http://www.meldmisdaadanoniem.nl lijkt me een goede optie.

Ga eens bij collega's te raad. Samen sterk?

De juridische verantwoordelijkheid ligt bij de werkgever, en je kan je zelfs afvragen welk risico je zelf neemt als klokkenluider (non disclosure agreement moeten tekenen?). Moreel gezien is het wel een lastig vraagstuk.

Hebben we het over de baas of over jouw chef? En hoe groot is het bedrijf in kwestie? Er loopt daar vast een jurist rond (of een afdeling Legal) En die hebben maling aan 'of het uitkomt'. Als het gaat om bedrijfsrisico's kun je altijd een stap hoger of naar een afdeling Legal lopen.

Hoeveel mensen weten van dit probleem? Ben jij de enige? dan is er niet veel keus,. dat betekend namelijk dat als jij het naar buiten brengt je zowiezo naar een andere baan moet zoeken. Zijn er meerdere mensen overleg dan even samen hoe dit aangepakt kan worden. Kunnen jullie dit lek zonder tussenkomst van je leidinggevende herstellen? doe dat dan eerst en bewaar al je correspondentie over dit onderwerp zodat hij dit straks niet op jouw afdeling kan afschuiven.

De collega's durven niet, omdat die baas niet zo lief reageerd op mensen die in zijn koningkrijkje iets zeggen wat 'm niet aan staat.

Mijn baas, en De directeur inmiddels ook. Bijde wensen het onderwerp onder het carpet te houden en doen als of hun neus bloed.
Bedrijf heeft klanten als de overheid , wat multinational financiele instellingen en de isp van nederland, die heel 'slim' hun zakelijke codering uit handen hebben gegeven.
Stap hoger heeft geen zin, de toezichthouder in nederland is primair ook een doofpot instelling, als beschreven in proefschrift recentelijk.
Lijkt me vertandig om zo lang er geen instelling is in nederland die dit soort zaken serieus aanpakt en bescherming bied, om maar eens op monsterboard enzo te gaan neuzen.

Joh. probeer die weg voor de voordering van eigen inzicht gewoon zelf eens.

Kan je zelf zien dat die website de ingevulde formulieren naar /dev/null zet voor verdere behandeling.
Een van de vele doofpotten om de burger maar 't gevoel te geven dat 't justitie aan hun **** kan roesten.

Ja... dan ben je mooi in de aap gelogeerd. Wat je uiteraard kan doen is het via via laten lekken aan een mooie site als tweakers of nu.nl. Financiële instellingen zijn zeer gevoelig voor hun reputatie. Mocht morgen in het nieuws komen dat gegevens van Reaal te benaderen zijn via een lekke server bij een andere partij weet je zeker dat morgen jouw baas, jouw directeur en de rest van het zooitje staan te zweten.

Hoe dan ook: droevig en diep triest. Gelukkig trekt de markt voor ITers weer aan ;)

Dank voor de steun en het advies.!

Ik ga er eens kijken welke weg het beste lijkt.

Kijk even uit wat je over ssl naar de kpn en wat van hun klanten wil sturen de komende tijd.

Dat nog niemand 'm gemaakt heeft: (dus nou hier komt ie)

Met wat is er op de servers in gehakt? met een hamer of een bijl? ^^ Of hebben de hakkers er gehakt van gemaakt? ^^

Ik denk dat er maar 1 oplossing is die voor jou nog enige veiligheid biedt.

Verzamel gegevens, neem desnoods een gesprek op e.d.

Ga naar een (commerciele)omroep en vraag om een vertrouwelijk onderhoud waarin je iets prijs geeft.

De rest is dan aan hun om er iets mee te doen.

Maar het blijft moeilijk en er is natuurlijk altijd een risico.

Overigens loop je ook een risico door niets te doen terwijl jij wel op de hoogte bent (was).

Het mooiste is wellicht bewijsdata weg te zetten op een stiekeme plek binnen de eigen server layout.

gewoon mee doe, en verder de hele dag geen reet meer uitvoeren, want dat is toch het motto van je baas.
en mocht het fout gaan, tja, plousible deniell

Vraag je eens af.
Wat doet een sysadmin en wat hoort bij zijn takenpakket.
(Grote kans dat 'onderhouden', 'controleren' en 'herstellen' tot je taken pakket hoort.)

Vraag je vervolgens eens af wie de schuld zal krijgen, en er als eerste (zonder al te veel problemen) uit ligt als het wel uitkomt?

Het verzamelen van bewijs is leuk en aardig, maar als dat te lang duurt kunnen ze je alsnog verantwoordelijk houden voor het instant houden van de situatie. Dat de situatie al een aantal maanden duurt spreekt in elk geval niet in je voordeel.

Het juiste advies geven wat te doen kan niemand denk ik.

Honeypot van maken en je baas vertellen dat je die gegevens kunt kapitaliseren.

carpet.... dat moet vlaams zijn

"Het verzamelen van bewijs is leuk en aardig, maar als dat te lang duurt kunnen ze je alsnog verantwoordelijk houden voor het instant houden van de situatie. Dat de situatie al een aantal maanden duurt spreekt in elk geval niet in je voordeel."

