Privacy - Wat niemand over je mag weten

www.geenbtwverhoging.nl mist privacy policy

17-10-2017, 11:38 door Anoniem, 24 reacties
Het lijkt een trend te worden dat voor politieke issues die spelen, petitiesites in het leven worden geroepen. Zo ook nu www.geenbtwverhoging.nl, een initiatief van meerdere politieke partijen.

Ik zie dat meerdere van mijn vrienden en familie de petitie hebben getekend, dus ik heb daar een kijkje genomen. Het valt mij op dat daarbij echter compleet geen link zichtbaar is naar een ToS, Privacy Policy of andere documenten. Het stukje tekst dat onder de inputs staat, luidt:
* We gaan zorgvuldig met jouw gegevens om. We gebruiken ze alleen voor deze actie.

Is dit (legaal gezien) voldoende? Hoe kan ik een uitgebreider privacy policy lezen? Ik wil weten hoe mijn gegevens "zorgvuldig" behandeld worden, hoe lang ze bewaard worden, etc. In deze staat krijgen ze mijn handtekening niet. Er staan geen contactgegevens om dit op te vragen. Ik vind het erg slecht geregeld als initiatief waar meerdere grote partijen prominent in beeld staan. Hoe kunnen we dit (laten) verbeteten?
Reacties (24)
17-10-2017, 13:09 door MathFox
Op zich is dit een redelijk hedere policy. Je mag een redelijk beveiligingsnivo van je persoonsgegevens verwachten (maar het blijft een website). Het woord "gebruiken" is niet expliciet genoeg, kom je op een maillijst te staan, wordt de complete namenlijst aangeboden aan de tweede kamer? Met "voor deze actie" mag je aannemen dat je geen uitnodiging krijgt om lid te worden van een van de ondersteunende partijen.
17-10-2017, 13:58 door Anoniem
Men is verplicht om op zijn website aan te geven wat er allemaal met de gegevens die bezoekers verstrekken wordt gedaan en waar het terecht komt en zo. Dat laatste is me te vaag. Wel kan je ontdekken dat verschillende linkse partijen en daaraan gelinkte organisaties naar deze website verwijzen. Dus het lijkt op zich vrij duidelijk waar het vandaan komt.

Iets wat in elk geval interessant kan zijn, is dat de data weer eens terecht komt op een server die zo te zien
eigendom is van een Amerikaans internetbedrijf (Amazon) en dan weet je wel weer hoe laat het is... Big brother en zo.
De server staat zo te zien wel in Nederland, maar dat zegt niet alles. Verder is het maar net hoe gevoelig je hier voor bent.

Ook vind ik dat je geïnformeerd moet worden dat je na invullen van gegevens nog eens een scherm krijgt met:
Je bent er bijna! Klik op de bevestigingslink in het zojuist gestuurde mailtje om je ondertekening te bevestigen.
Wat ik ook merk is dat je dit bericht dus ook krijgt als je wel namen maar geen emailadres invult.
Mogelijk wordt op je PC je emailadres gezocht als je zelf geen emailadres hebt ingevuld, maar dat weet ik niet zeker.
Het duurde wel vrij lang tot hij weer doorging.

Geen idee wat er gebeurt als je op die emaillink zou klikken, want zover ben ik niet gekomen.
Als er dan misschien wordt gevraagd om nog iets in te vullen dan is het ook precies een recept van fraudeurs.
In ieder geval geef je alsnog je IP-adres automatisch weg, als je Tor had gebruikt.

Mensen hebben de neiging wanneer ze een paar dingen over zichzelf hebben ingevuld ook gemakkelijker nóg een gegeven te geven, want dan denken ze "nou ben ik al zo ver, dan moet dat er ook nog maar bij".
Terwijl als iemand alles in één keer had gevraagd je zou zggen, ja dáááág dat ga ik niet allemaal invullen.
Trap daar dus niet in als het mocht gebeuren.
Als er echt een serieuze vriendelijk partij achter schuilgaat, moeten ze wat mij betreft recht door zee gaan en alles in één keer vragen wat echt nodig is en niet beetje bij beetje. Dan vertrouw ik het niet meer, met die truukjes.
17-10-2017, 15:35 door Bitwiper
Ik zou daar nooit mijn gegevens op invullen. Ik zie namelijk nergens bewijs van wie deze site is. M.a.w. ik zie geen verschil met websites die securitybedrijven inzetten om met een gefingeerde phishingcampagne om klikvee van security aware mensen te onderscheiden.

