Canonical waarschuwt gebruikers na hack Ubuntu Forums:

[Henkp]

Ubuntu-ontwikkelaar Canonical heeft gebruikers gewaarschuwd nadat een aanvaller de website Ubuntu Forums heeft gehackt. Op donderdagavond ontving Canonical een bericht van iemand die beweerde een kopie van de Ubuntu Forums-database in handen te hebben.
Kijk voor meer informatie bij de bron: https://www.security.nl/posting/478165/Canonical+waarschuwt+gebruikers+na+hack+Ubuntu+Forums

[TopGear]

Echter zijn er geen wachtwoorden buitgemaakt!

Zij hebben alleen de user-tabel uitgelezen met gebruikersnamen, e-mailadressen en ip-adressen. Er was geen toegang tot actieve wachtwoorden.

Bron: https://tweakers.net/nieuws/113647/canonical-waarschuwt-dat-onbekenden-toegang-hadden-tot-ubuntu-forumdatabase.html

[testcees]

Canonical heeft een waarschuwing gepubliceerd, waarin staat dat onbekenden toegang hebben gehad tot de database van de Ubuntu-forums. Zij hebben alleen de user-tabel uitgelezen met gebruikersnamen, e-mailadressen en ip-adressen. Er was geen toegang tot actieve wachtwoorden.

Dus extra oppassen als je e-mail krijgt die je aanspreekt als gebruiker van Ubuntu of zogenaamd afkomstig van het Ubuntu-forums, dat kan phishing mail zijn.

Waarom slaat forumsoftware het ip-adres op in een database, gekoppeld aan gebruikersnaam en e-mailadres? Waarschijnlijk om gebruikers te bannen op basis van een ip-adres of te detecteren dat een gebruiker een extra account aanmaakt. Maar als je gebruik maakt van een VPN (of een torbrowser, of mobiel netwerk, of openbare wifi, enz.) heb je zo een ander ip-adres. 

Door het niet op te slaan, kan het niet uitlekken bij een hack.

[TopGear]

testcees, omdat jij ook een topic hierover hebt aangemaakt, heb ik de twee maar even samengevoegd.

[erik1984]

Hoewel er kennelijk geen wachtwoorden zelf zijn buitgemaakt heb ik toch maar even mijn wachtwoord voor Ubuntu SSO (Dat wordt gebruikt op het Engelstalige forum én Launchpad o.a.) bijgewerkt. Verder eens met testcees wat betreft opslaan IP-adressen.

[Nero]

Waarom slaat forumsoftware het ip-adres op in een database, gekoppeld aan gebruikersnaam en e-mailadres?

Dit heeft inderdaad geen zin. Mijn ISP verandert m'n IP adres om de 24 u. Waarom? Geen idee.

[partyrabbit]

Waarom slaat forumsoftware het ip-adres op in een database, gekoppeld aan gebruikersnaam en e-mailadres?

Dit heeft inderdaad geen zin. Mijn ISP verandert m'n IP adres om de 24 u. Waarom? Geen idee.

Dit heeft ook een juridisch tintje. Het is ook om verantwoordelijkheid te kunnen verleggen.
Als via een online berichtendienst strafbare feiten gepleegd worden moet deze zijn verantwoordelijkheid kunnen verleggen naar degene die het geplaatst heeft. Anders zou de berichtendienst faciliteren van strafbare feiten of hinderen van justitieel onderzoek ten laste gelegd kunnen worden.

Het is voor een online berichtendienst (=forum) dus juridisch uiterst onverstandig dit niet vast te leggen.

Als lid ben jij zelf verantwoordelijk voor de inhoud van de door jou geplaatste berichten. Bovendien verklaar je je akkoord om de eigenaars van dit forum, de aanverwante websites, het bestuur en hun helpers te vrijwaren van enige door jou veroorzaakte schade. De eigenaren van dit forum behouden ook het recht tot het onthullen van je identiteit (of enige andere informatie vergaard in deze dienst), in het geval van een formele klacht of gerechtelijke vordering die is voortgekomen uit een situatie die is ontstaan door jouw gebruik van dit forum.

 

[testcees]

Als via een online berichtendienst strafbare feiten gepleegd worden moet deze zijn verantwoordelijkheid kunnen verleggen naar degene die het geplaatst heeft. Anders zou de berichtendienst faciliteren van strafbare feiten of hinderen van justitieel onderzoek ten laste gelegd kunnen worden.

Het is voor een online berichtendienst (=forum) dus juridisch uiterst onverstandig dit niet vast te leggen.

Nogal vreemde stelling, wat je zegt is dat een forumbeheerder aansprakelijk kan worden gesteld voor de inhoud van berichten als er geen IP-adres van de verzender is bewaard. Kan je (of iemand) deze uitspraak onderbouwen met een bron?