Je bent daar als systeembeheerder niet voor verantwoordelijk, indien dat voortvloeit uit het beleid van de directie. Zij zijn degenen met mandaat die de verantwoordelijkheid dragen voor de situatie.

Indien een bedrijf bijvoorbeeld alleen illegale software gebruikt, omdat de directie dat graag wil, dan ben je daar als systeembeheerder ook niet voor verantwoordelijk. Of denk je dat je, op eigen houtje achter de rug om op kosten van het bedrijf licenties aan kan gaan schaffen ? ;)

Een mogelijkheid, die ik nog niet genoemd heb zien worden, is ontslag nemen. Als jij het dusdanig niet eens bent met de bedrijfsvoering, wat doe je daar dan nog?

Dat bedrijf gaan vanzelf een keer kapot, met of zonder klokkenluider(s). Beter kies je eieren voor je geld en stap je zelf op voordat het bedrijf ten onder gaat en jou meesleurt.

Indien je niets gaat doen en de baas zijn 'orders' volgt, zou ik toch even schriftelijke bevestiging over die zaak vragen.
Dan heb je tenminste bewijs over wie die orders gaf.
Geen risico's nemen met zo'n zaken imho :)

Dit. Ze bazen kunnen (en zullen) het op je afschuiven aangezien jij primair verantwoordelijk bent vanuit je functie tenzij jij kan bewijzen dat dit is tegen gehouden.

Klinkt overigens niet als een heel gezond bedrijf, je zou je ook kunnen afvragen of je daar langer wil blijven werken. (maar dat is een beslissing die alleen jij kan nemen)

Misschien anoniem contact opnemen met het high tech crime team van de politie? Die hebben wel wat invloed lijkt me.

In ieder geval geldt: CYA cover your ass. Meldt het via email aan je baas. Zorg dat hij terug mailt dat je niets hoeft te doen. Dit is een moment om alles schriftelijk te doen.

Heb ooit eens ontdekt dat alle (95 of zo) servers van een isp gehackt waren. Die zijn in de loop van 3 maanden allemaal afgebouwd, afgevoerd en vervangen. Het erge was dat de officiele beheerder, die net zijn ontslag had genomen, wist dat er wat aan de hand was maar geen zin had om iets te doen en geen benul dat er echt heel veel fout was. En ook niet de moeite nam om mij bij voorbaat even in te lichten. Inclusief gehackte AAA servers, dus mensen met gratis adsl. Heel raar is dan dat je die beheerder dit jaar tegenkomt met CISP en zo en een praatje over beveiliging en applicaties voor bescherming van webservers... Die kan ik niet serieus nemen.

Ook een idee om dit bij GovCERT te melden als de overheid gebruik maakt van deze diensten...

Als beheerder heb je wel een eigen verantwoordelijkheid.


In de meeste gevallen is het wel zo dat jij handelingen kunt en moet weigeren die illegaal zijn. Als je baas je vertelt dat je om X uur bij een klant moet zijn en hij weet dat je dan veel te hard moet rijden, ben jij degene die zijn rijbewijs kwijtraakt als je te hard rijdt. Als jij in opdracht van je baas in de mailbox van een werknemer snuffelt zonder dat dit adequaat is geregeld, dan kan die werknemer jou persoonlijk civielrechterlijk (en misschien zelfs strafrechterlijk) aanklagen.

Peter

Als er bijv. persoongegevens op die servers staan dan is er tegenwoordig een meldingsplicht van datalekken. Je baas wordt dan verplicht dit lek te melden bij het CPB.

Samen met je werkgever iemand inhuren om de lekken te dichten en op te lossen?
Logisch dat je baas dit wilt stilhouden. Kan veel geld kosten juist. Iemand inhuren met de juiste kennis en zwijgplicht is dus goedkoper.

nou dat lijkt me een zeeer open deur.
De directeur van dit bedrijf zit altijd in een glazen huis, en de legal afdeling daar is zeer groot.
Als die het is kan je altijd hoger op.

Als je net nieuw bent en je komt bij ZO'N bedrijf binnen, zou ik nog tijdens de proeftijd weer opstappen. Uiteraard je aanstaande ontslag + reden publiekelijk intern naar iedereen mailen. Deze doofpotcultuur is echt nergens goed voor en zegt veel over je perspectief daar.

Dag anoniem
Voel je er wat voor om - zeer discreet - van gedachten te wisselen en te zien of wij iets voor je kunnen betekenen?
Groet

Dick van de Schraaf
Redactie Computer Idee
d.vd.schraaf@hub.nl

Uit niets blijkt dat het hier aan de directie ligt, maar aan de baas van de persoon in kwestie.
Die kan om persoonlijke redenen het niet aan de klok wil hangen, bijvoorbeeld omdat er 'net' binnenkort een promotie of salarisverhoging in het verschiet ligt of whatever.

