Bij de stratemaker thuis liggen de stoeptegels ook niet recht..

Wat is je punt dat er een niet beveiligde verbinding wordt gebruikt?
Dat je eigenlijk veelal niet met de overheid communiceert maar met derden?
Dat de belastingdienst verschillende certificaten gebruikt?
In navolging van de gevlogen stratenmaker lets encrypt in suggestie in een kwaad daglicht zetten?
Hij heeft wat losgemaakt hier, terecht was het niet helemaal.

.. danwel zelfs op zijn werk.

Goed gezien!
Er zit zo te zien in ieder geval een stomme fout in de website van ssl1.peoplexs.com.
Zij behoren je niet naar een http website door te sturen.
Je kan het zelf snel oplossen door van die http-link even https te maken door een letter "s" achter http te zetten,
en niet te vergeten: laad de webpagina met https daarna even opnieuw.
(als je het tenminste met het privacy statement van de website eens bent en de website vertrouwt)

Daarbij is een responsible disclosure mailtje aan te bevelen. Zie:
https://www.werkenvoornederland.nl/overige-informatie/responsibledisclosure
Moet kennelijk per email. Zou een pluspunt zijn voor je sollicitatie natuurlijk...

Goed voorbeeld doet goed volgen (NOT).

Als je als websitebouwer zo'n http-ipv-https fout maakt, en de site geen HSTS gebruikt (dan was je namelijk niet teruggevallen naar http), kun je je afvragen hoe veilig jouw CV en persoonlijke gegevens zijn bij hen.

Waarom moet hier eigenlijk een commerciële site tussen zitten? En waarom vermeldt de privacyverklaring (http://ssl1.peoplexs.com/Peoplexs22/eFormportal/eForm.cfm?CustomFormID=49397&Locale=nl, een verwijzing daarnaar staat onderaan de pagina waar je persoonlijke gegevens moet invullen) niets over wat Talentsoft Holding B.V. zelf met jouw gegevens doet, met wie zij die deelt en hoe lang zij die gegevens bewaart?

Er wordt trouwens ook een Google Analytics script geladen op de 1e pagina. Waarom moet, naast Talentsoft, ook Google weten wie op welke functie bij de overheid solliciteert?

Tja.... PeopleXS, meer hoef ik niet te zeggen.

P.s. de Nationalevacaturebank.nl is ook nog steeds http.

.... .., it's French.

De vraag is of Talentsoft zelf wel iets bewaart.
Het gaat door voor (cloud)software. Geen database.
Neemt niet weg dat goeie werknemers tegenwoordig "koehandel" zijn.
Dus je weet maar nooit of je weer eens wordt gesla... eh opgeslagen door een derde partij terwijl je van niets weet.
Moeilijk te bewijzen zonder gedegen onderzoek. Maar zonder een vermelding zou zo'n opslag wel illegaal zijn.

(een flinke opslag daarentegen is dan meestal wel weer een goeie zaak. ;-) )

Melden bij Autoriteit persoonsgegevens, veel privacy gevoelige gegevens over de lijn.
Sprake van nalatige opstelling bij het hanteren van een e.v. certificaat op de home pagina maar bij de sollicitatiepagina dan helemaal geen ssl toepassen?
De gegevens schreeuwen erom.

Nieuwe vacature rechts.
Wat doet dropbox javascript code op de site van de belastingdienst?
Het element in de footer lijkt verborgen,.
Is het actief en wat doet het?
Dropbox is niet echt veilig, daar wijst ze zelf ook op in haar voorwaarden.

Outsourcing en kennelijk geen centrale regie want anders hadden ze wel een overheidscertificaat gepakt, en niet een gratis certificaat van "let's encrypt".

Ondertussen staat het (ook) hier vol met advertenties van de overheid om toch alsjeblieft ambtenaar te worden. Het overtuigt ondertussen al een tijdje niet meer. Iets met vertrouwen en te voet komen.

Waar zie je een gratis certificaat?

Een overheidscertificaat is uitgesloten want de soliciatieproceduresoftware is commercieel.

De kans is aanwezig dat als je per brief solliciteert je gegevens alsnog op de servers van deze commerciele partij belanden.


Als alleen mensen soliciteren op securityjobs die niet geven om privacy wordt het niet beter.

Dat is een hele rare situatie, een gebrek aan organisatie.

Logisch, maar geeft wel aan dat de uitgangspunten scheef zitten.

En waarom? Kan de overheid dan niets meer zelf?

Maar dat is niet de schuld van de mensen die al dan niet solliciteren.

