image

PwC gaf privacywerkwijze Facebook groen licht ondanks datalek

vrijdag 20 april 2018, 10:06 door Redactie, 16 reacties

Accountantsbedrijf PwC heeft de privacywerkwijze van Facebook groen licht gegeven lang nadat de sociale netwerksite wist dat Cambridge Analytica op ongepaste wijze de gegevens van tientallen miljoenen gebruikers had verkregen. Dat meldt de Wall Street Journal op basis van een auditrapport dat PwC vorig jaar aan de Amerikaanse toezichthouder FTC verstrekte.

Volgens het accountantsbedrijf werkten de privacycontroles van Facebook goed genoeg om de privacy van gegevens te beschermen. Het rapport zou vorig jaar december zijn opgeleverd en was een assessment dat van 12 februari 2015 tot 11 februari 2017 plaatsvond. In deze periode kreeg het politieke consultancybedrijf Cambridge Analytica via de quiz-app "This is your digitale life" toegang tot de gegevens van 87 miljoen Facebook-gebruikers, aldus persbureau Reuters.

Reacties (16)
20-04-2018, 10:58 door Anoniem
Volgens het accountantsbedrijf werkten de privacycontroles van Facebook goed genoeg om de privacy van gegevens te beschermen.

Ja tuurlijk, we hebben er ook geen geld voor gekregen hoor.
20-04-2018, 11:04 door buttonius
Wie betaalt bepaalt. Geldt ook als je een auditrapport laat maken bij PwC. Toegegeven; in het artikel staat niet wie het rapport heeft betaalt, maar dat was vast wel Facebook en niet de FTC.
20-04-2018, 11:15 door Anoniem
Er was tussen 2015 en 2017 een audit en daaruit kwam een conclusie. De gegevens waren ruim voor de audit gelekt. Vielen die geurtenis volgens de WSJ dan binnen de audit? Facebook was al maatregelen aan het nemen om dat soort lekken te voorkomen. Vielen die gebeurtenissen dan binnen de audit? Waar ging de audit wel over en waar ging de audit niet over? Als de WSJ kan aantonen dat het datalek buiten beschouwing is gelaten maar had moeten worden meegenomen dan hebben we nieuws. Als WSJ kan aantonen dat het datalek in beschouwing is genomen maar niet belangrijk genoeg werd bevonden om de conclusie aan te passen dan hebben we nieuws. Als WSJ kan aantonen dat een auditor op een belangrijke controle weer te nonchalant is geweest dan hebben we nieuws. Als WSJ kan aantonen dat dit soort audits niet geschikt zijn om zelfs de grootste datalekken niet bij de toezichthouder te krijgen dan hebben we nieuws. En dan is er nog de situatie of deze audit ook bedoeld was voor toezichthouders uit andere landen.

Facebook heeft het hoofdkantoor in Ierland. Waarom lijkt er nu alleen een audit over privacy te zijn voor de Amerikaanse toezichthouder als facebook zich ook aan de privacyregels van Europa moet houden? Kunnen bedrijven van buiten Europa een hoofdkantoor in Europa hebben en zich dan niet binnen Europa met een audit te hoeven verantwoorden voor de daar geldende wetten? Vraagt de toezichthouder hier geen audits en zijn de regels we streng maar kom je er makkelijk mee weg omdat er geen controle is? Hoe komt het dat de toezichthouders in Europa geen flauw benul hadden van de status van privacy bij Facebook of die miljoen andere bedrijven die met klantgegevens spelen?
20-04-2018, 20:58 door Anoniem
Door Anoniem: Er was tussen 2015 en 2017 een audit en daaruit kwam een conclusie. De gegevens waren ruim voor de audit gelekt. Vielen die geurtenis volgens de WSJ dan binnen de audit? Facebook was al maatregelen aan het nemen om dat soort lekken te voorkomen. Vielen die gebeurtenissen dan binnen de audit? Waar ging de audit wel over en waar ging de audit niet over? Als de WSJ kan aantonen dat het datalek buiten beschouwing is gelaten maar had moeten worden meegenomen dan hebben we nieuws. Als WSJ kan aantonen dat het datalek in beschouwing is genomen maar niet belangrijk genoeg werd bevonden om de conclusie aan te passen dan hebben we nieuws. Als WSJ kan aantonen dat een auditor op een belangrijke controle weer te nonchalant is geweest dan hebben we nieuws. Als WSJ kan aantonen dat dit soort audits niet geschikt zijn om zelfs de grootste datalekken niet bij de toezichthouder te krijgen dan hebben we nieuws. En dan is er nog de situatie of deze audit ook bedoeld was voor toezichthouders uit andere landen.