Als ik een spammer was zou ik ook dit soort sites de lucht in schoppen. Domeinnaam regelen, goedkope of gehackte server, Let's Encrypt certificaatje tik-tik-tik klaar, wat logo's van linkse- en ouderen-organisaties erop en klaar is Kees. Nog mooier wordt het als die linkse- en ouderen-organisaties nog naar je gaan linken ook!

Ik claim niet dat het hier om spammers gaat, maar als dit legitiem is, zijn het een stelletje hopeloze onbenullen en is iedereen die hier z'n gegevens op invult, een grote sukkel - die daarmee tevens aangeeft een hapklaar phishingachtoffer te zijn - dank voor uw e-mail adres!
17-10-2017, 16:38 door Anoniem
Volgen de whois van Sidn is de eigenaar van het domein Groenlinks. Dus dan weet je waar je gegevens terecht komen.
17-10-2017, 16:45 door Anoniem
En dan zit de site nog slecht in elkaar ook er zit nul controle op de invulvelden als je niks invult en je klikt op "ja ik steun deze actie" kom je op onderstaande pagina uit.

https://www.geenbtwverhoging.nl/bevestiging-mail
17-10-2017, 17:19 door Bitwiper - Bijgewerkt: 17-10-2017, 17:20
Door Anoniem: Volgen de whois van Sidn is de eigenaar van het domein Groenlinks. Dus dan weet je waar je gegevens terecht komen.
Uhh nee. Een eigenaar van een domainname is tegenwoordig zelden de eigenaar van de server waar die naam (op dit moment) naar verwijst.

Volgens nslookup is het IP-adres van deze site 104.198.14.52. Volgens whois is dat een server van Google in Californië. Het is overigens een gezellige fysieke server, alleen al vandaag heeft VirusTotal 13 domainnames geregistreerd op dit IP-adres (zie https://www.virustotal.com/#/ip-address/104.198.14.52).

Nu maar hopen dat de Google admins betrouwbaar zijn, de NSA geen lucht krijgt van deze linkserakkersite en die virtuele servers veilig van elkaar gescheiden zijn...
17-10-2017, 17:53 door Anoniem
@t Bitwiper

Een van de domeinen op dit IP adres = https://www.marienburggroep.nl/
De website probeert onveilige scripts te laden.
Re: http://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.marienburggroep.nl%2F
D+ status: https://observatory.mozilla.org/analyze.html?host=www.marienburggroep.nl
Af te voeren jQuery bibliotheek: http://retire.insecurity.today/#!/scan/3530121bd8d440b2567dcfd23b00f41c76e71fc6f8e31f37603ed231389ac27d
Het kan beter...
17-10-2017, 21:14 door Anoniem
Posters, ik popel om duidelijk te maken dat jullie toch echt eens op https://groenlinks.nl moet kijken, want dan zie je dat het toch de aanstichter is als je de website achtergrond van "www.geenbtwverhoging.nl" met "groenlinks.nl" vergelijkt!
Maar ja.... anoniem he. Dus wachten op moderator. Begrijpelijk, maar tegelijk toch de prijs van anonimiteit hier. :-(
17-10-2017, 21:44 door Anoniem
Door Bitwiper:

klikvee


Mensen zijn mensen.
Mensen als vee zien is de stap voor mensen als vee gaan behandelen is de stap voor mensen als vee te transporteren is de stap voor ...

Gebruik je kennis positief en help mensen positief verder in plaats van ze negatief weg te zetten als ondermaats volk.
Dat begint met mensen als mensen te blijven zien.
En dan verder, zonder wagons.
17-10-2017, 23:17 door Anoniem
@ anoniem van 21:44

Men kan het gemakkelijk anders formuleren en onderscheid maken tussen niet specialisten en specialisten,
onderscheiden tussen gewone IT en technische IT. We zijn allemaal als tabula rasa in de wieg begonnen, misschien uitgerust met een vleugje pre-talent, maar ook dat hebben we vaak niet van onszelf.

