed argument voert. Als je dat risico wel bewust neemt omdat je anders het product dienst niet krijgt dan vind je blijkbaar dat belangrijker dan je privacy en dat is in mijn boeken dom.

Als mijn baas iets wil voor zijn bedrijf en ik moet een ID overleggen dan weiger ik dat het risico mag hijzelf nemen. Als ik iets voor me zelf wil aankopen en ik moet een ID overleggen waar het niet mag dan neem ik het product niet.
Je praat nu een soort van FOMO goed als excuus voor privacy risico's aanvaarden. Je staat niet met je rug tegen de muur je staat voor een deur en je kan doorlopen naar een ander of je kan ze dwingen tot de deur aanpassen.Niemand dwing je een google account te nemen, niemand dwingt je social media te nemen, niemand dwingt je een bepaald hotel te kiezen dat is groeps druk en FOMO en daar heb je echt zelf verantwoordelijkheid voor af te dragen als je ingeeft.

Die poster op tweaker had mij betreft een andere vraag aan zich zelf moeten stellen. Als een bedrijf de wet niet wil volgen om mij als klant te houden dan wat doe ik in hemelsnaam daar als klant. Als ze hier al de regels aan de laars lappen wat denk je dat ze verder voor illegaals wel niet kunnen doen. En voor wat een app publiceren en ook nog ervoor moeten betalen om je privacy af te laten nemen? En ja dan maar geen Google app of je gaat er tegenin of je geeft het op en bent medeplichtig aan het verzwakken van je privacy. En ik hoop van harte dat die poster inziet dat het niet zijn privacy nog zijn geld waard is.

Dat het systeem defect is dat ben ik echter helemaal met je eens. Maar dat je als afnemer daarom maar onschuldig bent in het proces als je het uiteindelijk accepteert, oh nee absoluut niet. Want zouden eens meer mensen wel stampij maken dan hadden we deze sht veel minder door de strot geduwd gekregen. En je kun wel degelijk stampij maken zolang je 100% zeker weet dat ze de wet niet volgen. Moet het wel je energie waard vinden en de meeste vinden dat blijkbaar het niet waard dat is de realiteit.

En ik zeg niet dat het simpel is tegen dit soort bedrijven in te gaan maar het kan wel. Heb het meerdere keren in mijn leven gedaan banken leveranciers overheid en zal het bliven doen. Hell ik ben nog bezig met een dossier van 1.5 jaar qua wanpraktijken bij een vervoerder in nederland waar ik ze ultimatum van drie maanden heb gegeven dit jaar de boel te fiksen of het dossier vliegt naar gemeenten provincie en media. En zoals het er nu naar uitziet wordt dat dus een publicatie straks met mogelijk een goede boete want de info is niet mals.

Maar de meeste staan liever met hun excuus bij de zelfscan kassa hebben een klanten kaarten lezen niet de voorwaarden van een dienst en en klagen maar doen geen vervolg acties. De bedrijven maken graag misbruik van die lakse houding maar wij laten het wel mooi gebeuren met zijn allen. Hoe kan het dat die bedrijven nog klanten hebben als we echt zouden geven om onze privacy en rechten. Nee de meeste geven enkel om hun privacy als ze er niks voor hoeven te doen of als het ze niks kost. Of nog erger die na betaling het best wel willen opgeven. Voor die laatste groep heb ik een woord dat ik hier niet ga zeggen.

En privacy zou een grondrecht moeten zijn waar je geen moeite voor hoeft te doen maar helaas we hebben ons dat al laten ontnemen in de praktijk. Het is nu kwestie van schade zoveel mogelijk verkleinen waar nog kan. Maar dat gaat lastig als mensen vrijwillig hun privacy opgeven voor iets anders. En dan komen we terug bij de TS en jouw argument.

In geval van de TS was er echter maar één soort partij die stelden dat het van de wet moest en dat waren de hotels. Er is geen wetgeving gecontroleerd er is geen gebruik gemaakt van ambasade advies er waren tal van waarschuwingen die je letterlijk binnen minuut had kunnen vinden *voor* vertrek en er is niet eens gekozen tot bezwaar maar accepteren van de voorwaarden van een onbekende partij onder nogmaals het slap excuus van goed vertrouwen. Vertrouwen van wat exact? er is niks gecontroleerd en dan heet het blind gokken of misplaatst vertrouwen.

Dat is niet te vergelijken met het verhaal wat je van Chantal aanhaalde omdat we niet alle details weten. Voorbeeld ze denkt dat het kwam door levering nieuwe telefoon en scan maar welke leverancier was het? Ik heb bijvoorbeeld het bij tmobile gehad dat AMP Groep langs kwam voor aflevering met inderdaad een scan. Maar ik heb nog nooit AMP groep gezien in datalek nieuws en gezien je van te voren weet wie er langskomt zou het wel heel dom zijn als daar iemand fraude poogde.

