Ter herinnering, in Nederland is strafbaar om te handelen in gestolen gegevens. Bovendien nergens voor nodig, als je je beveiliging wilt verbeteren kan je veel beter overstappen op veiligere inlogmethoden zoals die gebaseerd op asymmetrische cryptografie, dan denken dat server-side opgeslagen wachtwoorden de moeite waard zijn.

Wie heeft het hier over handelen in gestolen gegevens?

Dit is een klassiek staaltje probleemwegwimpelen wat je vaak tegenkomt onder computerjongens. "Wat, fijnstofproblemen? ah joh we herbouwen het wegennet wel naar monorail, probleem opgelost!" "Asymmetrische cryptografie" lost veel problemen op maar niet dit probleem. Want zodra je met externen te maken hebt kom je er (nog?*) niet onderuit om wachtwoorden te ondersteunen. Dat, of je geeft het probleem aan een derde partij zoals facebook of google... en daarmee haal je jezelf en je gebruikers ook weer een berg problemen op de hals.

* Alle vervangers tot nu toe hebben ook "geef het probleen aan een derde partij" als defining property of blijken op een andere manier [X] Ongeschikt om wachtwoorden te vervangen in de praktijk.

De gegevens die Troyke de Hunter in zijn zoekmachine heeft staan zijn afkomstig van diefstal.
Hij heeft aktief mee gedaan aan die diefstal en/of van diefstal afkomstige gegevens in zijn database opgenomen.

Zie ook https://www.security.nl/posting/657177/Onbeveiligde+Elasticsearch-server+lekt+23+miljoen+e-mailadressen

https://www.security.nl/posting/657177/Onbeveiligde+Elasticsearch-server+lekt+23+miljoen+e-mailadressen

Met handelen bedoel ik niet diect dat HIBP op geld uit is. Al moet je ook niet vergeten dat HIBP geen stichting of goed doel is, maar gewoon een bedrijf dat database dumps van het internet verzameld en doorzoekbaar maakt. Het verzamelen, voor handen hebben en beschikbaar stellen van dit soort gegevens is in Nederland strafbaar:

Persoonlijk wacht ik nog op de dag dat ik mijn eigen mailadres bij Scatted Secrets tegen kom. Want dan zal echt blijken of dit soort bedrijven (soms tegen betaling) wel door de beugel kunnen en het 'algemeen belang' dienen.

Als je citeert, doe dat dan niet selectief:
Ik ben geen jurist, maar ik vermoed dat dat tweede punt Troy Hunt vrijpleit.

Was er een reden om dat weg te laten?

Het zal zeker aan mij liggen, maar ik heb 2x moeten lezen om nu te begrijpen wat precies het probleem / risico is. Het zijn toch alleen hashes? Waarom zou dit nu erg zijn? Je kunt er niet direct mee inloggen, en even 'unhashen' lijkt me niet zo makkelijk.....

99.9% is al gekraakt: https://hashes.org/leaks.php?id=515

Ja, zoals ik al schreef lijkt het er niet op dat dit soort diensten een 'algemeen belang' nastreven.

Allereerst is het zo dat HIBP (maar ook Nederlandse diensten als Scattered Secrets) helemaal geen beroep doet op een soort algemeen belang. HIBP benoemt dat het o.a. inzichtelijk wil maken wat de omvang is van grote datalekken. Begrijpelijk, maar geen verklaring waarom je dat verplicht om een database met miljoenen mailadressen op te tuigen. Als je verder het belangrijk zou vinden dat mensen geïnformeerd worden over het feit dat hun wachtwoord is gelekt, waarom stuur je dan alleen een melding naar iedereen die zich eerst heeft aangemeld op jou (betaalde, Scattered Secrets) dienst? En waarom denk je dat dit nodig is, bovenop de meldplicht bij datalekken zoals wij die hier in de EU hebben? En waarom vereist dit belang dat al deze gegevens ook nog tot in de oneindigheid worden opgeslagen op Troy Hunt zijn servers?

Kortom, nergens blijkt uit welk 'algemeen belang' er precies nagestreefd wordt (anders dan clicks en hits op de site van een commercieel bedrijf) en waarom het daarbij vereist zou zijn dat je de gesloten inloggegevens van miljoenen internet gebruikers in een database moet bewaren. HIBP als Australisch commercieel bedrijf heeft uiteraard lak aan onze Nederlandse wetgeving, dat neemt niet weg dat ook in NL/EU dit soort bedrijfjes bestaan.

Er is geen probleem/risico. Er staat alleen dat ze beschikbaar zijn. b.v. om te vergelijken met hashes van jou gebruikers. Dan kun je ze waarschuwen dat ze geen uniek wachtwoord gekozen hebben. Lees b.v. de laatste alinea.

