Posts

Net als vorige Tweede Kamerverkiezingen houdt ik in de gaten of politieke partijen onrechtmatig mensen volgen op hun websites. De tijdlijn ziet er op hoofdlijnen als volgt uit: 23 oktober 2023 Eerste reproduceerbare scan van de websites van de 26 partijen die meedoen. 26 oktober 2023 Ik vul het tipformulier van de AP in met een samenvatting van mijn bevindingen uit de eerste scan. 1 november 2023 De AP publiceert de waarschuwingsbrief aan politieke partijen. Deze brief is gedateerd 12 oktober 2023 en is aangetekend verzonden. Dat betekent dat de partijen op het moment van de eerste scan bijna twee weken gehad hebben om iets te doen met de waarschuwing. 3 november 2023 Ron Roozendaal publiceert een blogpost, mede op basis van mijn scanresultaten. 8 november 2023 De NOS publiceert een artikel waarin mijn onderzoek deels gereproduceert is door Joost schellevis en Rob van Eijk. In het artikel geeft de autoriteit aan geschrokken te zijn dat de partijen na de waarschuwingsbrief nog zonder toestemming volgcookies gebruiken. De AP was hierover op 26 oktober al voor gewaarschuwd. In het 8 uur journaal (vanaf 7:07) gaat het ook over dit onderwerp. In die uitzending geeft Aleid Wolfsen aan de partijen (verder ongespecificeerd welke) om opheldering te vragen. In onderstaande tabel heb ik voor de verschillende partijen aangegeven wanneer ik welke trackers voor het laatst heb gezien bij elke partij. Dikgedrukte velden geven nog niet opgeloste problemen op. Uitleg over het verwijderen van de verzamelde persoonsgegevens en het informeren van betrokkenen is hier te vinden. ...

What happened? Stripchat is a website owned by Technius Ltd. in Cyprus that hosts a large amount of adult webcam operators. The owner has been reprimanded by the Cyprus data protection authority for a breach of over 64 million user accounts and not informing them properly about the breach. I didn’t know the website before, but on Oktober 22 2019 I get an e-mail from the website that an account has been created on this website. These kinds of e-mails are relatively common for me so I don’t pay any attention to the e-mail. ...

Op 31 juli heb ik bij de gemeente Den Haag een aantal issues gemeld. Het hele proces is nogal moeizaam verlopen. Elke keer als ik telefonisch of persoonlijk contact heb met medewerkers van de gemeente heb ik het gevoel dat we elkaar begrijpen, maar van de geschreven communicatie krijg ik het idee dat er gigantische miscommunicatie is of dat de gemeente terugkomt op toezeggingen. Pogingen om in te gaan op de uitnodiging om te overleggen over wat er fout gaat en hoe het beter kan worden door de gemeente genegeerd. Dit is de tweede keer dat ik wat heb proberen te melden bij de gemeente Den Haag en de tweede keer dat het (volgens mij wederzijds) bijzonder slecht is bevallen. Het oplossen van kwetsbaarheden lijkt al lastig genoeg, maar het degelijk herstellen van onrechtmatige verwerkingen is schijnbaar een recept voor conflict. ...

Vandaag heeft Ron Roozendaal een blogpost geschreven over politieke partijen die onrechtmatig allerlei tracking cookies gebruiken op hun websites. En ik moet eerlijk bekennen dat ik er een beetje moe van wordt. Alleen al bij politieke partijen blijft de AP keer op keer op keer op keer bezig met zelfs een waarschuwingsbrief tot gevolg. Zelfs als hele concrete overtredingen worden aangereikt is handhaving door de AP niet zichtbaar aanwezig. En het speelt heus niet alleen bij politieke partijen, maar die politieke context maakt de verwerkingen natuurlijk wel extra gevoellig. Bovendien, als partijen door middel van onrechtmatige verwerkingen een oneerlijk voordeel behalen tijdens een verkiezing is de uitslag onomkeerbaar. Geen wonder dat als je zelfs met welwillende partijen praat je terug kan krijgen dat het oneerlijk is omdat de concurenten het wel zo doen. ...