Dus heeft Chantal bij een reguliere postbezorger gescanned of bijvoorbeeld bij hun en denkt ze nu omdat dat het enige moment in haar geheugen is dat het hierdoor kwam? Ik weet het niet had net zo goed een lek in haar boekhouding pakket kunnen zijn de oorzaak is nooit officieel gevonden.. Maar bij deze TS weten we het wel want de TS heeft het zelf afgegeven bij een hotelmedewerker en dat is door de TS zelf bevestigd.

Dat de consequenties mogelijk gelijk kunnen zijn absoluut eens. Maar er is hier wel degelijk sprake van bewezen niet zorgvuldig handelen en bij Chantal is het speculeren of dat het geval was.

En daarom Erik vind ik jouw argument niet sterk op dit moment. Je vergelijkt iemand die mogelijk door rood reed met iemand die toegaf door rood te rijden als we even een simpele vergelijking erbij pakken.
En kan best zijn dat we het hier nooit over eens worden so be it. Ik hoef mijn gelijk niet te hebben maar ik ga me niet comformeren naar een in mijn ogen zwakkere houding omtrent privacy.

En misschien heb je sterkere ondebouwde tegenargumenten (want die heb je bij veel onderdelen vaak) dan lees ik die zeer graag maar deze is voorlopig een nee sorry Erik ga ik niet in mee. En anders kunnen we het ook hierbij laten omtrent dit onderwerp tussen ons twee. Evenveel respect voor beide gevallen van uit mij voor je bijdrage en ik dank je voor de tijd die je hebt genomen.
26-01-2024, 21:48 door Anoniem
Leuk hoor dat afschermen van gegevens. 90% van de organisaties waar men om een Kopie ID vraagt zal niet akkoord gaan met een 'bewerkt' of gecensureerd document. Het is dan wat eenvoudig om te zeggen, zoek maar een andere partij die wel een bewerkt document accepteerd, vervolgens kom je weer bij een of andere vage partij uit die het allemaal niet zo nauw neemt met de veiligheid of gewoon oplichterij is.
26-01-2024, 22:17 door Erik van Straten
@Anoniem 20:22: ik ben het met je eens dat, gegeven het idiote systeem, je het beste zo voorzichtig mogelijk kunt zijn. Ook ik heb mijn Visa-kaart opgezegd toen icscards.nl van mij eiste (na tientallen jaren die kaart te hebben gehad) dat ik mijzelf zou filmen en een foto van mijn paspoort zou opsturen. Maar als ik niet eenvoudig zonder die Visa kaart had gekund, was ik waarschijnlijk wél gezwicht. En er zijn steeds meer dingen die je niet meer kunt doen als je dit Russisch-roulette-spel niet mee wilt spelen.

Met jouw (wereldvreemde?) houding zul je op veel onbegrip stuiten. Of je het leuk vindt of niet, jouw werkgever moet een kopie van jouw paspoort in diens administratie hebben. Als je geluk hebt is dat een kopie van een paspoort dat lang geleden is verlopen (werkgevers hoeven de eerste kopie nooit te verversen). De meeste werkgevers bewaren dergelijke kopiëen gedigitaliseerd en online. Met het zoveelste lek als gevolg, vanmiddag gepubliceerd: "Akira ransomware gang says it stole passport scans from Lush in 110 GB data heist" (https://theregister.com/2024/01/26/akira_lush_ransomware/).

Lang niet iedereen kan zich een "dan maar niet" permitteren (bijv. Android app-makers), en heeft daarnaast de benodigde kennis, de energie én het lef om zich tegen allerlei instanties te verzetten die om bijv. (het opsturen van) een paspoortscan vragen. Ik maak er ernstig bezwaar tegen dat je zulke mensen (kennelijk vooral IT specialisten) als dom wegzet; dat lost m.i. helemaal niets op.

Zodra een ander beschikt over een kopie van jouw identiteitsbewijs (ook als die gedeeltelijk is afgedekt), al dan niet in combinatie met een selfie of een video van jouw gezicht, kan die ander zich -met exact dezelfde betrouwbaarheid- voordoen als jou. Watermerken zijn, met toenemende kracht van AI, steeds eenvoudiger te verwijderen of te vervangen, en zelfs afgedekte gegevens kunnen worden hersteld als de fraudeur ze kent). Het is het systeem dat niet deugt omdat het extreem vatbaar is voor (al dan niet uitgestelde) AitM (Attacker in the Middle) aanvallen.
26-01-2024, 23:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
<snip>Ja maar het verschil met Chantal (zover we weten) en deze TS is dat deze wel iets stoms heeft gedaan nee beter gezegd meerde domme dingen heeft gedaan die hebben geleid tot vrijwillig overhandiging van privacy gevoelige informatie.
Of gaan we nu iedereen als gelijkwaardig slachtoffer zien? Ik pas daarvoor er heet ook zo iets als verantwoordelijkheid dragen voor je acties.<snip>

Ik vraag me af of TS echt zo stom is geweest als jij hier beweert... Als je in Thailand bij je hotel staat na een dag reizen - ga je dan in discussie met de receptionist over het al dan niet afgeven van je paspoort? Als je die discussie niet wint, sta je op straat en moet je op zoek naar een alternatief. Sterker, de Nederlandse wet zegt wellicht dat je je paspoort niet af mag geven, maar zegt de Thaise wet dat ook?