In elk geval is het houden van de situatie niet in het voordeel van het bedrijf.

Ik heb er op gehint, maar dat is een advies dat hij zelf moet nemen :)

Ja, hier zal actie genomen worden. Als ze dit lezen is de lek zo gevonden.

Het zou met niet verbazen als dit de KPN is. Heb daar kort als externe gewerkt en in die korte periode heb ik twee grote breaches meegemaakt die ook bewust onder de pet werden gehouden. We moesten er alles aan doen om te voorkomen dat PR/Marketing er lucht van kreeg, want als die zoiets horen dan breekt er totale paniek uit (ze zijn als de dood voor negatieve publiciteit). Dus (ook als het niet over KPN gaat), misschien is het een idee om eens met PR of Marketing te gaan babbelen. Ze hebben dan misschien de ballen verstand van techniek, maar ze snappen dondersgoed wat negatieve publiciteit kan doen én ze hebben vaak vele lijntjes en touwtjes door de organisatie lopen.

Nah. het is op dit vroege ur te moeilijk om te argumenteren wie, ik , gelijk heeft, maar Petewr heeft een punt met dat rijbewijs.

Nare situatie, lijkt me. Maar een paar dingen waar je over na kunt denken:

1) Heb je een rechtsbijstandsverzekering, of ben je lid van een bond? Dat is een goed beginpunt voor het inwinnen van juridisch advies.
2) Is er een mogelijkheid dat je zelf gewoon de boel dichttimmert? Daar betalen ze je toch ook voor? Of mocht dat expliciet niet?
3) Zijn er aandeelhouders? En is het bedrijf meer dan 50 medewerkers? Dan is er ook een Ondernemingsraad. Die bestaat uit werknemers en kunnen ook actie ondernemen.
4) Zorg dat je bewijzen verzamelt en inderdaad ergens binnen het bedrijf beveiligd opslaat voor mocht puntje bij paaltje komen, en als dit je echt stoort (wat ik me heel goed kan voorstellen) ga er inderdaad van uit dat je of bij ze weg gaat (onder teken van protest tegen dit beleid), of (risicovoller, maar leuker) je ze onderuit haalt.
5) Neem een digitale handtekening voor je e-mail en onderteken al je communicaties (zijn gratis te verkrijgen), en installeer er liefst ook een voor je bazen. Dan kunnen ze niet ontkennen dat er bepaalde e-mail communicatie heeft plaatsgevonden. Ander alternatief is om de communicaties telkens bij een externe partij te Time-stampen, dan kun je in ieder geval aantonen dat de communicaties vanaf een bepaald tijdstip bestonden; een rechter zal dan ook opmerken dat je dat niet zomaar voor niets doet.
6) Communiceer nogmaals naar de bazen toe dat dit een gevaarlijke situatie is, ook voor hen; wijs op hoe bijvoorbeeld Sony op z'n bek is gegaan. Bewaar alle communicaties samen met de bewijzen. Zorg dat je zelf kunt aantonen je allerbest te hebben gedaan om er verandering in te brengen.
7) Ze zijn VERPLICHT zich te houden aan de Wet Bescherming Persoonsgegevens. Door bewust dit te negeren terwijl je aangeeft dat het anders moet, overtreden ze de wet. Ik zou dat zeker bij ze aangeven in de voorgenoemde communicaties met je baas / de directie. De hamvraag is echter in hoeverre jij verplicht bent om als ICT-verantwoordelijke naar hen te luisteren, of juist naar de wet. (Het lijkt me het laatste.)
8) Ga een (vrijblijvend) gesprek aan met een paar advocaten / juristen en kijk wat er zou gebeuren als je hiermee naar de media stapt, of je ze zelf voor het gerecht sleept, of je de verantwoordelijkheid van je positie als het ware aanneemt en de boel zelf dichttimmert (en daarmee voorkomt dat de wet wordt overtreden). Dan kunnen ze je misschien ontslaan, maar dan kun je met een leuke rechtzaak terugkomen, en ontslagvergoeding eisen. Afhankelijk van je overeenkomst is het zowiezo beter om hun jou te laten ontslaan.

Persoonlijk zou ik de stoute schoenen aantrekken en gaan eikelen. Je doet je best en bent oprecht bezig, en zij nemen hun verantwoordelijkheid niet en breken de wet, en eisen ook dat jij dit dus doet. Verzamel eerst rustig bewijzen en win informatie in bij juridische partijen. Ik zou het denk ik zo spelen dat ik een rel zou schoppen bij aandeelhouders, de ondernemingsraad of, in het ergste geval, bij je baas aangeven dat je naar de rechter stapt; dan moeten zij uit hun ivoren toren komen en actie tegen je ondernemen. Waarschijnlijk word je dan op nonactief gezet en gaan ze proberen je te ontslaan. Als ze verder geen dossier tegen je hebben dat ze kunnen gebruiken (eerdere problemen of knelpunten) dan gaan ze waarschijnlijk proberen je eruit te werken door je een beeindigingsovereenkomst te laten ondertekenen, in ruil voor een lap geld en je daarmee de mond te snoeren. Op dat moment heb je dat er ook bij als bewijs, en zou je ze kunnen aanklagen voor het niet naleven van de Wet Bescherming Persoonsgegevens. Dat is zelfs nog leuker als je eigen gegevens ook in die database zitten, en toegankelijk is voor hackers, want dan heb je ook nog persoonlijk belang.

