Privacy Refoweb tijdelijk gegarandeerd

Refo Websecurity / 46 reacties

02-09-2013, 10:05

Beste heer van Rossem,

Allereerst excuses voor de trage reactie. Wij vierden gisteren de wekelijkse rustdag met onze broeders en zusters en konden helaas niet eerder de arbeid hervatten.
Onze dank voor de melding! De privacygevoelige informatie is inmiddels niet meer (eenvoudig) te achterhalen van ons aller Refoweb. Overigens kunnen wij deze maar tijdelijk garanderen. Dat geldt tevens voor de privacy van jullie bezoekers overigens: “Want niets dat verborgen is blijft geheim; alles wat verborgen is zal bekend worden en aan het licht komen.” (Lucas 8: 17) Misschien goed om de reaguurders daarvan al op de hoogte te stellen.


We zijn inmiddels gewend aan jullie evangelisatiewerk waardoor eens per maand enkele tienduizenden extra bezoekers onze kant opgestuurd worden om ze met de bijbelse notie in aanraking te brengen. Dat er nu ook actief zendingswerk volgt, waarderen we vanzelfsprekend. Een week geleden werd u al getipt over dit ongerief. Zeer prijzenswaardig dat u het bericht direct verwijderde van Twitter. Ongetwijfeld om duistere figuren met snode plannen niet op een idee te brengen!

P.S. Ons systeem bleek nog meer privacygevoelige informatie prijs te geven. De gebruikersnaam VanRossem leverde deze link op.

Refo Websecurity op 02-09-2013, 10:05
46 reacties
mluther
02-09-2013 / 18:34
Dat verklaard dat ik vannacht een email ontving van de wachtwoord vergeten functie. Overigens vrees ik dat dit lek nog maar het topje van de ijsberg is bij Refoweb. Ik vrees in ieder geval met grote vrezen. Kwalijk is ook dat Refoweb blijkbaar niet direct actie heeft ondernomen. Tip aan ons alle gebruikers om eventueel een zogenaamd signaal riching CBP te sturen: http://www.mijnprivacy.nl/signaal/Pages/Signaal_geven.aspx
mluther
02-09-2013 / 18:37
Overigens lijkt het mij goed om Refoweb op zondag voortaan te sluiten. Stel dat er op zondag een hack wordt gedaan, wie grijpt er dan in? Wordt er überhaupt gemonitord op zulke zaken? Wellicht een mooi moment om eens wat meer te zeggen over het achterliggende systeem. Ben bijv. altijd wel benieuwd waar m'n vraag terecht komt nadat deze verstuurd is.

P.S. Overigens is Refoweb bij mij ontzettend traag, meer mensen hier last van?
mluther
02-09-2013 / 18:45
Als aanvulling op mijn betoog. Als je website 24/7 te bereiken is, dan dien je ook 24/7 bereikbaar te zijn voor zulke zaken en dit ook z.s.m. op te lossen. Wil je op zondag hier niet tegen aanlopen, sluit dan de website voortaan maar af op zondag.
Omega
02-09-2013 / 19:16
Als je niks te verbergen hebt @mluther, dan hoef je ook nergens bang voor te zijn ;-) Eigenlijk zou je moeten huppelen van zielevreugd dat dankzij dit soort 'gebreken' op Refoweb nieuwe legioenen ongelovigen kunnen kennis maken met de Bijbel.
mluther
02-09-2013 / 19:36
@Omega Ik heb in principe ook niets te verbergen, maar je piept wel anders als er op zekere dag misbruik van je gegevens wordt gemaakt. ICT lekken worden maar al te vaak onderschat en iedereen zegt dat ie niets te verbergen heeft, maar als puntje bij paaltje komt heeft iedereen behoefte aan privacy. Nee, huppelen van zielevreugd zal ik niet doen, aangezien we juist op deze manier een slechte naam krijgen. Als je de reacties op Geenstijl hebt gelezen weet je al genoeg hoe laat het is.
Sambalbij
02-09-2013 / 19:45
Gelukkig dat de Maarten uit 1517 niet zo'n lafbek was als zijn digitale uitvoering in 2013. Zou je je account niet sluiten uit privacyoverwegingen, Mluther?