Zelfde met verhuurbedrijven: je staat vast in je recht om te weigeren en kopie van je paspoort in te leveren - maar met 5 koffers en een jengelende baby naast je, wat is dan stommer? Je paspoort geven of tegen de familie zeggen dat papa nog even naar die andere verhuurder wil gaan, een eindje verderop?

TheYosh
Nee weet je wat ik doe als ik naar buitenland moet prive of zakelijk? Ik bel het hotel of andere voorziening van te voren op en vraag de voorwaarde op papier. Het gesprek leg ik vast als record en neem ik mee en als eentje moeilijk gaat doen bel ik de politie met die bewijslast en melding dat het richting ambasade gaat. Moet je opletten hoe snel het ineens niet meer hoeft. Ik ga niet achteraf vervoer regelen en pas op locatie nadenken over plan B. Ik bereid me ruim een maand voor ik ergens heen ga voor. De keren dat je ooit naar het buitenland hoeft te reizen adhoc zijn op 1 hand te tellen tenzij het je werk is maar dan verwacht je dat andere de voorbereidingen voeren.

En je gaat al helemaal de wetgeving in het buitenland *na* voor dat je gaat reizen.
Nogmaals ambasade en overheid paginas geven het nadrukkelijk aan.
https://www.rijksoverheid.nl/ministeries/ministerie-van-buitenlandse-zaken/het-werk-van-bz-in-de-praktijk/weblogs/2023/vakantie-reizen-thailand-hier-moet-je-aan-denken
Geef nooit je paspoort af
‘Geef in Thailand nooit je paspoort af. Ook niet als dat wordt geëist voor het huren van een auto of scooter. Geef een kopie van je paspoort af, of huur ergens anders.’

Sterker nog de politie in Thailand is niet eens gemachtigd om het paspoort af te nemen enkel het Thaise gerechtshof kan dat want het is niet jou eigendom het is van de Nederlandse staat. Maar uiteraard corruptie ten top dus daarom moet je leverage hebben. Wat heel goed werkt als je in een stad verblijft in buitenland voor langere tijd is weten wie de politici en comissaris daar is en de naam tijdens enige conflict noemen. Geen enkel corrupt agent gaat het risico nemen namelijk een vriend van hogerop lastig te vallen en ze zijn ook niet in staat om het te controleren.

Ze zoeken makkelijke doelwitten als ze vermoeden dat het hun kop kost zijn de eisen weg. De niet corrupte politie heeft ook genoeg aan een foto kopie van je paspoort met bsn doorgestreept ze zijn namelijk niet bevoegd en hebben geen middelen om de werkelijke controle te doen dat kan enkel op een bureau.Naast dat de kans uberhaubt klein is dat niet corrupte politie jou spontaan aanspreekt tenzij je uiteraard niet aan de cultuur en wetgeving aanpast. Maar dan heb je het ook er zelf naar gemaakt.

En een extra tip ben iedergeval de basis taal machtig en zeg dat niet tegen enig persoon daar van te voren.
Moet je eens opletten wat ze vertalen naar het engels en wat ze werkelijk zeggen in hun eigen taal daaraan kan je gauw al opmerken wat hun intentie is.

En ja de TS is in mijn ogen dom geweest I quote.
daar stelden ze het bij meerdere hotels in die plaats verplicht onder "lokale wet" dat ze mijn paspoort voorblad moeten kopieren
Allemaal geen probleem en ik ging uit van goed vertrouwen
Ja dat ben je dom als je een onbekende partij vertrouwd met je privacy gevoelige data en op wat het argument dat iets moet volgens lokale wet? Gevraagd om welke wet gecontroleerd welke wet? Nee uiteraard niet want die is er niet.

Voor het uitvoeren van enige acties opgelegd door een ander authenticeren en verifieren wat ze mogen.
Dan heb je 9 van de 10 keer geen ellende over je heen.

En een andere tip ga gewoon naar een reputabele hotelketen wees geen cheapskate en betaal voor je veiligheid.
Het is anders altijd duur koop. En heb je het geld daar niet voor dan ga gewoon niet tot je het wel hebt het is het niet waard om risico te lopen op jaren ellende. En for f sake gebruik nooit WIFI in buitenland nog openbaar in uberhaubt Nederland.
Jij denkt dat het veiliger is als een hotel niet weet aan wie ze een kamer verhuren?
Nee ik denk dat het veiliger is als je een kopie id met afgelakte informatie kan vertonen en dat dit genoeg is voor een hotel om een kamer te verhuren dan dat je naar een krot gaat van 1 ster waar je niks van hebt onderzocht voor die tijd en je paspoort aan afgeeft aan iemand die je niet kent die niet bevoegd is.