Een geleerd mens is niet altijd een wijs mens, een wijs mens hoeft niet altijd geleerd te zijn.

Veiligheid tussen server en client voor een website is een complex gegeven.

Weet de hoster goed wat ie moet doen, heeft de website admin de veiligheid van de site goed geïmplementeerd.
Lekt SSL niet, hoe zit het met mixed content, json, jQuery, certificering, same origin, code errors, enz. enz.

Bij voorbeeld zie de sinks en sources hier: http://www.domxssscanner.com/scan?url=https%3A%2F%2Fwww.geenbtwverhoging.nl%2F

Niemand weet alles (misschien komt Google een heel eind verder dan je schoonmoeder)
en niet is iedereen een specialist op ieder vlak.

Probeer elkander iets te leren en waardeer uw medemens, zo als die is.

luntrus
18-10-2017, 09:04 door Bitwiper
Door Anoniem: Gebruik je kennis positief en help mensen positief verder in plaats van ze negatief weg te zetten als ondermaats volk.
De egoïstische incompetente stomme runderen die niet verder denken dan hun neus lang is bij het kiezen van websitenamen als www.geenbtwverhoging.nl (in plaats van www.geenbtwverhoging.groelinks.nl) en belastingdienst-in-beeld.nl (i.p.v. iets als organisatie.belastingdienst.nl) zijn er de oorzaak van, dat ik aan non-nerds (die geen idee hebben wat whois is en zo ja, de betrouwbaarheid van informatie daaruit), niet kan uitleggen hoe zij echte van nepsites kunnen onderscheiden.

En dus helpen voorkomen dat zij door velen (vooral op dit forum) klikvee worden genoemd. Met techniek kun je niet alle problemen voorkomen, maar heel veel wel. M.a.w. klikvee gebruik ik sarcastisch (stomme runderen niet).
18-10-2017, 09:44 door Anoniem
Zolang men negeert dat de *tijdelijke* verhoging van het hoge BTW niet is terug gedraaid, moet men ook weinig verwachten van enige aktie tegen de *nieuwe* BTW verhogingen. Het laat zien dat we dit soort zaken toch wel slikken als bevolking. Immers was het 21% tarief -volgens onze politici- een tijdelijke crisis maatregel.
18-10-2017, 09:47 door Anoniem
De egoïstische incompetente stomme runderen die niet verder denken dan hun neus lang is bij het kiezen van websitenamen als www.geenbtwverhoging.nl (in plaats van www.geenbtwverhoging.groelinks.nl)

Ehm, je beseft je dat dit een aktie is van GL, PvdA, SP, FNV, PvdD, Denk, 50Plus, NOA, ANBO, BOK, SCPNB, SFYN, KBB, BKNL, Fietsersbond, Reumafonds, Patientenfederatie Nederland, GFT, DBB, Pink, Dwars, Rood & de Jonge Socialisten ?

Het onderbrengen van deze website op het door jou genoemde domein zou redelijk bizar zijn. Jouw kritiek, en de daaraan gekoppelde beledigende termen, zijn dan ook bizar. Welke partijen achter deze aktie schuil gaan, is verder volstrekt helder.
18-10-2017, 09:49 door Anoniem
Een van de domeinen op dit IP adres = https://www.marienburggroep.nl/

Ja en dan ? Dit is een cloud dienst, waarbij er tal van niet-gerelateerde websites gehost worden op hetzelfde IP. Volstrekt irrelevante informatie. Op dit IP staan meer dan 50.000 web pages.
18-10-2017, 10:25 door Anoniem
De egoïstische incompetente stomme runderen

Gelukkig dat we hier ook nog altruistische geniale wijsneuzen hebben zoals jij.
18-10-2017, 10:43 door Bitwiper
Door Anoniem:
De egoïstische incompetente stomme runderen die niet verder denken dan hun neus lang is bij het kiezen van websitenamen als www.geenbtwverhoging.nl (in plaats van www.geenbtwverhoging.groelinks.nl)

Ehm, je beseft je dat dit een aktie is van GL, PvdA, SP, FNV, PvdD, Denk, 50Plus, NOA, ANBO, BOK, SCPNB, SFYN, KBB, BKNL, Fietsersbond, Reumafonds, Patientenfederatie Nederland, GFT, DBB, Pink, Dwars, Rood & de Jonge Socialisten ?