“Wij zullen jouw gegevens niet aan derden verstrekken zonder jouw voorafgaande toestemming, …” jokt de gemeente Den Haag in het privacybeleid van de 2023 editie van Hâck The Hague. Tijdens de 2021 editie van het evenement van de gemeente Den Haag heb ik een paar issues gemeld waarbij de (partner van de) gemeente juist wel zonder toestemming persoonsgegevens aan derden verstrekte en dat proces is behoorlijk slecht bevallen. Dit jaar wilde ik controleren of er geleerd is van de vorige melding. Helaas gaat het nog steeds niet goed. ...

TLDR: It depends. People who discover bugs and security vulnerabilities and want to improve security by publishing about their findings generally have a substantial task managing competing interests in the process. Publishing your findings can help others learn from that single mistake by installing a known patch, learning what mistakes not to make when building systems, knowing what vendors to avoid or taking other measures. However publishing can also introduce risks by informing people how to abuse vulnerabilities. It’s generally considered good practice to inform those who you know are vulnerable before publication to allow them to take steps to prevent harm. That process can be more time consuming than finding the bugs themselves and can even present a risk for the one reporting the bugs, for example by companies threatening legal action. ...

Op sociale media zijn allerlei mensen te vinden die uit frustratie, met kwaadaardgie bedoelingen, of anderszins allerlei misinformatie en haat verspreiden. Omdat dat behoorlijk ernstige vormen kan aannemen door zowel de ernst van indivuduele berichten als de soms constante stroom aan berichten kan de impact enorm zijn. Het is dan ook volkomen begrijpelijk dat mensen hier iets aan willen doen. Daarbij komt opvallend vaak de gedachte langs dat omdat mensen denken dat mensen anoniem zijn op sociale media ze daarom ander gedrag tonen en misdragingen niet aangepakt kunnen worden. Met die gedachte is het ook niet vreemd dat de oplossing ook in die anonimiteit wordt gezocht. ...

A common theme when trying to report unlawful tracking on websites and apps is that it can be ambiguous whether CVD is meant for these kinds of issues. Is it really a security vulnerability or even a breach of security? My assumption is that generally security policies dictate that security measures are in place to protect against unauthorised and unlawful disclosures of personal data. If that’s the case, when I find unlawful disclosure of personal data I assume there has been a breach of security policy or even technical measures and that it’s fair to report under CVD to allow the organisation to stop the breach and take appropriate measures to prevent further breaches. ...

Op sociale media zijn er allerlei partijen die meelezen. Dat is precies waar het voor bedoeld is. Maar wie er meelezen is vaak niet zichtbaar en dat levert soms onzekerheid en discussie op. Zo volgt de NCTV volgens de NRC verschillende mensen op Twitter. Maar ook overheidsinstellingen die niet direct aan het werk van inlichtingendiensten en Politie raken lezen mee blijkt uit een rapportage van AG Connect en Trouw. Vanuit een AVG-perspectief is de maatschappelijke discussie erg ongemakkelijk. Een belangrijk uitgangspunt van de AVG is dat iedereen in principe kan weten wie hun persoonsgegevens verwerken en waarom. Bijvoorbeeld omdat het in de wet staat dat het gebeurt of omdat je zelfs de persoonsgegevens hebt afgegeven of omdat organisaties actief informeren over de persoonsgegevens die verzameld worden. Toch zou ik niet zo makkelijk kunnen vertellen welke organisaties bijvoorbeeld mijn Twitter-berichten verwerken. Ik grap wel eens dat de Politie mij stelselmatig volgt op Twitter. ...

While discussing Coordinated Vulnerability Disclosure I often experience that people strongly focus on coordinating the vulnerability information with organizations, while the disclosure part is often ignored or even actively discouraged. The last blog I wrote here was actually about a company that argued I had agreed to an enforceable non-disclosure agreement just by visiting their website and reporting a breach. Like my other CVD-related posts, this too is mainly focussed on lessons about the disclosure process. To better understand the decisions I made I feel like it will help if I discuss multiple issues I have reported to the Dutch DPA in the past. While this post lacks an explicit central message, it serves mainly as a brain-dump so people can pick and choose specific points to learn from. ...