Al met al wel een sjitsituatie. Stap voorzichtig, onderteken NIETS zonder eerst te overleggen met een jurist / advocaat, en blijf jezelf. Succes!

Nare situatie, lijkt me. Maar een paar dingen waar je over na kunt denken:

1) Heb je een rechtsbijstandsverzekering, of ben je lid van een bond? Dat is een goed beginpunt voor het inwinnen van juridisch advies.
2) Is er een mogelijkheid dat je zelf gewoon de boel dichttimmert? Daar betalen ze je toch ook voor? Of mocht dat expliciet niet?
3) Zijn er aandeelhouders? En is het bedrijf meer dan 50 medewerkers? Dan is er ook een Ondernemingsraad. Die bestaat uit werknemers en kunnen ook actie ondernemen.
4) Zorg dat je bewijzen verzamelt en inderdaad ergens binnen het bedrijf beveiligd opslaat voor mocht puntje bij paaltje komen, en als dit je echt stoort (wat ik me heel goed kan voorstellen) ga er inderdaad van uit dat je of bij ze weg gaat (onder teken van protest tegen dit beleid), of (risicovoller, maar leuker) je ze onderuit haalt.
5) Neem een digitale handtekening voor je e-mail en onderteken al je communicaties (zijn gratis te verkrijgen), en installeer er liefst ook een voor je bazen. Dan kunnen ze niet ontkennen dat er bepaalde e-mail communicatie heeft plaatsgevonden. Ander alternatief is om de communicaties telkens bij een externe partij te Time-stampen, dan kun je in ieder geval aantonen dat de communicaties vanaf een bepaald tijdstip bestonden; een rechter zal dan ook opmerken dat je dat niet zomaar voor niets doet.
6) Communiceer nogmaals naar de bazen toe dat dit een gevaarlijke situatie is, ook voor hen; wijs op hoe bijvoorbeeld Sony op z'n bek is gegaan. Bewaar alle communicaties samen met de bewijzen. Zorg dat je zelf kunt aantonen je allerbest te hebben gedaan om er verandering in te brengen.
7) Ze zijn VERPLICHT zich te houden aan de Wet Bescherming Persoonsgegevens. Door bewust dit te negeren terwijl je aangeeft dat het anders moet, overtreden ze de wet. Ik zou dat zeker bij ze aangeven in de voorgenoemde communicaties met je baas / de directie. De hamvraag is echter in hoeverre jij verplicht bent om als ICT-verantwoordelijke naar hen te luisteren, of juist naar de wet. (Het lijkt me het laatste.)
8) Ga een (vrijblijvend) gesprek aan met een paar advocaten / juristen en kijk wat er zou gebeuren als je hiermee naar de media stapt, of je ze zelf voor het gerecht sleept, of je de verantwoordelijkheid van je positie als het ware aanneemt en de boel zelf dichttimmert (en daarmee voorkomt dat de wet wordt overtreden). Dan kunnen ze je misschien ontslaan, maar dan kun je met een leuke rechtzaak terugkomen, en ontslagvergoeding eisen. Afhankelijk van je overeenkomst is het zowiezo beter om hun jou te laten ontslaan.

Persoonlijk zou ik de stoute schoenen aantrekken en gaan eikelen. Je doet je best en bent oprecht bezig, en zij nemen hun verantwoordelijkheid niet en breken de wet, en eisen ook dat jij dit dus doet. Verzamel eerst rustig bewijzen en win informatie in bij juridische partijen. Ik zou het denk ik zo spelen dat ik een rel zou schoppen bij aandeelhouders, afdeling PR, de ondernemingsraad of, in het ergste geval, bij je baas aangeven dat je naar de rechter stapt; dan moeten zij uit hun ivoren toren komen en actie tegen je ondernemen. Waarschijnlijk word je dan op nonactief gezet en gaan ze proberen je te ontslaan. Als ze verder geen dossier tegen je hebben dat ze kunnen gebruiken (eerdere problemen of knelpunten) dan gaan ze waarschijnlijk proberen je eruit te werken door je een beeindigingsovereenkomst te laten ondertekenen, in ruil voor een lap geld en je daarmee de mond te snoeren. Op dat moment heb je dat er ook bij als bewijs, en zou je ze kunnen aanklagen voor het niet naleven van de Wet Bescherming Persoonsgegevens. Dat is zelfs nog leuker als je eigen gegevens ook in die database zitten, en toegankelijk is voor hackers, want dan heb je ook nog persoonlijk belang.