Of is die beredenering nu echt zo moeilijk om te volgen?

Het is een beredenering, maar op deze manier is een duur hotel ook geen enkele garantie voor veiligheid en dat wordt wel gesuggereerd. Het hotel neemt de identificatie van de gasten niet serieus en juist dat maakt het gevaarlijk.
27-01-2024, 10:36 door Anoniem
Door Erik van Straten: @Anoniem 20:22: ik ben het met je eens dat, gegeven het idiote systeem, je het beste zo voorzichtig mogelijk kunt zijn. Ook ik heb mijn Visa-kaart opgezegd toen icscards.nl van mij eiste (na tientallen jaren die kaart te hebben gehad) dat ik mijzelf zou filmen en een foto van mijn paspoort zou opsturen. Maar als ik niet eenvoudig zonder die Visa kaart had gekund, was ik waarschijnlijk wél gezwicht. En er zijn steeds meer dingen die je niet meer kunt doen als je dit Russisch-roulette-spel niet mee wilt spelen.

Met jouw (wereldvreemde?) houding zul je op veel onbegrip stuiten. Of je het leuk vindt of niet, jouw werkgever moet een kopie van jouw paspoort in diens administratie hebben. Als je geluk hebt is dat een kopie van een paspoort dat lang geleden is verlopen (werkgevers hoeven de eerste kopie nooit te verversen). De meeste werkgevers bewaren dergelijke kopiëen gedigitaliseerd en online. Met het zoveelste lek als gevolg, vanmiddag gepubliceerd: "Akira ransomware gang says it stole passport scans from Lush in 110 GB data heist" (https://theregister.com/2024/01/26/akira_lush_ransomware/).

Lang niet iedereen kan zich een "dan maar niet" permitteren (bijv. Android app-makers), en heeft daarnaast de benodigde kennis, de energie én het lef om zich tegen allerlei instanties te verzetten die om bijv. (het opsturen van) een paspoortscan vragen. Ik maak er ernstig bezwaar tegen dat je zulke mensen (kennelijk vooral IT specialisten) als dom wegzet; dat lost m.i. helemaal niets op.

Zodra een ander beschikt over een kopie van jouw identiteitsbewijs (ook als die gedeeltelijk is afgedekt), al dan niet in combinatie met een selfie of een video van jouw gezicht, kan die ander zich -met exact dezelfde betrouwbaarheid- voordoen als jou. Watermerken zijn, met toenemende kracht van AI, steeds eenvoudiger te verwijderen of te vervangen, en zelfs afgedekte gegevens kunnen worden hersteld als de fraudeur ze kent). Het is het systeem dat niet deugt omdat het extreem vatbaar is voor (al dan niet uitgestelde) AitM (Attacker in the Middle) aanvallen.

Mee eens.

De basis-fout zit hem in het ontwerp en de gedachte dat er zo veel mogelijk identificerende data op en in een reisdocument moeten staan. En dat dat reisdocument dan hergebruikt moet kunnen worden als identificatie middel voor van alles en nogwat oa. binnen het eigen land. (Function creep)

Want lekker makkelijk.
Vooral voor oplichters die vanuit het buitenland werken.
Infiltreer een hotel, of een creditcard maatschappij, of een autoverhuurder oid, zet de klant voor het blok, trek een extra kopie van dat reisdocument en de data in het reservings- of huur-systeem en gaan met die identiteitsfraude banaan.

Onze overheid kan het niet makkeliijker voor ze maken.
Enige problemen (zoals identiteitsfraude) mag de burger daarna zelf maar zien op te lossen.
Dan geeft diezelfde overheid niet thuis. Had de burger maar niet...

Maar het probleem voorkomen door de gegevens niet op het reisdoument op te nemen en te verbieden dat het voor iets anders dat reizen gebruikt mag worden, dat gaat te ver voor diezelfde overheid.
Dan zouden ze iets proactiefs moeten doen. Het idee alleen al.

Het moet eerst een keer falikant fout gaan met het reisdocument van onze minister-president of de koning.
Misschien dat ze dan eindelijk wakker worden.
27-01-2024, 16:37 door karma4
Andersom insteken:
Het bekend zijn van een BSN is geen probleem.
Dat er instellingen zijn die verwerkingen beginnen omdat het BSN in de administratie op te voeren valt is het werkelijke probleem. Een bestelling naar een adres sturen en de bewoners daarop aanspreken is net zo zot iets.
Kan de verwerkende partij niet bewijzen dat hij gedegen gecontroleerd heeft dat het om de juiste persoon gaat dan hoort daar de schade met het probleem neergelegd te worden. De AP geeft hier een volledig verkeerd beeld af om de schuld bij het bekend worden neer te leggen. Dat is niet volgends de GDPR.
27-01-2024, 17:54 door Erik van Straten
 
Vriendelijk verzoek aan alle reageerders: quote s.v.p. uitsluitend waar je op reageert. Enorme lappen grijs maken pagina's met discussies minder goed leesbaar, en het is vaak niet duidelijk op welk aspect je reageert. Dank!