Je kan zeggen, we hebben een gedeeld belang want landsbelang. Maar dat is te kort door de bocht, want: Het is nou precies de taak van de overheid om zichzelf zo te organiseren dat het landsbelang gediend wordt. En dat betekent dus ook dat als ze goede mensen willen, ze daar moeite voor moeten doen.

Overigens net zo als het alleen maar de schuld van het bedrijf is als ze geen goede mensen weten aan te trekken, en niet van de mensen die besloten niet te solliciteren bij dat bedrijf.

Je kan zelfs zeggen dat het stukje landsbelang waar je als ambtenaar toch voor staat al verdiscontieerd is in de lagere prijs die je voor je arbeid als ambtenaar krijgt vergeleken met de prijs die je commercieel zou kunnen krijgen. Waar je dan ook weer wat arbeidszekerheid en lagere werk- en prestatiedruk voor terugkrijgt.

Ik zou sowieso nooit mijn cv achter laten bij een ander bedrijf dan het bedrijf waar ik wil solliciteren. Desnoods neem ik contact met ze op en bespreek de opties om niet via één of andere vage headhunter te moeten solliciteren. Als dat niet kan dan is dat niet een bedrijf waar ik voor zou willen werken. Mensen vergeten vaak dat een bedrijf blij moet zijn dat mensen hun tijd willen besteden aan het bedrijf en eventueel hun diensten aan te willen bieden. Een sollicitatie gesprek is tenslotte ook het gesprek van de sollicitant en niet van het bedrijf waar gesolliciteerd wordt. Managers zouden de rode loper voor iedereen moeten uitleggen die bij hun willen komen werken. Helaas laten veel sollicitanten zich nog veel te veel in de onderdanige hoek neerzetten, en vanuit zo'n positie sta je altijd op achterstand.

Ik spreek je nog wel eens als je al 100'en sollicitaties gedaan hebt en 2 jaar werkeloos bent.

Is het zo erg daar?

Ik ben nu, uhm, iets langer dan die twee jaar werkeloos (en zonder uitkering, ik mag het allemaal zelf betalen) en mijn ervaring is dat hoe langer je werkeloos bent hoe minder je hebt aan (de gebruikelijke) derde partijen van headhunters en recruiters en al dat andere ondiepe snelle gespuis. Ze hebben nauwlijks technische expertise en doen hun "matches" dus op steekwoorden, zeggens de nieuwste en heetste buzzwords, en gaan af op "de geur van succes". Daar heb je als langdurig werkeloze dus helemaal niets aan.

Dan is het inderdaad beter niet hun spelletjes mee te spelen want je gegevens verdwijnen hooguit in hun "database"* en je krijgt een keer per jaar een spam-mailtje om "je gegevens bij te werken". Verder heb je niets aan ze.

Er zijn wel tussenpersonen waar je wel wat aan hebt maar die zijn heel zeldzaam, en klein bovendien dus daar heb je minder grootbedrijfse idioterie.

Je CV spammen helpt je ook niet, trouwens. De meeste HR-droids krijgen toch al teveel CVs voor de kiezen en lezen die net zo goed zonder veel begrip. Je moet net die ene juiste weten te vinden, en die even uitgebreid aandacht geven. Een kruiwagentje (netwerken, bah) helpt ook aardig, of eerst een goede indruk weten te wekken bij de technische contactpersoon.

Met andere woorden, als je je eens goed kwaad maakt kom je nog wel aan een baan, ook zonder in allerlei databases te hoeven zitten. Beter van niet zelfs.


Ondertussen zoek ik niet meer want ik had zelfs een paar aanbiedingen gekregen maar kreeg geen burgerhaatkaart voorelkaar, de gemeente weigerde dat botweg (in een als-het-niet-zo-triest-was-dan-was-het-hilarische klucht) en zonder burgerhaatkaart geen werk. Overigens, bij minstens een van die aanbiedingen zou ik uiteindelijk ook niet willen werken omdat ze zich tegenover de eigen werknemers achter een extern payroll-bedrijf verschuilen, dat zich weer achter brakke prutswebsites verschuilt terwijl ze zelf geloven dat ze betaald worden om op alle slakken zout te leggen. En deze bonte koe, daar zit wel een vlekje aan, ja, dus in dat systeem passen, dat ging niet werken. Dat ging vrij spectaculair fout. Mijn schuld natuurlijk, niet in het systeem passen.