Het onderbrengen van deze website op het door jou genoemde domein zou redelijk bizar zijn. Jouw kritiek, en de daaraan gekoppelde beledigende termen, zijn dan ook bizar. Welke partijen achter deze aktie schuil gaan, is verder volstrekt helder.
Stel ik ben een leek. Hoe zie ik dat dan?
18-10-2017, 11:04 door Anoniem
Stel ik ben een leek. Hoe zie ik dat dan?

Volgens mij ben jij slim genoeg om die vraag zelf te kunnen beantwoorden. Ook ben je slim genoeg om te snappen dat het raar is om een aktie, georganiseerd door 22 partijen onder te brengen op een subdomein van GroenLinks. Indien het ging puur om een aktie van GL, dan was ik het 100% met je eens.

Verder kan je je afvragen hoe mensen dit domein vinden; vaak zal dit zijn t.g.v. de PR campagne achter zo'n aktie. Waardoor mensen reeds weten aan de hand van reclame spotjes en dergelijke dat dit het domein is wat bij deze aktie hoort.
18-10-2017, 12:50 door Bitwiper
Door Anoniem:
Stel ik ben een leek. Hoe zie ik dat dan?
Volgens mij ben jij slim genoeg om die vraag zelf te kunnen beantwoorden.
Dus eerst roepen dat iets volstrekt duidelijk is, en als ik dan vraag waarom, zeggen dat ik zelf slim genoeg bent om die vraag te beantwoorden? Pathetic...

Even als niet-leek (dit heeft niets met slimheid te maken maar met beroepsmatige en persoonlijke interesse): het gaat hierbij om een zeer kort geleden geregistreerd domein op een goedkope multi-domain server in de USA met een Let's Encrypt (DV) certificaat dat niets zegt over de identiteit van de eigenaar, waarop je persoonlijke gegevens moet invullen. Zelfs zonder dat er een fatsoenlijke privacyverklaring op staat (alhoewel je die op echte phishingsites soms wel kunt vinden).

Dit lijkt als twee druppels water op de website waar een kennis van mij na ontvangst van een (door een securitybedrijf - in opdracht van haar werkgever verzonden) phishing mail, haar persoonlijke gegevens heeft ingevuld. Toen zij vroeg hoe zij nepsites kan onderscheiden van echte, vertelde ik haar de kenmerken van nepsites. www.geenbtwverhoging.nl voldoet perfect aan deze omschrijving.

Door Anoniem: Ook ben je slim genoeg om te snappen dat het raar is om een aktie, georganiseerd door 22 partijen onder te brengen op een subdomein van GroenLinks. Indien het ging puur om een aktie van GL, dan was ik het 100% met je eens.
Deze domeinnaam is geregistreerd door Groenlinks (een Anoniem hierboven heeft dat vastgesteld). Ik zie werkelijk niet in waarom de domeinnaam niet op groenlinks.nl zou kunnen eindigen met, op de site, iets als "deze webserver wordt beschikbaar gesteld door Groen Links, maar is een initiatief van onderstaande partijen: ...".

Door Anoniem: Verder kan je je afvragen hoe mensen dit domein vinden; vaak zal dit zijn t.g.v. de PR campagne achter zo'n aktie. Waardoor mensen reeds weten aan de hand van reclame spotjes en dergelijke dat dit het domein is wat bij deze aktie hoort.
Als mensen op de radio "ga naar geenbtwverhoging.nl" gehoord hebben, en ze ontvangen daarna een mail, zogenaamd van 1 van de ondersteunende partijen, met daarin dezelfde tekst echter met een link waarmee je uitkomt op geen-btw-verhoging.nl, dan gaat een deel van die mensen daar intrappen.