Door Anoniem 10:36: De basis-fout zit hem in het ontwerp en de gedachte dat er zo veel mogelijk identificerende data op en in een reisdocument moeten staan.
Welke identificerende gegevens er wel of niet op een specifiek type identiteitsbewijs zouden moeten staan is m.i. een andere discussie.

Door Anoniem 10:36: En dat dat reisdocument dan hergebruikt moet kunnen worden als identificatie middel voor van alles en nogwat oa. binnen het eigen land. (Function creep)
Aan de reacties te zien begrijpt nog niet iedereen het verschil tussen identificatie (om wie gaat het) en authenticatie (ben jij, eventueel een vertrouweling zoals een stemgemachtigde, doch zeker niet een frauderende crimineel, de beschreven persoon).

Ik heb een nieuw topic hierover gestart, zie https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21.
27-01-2024, 18:16 door Anoniem
Door Erik van Straten:  
Door Anoniem 10:36: De basis-fout zit hem in het ontwerp en de gedachte dat er zo veel mogelijk identificerende data op en in een reisdocument moeten staan.
Welke identificerende gegevens er wel of niet op een specifiek type identiteitsbewijs zouden moeten staan is m.i. een andere discussie.

Klopt. Maar ze staan er nu wel op.
En dat is niet (alleen) om naar en in het buitenland te kunnen reizen


Door Erik van Straten:  
Door Anoniem 10:36: En dat dat reisdocument dan hergebruikt moet kunnen worden als identificatie middel voor van alles en nogwat oa. binnen het eigen land. (Function creep)
Aan de reacties te zien begrijpt nog niet iedereen het verschil tussen identificatie (om wie gaat het) en authenticatie (ben jij, eventueel een vertrouweling zoals een stemgemachtigde, doch zeker niet een frauderende crimineel, de beschreven persoon).

Dat verschil is bij mijn weldegelijk duidelijk.
Maar dat verhindert overheden en bedrijven niet om (met wetgeving in de hand) deze documenten te "hergebruiken" waar ze oorspronkelijk niet voor bedoeld zijn.

Als een kopie van dat document eenmaal in verkeerde handen gekomen is, dat wordt er fraude mee gepleegd.
Dat had de overheid kunnen voorkomen door niet toe te laten dat zo'n document of de gegevens erop gebruikt kunnen worden voor identificatie en authenticatie bij overheid en bedrijven.
Helaas gebeurt dat echter wel.
Met dank aan de genieen die dat bedacht hebben.
28-01-2024, 13:11 door EKTB
Dus Topicstarter was te beroerd om een nieuw paspoort te nemen en vind nu dat de overheid zijn probleem moet oplossen? Kansloos.
28-01-2024, 16:25 door Anoniem
Door EKTB: Dus Topicstarter was te beroerd om een nieuw paspoort te nemen en vind nu dat de overheid zijn probleem moet oplossen? Kansloos.
Als er op het nieuwe paspoort ook een nieuw BSN-nummer zou staan, ja, dan had TS dat kunnen doen (en waarschijnlijk ook meteen gedaan).
28-01-2024, 19:55 door Anoniem
Door EKTB: Dus Topicstarter was te beroerd om een nieuw paspoort te nemen en vind nu dat de overheid zijn probleem moet oplossen? Kansloos.

Deze reactie met het woord "kansloos" is pas kansloos. Wat draagt dat nou bij?

Maar goed, je weet toch wel dat je paspoort altijd dezelfde BSN zal krijgen.

Maakt niet uit of je wordt opgelicht in een 1* in Thailand of in een 5* Mercure in Duitsland...... het BSN probleem ligt toch echt bij de overheid.

ZZPERs moesten hun BSN (vroeger SOFI) nummer op facturen zetten. Is verplicht van de Belastingdienst.

Zo heb je dus persoonlijke gegevens van mensen die ooit zelfstandig waren, zonder het te kunnen wijzigen!
28-01-2024, 21:57 door Anoniem
Door Anoniem:
Door EKTB: Dus Topicstarter was te beroerd om een nieuw paspoort te nemen en vind nu dat de overheid zijn probleem moet oplossen? Kansloos.

Deze reactie met het woord "kansloos" is pas kansloos. Wat draagt dat nou bij?

Maar goed, je weet toch wel dat je paspoort altijd dezelfde BSN zal krijgen.

Maakt niet uit of je wordt opgelicht in een 1* in Thailand of in een 5* Mercure in Duitsland...... het BSN probleem ligt toch echt bij de overheid.

ZZPERs moesten hun BSN (vroeger SOFI) nummer op facturen zetten. Is verplicht van de Belastingdienst.!

Nee, het is verplicht bij de wet. En de Belastingdienst heeft uitvoering aan die wet.

Een het probleem ligt niet bij de overheid. Een BSN is géén bijzonder persoonsgegeven.