Wat dat betreft is Nederland helemaal dichtgetimmerd met allerlei regeltjes, deels tegenstrijdig, conflicterend, of circulair, en voorlopig geldt, hoe meer "digitaal getransformeerd", hoe schadelijker het is voor jou als burger als er iets niet helemaal precies volgens alle regeltjes gaat. Die "digitaal" maakt dus tot een strakker keurslijf, meer dan dat het nieuwe mogelijkheden opent. Tot op tussen wal en schip geraken en dan gewoon hard verzuipen aan toe.

Dus, voor wie het niet doorhad, indaad rest mij niet veel anders dan "blub" zeggen. Goedendag u allen.

* Al een paar mooie voorbeelden meegemaakt hoe knullig dat gaat.

Ik ben een andere Anoniem dan van Gisteren, 16:00.

https://werken.belastingdienst.nl/

https://vergunning.p1overheid.nl/ is een site van een commercieel bedrijf (http://www.p1.nl/) met een PKIoverheid certificaat (vermoedelijk omdat je met DigiD moet inloggen). Ook ziektekpostenverzekeringen zijn geen overheid. Het lijkt me dus niet dat commerciële bedrijven geen PKIoverheid certificaat zouden kunnen gebruiken (of je dat wilt en wilt betalen is iets anders).

Interessant, waarom denk je dat?

Het is een systeem voor verwerking van sollicitaties. Er zijn een aantal onwenselijke mogelijkheden: iemand klopt alsnog je gegevens in, data wordt centraal opgeslagen (SaaS), of je sollicitatie beland in een la wegens moeilijk/niet voldoen aan/ander excuus.

http://www.talentsoft.nl/diensten/toegepaste-software-technologie

De commerciele peoplexs.com site is niet uitsluitend voor de overheid in gebruik. Een overheidscertifcaat is uitgesloten.

Het gebruik van een niet-overheidscertificaat voor een host onder een overheidsdomein zoals werken.belastingdienst.nl is wat mij betreft onwenselijk. Je moet er van uit kunnen gaan dat zo'n site controleerbaar van de overheid is.

Juist.
Ook al heb ik geen sollicitatie verplichting, de afgelopen jaren ruim 200 schriftelijke sollicitaties gedaan.
Slecht 2 bedrijven namen de moeite om met een afwijzing te reageren, de anderen reageerden helemaal niet.
De bureaus waar je als elektronica technicus staat ingeschreven, komen met banen in de elektrotechniek.
Dit soort bureaus gaan bij mij dan ook direct het spamfilter in.

TS hier, er is iets veranderd.

Als je in https://ssl1.peoplexs.com/Peoplexs22/CandidatesPortalNoLogin/ApplicationForm.cfm?VacatureID=899242 aangeeft dat je GEEN ambtenaar bent (dus "nee" kiest" en op "Volgende" klikt, kom je nu WEL op een https pagina: https://ssl1.peoplexs.com/Peoplexs22/eFormportal/eForm.cfm?CustomFormID=50074&Locale=nl&VacatureID=899242&fromPortal=12667.

Echter, de http variant daarvan (http://ssl1.peoplexs.com/Peoplexs22/eFormportal/eForm.cfm?CustomFormID=50074&Locale=nl&VacatureID=899242&fromPortal=12667) is nog steeds beschikbaar wat betekent dat de site geen HSTS gebruikt. Dat duidt op incompetentie (zie onder andere https://www.ncsc.nl/actueel/factsheets/factsheet-https-kan-een-stuk-veiliger.html en https://www.forumstandaardisatie.nl/standaard/https-en-hsts). Het feit dat de oorspronkelijke fout bestond duidt erop dat de webapplicatieprogrammeur zelf niet testte (of met z'n ogen dicht). Er is duidelijk ook niet door een onafhankelijk tester getest (je hebt echt geen pentest-ervaring nodig om dit soort blunders te zien). De functionele fix die nu gemaakt lijkt, kan zich zomaar weer en/of op andere pagina's voordoen. HSTS had al deze ellende voorkomen.

Voor de zekerheid heb ik getest wat er gebeurt als je jouw gegevens op laatstgenoemde pagina invult, want als het POST commando via http plaatsvindt zouden je gegevens alsnog gelekt kunnen worden. In wireshark zag ik echter geen terugval naar http, dus op deze pagina geen lek naar derden.

Blijft het feit dat ik gezien heb dat de gegevens wel degelijk ook naar ssl1.peoplexs.com worden geüpload (er is dan ook een verbinding met werken.belastingdienst.nl, maar ik weet niet of jouw gegevens dan meteen ook worden verzonden, of slechts een link ernaar o.i.d.).