Facebook heeft het hoofdkantoor in Ierland. Waarom lijkt er nu alleen een audit over privacy te zijn voor de Amerikaanse toezichthouder als facebook zich ook aan de privacyregels van Europa moet houden? Kunnen bedrijven van buiten Europa een hoofdkantoor in Europa hebben en zich dan niet binnen Europa met een audit te hoeven verantwoorden voor de daar geldende wetten? Vraagt de toezichthouder hier geen audits en zijn de regels we streng maar kom je er makkelijk mee weg omdat er geen controle is? Hoe komt het dat de toezichthouders in Europa geen flauw benul hadden van de status van privacy bij Facebook of die miljoen andere bedrijven die met klantgegevens spelen?

VRAAG:
Hoe komt het dat de toezichthouders in Europa geen flauw benul hadden van de status van privacy bij Facebook of die miljoen andere bedrijven die met klantgegevens spelen?
Antwoord:
Omdat ze leeghoofden zijn, of omgekocht zijn, of beide.
21-04-2018, 07:29 door Anoniem
Door Anoniem: Er was tussen 2015 en 2017 een audit en daaruit kwam een conclusie. De gegevens waren ruim voor de audit gelekt. Vielen die geurtenis volgens de WSJ dan binnen de audit? Facebook was al maatregelen aan het nemen om dat soort lekken te voorkomen. Vielen die gebeurtenissen dan binnen de audit? Waar ging de audit wel over en waar ging de audit niet over?
Ik denk dat dit de achtergrond van die audits is:
https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep
Facebook was beschuldigd van het in allerlei opzichten veel breder delen van gegevens van gebruikers dan ze die gebruikers hadden voorgehouden, en als onderdeel van de schikking daarover moet Facebook gedrurende 20 jaar een jaarlijkse onafhankelijke audit laten uitvoeren. Dit zal een van die audits zijn. Dit gaat dus precies over dit soort dingen en dat ze maatregelen om dit te voorkomen aan het nemen zijn , zoals jij het formuleert, is natuurlijk te laat als ze per overtreding een forse boete mogen verwachten. Het had sinds 2011 al niet meer mogen voorkomen.
21-04-2018, 15:41 door Anoniem
laatst ook een audit meegemaakt. not impressed. zout leggen op slakjes, maar net zo hard een blinde vlek hebben voor dingen die niet in de 'scope' van de opdrachtgever zat. je druk maken over een ssh hmac die cbc gebruikt als fall back if all else fails (want dat gaf de nessus scan aan dus paniek), maar niets melden over het windows netwerk waar je met eenvoudige mac spoofing arp cache poisening toepast en al het verkeer snift (unencrypted want anders performance issues met smb). tja want daar kunnen de windowze beheerders niets aan doen he? maar je kunt wel de unix ssh config aanpassen zodat die hmac niet meer gebruikt kan worden. dus audits, papieren tijgers en geen maat voor veiligheid meestal.
21-04-2018, 19:38 door karma4
Door Anoniem: laatst ook een audit meegemaakt. not impressed. .....windowze beheerders niets aan doen he? maar je kunt wel de unix ssh config aanpassen zodat die hmac niet meer gebruikt kan worden. dus audits, papieren tijgers en geen maat voor veiligheid meestal.
Ook audits meegemaakt. De linuxbeheerders konden niets uitleggen over SSH config, sudo en pam in een setting terwijl het uitvoeren van gangbare commando's en scripts als vreselijk gevaarlijk bestempeld werd. Het onderscheid in high privileged accounts met minimale rechten (data minimalisatie, privacy by design) is gewoon te lastig voor Linux uhh Linux beheerders
Als je nu eens daaraan zou werken ipv wijzen naar een ander OS.
21-04-2018, 21:02 door -karma4 - Bijgewerkt: 21-04-2018, 21:16
Door karma4:
Door Anoniem: laatst ook een audit meegemaakt. not impressed. .....windowze beheerders niets aan doen he? maar je kunt wel de unix ssh config aanpassen zodat die hmac niet meer gebruikt kan worden. dus audits, papieren tijgers en geen maat voor veiligheid meestal.
Ook audits meegemaakt. De linuxbeheerders konden niets uitleggen over SSH config, sudo en pam in een setting terwijl het uitvoeren van gangbare commando's en scripts als vreselijk gevaarlijk bestempeld werd. Het onderscheid in high privileged accounts met minimale rechten (data minimalisatie, privacy by design) is gewoon te lastig voor Linux uhh Linux beheerders
Als je nu eens daaraan zou werken ipv wijzen naar een ander OS.