MAAR: ik roep hier dus dingen die eerst juridisch moeten worden geverifieerd. Handel voorzichtig en doordacht! Al met al wel een sjitsituatie. Onderteken NIETS zonder eerst te overleggen met een jurist / advocaat, en blijf jezelf. Succes!

N.B. Zie ook de reactie van Anoniem, dinsdag 17-5, 17:55 uur ...

KPN heeft een goede CERT. Als je directe baas niets van het oplossen van het probleem wil weten, dan zullen zij zeker geinteresseerd zijn.

Peter

Tja, en ik heb het bij een andere ISP gezien, voordat deze door KPN gekocht werd. Helaas is de KPN echt niet de enige mogelijke kandidaat. Deze reactie is namelijk standaard ingeprogrammeerd bij managers - ik heb ook elders (zoals bij een veiligheidsministerie en een heel grote niet-staatsbank) hetzelfde meegemaakt. gewoon: geen computers gebruiken als iets veilig moet. Tip: op marktplaats zijn tiepmachines heel goedkoop.

Mmmm, nee, uiteraard niet de enige kandidaat voor vergelijkbare gevallen.
Maar in relatie tot dit specifieke geval in deze thread ....
Heb je de reactie van Anoniem, dinsdag 17-5, 17:55 uur, wel gelezen en de wenk begrepen?

ej__,

Is hiervan een gedocumenteerde en juridische bewijsmateriaal van? Zo ja, dan men de nalatigheid van deze CISSP melden bij bij (ISC)2. Deze zal dan de zaak formeel onderzoeken. Mocht de betreffende persoon de verplichte gdragscode hebben geschonden, dan kan het zijn dat die persoon zijn titel kwijt raakt. Mogelijkerwijs mag deze persoon nooit en te nimmer meer de titel CISSP dragen.

Hoe gaat het trouwens nu met de topicstarter?
Hij zal onderhand nu wel op het matje geroepen zijn lijkt mij aangezien de naam bekend is en de media zit te azen op een goed verhaal in hun blad.

maak dat je daar wegkomt, en meldt het meteen daarna anoniem bij iedereen dei het maar horen wil, na het raadplegen van een goede advocaat.

de kosten hiervoor tik je vantevoren af met de juiste media. Als jet een bedrijf als KPN is, dan zullen de media bereid zijn je te compenseren, maar, ook hier... neem een advocaat.

Als je niets doet, kun jij aansprakelijk gesteld worden voor de lekken, door je bazen die jou de zwarte piet doorschuiven, en zelf lekker blijven zitten.

Geenstijl.nl heeft het ook gevonden onder Instant update :-)
http://www.geenstijl.nl/mt/archieven/2011/05/vodafone_kijkt_over_je_schoude.html

Security.nl is overbelast merk ik. Lol

Iemand in dat bedrijf zal nu peuken schijten want dit komt in de krant.
Directeur zal binnenkort werkloos zijn.

Zo moeilijk is dat toch niet! Half mediaal NL zoekt dit soort scoops.

KLPD
Directie van klanten (de financiele instellingen) welke mogelijk schade oplopen.
Peter R. De Vries
Undercover in NL
Hart van NL
Etc.

(Excuus voor de -1 rating van Anoniem, dinsdag 17-5, 10:38 uur. Het was niet mijn bedoeling.
Het was een mis-klikje, door het momenteel af en toe vertraagd laden van de pagina.)
(update
Iemand heeft het al gecorrigeerd, zie ik. Dank je wel daarvoor.)

Is het inmiddels niet verplicht om datalekken te melden?
of is dat wetsvoorstel nog niet doorgevoerd? (zowel in de EU als in NL werd hieraan gewerkt enige tijd terug.)
Dan zou het dus zomaar eens strafbaar kunnen zijn wat je werkgever doet.

Kijk uit dat je niet onbedoeld medeplichtig wordt ;)

Ik wil dit verhaal heel graag publiceren, kom er alleen net achter dat contact met de anonieme persoon zelf niet meer nodig is. Dit topic zegt genoeg + geenstijl heeft het al door dus dit gaat niet lang meer duren voordat het helemaal publiek is

Ik snap het probleem niet zo. Dit is duidelijk een security incident. Een beetje organisatie heeft een (onafhankelijke) security officer/afdeling waar je dergelijke incidenten rechtstreeks kunt melden. Medewerkers hebben zelfs de plicht dit te melden. De onafhankelijke positionering is er nou juist om de meldingsdrempel bij dit soort gewetensconflicten te verlagen.

Zeker bij ernstige en gevoelige meldingen zal de security afdeling nader onderzoek (laten) verrichten en zo nodig wordt de betreffende manager op het matje geroepen om verantwoording af te leggen waarom hij dit incident niet zelf heeft gemeld. Als hij dit moedwillig heeft verzwegen kan het zelfs, afhankelijk van het beleid, reden voor ontslag zijn. Helemaal omdat het een manager betreft die geacht wordt zijn verantwoordelijkheid te nemen.