Het probleem ligt bij de eigenaar en hoe hij met zijn of haar BSN omgaat. In dit geval een kopie afgeven van zijn paspoort in een onguur 1sterren hotel in Thailand.

Is trouwens al vastgesteld dat de BSN van de TS ook daadwerkelijk is misbruikt na die actie?
28-01-2024, 23:53 door Anoniem
>>>Een het probleem ligt niet bij de overheid. Een BSN is géén bijzonder persoonsgegeven.

Wel volgens de overheid. NIET volgens de Belastingdienst. Lees het rapport van Berendschot hier maar over na

Wist je dat er dus binnen de overheid 2 verschillende meningen zijn hierover ?


>>>Het probleem ligt bij de eigenaar en hoe hij met zijn of haar BSN omgaat. In dit geval een kopie afgeven van zijn paspoort in een onguur 1sterren hotel in Thailand.

Een BSN is al snel gelekt. Via ZZP, via je ID, via een zorgvoer, op allerlei manieren. Je hebt er immers een heel leven lang de tijd voor. Een BSN expired niet zoals je documentnummer, het wordt niet ouder zoals een foto etc

Het is het een bijzonder nummer ook om dat je met het BSN en NAW al alleri dingen kunt regelen, telefonisch, zonder je te identificeren. Ook kun je nog steeds bij allerlei clubs in de zorg met die gegevens social engineeren. Dan kun je zeggen : ja maar dan moeten alle 5000+ zorgbedrijven hun dingen op orde maken maar dit is niet realistisch.

Het gaat niet om die ene persoon, die TS. Iedereen heeft een BSN en dit is in het belang van allemaal niet waar?

In een modern land moet dit veranderbaar zijn, zeker na misbruik, maar ook gewoon in het algemeen. En als het geen bijzonder persoonsgegeven is, waarom staat het dan wel in je paspoort op de 2de pagina? En vroeger op de voorpagina?

Wij lopen gewoon achter... net als toen heel EU een creditcard rijbewijs had en wij nog een roze papiertje. Ze passen wel dingen aan, maar dan half. En dan spreekt een ander deel van de overheid weer tegen dat het geen bijzonder persoonsgegeven is, toevallig dat deel van de overheid die hun ICT niet op orde heeft/krijgt.. leuker kunnen we het niet maken.

Gaat imho niet om TS maar het is een probleem dat vroeg of laat op een andere schaal en bij andere mensen gaat spelen... dit is slechts een kwestie van tijd
29-01-2024, 08:03 door Bitje-scheef
Sterker nog de politie in Thailand is niet eens gemachtigd om het paspoort af te nemen enkel het Thaise gerechtshof kan dat want het is niet jou eigendom het is van de Nederlandse staat

Dit is zeker mogelijk en mag in ieder land. Dit gaat om het vaststellen van je identiteit en/of om te voorkomen dat je vlucht gedurende het (straf)onderzoek.

Langdurige inbeslagname is niet de bedoeling. Hier zijn gewoon internationale afspraken over.
29-01-2024, 11:09 door Anoniem
Door Erik van Straten: @Anoniem 20:22: ik ben het met je eens dat, gegeven het idiote systeem, je het beste zo voorzichtig mogelijk kunt zijn. Ook ik heb mijn Visa-kaart opgezegd toen icscards.nl van mij eiste (na tientallen jaren die kaart te hebben gehad) dat ik mijzelf zou filmen en een foto van mijn paspoort zou opsturen. Maar als ik niet eenvoudig zonder die Visa kaart had gekund, was ik waarschijnlijk wél gezwicht. En er zijn steeds meer dingen die je niet meer kunt doen als je dit Russisch-roulette-spel niet mee wilt spelen.

Met jouw (wereldvreemde?) houding zul je op veel onbegrip stuiten. Of je het leuk vindt of niet, jouw werkgever moet een kopie van jouw paspoort in diens administratie hebben. Als je geluk hebt is dat een kopie van een paspoort dat lang geleden is verlopen (werkgevers hoeven de eerste kopie nooit te verversen). De meeste werkgevers bewaren dergelijke kopiëen gedigitaliseerd en online. Met het zoveelste lek als gevolg, vanmiddag gepubliceerd: "Akira ransomware gang says it stole passport scans from Lush in 110 GB data heist" (https://theregister.com/2024/01/26/akira_lush_ransomware/).

Lang niet iedereen kan zich een "dan maar niet" permitteren (bijv. Android app-makers), en heeft daarnaast de benodigde kennis, de energie én het lef om zich tegen allerlei instanties te verzetten die om bijv. (het opsturen van) een paspoortscan vragen. Ik maak er ernstig bezwaar tegen dat je zulke mensen (kennelijk vooral IT specialisten) als dom wegzet; dat lost m.i. helemaal niets op.