Beste karma4. Vermeende ervaringen met Linux beheerders in jouw kleine wereldje zijn niet representatief voor de werkelijke wereld. Niet iedereen kan bij Google of andere reuzen werken, waar ze Linux grootschalig en professioneel gebruiken, echter dat is nog geen reden om de in de speeltuin opgedane 'ervaringen' uit te dragen als representatief voor de werkelijkheid.

De kwaliteit van Linux staat niet ter discussie - gezien ook het hierboven vermelde gebruik door Google en andere reuzen - zeker in vergelijking met Microsoft Windows, dus suggesties dat er aan vakkennis gewerkt zou moeten worden zijn zonder grond. Bovendien zijn meestal zijn de daarvoor beschikbaar gestelde budgetten het werkelijke probleem.
22-04-2018, 07:31 door Anoniem
Door The FOSS:
Door karma4:
Door Anoniem: .....windowze beheerders niets aan doen he?
te lastig voor Linux uhh Linux beheerders
zeker in vergelijking met Microsoft Windows,
Mensen, stop hier gewoon eens mee.

Wat je er verder van vindt, het is een feit dat er meerdere besturingssystemen in gebruik zijn. Voor elk systeem kan je organisaties vinden die er om zeer goede redenen voor hebben gekozen als om zeer slechte. Voor elk systeem kan je organisaties vinden die het zeer professioneel beheren en organisaties die er een puinhoop van maken. Bij elk systeem kan je zowel mensen vinden voor wie het goed aansluit bij hun manier van denken over hoe je systemen inricht als mensen bij wie het botst met hun manier van denken. En daarom zijn alle generalisaties over deze systemen en de organisaties en mensen die ze beheren en gebruiken karikaturen die in het ene geval raak zijn en in het andere geval de plank misslaan.

Je hoeft de stammenstrijd hierover die er al decennia nagenoeg hetzelfde uitziet niet eindeloos te blijven herkauwen. Je overtuigt elkaar niet, je overtuigt niemend die dit leest, het komt alleen nog maar kinderachtig over. Groei op, geniet van het mooie weer, ga wat nuttigers doen (en ja, dat moet ik soms ook tegen mezelf zeggen ;-) ).
22-04-2018, 13:35 door Anoniem
Door Anoniem:
Door The FOSS:
Door karma4:
Door Anoniem: .....windowze beheerders niets aan doen he?
te lastig voor Linux uhh Linux beheerders
zeker in vergelijking met Microsoft Windows,
Mensen, stop hier gewoon eens mee.

Wat je er verder van vindt, het is een feit dat er meerdere besturingssystemen in gebruik .......

Groei op, geniet van het mooie weer, ga wat nuttigers doen (en ja, dat moet ik soms ook tegen mezelf zeggen ;-) ).

hear hear
22-04-2018, 18:46 door karma4 - Bijgewerkt: 22-04-2018, 18:48
Door Anoniem:
Mensen, stop hier gewoon eens mee.

Wat je er verder van vindt, het is een feit dat er meerdere besturingssystemen in gebruik zijn. Voor elk systeem kan je organisaties vinden die er om zeer goede redenen voor hebben gekozen als om zeer slechte. Voor elk systeem kan je organisaties vinden die het zeer professioneel beheren en organisaties die er een puinhoop van maken.
....
Prima voorstel ik reageer trouwens op post die daarmee blijven doorgaan juist om het zien af te stoppen.
Daarmee hoeft men ook niet op de persoon te gaan spelen als "kleine wereldjes". Ik heb de grootste omgevingen onder de vingers gehad waar dat allemaal speelt.