Probleem opgelost :-)

http://www.geenstijl.nl/mt/archieven/2011/05/vodafone_kijkt_over_je_schoude.html

Zeker als het KPN betreft heeft deze een KPNCERT en een KPN Security club. Daar moet toch wel een ingang te vinden zijn.

1maal raden die werkgever is Tele2?

aan de andere kant.
zo kan je wel een private pubje neer zetten vol met warez meuk...

Voor zo'n baas wil je niet werken. Zoek zsm een baan met een gezonde verantwoordelijkheid en laat hem in zijn sop gaarkoken.

Mocht deze melding KPN betreffen dan kun je dit altijd veilig melden bij de KPN securityhelpdesk of gebruik maken van de interne klokkenluidersregeling. Informatie hierover kun je vinden op het intranet van KPN. Mocht dit geval betrekking hebben op een andere ISP dan zijn daar ongetwijfeld ook soortgelijke instanties om (anoniem) dergelijke zaken te melden.

Met vriendelijke groet,
KPN Webcare

Niet gewoon een boze ex-kpn medewerker. Komt bij mij niet echt geloofwaardig over.

Mijn baas, directeur (van KPN dus) zou het onder de pet houden? Beetje vreemd aangezien de manager van E-Mail servers een ander is dan degene die verantwoordelijk is voor de DNS servers.

Denk dat iemand hier gewoon een simpel verhaaltje neerzet en Geenstijl pakt het lekker over en dat is heerlijk maar denk niet dat ze zelf daar denken dat dit serieus is.

Wel ff zeggen dat je het gesprek opneemt anders heeft het geen waarde en geldt het niet als bewijs. dus

Jouw baas is ook de directeur van KPN?
En jou baas is inhoudelijk verantwoordelijk voor de mailservers, DNS servers en de interne systemen. Erg knap... heel knap.. En nu moeten we ook nog oppassen als klant bij KPN. Sorry maar ik geloof er helemaal geen bal van!

Hoe je er iets aan kan doen als het wel waar zou zijn, stuur een maitlje naar de telegraaf met je een verhaal erin vraag een bak met geld en anonimiteit en stuur ze de bewijzen....

jaja.
klagen bij de baas over servers van het merk "fromage-avec-gaten", terug ik je hok gestuurd worden ,en een week later een groot anoniem artikel.

verhaal voor een vast contract bij de Telegraaf als systeembeheerder, met gouden handdruk-clausule, daarvoor zou hij het kunnen doen.

back-up terug zetten de hacker in dienst nemen

Is gedaan, ben inmiddels koosje werkeloosje.
Als iemand interesse heeft om iemand aan te nemen die 't nodige weet ;-) dan hoor ik dat graag!

De toezichthouders hebben gereageerd met opmerkingen als "deze zaak heeft geen prio en word tzt in behandeling genomen". op de vraag hoe lang dat kon duren was dat het off-the-record antwoord dat ze het waarschijnlijk niet verder vervolgen tenzij er media druk op komt. was wel een leuke amtenaar die ook maar een baantje had genomen na z'n studie.
Dus de WpB word niet gehandhaafd.

Als je de bepalingen van (ISC)2 leest, staat daar dat alleen leden mogen klagen, dus als buitenstaander maak je geen kans. Dit is bevestigd door hun via email. (ISC)2 is ook gewoon een commeciele instelling die het falen van hun 'leden' liever buiten de deur laat staan. Dit is ook duidelijk uit 't feit dat ze geen commentaar dulden op bewezen fundamentele fouten in hun les materiaal, maar dat is weer een ander verhaal.

De [abuse] afdeling van dat bedrijf dat door KPN gekocht is van onze aller Rob.G., Vinden dat je eerst met klant nummer moet komen, anders '''kunnen''' ze meldingen over hun admin accounts die gehack'd zijn niet behandelen!
Dus ook die hanteren het (ISC)2 systeem, als je niet betaald luisteren we gewoon niet naar je, ook als kom je vertellen dat onze tent in brand staat, lekker puh!
De bureaucratie wint Altijd ;-)

Voor achtergrond info, dewit.anna at yahoo.co.uk

Hallo D1tsie,

Jij maakt er zelf van dat het KPN is, na 't lezen van al die opmerkingen van anderen.
Mijn ex-baas heeft maar een paar duizen klanten zo als beschreven.
Eeeerst lezen, Dan denken, dan pas 'slim doen'. ;-)

Ja, in de Theory uit de boekjes zou dat idd zo moeten zijn.
De werkelijkheid is helaas niet zo, en dat moeten CSO's, CISO's, CISSP's etc.. ook maar eens gaan leren, in plaats van eindeloos blind staren op hoe het zou moeten zijn.

Hou maar op met uitleg geven over om welk bedrijf het nou wel of beslist niet ging.
En hou maar op met het aanbieden van contactinformatie.

Want het is nutteloos, omdat niemand kan beoordelen of jij hetzelfde persoon bent als de topic-starter.
De TC postte namelijk ongeregistreerd, dus als "Anoniem".