Zodra een ander beschikt over een kopie van jouw identiteitsbewijs (ook als die gedeeltelijk is afgedekt), al dan niet in combinatie met een selfie of een video van jouw gezicht, kan die ander zich -met exact dezelfde betrouwbaarheid- voordoen als jou. Watermerken zijn, met toenemende kracht van AI, steeds eenvoudiger te verwijderen of te vervangen, en zelfs afgedekte gegevens kunnen worden hersteld als de fraudeur ze kent). Het is het systeem dat niet deugt omdat het extreem vatbaar is voor (al dan niet uitgestelde) AitM (Attacker in the Middle) aanvallen.
Ja helaas is dat inderdaad een wereldvreemde houding en ik ben koppig tot en met al 20+ jaar als het op privacy aankomt ik neem mijn verliezen waar ik kan. En dat sommige dat niet altijd kunnen begrijp ik ook maar iemand die voor de lol een applicatie wil ontwikkelen moet mijn inziens toch even nadenken of het je privacy waard is. Niks uit je artikel gaf indicatie dat het van werk moest en zelfs dan kun je argument voeren dat de rekeninghouder eigenlijk zich hoort te authenticeren en niet de developer. (authenticeren en ID is lachertje maar je snapt wat ik er mee bedoel).

En ik ben me volledige bewust over dat mijn werkgever mijn verzekeraar en mijn bank die gegevens bezitten. Sterker nog ik heb door mijn kopies als ik die moest versturen miniscule volgnummers zitten die ik heb opgeslagen in ofline database met datum uitgifte en bedrijf. Dat voorkomt nog steeds niet 100% diefstal maar het maakt traceren van een lek een stuk makkelijker. En nee dit zijn geen kopie id standaard watermerken maar toevoegingen die je pas op 800% vergroting ziet. Knappe A.I die daar rekening mee houdt.

De meeste zijn toch echt afhankelijk van vorige data voor veel verwijdering en ik kan je verzekeren mijn methode is niet iets dat nou bepaald in trainingdata naar voren komt. Ik werk al 7 jaar met algoritmes voor A.I en als het ergens slecht mee overweg kan is het tekstmanipulatie in afbeelding format op niet gestandardiseerd font. Ook al slaagt het er 50% in voor verwijdering het zit door de afbeelding op andere plekken naast gecodeerd in bestand zelf als stenografie. En tot op heden heeft A.I toch altijd nog sturing nodig van de opdrachtgever en de meeste zijn gelukkig lui en onbekwaam of richten zich op de meest toegankelijke beveiliging verwijdering.

Maar dit soort maatregelen zijn bij gros niet nodig. Een hotel hoeft geen kopie te hebben ik toon daar een kopie ik geef niks af en zo gaat het bij veel andere aanvragen. Kunnen ze bij wet aantonen dat ze verplicht zijn dan zal ik kopie aanleveren kunnen ze dat niet dan weiger ik het verzoek zoals van me geeist wordt door de overheid en meldt ze als wetovertreder. En dat onderzoek ik lang voor dat ik naar een bedrijf moet.

Het argument dat mensen geen energie, middelen, kennis of lef hebben tja dat kunnen we op alles betrekken Dat vind ik echter wel iets voor case by case omdat die kaart wel heel snel getrokken wordt. Want als dat het excuus is van de grote groep dan waarom hebben we het nog over waarom het systeem kapot is? Het repareren ervan is namelijk 100 keer lastiger dan het risico nemen. Lost die houding het probleem op? Dit is precies het argument dat bedrijven voeren die de overtredingen maken. Wat maakt het uit meerderheid geeft er niks om we komen er toch wel mee weg. De kosten voor beveiliging en personeel inzet zijn te hoog.

En als dat het argument wel is dat ze geen blaam treffen dan waarom zouden de bedrijven dat niet zelf mogen gebruiken als het excuus. After all het zijn nog steeds mensen die de fouten maken achter de schermen waar we tegen af geven. Een beetje dubbele standaard niet als je er dieper over nadenkt?

Het staat je vrij om sommige personen niet dom te noemen maar deze samenleving heeft naar mijn mening een heel groot probleem dat al jaren zich verder ontwikkeld "gemakzucht en prioriteiten stellen". Alles moet sneller de aandachtspan is ronduit belaberd bij de meesten en verantwoordelijkheid gevoel is ver te zoeken. En in plaats dat we het benoemen zoals het is moeten we maar steeds zachtere woorden gebruiken en aanpak om een ander niet te kwetsen of slecht gevoel te geven. Maar dat is juist belangrijk voor groei een rotte ervaring te hebben. Eerst besef dat je *wel* in de fout bent gegaan en dan jezelf verbeteren. Maar als we constant en zeker als specialisten zeggen van enkel het systeem is fout je hebt geen blaam te treffen iedereen kan het overkomen dan hoe in hemelsnaam gaan we mensen ooit iets bij brengen laat staan beschermen tegen andere of zichzelf voor dat het systeem ze compleet vermorzeld.