Juist daar zijn die stammenstrijden en geloofsovertuigingen het meest fnuikend. Nee de budgetten zijn niet het grootste probleem, dat is een te makkelijke als je het gezien en gevolgd hebt. (Fred Brooks MM en de kanorace)
Wijzen naar Facebook Google alsof die het allemaal wel goed zouden doen is een gebruikte dooddoener.
23-04-2018, 01:00 door -karma4 - Bijgewerkt: 23-04-2018, 01:03
Door karma4:Daarmee hoeft men ook niet op de persoon te gaan spelen als "kleine wereldjes". Ik heb de grootste omgevingen onder de vingers gehad waar dat allemaal speelt.

Denk je nou echt dat er nog iemand is die dat gelooft? Werkelijk?
23-04-2018, 08:31 door Anoniem
Door karma4: Prima voorstel ik reageer trouwens op post die daarmee blijven doorgaan juist om het zien af te stoppen.
Ik had het wel degelijk ook tegen jou.
Door The FOSS: Denk je nou echt dat er nog iemand is die dat gelooft? Werkelijk?
En tegen jou.

Kies er eens aanzienlijk vaker dan je nu gewend bent voor om simpelweg niet te reageren op mensen die op je gevoelige knopje drukken. En als je dan toch reageert, reageer dan niet op een sneer naar het ene besturingssysteem met een sneer naar het andere besturingssysteem. Dat is van een kinderachtig welles-nietes-niveau waar niemand zich geloofwaardig mee maakt. Ik zie jullie (en vele anderen) dat allebei doen.

Houd ook in je achterhoofd waar het artikel eigenlijk over gaat. In dit geval gaat het niet over Windows of Linux, het gaat over PwC en Facebook. Windows en Linux zijn hier off-topic. Begin er liever niet over en, als een ander erover begint, ga er liever niet op door. Deze website gaat in kwaliteit vooruit als je onder artikelen over onderwerp X ook reacties en discussies over onderwerp X ziet staan, en niet over onderwerp Y of Z. Je kan actief bijdragen aan de kwaliteit van deze website door je een beetje in te houden en bij het onderwerp te blijven.

En nogmaals, ik heb het ook tegen mezelf ;-)
23-04-2018, 13:26 door Anoniem
Door karma4:
Door Anoniem: laatst ook een audit meegemaakt. not impressed. .....windowze beheerders niets aan doen he? maar je kunt wel de unix ssh config aanpassen zodat die hmac niet meer gebruikt kan worden. dus audits, papieren tijgers en geen maat voor veiligheid meestal.
Ook audits meegemaakt. De linuxbeheerders konden niets uitleggen over SSH config, sudo en pam in een setting terwijl het uitvoeren van gangbare commando's en scripts als vreselijk gevaarlijk bestempeld werd. Het onderscheid in high privileged accounts met minimale rechten (data minimalisatie, privacy by design) is gewoon te lastig voor Linux uhh Linux beheerders
Als je nu eens daaraan zou werken ipv wijzen naar een ander OS.

Ik lach me haast dagelijks sneller kapot om je reacties... moeten we de gebruikersnaam serieus blijven nemen of is het ook je doel om een troll te lijken?
Als je die ervaring meent, heb je met geen enkele daadwerkelijke beheerder te maken gehad; neem dus niet zomaar aan dat het een beheerder was... zeker als die zo incapabel blijkt dat ie er zonder gui/ux niet uitkomt.
23-04-2018, 16:04 door Anoniem
Door Anoniem:
Door karma4: Prima voorstel ik reageer trouwens op post die daarmee blijven doorgaan juist om het zien af te stoppen.
Ik had het wel degelijk ook tegen jou.
Door The FOSS: Denk je nou echt dat er nog iemand is die dat gelooft? Werkelijk?
En tegen jou.

Kies er eens aanzienlijk vaker dan je nu gewend bent voor om simpelweg niet te reageren op mensen die op je gevoelige knopje drukken. En als je dan toch reageert, reageer dan niet op een sneer naar het ene besturingssysteem met een sneer naar het andere besturingssysteem. Dat is van een kinderachtig welles-nietes-niveau waar niemand zich geloofwaardig mee maakt. Ik zie jullie (en vele anderen) dat allebei doen.