Maar wat maak ik me druk. Gelukkig dat we hier ook nog altruistische geniale anoniemen hebben zoals jij.
18-10-2017, 13:33 door Anoniem
Dus eerst roepen dat iets volstrekt duidelijk is, en als ik dan vraag waarom, zeggen dat ik zelf slim genoeg bent om die vraag te beantwoorden?

Maakt het veel uit of je wel/geen leek bent, of je snapt dat een website m.b.t. een aktie gesteund door twee dozijn politieke partijen en andere organisaties niet gehost wordt op een subdomein van 1 van ale die partijen ? Hiervoor hoef je bepaald geen IT-er te zijn.

Als mensen op de radio "ga naar geenbtwverhoging.nl" gehoord hebben, en ze ontvangen daarna een mail, zogenaamd van 1 van de ondersteunende partijen, met daarin dezelfde tekst echter met een link waarmee je uitkomt op geen-btw-verhoging.nl, dan gaat een deel van die mensen daar intrappen.

Volstrekt logisch dat snappen we allebij. Dat de Nederlandse overheid hier niet bepaald slim mee om gaat (bijv door de afwezigheid van .gov.nl domeinen) dat is ook helder.

Ik zie werkelijk niet in waarom de domeinnaam niet op groenlinks.nl zou kunnen eindigen met, op de site, iets als "deze webserver wordt beschikbaar gesteld door Groen Links, maar is een initiatief van onderstaande partijen: ...".

Denk je dat alle andere deelnemende politieke partijen daarmee akkoord zouden zijn gegaan ? Ik ben het volstrekt eens met je argumenten, op gebied van IT beveiliging. Maar dat zijn niet de enige aspecten die meespelen bij de keuzes die deze organisaties maken, t.b.v. zo'n aktie.
18-10-2017, 14:03 door Anoniem
Deze domeinnaam is geregistreerd door Groenlinks (een Anoniem hierboven heeft dat vastgesteld). Ik zie werkelijk niet in waarom de domeinnaam niet op groenlinks.nl zou kunnen eindigen met, op de site, iets als "deze webserver wordt beschikbaar gesteld door Groen Links, maar is een initiatief van onderstaande partijen: ...".

Indien de betrokken partijen zich zouden laten drijven door dezelfde issues als jij of ik, op gebied van IT beveiliging, dan hadden ze deze keuze vast wel gemaakt. Echter zijn andere zaken, meer op gebied van marketing & PR voor betrokken partijen vele malen belangrijker.
18-10-2017, 14:42 door Anoniem
Pathetic...

Excuus voor het feit dat ik je intelligentie vrij hoog in schat. Komt onder andere door de waardering die ik heb voor de meeste van je bijdragen, welke ik van goede kwaliteit vind. Als je dat pathetic vind, dan zal ik zo'n compliment voortaan achterwege laten.... ;)
18-10-2017, 17:08 door Anoniem
Bitwiper en anderen, de site blijkt steeds meer gewoon legaal en is vrijwel zeker niet van een fraudeur.

De websites "www.geenbtwverhoging.nl" en "groenlinks.nl" hebben dezelfde achtergrond..(21:14 Anoniem)
Je zou nog even kunnen denken aan een websitedefacer maar dat is volstrekt onwaarschijnlijk als na drie dagen er niets
aan is veranderd. Geen berichten ergens van "we zijn gehackt en .... dus die site is nep" o.i.d. Nee, niks.

Er zijn tal van linkse websites die naar "www.geenbtwverhoging.nl" doorverwijzen, en ook dat maakt fraude erg onwaarschijnlijk.

Dat neemt niet weg dat "www.geenbtwverhoging.nl" in eerste instantie verdacht overkomt, zoals eerder al genoemd. Dat verdiende absoluut om te worden onderzocht.
Niet alleen verdacht volgens jou Bitwiper, maar ook daarvoor al door 13:58 Anoniem. Die heeft zo te zien wat meer acht geslagen op de voorwaarden van SIDN om nog geen gedetailleerde SIDN whois gegevens te publiceren, omdat het toen nog lang niet zeker was of die site frauduleus was of niet.