Wat de eigenaar van ssl1.peoplexs.com (Talentsoft) met jouw gegevens doet, blijft een raadsel waar zij geen verantwoording voor afleggen (in elk geval niet in http://ssl1.peoplexs.com/Peoplexs22/eFormportal/eForm.cfm?CustomFormID=49397&Locale=nl, want daarin staat niets over wat Talentsoft ermee doet).

Gelukkig heeft Talentsoft (naar verluidt, zie http://www.peoplexs.com/ verschillende certificeringen:
Dus zelfs een TLS certificering! Of zouden ze certificaat bedoelen? Dat niet altijd zichtbaar is maar sinds vandaag wel op 1 pagina waar dat eerder niet het geval was...

Wat betekent dat een keiharde herhaalde melding naar de Autoriteit Persoongegevens wegens bewust onzorgvuldig handelen nog steeds op zijn plaats is.

Je kunt de contactpersonen bij de belastingdienst ook bellen met de vraag hoe dat zit.
Zeer waarschijnlijk is deze functie extern uitbesteed aan talentsoft. Een SAAS benadering is vrij gangbaar.
Komisch https://www.werkenbijdeoverheid.nl/vacatures/corporate-recruiter-ict-BD-2017-0094 noemt het tool peoplexs als het hulpmiddel bij werving onderdeel EC Employability Center .

Vreemde gang van zaken.

In de privacy statement staat dat de belastingsdienst de gegevens niet aan derde partijen beschikbaar stelt. Dit kunnen ze helemaal niet waarmaken omdat de gegevens via de PeopleXS website worden verzameld, dit is dus al een derde partij!

http://ssl1.peoplexs.com/Peoplexs22/eFormportal/eForm.cfm?CustomFormID=49397&Locale=nl

Daarnaast: de gebruikte mailservers voor belastingdienst@peoplexs.com ondersteunenen geen TLS encryptie!?

Lees: privacy statement klopt niet, webcommunicatie niet versleuteld en e-mail niet versleuteld. En dat voor een dienst met veel persoonsgegevens, cv's en sollicitatiebrieven.

Ze hebben bij de overheid overal mensen tekort in de IT. Salaris in het bedrijfsleven is eenmaal aantrekkelijker. Mensen die na een opleiding een programmeertaal of systeem kennen, hebben ze (meer) dan genoeg... tot er weer iets nieuws is ;)

In het jaar 1999-2000 reden ze met een promotie rond voor overheid.nl. De interne configuraties van die server kon je via een simpele directory traversal inzien. Waarom zou er sindsdien iets veranderd zijn?

Ron

Gegevens van die site die hier zo driftig adverteert liggen sowieso op straat omdat een deel van de sollicitaties extern verwerkt worden en bovendien heb je nog altijd de koppeling met enkele populaire socialmedia platformen. Je hoeft niet in te loggen maar toch.. een hyperlink blijft een hyperlink.

Ron

Los van de overheid en de eventuele fouten die ze maken.

Het is schandalig dat PeopleXS/Talentsoft dit op deze manier durft aan te bieden. Het gaat in dit geval om veel meer organisaties die gebruik maken van PeopleXS, niet alleen de overheid.

Waar is de AP als je ze nodig hebt?

Ze besteden graag uit. Nederland in de uitverkoop, soort van.
De vraag is welk risico je loopt als je op zulke advertentie reageert met jouw info, zeker voor een baan in de security.

Niet alleen "je" maar ook de bazen en hun klanten waar je voor gewerkt heb. Als ik krimineel was zou ik zeker CV's en mailadressen verzamelen en je met een lulverhaal bellen of mailen voor meer info en vet geld bieden of bedreigen of sjanteren als je niet snel meewerkt.

Om die reden sta ik niet op linkedin, ben ik de enigste?

Dat peoplexs zuigt okay maar waarom ze dropbox en google analitics op werkenvoornederland.nl toelaten snap ik echt geen hout van.

Ik drukte het nog voorzichtig uit maar ik dacht daar ook aan. Welk bedrijf of (zeker een overheid) gebruikt zo'n externe service? Nou, Nederland bv dus. Ze konden ook een platform door FoxIT in elkaar laten draaien. Als je bij de politie, aivd, klpd solliciteert dan liggen de gegevens al op tenminste 2 plekken en wie weet wie daar allemaal via een omweg toegang tot heeft. Een slecht beveiligde backup of verzin het maar.

Maar iets zegt me dat ze er niet wakker van liggen.