Houd ook in je achterhoofd waar het artikel eigenlijk over gaat. In dit geval gaat het niet over Windows of Linux, het gaat over PwC en Facebook. Windows en Linux zijn hier off-topic. Begin er liever niet over en, als een ander erover begint, ga er liever niet op door. Deze website gaat in kwaliteit vooruit als je onder artikelen over onderwerp X ook reacties en discussies over onderwerp X ziet staan, en niet over onderwerp Y of Z. Je kan actief bijdragen aan de kwaliteit van deze website door je een beetje in te houden en bij het onderwerp te blijven.

En nogmaals, ik heb het ook tegen mezelf ;-)

De discussie gaat hier ook niet zozeer over windows/linux. Een (ik gok) beheerder geeft aan dat een audit weinig toevoegt (wel on-topic). Karma4 lijkt een technische auditor te zijn, die betreffende beheerder van repliek dient (via zijn zwakke plek, namelijk linux liefde).
24-04-2018, 20:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4: Prima voorstel ik reageer trouwens op post die daarmee blijven doorgaan juist om het zien af te stoppen.
Ik had het wel degelijk ook tegen jou.
Door The FOSS: Denk je nou echt dat er nog iemand is die dat gelooft? Werkelijk?
En tegen jou.

Kies er eens aanzienlijk vaker dan je nu gewend bent voor om simpelweg niet te reageren op mensen die op je gevoelige knopje drukken. En als je dan toch reageert, reageer dan niet op een sneer naar het ene besturingssysteem met een sneer naar het andere besturingssysteem. Dat is van een kinderachtig welles-nietes-niveau waar niemand zich geloofwaardig mee maakt. Ik zie jullie (en vele anderen) dat allebei doen.

Houd ook in je achterhoofd waar het artikel eigenlijk over gaat. In dit geval gaat het niet over Windows of Linux, het gaat over PwC en Facebook. Windows en Linux zijn hier off-topic. Begin er liever niet over en, als een ander erover begint, ga er liever niet op door. Deze website gaat in kwaliteit vooruit als je onder artikelen over onderwerp X ook reacties en discussies over onderwerp X ziet staan, en niet over onderwerp Y of Z. Je kan actief bijdragen aan de kwaliteit van deze website door je een beetje in te houden en bij het onderwerp te blijven.

En nogmaals, ik heb het ook tegen mezelf ;-)

De discussie gaat hier ook niet zozeer over windows/linux. Een (ik gok) beheerder geeft aan dat een audit weinig toevoegt (wel on-topic). Karma4 lijkt een technische auditor te zijn, die betreffende beheerder van repliek dient (via zijn zwakke plek, namelijk linux liefde).

wetenschappelijk programmeur, (netwerk) beheerder van flinke hoeveelheid hardware, architect, ontwikkelaar, inkoper en ohja ook nog onderzoeker aan een uni: ik bekleed het hele spectrum :). leuke diverse baan maar ook veel 'vechten' tegen disfuncionerende buraucratie opgezet door matig middle management op centrale plaatsen (een onprofesionele vastgeroeste IT afdeling) zodat er nog een beetje fatsoenlijk onderzoek door promovendi gedaan kan worden.

heb dus ervaring met kleine teams met zeer hoogopgeleide professionele gedreven mensen die jaar in jaar uit presteren en daar ook op afgerekend worden en zeer zelfstanding kunnen werken, maar ook met raam ambternaar ICTers met een mbo achtergrond en alleen MS gezien hebben en die dus druk doen over een cbc based hmac van openssh omdat de nessus scan een meninkje heeft maar ondertussen een omgeving met alle shares unencrypted hebben etc. etc. etc.

ook te veel van die alfa-male dasje om bla bla bla vergader tijgers gezien met gladde inhoudsloze praatjes die na een jaartje ook weer weg waren maar mij kwamen vertellen (met power talk sprinkeled met buzzwords) hoe we al jaren successvol meetbaar peer-reviewed top onderzoek doen omdat ze hetzelfde truukje daarvoor als consultant bij een andere toko gedaan hebben.

dus... veel van die karma praatjes makers al de revu gepasseerd :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.