Het staat haaks op de afschaffing van de wet bewaarplicht telecommunicatiegegevens. Providers waren verplicht internetgegevens 6 tot 12 maanden te bewaren maar op 11 maart 2015 is deze wet buiten werking gesteld! En veel VPN-providers loggen helemaal niets om maar te zwijgen over TOR-exit nodes.

[partyrabbit]

Faciliteren of ondersteunen van strafbare feiten staat los van de wet bewaarplicht telecommunicatiegegevens.
Je bent het ook niet verplicht, maar het is wel raadzaam. Net als dat je niet verplicht bent al je financiële documenten te bewaren, maar dat ook dat raadzaam is (10 jaar zelfs).

Als een strafbaar feit achter een schaduw-ip gepleegd wordt is een forum niets te verwijten want heeft zijn best gedaan.
Kun je geen medewerking verlenen dan heb je een groter probleem en kun je daar juridisch op aangesproken worden. Je hebt niet wat je gedaan hebt en kunt nalatigheid aangerekend krijgen.
Overigens geldt iets soortgelijks ook voor beheerders en moderators. Als je niet ingrijpt stem je stilzwijgend in, en dat is ook faciliteren. Als hier iets strafbaars georganiseerd wordt en je grijpt niet in kan het forum medeverantwoordelijk gehouden worden.

Natuurlijk is zo iets niet snel aan de orde voor een forum als dit, maar toch is het raadzaam.
Want denk je een volgende casus eens in.
Er zou hier op dit forum eens flink uitgelegd worden hoe dat tor en zo werkt terwijl iemand aan geeft dat hij het voor slechte zaken gaat gebruiken, en dat tot veel ellende leidt.
Als er dan niet gewaarschuwd en ingegrepen wordt door de moderators, en als onderzoek volgt er geen ip overlegd kan worden moet je eens opletten hoeveel stront je aan de knikker hebt.

Wat ik hierboven uitlegde mag men vreemd vinden of niet, maar ik raad toch nadrukkelijk aan deze functie er in te laten omdat dat nog wel eens een keer van dienst kan zijn. En bewaar je financiële documenten 10 jaar.

[partyrabbit]

Het staat haaks op de afschaffing van de wet bewaarplicht telecommunicatiegegevens. Providers waren verplicht internetgegevens 6 tot 12 maanden te bewaren maar op 11 maart 2015 is deze wet buiten werking gesteld!

Voor zover ik geinformeerd ben is dat niet het geval. Het europese hof heeft tegen gesproken maar in de praktijk is de bewaarplicht nog steeds van toepassing zoals je ook kun lezen in de telecomwet. Artikel 11.7 dacht ik.
https://tweakers.net/nieuws/99754/nederlandse-bewaarplicht-blijft-bestaan-ondanks-ongeldige-europese-wetgeving.html
https://tweakers.net/nieuws/101453/nederlandse-overheid-dwingt-providers-grondrechten-van-klanten-te-schenden.html

[testcees]

Je bent het ook niet verplicht, maar het is wel raadzaam.

Integendeel. Als het niet verplicht is, ofwel niet noodzakelijk is, mag een persoonsgegeven volgens de WBP niet worden verwerkt.

De Wbp bepaalt dat een organisatie alleen persoonsgegevens mag verwerken als dat noodzakelijk is voor een bepaald doel.

Er staat “noodzakelijk voor een bepaald doel” en niet “als het gemakkelijk kan en wel eens handig kan zijn”.

Kun je geen medewerking verlenen dan heb je een groter probleem en kun je daar juridisch op aangesproken worden. Je hebt niet wat je gedaan hebt en kunt nalatigheid aangerekend krijgen.
Overigens geldt iets soortgelijks ook voor beheerders en moderators. Als je niet ingrijpt stem je stilzwijgend in, en dat is ook faciliteren. Als hier iets strafbaars georganiseerd wordt en je grijpt niet in kan het forum medeverantwoordelijk gehouden worden.

Dat is iets anders, een beheerder of moderator kan (moet) zulke berichten wissen onafhankelijk van het IP-adres. In de praktijk van dit forum worden discussies over downloaden van (mogelijk) auteursrechtelijk beschermd materiaal meestal gesloten (onafhankelijk van het IP-adres).

Er zou hier op dit forum eens flink uitgelegd worden hoe dat tor en zo werkt terwijl iemand aan geeft dat hij het voor slechte zaken gaat gebruiken, en dat tot veel ellende leidt.

Zoals http://wiki.ubuntu-nl.org/community/Tor ? Zijn de auteurs van deze wiki verantwoordelijk voor gebruik van Tor voor slechte zaken? Heel bijzonder maar dan kan het artikel maar beter worden gewist.

Bescherming van de persoonlijke levenssfeer is een grondrecht.