Hoe vaak zie je in media staan dat iemand wel schuld nog heeft aan iets in plaats dat ze het slachtoffer zijn.
En als er uberhaubt ergens schuld wordt benoemd hoeveel woorden daar aan worden besteedt en hoeveel aan verzachtende uitleg er om heen. En wat voor invloed heeft dat op de lezers van dit soort artikelen gaan ze zich als de slachtoffer rol zien of eentje die verantwoordelijkheid neemt voor hun acties?

Ik ben opgegroeid tijdens de hoogtij dagen van SIRE campagnes. Zoals je bent een rund als je met vuurwerk stunt. ik heb op mijn 8ste de meest gruwelijke verminkingen gezien omder het mom van geen alchohol tijdens het rijden of ieder een gordel om tijdens reclame blokken voor of na cartoons. Dat heeft meer invloed gehad op mijn gedrag en zelfpreservatie dan menige statistiek die ooit is verkondigd in de media. 2.9 miljoen mensen ondervinden ernstig pesten vs een campagne waar iemand grafisch zelfmoord pleegt naar aanleiding van pesten.

Maar dat durven we niet meer te tonen we moeten dan uberhaubt nu eerst een waarschuwing voor van de volgende beelden kunnen als schokkend worden ervaren. Zijn we helemaal gek geworden? Ik mag hopen dat het als schokkend wordt ervaren dat is het doel!. De volgende beelden zijn de trieste werkelijheid dat zouden ze eens moeten neerzetten. En dat zouden ze we ook eens moeten doen met privacy.

De trieste werkelijkheid is dat je deel uitmaakt van een samenleving die geen waarde hecht aan jou online veiligheid. De trieste werkelijkheid is dat het systeem ontwikkeld is met dat in gedachte. De trieste werkelijkheid is dat de meeste mede schuldig zijn aan het in standhouden hiervan. De trieste werkelijkheid is dat de meeste het wel best vinden. De trieste werkelijkheid is dat de meeste niet de waarde van privacy snappen. De trieste werkelijkheid is dat men die waarde pas snapt zodra het te laat is.

Je bent een rund als je met privacy stunt.
29-01-2024, 18:18 door Anoniem
Door Anoniem:
Door EKTB: Dus Topicstarter was te beroerd om een nieuw paspoort te nemen en vind nu dat de overheid zijn probleem moet oplossen? Kansloos.

Deze reactie met het woord "kansloos" is pas kansloos. Wat draagt dat nou bij?

Maar goed, je weet toch wel dat je paspoort altijd dezelfde BSN zal krijgen.

Maakt niet uit of je wordt opgelicht in een 1* in Thailand of in een 5* Mercure in Duitsland...... het BSN probleem ligt toch echt bij de overheid.

ZZPERs moesten hun BSN (vroeger SOFI) nummer op facturen zetten. Is verplicht van de Belastingdienst.

Zo heb je dus persoonlijke gegevens van mensen die ooit zelfstandig waren, zonder het te kunnen wijzigen!

Als iemand anders jouw naam gaat gebruiken, ga je dan ook je naam wijzigen?
30-01-2024, 14:41 door Erik van Straten
Door Anoniem 29-01-2024, 11:09: Sterker nog ik heb door mijn kopies als ik die moest versturen miniscule volgnummers zitten die ik heb opgeslagen in ofline database met datum uitgifte en bedrijf. Dat voorkomt nog steeds niet 100% diefstal maar het maakt traceren van een lek een stuk makkelijker. En nee dit zijn geen kopie id standaard watermerken maar toevoegingen die je pas op 800% vergroting ziet. Knappe A.I die daar rekening mee houdt.
Ik heb respect voor jouw inventiviteit en de manier waarop je fraude met jouw identiteit probeert te bemoeilijken en/of achteraf denkt aan te kunnen tonen dat "niet jij het was".

Echter, niet zo heel knappe AI kun je, aan de hand van meerdere identiteitsbewijzen of kopieën daarvan, leren hoe een blanco identiteitsbewijs eruit zou zien. Daarop kun je vervolgens informatie naar keuze projecteren (in het eveneens geleerde lettertype, kleur etcetera).

Mocht zoiets in jouw situatie gebeuren, dan kun je wel bij een rechter claimen dat het geen echte kopie van jouw ID-bewijs kan zijn omdat die kleine cijfertjes ontbreken, maar hoe denk jij te gaan bewijzen dat jij nooit een kopie zonder die kleine cijfertjes hebt gemaakt?

Wat jij doet is pure symptoombestrijding, op een manier die voor de meeste mensen überhaupt niet is weggelegd.

Door Anoniem 29-01-2024, 18:18: Als iemand anders jouw naam gaat gebruiken, ga je dan ook je naam wijzigen?
Dat is niet onmogelijk, maar ook ordinaire symptoombestrijding van een probleem dat niet hoeft- en niet zou moeten bestaan.

Daarentegen is het wel goed gebruik om jouw wachtwoord te wijzigen zodra dat in verkeerde handen is gevallen, of om je paspoort of pinpas, na verlies of diefstal, te laten blokkeren en een nieuw exemplaar aan te vragen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.