Dan sta je mooi voor paal…

Niet alleen de grote en meer bekende organisaties staan in “the picture” als het gaat om beveiligingslekken maar ook komen er steeds meer berichten naar buiten van websites die gehackt zijn…nou ja, gehackt: ook hierbij zien we weer dat er niet heel veel technische kennis nodig was om achter de gegevens te komen.

Maar ja, als gebruiker en geregistreerde van deze websites sta je dan mooi voor paal:
De pornosite Videosz.com heeft de privégegevens van honderdduizenden klanten gelekt. Een lezer van het Duitse Heise ontdekte een IP-adres waar een onbeveiligde phpMyAdmin installatie op draaide. Zodoende kreeg hij zonder enige authenticatie toegang tot de database, met daarin adresgegevens, wachtwoorden, creditcardgegevens en welke pornofilms gebruikers hadden gedownload (bron).

Of wat denk je van deze?

YouPorn, de populairste pornosite op het internet, heeft de gegevens van meer dan een miljoen geregistreerde gebruikers gelekt. Het gaat om wachtwoorden en e-mailadressen. “Deze informatie is te gebruiken om pornoverbruikers te identificeren, maar voor sommige gebruikers staat er meer dan alleen de reputatie op het spel”, zegt beveiligingsonderzoeker Anders Nilsson (bron).

Gelukkig volgde er op het tweede bericht al snel een update:
Volgens YouPorn gaat het niet om gebruikers van de videosite, maar om gebruikers van dating/chatsite YP Chat. Dit zou een gescheiden dienst zijn die vanaf YouPorn.com werd gelinkt. De chatdienst werd door een derde partij beheerd en zou niet met YouPorn.com geassocieerd zijn. Ook zou YP Chat niet op YouPorn-servers gehost zijn.

YP Chat zou zomaar een afkorting van YouPorn Chat kunnen zijn. Het bedrijf mag dan aangeven dat een dergelijke dienst is uitbesteed en dat zij daar niet mee geassocieerd kunnen worden. Maar ja, het imago heeft inmiddels al een flinke deuk opgelopen. Voor de gebruiker doet het er ook helemaal niet toe of het nu wel of niet formeel geassocieerd mag worden met elkaar. Nee, ook hier gaat het weer gewoon om perceptie.

Denkt of ervaart de klant dat YP Chat onderdeel is van YouPorn dan is het YorPorn die de klappen krijgt. Niet zo gek natuurlijk. We haalden het in het verleden ook al aan, maar al die terugroep acties van Toyota hebben de leveranciers van dat merk minder imago schade opgeleverd dan Toyota. Natuurlijk kun je hard roepen dat alles is uitbesteed, maar was de keten niet zo zwak als de zwakste schakel? Juist.

Of je nu uitbesteedt of niet, dat maakt voor de klant helemaal niets uit. Sterker nog: degene die uitbesteedt moet gewoon haar verantwoordelijkheid nemen. Heeft je leverancier het niet goed in de klauw dan moet je daar betere eisen aan stellen, je moet ze helpen en dat doe je niet door de contracten nog verder te onderhandelen want daarmee schiet je alleen jezelf maar in je voet.

Maar goed, ben je nog op zoek naar een interessant chat-maatje dan weetje nu dat je genoeg email-adressen kunt vinden door nog even goed te zoeken. Ik wens je hele leuke gesprekken, maar houd het alsjeblieft wel een beetje discreet want voor je het weet ligt jouw hele chat-geschiedenis ook op straat.

Dienstverlener gijzelt klantendatabases

Een groep Amerikaanse advocatenkantoren heeft een administratieve dienstverlener aangeklaagd omdat die gevoelige klantgegevens in gijzeling houdt en negen miljoen dollar niet wil teruggeven (bron). De dienstverlener verzorgde de administratie voor de advocatenkantoren, die zich bezighouden met het geven van juridisch advies aan rood staande consumenten. Inmiddels heeft de dienstverlener z’n deuren gesloten, maar wil twee databases met de gegevens van 20.000 klanten van de advocatenkantoren en de negen miljoen dollar niet teruggegeven.

Een belangrijk punt om over na te denken als we taken gaan uitbesteden. Naast de vraag wie er juridisch eigenaar van de informatie is speelt ook de vraag hoe om moet worden gegaan als de leverancier de gegevens niet meer beschikbaar wil stellen (of ze bijvoorbeeld kwijt raakt na een technische storing). De dienstverlener bestaat inmiddels niet meer, dus er kan ook geen aanspraak meer gemaakt worden. Belangrijk om naast de contractuele afspraken ook zelf te zorgen voor backup van gegevens…terwijl je dat nu juist graag allemaal uit wilde besteden.