Door de hack van Ubuntu forums (=on topic) is mijn IP-adres gekoppeld aan mijn e-mailadres bekend geworden bij vreemden. Als ik thuis achter mijn computer anoniem een andere website wens te bezoeken kan de eigenaar van deze site met behulp van de uitgelekte IP-adressen mijn e-mail adres achterhalen, wat een inbreuk kan geven op mijn privacy (persoonlijke levenssfeer).
En zelfs zonder hack, als mijn IP-adressen voor langere tijd worden opgeslagen kunnen beheerders en moderators van Ubuntu forums met behulp van de door mij gebruikte IP-adressen meer te weten komen over mij dan ik kan willen of verwachten.

Wat ik hierboven uitlegde mag men vreemd vinden of niet, maar ik raad toch nadrukkelijk aan deze functie er in te laten omdat dat nog wel eens een keer van dienst kan zijn. En bewaar je financiële documenten 10 jaar.

Je mag het vreemd vinden of niet maar ik ben van mening dat (10 jaar) lang bewaren van IP-adressen door een forum in strijd is met de wet bescherming persoonsgegevens. Nergens voor nodig, dus niet toegestaan.

[partyrabbit]

Je bent het ook niet verplicht, maar het is wel raadzaam.

Integendeel. Als het niet verplicht is, ofwel niet noodzakelijk is, mag een persoonsgegeven volgens de WBP niet worden verwerkt.

Onjuist. IP mag wel volgens de WBP, mits uitsluitend gebruikt voor het forum en niet zichtbaar voor de anderen. Kijk maar eens bij de uitzonderingen.
http://blog.iusmentis.com/2007/10/23/publiceren-ip-adres-van-gebruikers-forum/

Er zou hier op dit forum eens flink uitgelegd worden hoe dat tor en zo werkt terwijl iemand aan geeft dat hij het voor slechte zaken gaat gebruiken, en dat tot veel ellende leidt.

Zoals http://wiki.ubuntu-nl.org/community/Tor ? Zijn de auteurs van deze wiki verantwoordelijk voor gebruik van Tor voor slechte zaken? Heel bijzonder maar dan kan het artikel maar beter worden gewist.

Zoals jij het bedoeld mag het wel maar zo zei ik het ook niet.
Het mag niet als iemand in een topic duidelijk aan geeft dat hij er iets strafbaars mee van plan is, en je geeft hem dan alle uitleg die hij nodig heeft om zijn plan ten uitvoer te brengen en hij dat ook daadwerkelijk uit voert.
Dat is wat ik zei en dan werk je mee aan een strafbaar feit en heb je een dik probleem.

Wat ik hierboven uitlegde mag men vreemd vinden of niet, maar ik raad toch nadrukkelijk aan deze functie er in te laten omdat dat nog wel eens een keer van dienst kan zijn. En bewaar je financiële documenten 10 jaar.

Je mag het vreemd vinden of niet maar ik ben van mening dat (10 jaar) lang bewaren van IP-adressen door een forum in strijd is met de wet bescherming persoonsgegevens. Nergens voor nodig, dus niet toegestaan.

Financiele documenten 10 jaar bewaren staat er.    Rekeningen en dergelijke. Waarbij ik hiermee een vergelijking aan haalde dat dat ook niet verplicht is maar toch raadzaam, net als een ip vastleggen raadzaam is.

Overigens speelt binnen een forum een dubbel belang. Je post zelf je reacties na zelf registreren. Een forum is niet verplicht deze persoonsgegevens te verwijderen omdat daarmee dan weer het doel en de belangen van het forum geschaad worden.

Kort gezegd: Als forum (of andere online bemiddelingsdienst) roep je verantwoordelijkheden op je af.
Uiteindelijk zijn veel van dat soort zaken niet meer dan een keuze. Maar wel keuzes die je mogelijk van een hoop gedonder kunnen vrijwaren of het je moeilijk kunnen maken als je geen medewerking naar wens kunt verlenen. En over vrijblijvende keuzes valt nu eenmaal niet te discussiëren. Daar kun je hooguit argumenten voor aandragen.
In dit geval van IP is het naar mijn mening het verstandigste dat als er serieus gedonder is je dermate medewerking kunt verlenen dat je niet aangerekend kan worden dat je niet voldoende mee werkt. Er is al wat jurisprudentie over voorvallen waar niet voldoende meegewerkt werd, en al leidt dat dan misschien niet tot een aanklacht, het wordt je ondertussen wel moeilijk(er dan nodig) gemaakt.
Als iets uiterst verstandig is, is het dan nog wel een keuze of ben je het aan jezelf verplicht?

Dus het maakt mij niet uit welke keuzes een ander maakt. Doe met mijn informatie wat je wilt.
Ik bewaar mijn financiële documenten ook 10 jaar, omdat er redenen bestaand dat 5 jaar wat men altijd adviseert onvoldoende is. Liever te veel, dan één keer te weinig (en dat wierp hier al diverse malen succesvol zijn vruchten af ). Want voor je het weet haalt de wet van Murphy je in.