Zowel de TC, als ook elke halve gare die hoopt zijn (m/v) minute of fame te halen, kan nu van alles beweren, maar niemand kan beoordelen of het de TC is die opnieuw post, of wie dan ook.
Dus hou maar op, lijkt me.

@ "sometimes",

Ik ben zeer zeker niet mijn interesse verloren,
waarom denk je anders dat ik deze thread nog volg?

Dat wat ik aan wilde geven met mijn reactie van vrijdag 28-5, 11:28 uur, dat was dat niemand kan beoordelen of iemand die nog post in deze thread wel of niet hetzelfde persoon is als de topic-starter, dit doordat de TC ongeregistreerd postte, als "Anoniem".
Daardoor kan iedereen nu in reacties beweren wat ie (m/v) wil, maar niemand kan beoordelen of het de TC is die opnieuw post, of wie dan ook. En daardoor is dus niet vast te stellen of het werkelijk nog de TC is die een vervolg van het verhaal aangeeft, of dat het iemand anders is, die het wellicht intessant vindt om zich uit te geven voor de TC.
Jammer voor de TC, en jammer voor iedereen die dit volgt, omdat er hierdoor onduidelijkheid zal blijven, maar dat is simpelweg een gevolg van het ongeregistreerd, als "Anoniem", starten van dit topic,

Met dat "hou maar op" wilde ik benadrukken dat het vanwege het bovenstaande weinig zin meer heeft om nog te proberen een vervolg aan te geven van het verhaal, niet voor de TC, en ook niet voor personen die zich uitgeven als de TC.
Simpelweg omdat niet is vast te stellen of iemand die post als de zijnde de TC werkelijk de TC is, of een grapjas.
Om die reden dus dat "hou maar op", omdat het mijns inziens weinig zin meer heeft.

Wat hieruit te leren valt, dat is wellicht dat als je iets wilt posten om daar later nog op te kunnen vervolgen, dat het dan raadzaam is om niet als 'inwisselbare anoniem' te posten, maar om een profiel aan te maken en geregistreerd te posten, zodat je te herkennen bent aan je nickname. Een nickname is ook 'anoniem', maar wel herkenbaar.

Spiff, waarschijnlijk niemand die hier post kan beoordelen of de eerste posting inhoudelijk wel echt is, en ook niet een van de volgende. Je laat je persoonlijke nieuwsgierigheid en dedain over anoniem posten zwaarder wegen dan de inhoudelijke vraag. Dat mag, maar dat maakt je een onwelwillend persoon, en wie kaatst kan de bal verwachten.

Bedenk dat iemand die anoniem post daar wel een voor hem/haar goede reden voor zal hebben.

Dit is overigens mijn eerste posting in deze threat. Ja, dat moet je ook maar geloven.

Anna,

Ik ben verbaasd dat dit nog steeds speelt.
Je hebt zelf nu ontslag genomen wat ik knap vind. Geen werk geen salaris. Je moet het maar kunnen ondanks de gehackte servers.

Met ontslag nemen had je zeker een zwijgplicht moeten ondertekenen?
Aan de media kun je ook niet veel vertellen want je hebt geen bewijzen nu zeker dan alleen verbaal?

Een kinderachtige opmerking, sometimes.


sometimes,
Bedoel je nou te beweren dat Above op de werkvloer werkt in het bedrijf werkt waar de topic-starter op doelde?
En dat hij/zij al maandenlang van het probleem wist, maar het negeerde, en dat hij/zij nu actie gaat ondernemen?
Dat is volgens mij wat je lijkt te beweren.
Corrigeer me als ik me vergis.


[wijziging: 2x hij vervangen door hij/zij]

Als je de opmerkingen van [Above 19-05-2011, 10:17] & [28-5-2011 08:30h] over Zwijgplicht en de tekst er omheen leest, lijkt het wel wat op iemand die bij een bedrijf zit dat zich (ook) aangesproken vind.

Zou leuk zijn om even uit te zoeken welke functie bij welke bedrijf Above heeft.

Hij/Zij zit in iedergeval niet veel hoger dan een basic helpdesk functie, dus een manager is het zeker niet:
Above: www.security.nl/artikel/35549/1/Hulp_nodig_met_SQL_installeren.html

Sometimes,

Jij houd er echt vreemde gedachten op na zeg.
Psychose of heb je een alu-hoedje op?

Dit is echt ziek.
Geen van alle klopt. Ik had puur interesse, verder niets.
Ik zit inderdaad in de ICT. Helemaal alleen doe ik alles in een bedrijf met 50 werknemers.
Aangezien het geen dagtaak is als alles gewoon goed draait heb ik ook gewoon een werkplaatsfunctie erbij. Tekenen, CNC en bedienen van de laser. We hebben ook niets met belangrijke instanties te maken van buitenaf. Puur Exchange en vpn voor de mensen die in het bedrijf zelf werkzaam zijn.

Raar dat meedenken met een ander puur uit interesse zich uit in een aanval met vreemde beschuldigingen.
Iets wat ik niet meer zal doen hier.