Nee?
https://haveibeenpwned.com/About
Nadruk door mij toegevoegd. Hoe expliciet wil je geformuleerd zien dat algemeen belang het doel is? En aangezien het heel makkelijk te vinden op die website staat, hoe kom je erbij dat HIBP geen beroep op algemeen belang doet?

Iemand die te goeder trouw aanneemt dat het het een vereiste is is al niet strafbaar. Ik denk dat de dienst die HIBP biedt, je laten controleren of je wachtwoord in een verzameling gelekte wachtwoorden voorkomt, het algemeen belang dient op een manier die niet gerealiseerd kan worden zonder hashes van wachtwoorden op te slaan. Omdat HIBP werkelijk iets toevoegt denk ik dat Troy Hunt, mocht hij volgens Nederlands strafrecht vervolgd worden ervoor, heel sterk zou staan.

Merk trouwens op dat niet de wachtwoorden op de server staan maar hashes ervan.

Het blijkt wel degelijk welk algemeen belang wordt nagestreefd, als je niet je uiterste best doet om eroverheen te lezen. Het online-systeem bevat e-mailadressen en hashes van wachtwoorden, waarbij de koppeling tussen e-mailadressen en hashes niet is vastgelegd. Ga niet doen of daar kant en klare inloggegevens te verkrijgen zijn, zo werkt het niet.

HIBP is begonnen als gratis dienst en het kan nog altijd gratis gebruikt worden. Je kan doneren om te helpen de kosten te dekken. Wel heeft Troy Hunt op een gegeven moment rate limiting ingevoerd en met commerciële grootverbruikers contracten afgesloten voor hun gebruik. Het is dus deels commerciëel geworden, maar je negeert de voorgeschiedenis en de motieven waarmee die begonnen is, en het feit dat het grootschalig gebruikt wordt en dat er een prijskaartje aanhangt om dat te kunnen bieden, naast alle tijd die het kost om dit te doen. Ik kan het Troy Hunt niet kwalijk nemen dat hij daar voorzieningen voor treft. Dat is nog steeds een heel andere insteek dan de winstmaximalisatie van menig commercieel bedrijf.

Er is je kennelijk veel aan gelegen om HIBP in een zo negatief mogelijk daglicht te zetten. Je doet daarbij alsof makkelijk te vinden informatie die je daar niet bij helpt er helemaal niet is, en gebruikt selectief wat nuttig voor jou is om je negatieve beeld mee te onderbouwen. Ik vraag me af waarom. Wat is jouw agenda?

Deze wet geldt alleen in Nederland. Niet in Australië.

Zoals je beschrijft is HIBP in het verleden begonnen met een nobel doel, namelijk het inlichten van gebruikers dat hun gegevens zijn gelekt. Vroeger was het niet gebruikelijk was dat mensen daarvan op de hoogte gesteld werden en konden ze dat via HIBP terug zoeken. Echter leven we nu in een tijd waar wettelijk staat vastgelegd is dat gebruikers op de hoogte moeten worden gesteld van een data. In de praktijk gebeurt dat niet altijd of is niet duidelijk bij die een dump vandaan komt, maar voor zover ik het zie zijn dat uitzonderingen op de regel. Mijn inziens had Troy Hunt op dat moment moeten besluiten dat HIBP geen toegevoegde waarde meer had. (Daarvoor had je al kunnen afvragen wat je moet met een database met persoonsgegevens als je niet actief mensen gaat informeren, immers slaat het nergens op al die mailadressen oneindig lang bewaard blijven.)

Mijn agenda is dus hardop afvragen of dat wat vroeger nog onder het acceptabel zou zijn onder de noemer 'onderzoek'/'kijk hier of je gegevens gelekt zijn want niemand anders vertelt het je' vandaag de dag nog steeds op gaat. Mijn inziens is dat niet meer het geval en kan je dus ook niet meer spreken van een soort 'algemeen belang'. Let ook op, het feit dat HIBP dit doet (en ongetwijfeld op een van de meest privacy vriendelijke manieren) gelijk betekend dat een hele serie grijze bedrijven hetzelfde gaan doen. Waar trek jij de grens tussen wat nog moreel verantwoord is en wat niet meer? Geld vragen om je eigen gegevens in te zien? Wanneer je gegevens van anderen kan opvragen? Of als je actief je website gaat promoten op het darkweb?

In het artikel hier gaat het echter nog over Pwnd Passwords waarvan ik het nut uiteraard nog wel kan inzien (als filter van gelekte wachtwoorden om zo password spraying te voorkomen). Met als kanttekening uiteraard dat je veel beter van wachtwoorden kunt afstappen.

klaarblijkelijk waren deze hashes niet 'salted'? laat staan dat er 'peper' is gebruikt op de plekken waar die hashes vandaan komen...

Ter herinnering, de onderzoeker in dit artikel valt onder Australische wetgeving.