Een ieder moet voor zichzelf uitmaken of het erg is dat wereldmacht Big brother die een groot aandeel heeft gehad in
het bevrijden van Nederland van de Duitse bezetting tijdens WOII eventueel mee kan kijken wie daar allemaal hun gegevens invullen. Het is ten slotte geen onwettige actie.

Het treft groepen mensen die op veel fronten wat minder gaven mee hebben gekregen in deze wereld en natuurlijk studenten. Dat je zelf geen cent tekort komt om die extra BTW te kunnen betalen zodat je liever niet je persoonsgegevens in de waagschaal brengt, maakt die website nog niet verwerpelijk.

Maar ja, ik ben met je eens dat het, als je zo rechtstreeks naar die website gaat, dat je je verwondert wie hier achter zit en of het wel zuivere koffie is. Dat kon een heel stuk beter en helderder.
Maar link je er naar toe vanaf "Groenlinks.nl" of een andere bekende linkse website die dit initiatief steunt d.m.v. een link
op hun website, dan is het voor de meeste mensen die via die weg bij de website komen al een stuk minder vreemd.
En ten slotte heeft het nog mee dat er een zeker logica aanwezig is: JA, JA, natuurlijk zou Jesse K. van groenlinks zo'n initiatief kunnen starten! En o ja, de SSL van de website is dik in orde, alleen de uitgever van het certificaat doet de wenkbrauwen fronsen. Maar dat alleen hoeft nog steeds geen reden te zijn om meteen te denken dat de website vals is.

Dus dat allemaal bij elkaar opgeteld kan je wel stellen dat het gewoon een initiatief is van groenlinks, waar bovendien
een aantal andere partijen en organisaties zich bij hebben aangesloten.

Nogmaals, wel jammer dat dit niet onmiddellijk met 100% zekerheid is op te maken uit "geenbtwverhoging.nl".
Ja, er staan meerdere logo's van andere partijen en instanties onder, maar die kan een fraudeur er ook onder zetten.
Wat men dus zou kunnen doen is de websites van die partijen en instanties eens onderzoeken of daar ook vaak blijk is van een openlijke steunbetuiging aan dit initiatief. (waarbij ik dan wel weer moet opmerken dat de website van groenlinks.nl een crappy COMODO certificaat gebruikt, en dat kan je wat mij betreft als politieke partij van de Tweede Kamer niet maken)

Het had niet nodig moeten zijn geweest dat security-specialisten eerst een heel onderzoek moeten doen om te controleren of het wel zuivere koffie is. Blijkbaar is het doel om op deze hele eenvoudige manier zonder poespas eenvoudige mensen aan te spreken die het niet zo breed hebben, een slecht voorbeeld.
Een volgende keer zien mensen misschien weer zo'n website, en denken meteen dat het in orde is "want dat was ook zo bij de actie van Groenlinks" maar dan zit er misschien wél een fraudeur achter en worden ze zeker genaaid.
Dat is het gevaar. Je kan eigenlijk niet zondermeer op een dergelijk website waar je je persoonsgegevens aan geeft vertrouwen. Wel mét meer. (door allerlei onderzoek te doen)

Sorry voor het lange bericht, maar ik denk wel dat het nodig was.
19-10-2017, 09:50 door Anoniem
Bitwiper en anderen, de site blijkt steeds meer gewoon legaal en is vrijwel zeker niet van een fraudeur. [...] Sorry voor het lange bericht, maar ik denk wel dat het nodig was.

Ik ben benieuwd waarvoor het nodig was, want dit was al geheel duidelijk. Niemand hier beweert dat de site daadwerkelijk frauduleus is ;)
19-10-2017, 14:28 door Anoniem
Door Anoniem:
Bitwiper en anderen, de site blijkt steeds meer gewoon legaal en is vrijwel zeker niet van een fraudeur. [...] Sorry voor het lange bericht, maar ik denk wel dat het nodig was.

Ik ben benieuwd waarvoor het nodig was, want dit was al geheel duidelijk. Niemand hier beweert dat de site daadwerkelijk frauduleus is ;)
Er waren nog verdenkingen dat de website frauduleus zou kunnen zijn.

Lekker weer vandaag he?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.