Ja, dat vroeg ik me ook al af ...
Ook het ingrijpend veranderen van geposte bijdragen, nadat er al op gereageerd is (zonder dat daarbij quotatie is gebruikt), dat is nogal merkwaardig.
Enigszins begrijpelijk wanneer je misschien schrikt van wat je eerder hebt gepost en van reacties daarop, Sometimes, maar dit gedeelte van de thread wordt er zo voor anderen bepaald niet begrijpelijker van.


[wijziging: toevoeging "zonder dat daarbij quotatie is gebruikt"]

Helemaal mee eens.
Op zich ben ik niet tegen de "Anonieme"posten, want ze dragen ook veel bij aan dit forum.
Maar dit interessante topic gaat toch de mist in omdat je niet met zekerheid kan zeggen wie wie is.
En blijkbaar zijn er dan lieden die met genoegen in het gat duiken en gaan lopen trollen.

Inderdaad, ik zou zelf een 'security bedrijf informeren' wat heb je nu nog te verliezen aan gegevens? en zowieso een beveiliging bedrijf heeft ook zijn regels...

Zo... er zitten hier een aantal mensen die toch eens even langs de dokter moeten om de draadjes in het hoofd na te laten kijken. Ik vind het bijzonder sneu dat "sometimes" en een (of meerdere... of ook sometimes) anoniempje er een hobby van maken om Above het leven zuur te maken. Dat toont niveau aan!

Het enige wat sometimes hier doet is belachelijke reacties schrijven en ze achteraf aanpassen zonder enige toelichting. Een vervuiling van deze site en een belediging naar mensen die wel serieus willen meedenken met iemand.

Bron: http://www.geenstijl.nl/mt/archieven/2011/06/database_llink_zo_llek_als_een.html

@ Anoniem, 08:00 uur vandaag:
En volgens jou heeft dat een llink met de inhoud van dit topic?

De aap is uit de mouw, Het orgnigele bericht ging over Netco uit Haarlem.

Zoals een goede beheerder beaamt, wat ik zou doen, stekker eruit hack analyseren.
herinstallatie en lek dichten.
of je zoiets stilhoud binnen je organisatie tuurlijk, dat zou ik ook doen als de baas dat vraagt.
maar stilhouden en niets doen, ja jammer dan, maar ik zou het gewoon gaan fixen.
Klanten gaan voor je baas, en gelukkig denkt mijn baas er ook zo over.

kpn?

"Als de baas zegt dat je het stil moet houden, dan moet je het natuurlijk stil houden. "

Waarom, is het belang van je baas altijd groter dan het algemeen belang ?

"Zoals een goede beheerder beaamt, wat ik zou doen, stekker eruit hack analyseren. herinstallatie en lek dichten. "

Ik vraag me af waarom de topic starter zelf niet op dat idee komt. Een sysadmin zou dat soort problemen moeten kunnen verhelpen zou je denken ;))

Algemeen belang..... daar doet men niet aan in dit landje waar klokkeluiders nog streeds publiekelijk opgeknoopt en uitgekosts worden door de overheid zelve!

Stekker er uit: Goed idee als je binnen 10min op straat wil staan.
Verhelpen: is volgens doctor anders P. de technisch directeur een aanpassing in de 80'r jaren ''architectuur'' die hij zelf bij elkaar gerommeld heeft is. Dus mag ook niet.

Ondertussen liggen de klantgegevens van onderanderen KPN & XS4all & Postcode-loterij & nog duizenden andere afnemers van networking4all al zeker een jaar bij die romeense hacker(s), en wie weet waar nog.
Instanties als CBP & OPTA & Justitie doen standaard als of hun neus bloed elke keer als er weer met behulp van al die van overall verzamelde passwords etc.. flinke privacy schendende haks gedaan worden, langs elke beveiliging laag heen, omdat het de login gegevens gewoon juist zijn. En die cyber security ambtenaren maar binnen hun introverte muren hobby'n en 1 a 2x per jaar een 'we zijn goed bezig!' publicatie doen over een relatief klein dingetje wat ze dan opgelost zouden hebben, om hun bestaan te rechtvaardigen.

En niemand die het gewoon eens over de ware slachtoffers wil hebben: de burgers waarvan steeds weer hun privacy bestolen word! omdat de grote macho organisaties hun troep niet op order willen krijgen door kortzichtige aanpak.
Enig idee wat de grote gevolgen zijn van bijvoorbeeld de VASCO & Digid & Fiscus & ... affaire!? Of gaat men er liever van uit dat dat een one-way trust relationship was tussen al die systemen...
Ach wat maakt 't ook allemaal uit, aan dove mans oren die liever met nerd speeltjes spelen, of via bureaucratie hun eigen onkundige baan in stand houden.


Waar geen wil is, is geen weg.
De IT Security industry verkoopt dure luchtballonnen, en de klanten vinden ze erg mooi.

Ook al KPN bij betrokken , ze zijn wel in 't nieuws de laatste tijd.
Zou die organisatie een beeeetje te groot geworden zijn voor de schoenen waar ze naast lopen? ;-)