Ik krijg overigens veel fanmail sinds gisteren. Dank Geenstijl!
mluther
02-09-2013 / 20:41
@Sambalbij Wil je mij uitleggen waarom ik een lafbek zou zijn? Je mag me een lafbek vinden, maar onderbouw dan minimaal waarom je dat vindt. Dan laat ik nog in het midden of je iemand die je niet persoonlijk kent een lafbek mag noemen via internet. 'k Vind het in ieder geval niet christelijk om iemand zo te noemen.
Catherine
02-09-2013 / 22:26
Ik snap ook niet waarom het hier niet op zaterdagavond 24 uur op slot gaat. Bij de andere fora wel! Als je dat niet wil, moet je ook actief modereren en beheren!
Het gaat niet over blij zijn dat er hier geenstijlers komen koekeloeren. Die hebben hier niks te zoeken dan alleen te bashen en trollen.
Of denken jullie dat je hen op kunt bekeren als ze hier meelezen?
mluther
02-09-2013 / 22:44
@Catherine Helemaal mee eens! Dat een website op zondag open is heb ik geen problemen mee, maar wel als er niemand is die de eindverantwoordelijke is. Een winkel (en vul zelf maar in) laten we toch ook niet onbeheerd achter zonder de deur op slot te doen? Hopelijk gaat Refoweb zich hier na dit incident eens op bezinnen.
Omega
03-09-2013 / 08:19
@mluther Ik vrees dat jou het e.e.a. ontgaat: http://www.geenstijl.nl/mt/archieven/2013/09/bedankbriefje_refoweb_mailt_me.html#comments

Met die slechte naam valt het blijkbaar nog wel mee.

Sambal heeft overigens wel een punt. Je piept en gilt voordat je geknepen wordt en ondertussen roep je op om te klikken bij CBP. Als Refoweb een slechte naam krijgt dan is dat dankzij sommige christenen...

In onze winkel zijn de spullen gratis. Ook op zondag ;-)
Tante Pollewop
03-09-2013 / 11:34
Ik vind het niet normaal dat er zo luchtig gedaan wordt over het lekken van email-adressen. Ik wil graag mijn email-adres in eigen beheer verstrekken aan anderen, en niet via een lek van Refoweb.
mluther
03-09-2013 / 13:38
@Omega Had het betreffende artikel al gelezen. Jammer dat Refoweb met een grap en grol de boel in de doofpot probeert te stoppen. Het zou op zijn minst redelijk zijn dat er een email gestuurd wordt naar alle gebruikers. Nu staat er ergens een artikel wat waarschijnlijk het grootste deel van de gebruikers niet eens bereikt.

Overigens is een datalek niet altijd te voorkomen. Waar het mij omgaat is dat Refoweb al een week geleden van het probleem op de hoogte is geweest en geen actie ondernomen heeft. Nee, het is zelfs nog bonter, gevraagd het bericht te verwijderen. Echter is er blijkbaar eerst een artikel voor nodig op GeenStijl om Refoweb over te doen gaan tot actie. Dat lijken Omega en Sambalbij te vergeten.

Zelf ben ik echt geen voorstander om alles direct te melden aan het CBP, maar als een website (Refoweb in dit geval) de privacy van de bezoekers niet serieus lijkt te nemen is dat gerechtvaardigd. Dat is geen klikken, maar enkel en alleen met het doel privacy af te dwingen die ons allen lief zou moeten zijn.

Tot slot, je zegt dat de spullen gratis zijn. Dat kan zo zijn, maar ook dan moet er opgelet worden. Er zijn nu eenmaal onderdelen die niet gratis af te halen (mogen) zijn (gebruikersinformatie - waaronder ons email adres). Ik heb weliswaar zo'n mooie 'Spam' map in mijn email, maar die houd ik toch graag leeg.
mluther
03-09-2013 / 13:41
Als aanvulling, ik heb alleen het goede voor met Refoweb. Maar ja, zoals de bijbel ons leert. Als je iemand liefhebt, dan kastijd je die, zodat de andere in het rechte spoor blijft lopen. En een citaatje: "Zachte heelmeesters maken stinkende wonden."
Tante Pollewop
03-09-2013 / 14:37
Erg eens met mluther.