Het is onder druk van de AVG aan het verbeteren, maar ik denk dat het wat optimistisch is om te denken dat we er al min of meer zijn.
Zou de interesse in de dienst niet vanzelf tot een marginaal niveau teruglopen als hij geen toegevoegde waarde meer had? Ik denk dat de aanhoudende populariteit ervan je ongelijk geeft. Maar het is te hopen dat je gelijk krijgt en de belangstelling ervoor verpietert omdat de dienst niets meer toevoegt.

Daar is helemaal niets mis mee.
Ik denk dat je die conclusie te vroeg trekt, maar dat is natuurlijk mijn mening maar. Dat ik op je reageerde lag aan wat anders: ik kreeg de indruk dat je niet bezig was je dingen af te vragen en te verifiëren of de beschikbare informatie dat beeld bevestigt maar dat je je conclusie al getrokken had en selectief informatie toeliet of juist negeerde om maar naar de gewenste conclusie toe te kunnen redeneren.
Dat is niet de verantwoordelijkheid van Troy Hunt. Als je alles waar twijfelachtige naäpers op duiken gelijk stelt aan wat die naäpers doen dan is er schrikbarend veel waar de samenleving beter mee kan ophouden.
Er zijn zeker grenzen, maar ik schud op dit moment niet even uit mijn mouw waar die voor mij nou precies liggen. Wat ik over HIBP heb gelezen en wat Troy Hunt zelf schrijft over hoe hij het heeft aangepakt en waarom heeft bij mij nog geen alarmbellen doen afgaan, en dat is volgens mij waar het over ging.

Dat is een beetje naïef om een bewering van "wij van wc-eend" als bewijs te zien. Als ik iets laakbaars doe, zou ik het op mijn eigen website ook als nobel doel omschrijven.

ik ben wel blij met de service van troy; ik weet nu vrij duidelijk welke organisaties het niet zo nauw nemen met andermans gegevens. dat kan wat mij betreft niet openbaar en duidelijk genoeg bekend gemaakt worden. ik denk dat er vele anderen hier ook last hebben van de linkedin saga en hun profesionele e-mail adres niet kunnen aanpassen of vervangen en dus flink at meer spam ontvangen:

https://en.wikipedia.org/wiki/2012_LinkedIn_hack
https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/
https://haveibeenpwned.com/PwnedWebsites

we hebben vaak de mond vol van it en security bij de overheid, maar laat deze lijst en de observaties van troy duidelijk maken dat het bij bedrijven vaak nog droeviger aan toe gaat. het wordt alleen niet zo openbaar gemaakt.

Mijn posts zijn vaak wat scherp en ongenuanceerd geformuleerd, maar dat wil niet altijd zeggen dat ik mij niet bewust ben van die nuance. Wat dat betreft denk ik dat de discussie nu beide kanten van het verhaal beschreven heeft. Het laatste woord over of dit soort diensten nu wel of niet het algemeen belang dienen zal nog niet gesproken zijn, al is het natuurlijk wel interessant om te zien waar verschillende mensen die grens trekken.

Helemaal niet. Je stelde niet dat er iets staat wat je niet gelooft, je stelde dat het er niet staat:
En ik heb laten zien dat het er wel degelijk staat. Dat is niet naïef, dat is je met je neus op de feiten drukken. Het is geen bewijs dat hij de waarheid spreekt over algemeen belang als doel, maar wel dat hij aangeeft dat dat het doel is, en dus dat hij er wel degelijk een beroep op doet, precies wat jij beweerde dat hij niet doet.

Als een uitspraak op een website staat en jij gelooft hem niet, dan is het daarmee niet zo dat die uitspraak niet op die website staat. Als jij dat toch beweert dan ben je zelf onwaarheden aan het verkondigen. Doe je zoiets bewust dan heet dat liegen.

Ik niet. Voor mij klinkt dit alsof je je prima kan inleven in een oplichter maar niet in iemand die iets vanuit eerlijke motieven doet.

Hoe dan ook, wat Troy Hunt als doel van HIBP noteert is geen bewijs dat hij geen andere agenda heeft. Het is ook geen bewijs dat hij wel een andere agenda heeft. Mijn indruk ervan is echt niet alleen daarop gebaseerd, maar ook op de vele berichten erover die ik al jaren her en der tegenkom. Daaruit heb ik alleen maar de indruk gekregen dat HIBP precies is wat het pretendeert te zijn, en niet iets anders.

Aanvulling op mijn (op dit moment nog niet geplaatste) reactie van zojuist: ik zie nu pas dat ik op Briolet reageerde, niet op iatomory. Sorry dat ik jullie door elkaar haalde.

Ik ben hier fel tegen.

het probleem met het verstoppen van de vuile was is dat er nooit echt gewassen wordt. net als "zachte heelmeesters maken stinkende wonden".