Daarnaast kan het wel zo zijn dat deze site gratis is, er wordt ook zat verdiend aan advertenties, dus dit soort dingen moet gewoon goed geregeld zijn. Gegevens van je gebruikers horen niet zichtbaar te zijn.
refoweb
03-09-2013 / 16:22
Beste Mluther,

Hier heb je je mailadres zelf openbaar gemaakt: www.refoweb.nl/vragenrubriek/20649 (derde reactie).

Beste Tante Pollewop,

Tot voor kort stond je met je foto op het forum van Refoweb.
Omega
03-09-2013 / 16:25
Als je vreest voor je privacvy kun je gewoon je profiel en gebruikersnaam laten verwijderen hoor. De kans dat ze daar bij Refoweb wakker van liggen acht ik niet zo heel erg groot ;-) Be my guest.
karlo
03-09-2013 / 16:27
@omega, je zegt dat @sambalbij wel een punt heeft. Kom op zeg, hij is naar @mluther toe waardeloos bezig.
@sambalbij, met scheldwoorden als lafbek ga je al aardig in de richting van de "geenstijlers". Schandalig.
Verder eens met @mluther en @tante pollewop. En erg eens met @catherine. De zaak op slot op zondag. We zijn tegen zondagsopenstelling. Deze dag kunnen we veel beter besteden. Dat blijkt nu wel.
Tante Pollewop
03-09-2013 / 16:35
@refoweb: dat ik mijn foto bij mijn forumprofiel had is geen toestemming om mijn email-adres openbaar te maken.

Ik verbaas me over deze reactie. Zeg gewoon: Sorry, excuus, helaas zijn er onbedoeld email-adressen zichtbaar geweest, we zullen er alles aan doen om dit in de toekomst te voorkomen.

Heel simpel, sorry zeggen. Door alles te bagatelliseren maak je van een relatief onbetekenende kwestie iets groots, doordat mensen door deze kinderachtige en klungelige manier van doen alleen maar boos worden.
Dus geef gewoon toe dat je fout zat en geef gebruikers het gevoel dat jullie de privacy van je gebruikers enigszins waardevol vindt.
mluther
03-09-2013 / 18:12
@refoweb Voor mij maakt het deze rond niet uit, omdat ik enige tijd geleden mijn persoonlijke emailadres weg heb gehaald voor het geval dat. Helaas is het inderdaad nodig gebleken om dit te doen. Echter gaat het hier in het geheel niet om. Waar het wel omgaat is dat Refoweb haar fout blijkbaar niet wil toegeven, ook in het handelen nadat het bekend werd.

Verder heb ik dan toevallig geen persoonlijk emailadres meer aan deze website verbonden, maar er zullen genoeg gebruikers zijn die dat wel hebben gedaan. Voor deze gebruikers probeer ik het dan ook op te nemen. Als gebruiker dien jezelf te beslissen of je dit openbaar maakt of niet. Dat ik het openbaar heb gemaakt heeft niets met het lek te maken.

Refoweb lijkt het niet zo heel erg te vinden als er wat data wordt gelijkt. Gelukkig denkt de minister daar anders over, daar er een boete wordt gegeven als het datalek niet gemeld wordt: http://webwereld.nl/beveiliging/78247-boete-voor-niet-melden-datalek-maximaal-450-duizend-euro Voor mij gaat dit eigenlijk nog niet ver genoeg, maar dat zal ondertussen wel duidelijk zijn. Wat mij betreft, 3 keer een datalek is een fikse geldboete (indien je niet kan betalen werkstraf o.i.d.) en de website dient gesloten te worden totdat aangetoond is dat deze veilig is (tot zover dat gegarandeerd kan worden).
Gerard
03-09-2013 / 19:26
Nu begrijp ik die emails ;-) Nou ik lig er niet wakker van.

Ik ben niet betrokken bij het beheer of onderhoud van de software van refoweb, maar als software maker van beroep (sinds meer dan 20 jaar) meen ik wel enig inzicht te hebben in de zaak.

Ik ben het eens met pollewop dat het een relatief onbetekenende kwestie is, maar zijn het juist niet mluther en pollewop die de zaak hier opblazen?

De regelrechte aantijging van mluther dat refoweb onzorgvuldig met privacy gegevens omgaat, dat dit waarschijnlijk nog maar 'het topje van de ijsberg is' en de oproep aan alle leden om refoweb aan te klagen bij het CPB is ronduit schandalig en mist elke grond. Wat mluther betreft krijgen de refoweb beheerders (die vrijwillig hun tijd geven) een boete van maximaal 450.000 euro of een werkstraf en mluther ziet er wel heil in de website te laten sluiten.

Je kan het misschien wijten aan gebrek aan kennis en inzicht van de kant van mluther (hetgeen overduidelijk blijkt), maar ik vind dat reakties van ongehoorde proporties. En mluther wil al deze aantijgingen ook nog eens anoniem doen. Ik kan een hele reeks van bijbelgedeelten noemen die hier van toepassing zouden zijn maar ik zal die achterwege laten.

Laten we even kijken wat er aan de hand was. Bij het verzoek om een wachtwoord te wijzigen werd een melding gegeven dat er een email verstuurd was. Deze melding bevatte klaarblijkelijk het email adres waar deze email naartoe verstuurd was. Vermoedelijk heeft de persoon die dat zo opgezet heeft gedacht dat dat hulpvolle informatie zou zijn voor de gebruiker. Begrijpelijk. Het komt trouwens wel meer voor (op andere sites) dat dergelijke informatie wordt getoond op zo'n moment.

Dit is geen veiligheidslek, het is geen datalek, het is geen op straat komen liggen van gevoelige informatie, het is geen slordig omgaan met privacy gegevens, het is geen opening om het systeem te hacken. Het enige dat iemand die hier misbruik van wil maken ermee kan is een gebruikersnaam verbinden met een email adres. Big deal. Alleen een probleem voor mensen die aan de ene kant menen hun mening te moeten geven op de vraag van een vragensteller en/of het antwoord van een panellid en daarbij koste wat het kost volledig anoniem willen blijven. De anoniemiteit van de vragenstellers is er niet mee gemoeid en voor zover ik begrijp van de forum gebruikers ook niet, aangezien de vragenrubriek en het forum gescheiden zijn.

Je kan dit overigens niet voorkomen door het systeem op zondag offline te halen of het 24 uur per dag in de gaten te houden. Het is gewoon iets dat de maker vermoedelijk met goede bedoelingen zo heeft opgezet maar nu verkeerd uitpakte. Een klein stukje informatie dat bij nader inzien wegens potentieel verkeerd gebruik beter niet kon worden gegeven. Refoweb heeft dat nu gemerkt en gecorrigeert of laten corrigeren. Ik ken het systeem niet maar ik kan me voorstellen dat dit te corrigeren even kan duren, misschien moest de juist persoon gevonden en benaderd worden. Refoweb is geen commerciële onderneming met mensen in dienst, maar een groepje van vrijwilligers die hun tijd steken in het belang van anderen.

Overigens heeft vermoedelijk geen enkele gebruiker dit ooit gemeld, en ik kan me niet voorstellen geen enkele gebruiker dit ooit gezien heeft. Niemand heeft het ooit als een probleem gezien totdat geenstijl er misbruik van ging maken.

Laten we nuchter en dankbaar zijn, ook voor wat refoweb doet en die kleine oneffenheden toedekken.
En boven alles geldt wat hierboven al terecht werd gezegd: “Want niets dat verborgen is blijft geheim; alles wat verborgen is zal bekend worden en aan het licht komen.” Laten we God meer vrezen dan mensen.

Lees ook deze columns

"Zo dan, die meent te staan, zie toe, dat hij niet valle" (1 Kor. 10:12). De afgelopen tijd waren de Doorbrekers in Barn...
50 reacties
26-08-2013
De Facebook-revolutie, zo werd de 'revolutie' rond de val van de Egyptische president Muberak in 2011 nog enthousiast b...
geen reacties
20-08-2013
Mooi komkommernieuws uit de RefoRiem des lands. Binnen enkele maanden heeft de Gereformeerde Gemeente in Kootwijkerbroek...
4 reacties
08-08-2013
website-ontwikkeling door webdevelopment by Accendis
design website door design website by Mooimerk
hosting website door hosting website by STH Automatisering