Dataveiligheidsfaal op slechtste moment denkbaar

Geachte Leden, vrienden van de Piratenpartij,
Vlak voordat het nieuwe mailingsysteem in gebruik genomen ging worden, is er op de valreep een fout gemaakt bij het handmatig sturen van een mail aan een grote groep piraten. Daarbij zijn flink wat emailadressen in het voor iedereen zichtbare “To” veld opgenomen. Dit betekent dat die emailadressen nu bij veel mensen bekend zijn, en in bepaalde gevallen is de identiteit van de betrokkenen mogelijk uit het mailadres af te leiden.
Dit is een menselijke fout die lijnrecht tegen onze eigen principes van dataveiligheid in gaat. Dit hoort nergens te gebeuren en zeker bij de Piratenpartij niet. Vanzelfsprekend is het melden van een datalek een risico voor de publiciteit van de partij maar dat is hier van ondergeschikt belang. Wij willen hier zelf openheid bieden.
De persoonlijke gegevens staan veilig opgeslagen, maar in het huidige mailingsysteem moeten e-mails naar bepaalde groepen nog met de hand gedaan worden. Dit verhoogt de mogelijkheid op menselijk falen. Na in-gebruikname van het nieuwe systeem is dit risico geminimaliseerd. De Piratenpartij betreurt de fout ten zeerste, en begrijpt de reacties die dit teweeggebracht heeft.
Totdat het nieuwe systeem in werking is getreden limiteren wij het maximum aantal adressen waarnaar in een keer gemaild kan worden. Als dit aantal wordt overschreden wordt de mail geweigerd. Dit is een extra voorzorgsmaatregel om het veiligheidsgat tussen de huidige situatie en het in gebruik te nemen systeem te overbruggen.
Na de verkiezingen zal de Piratenpartij een tegemoetkoming doen aan de slachtoffers en de leden die verzekert dat uw persoonlijke integriteit is gewaarborgd en dat een soortgelijk voorval in de toekomst niet meer zal gebeuren.
Met vriendelijke groeten en diep berouw,
Het bestuur van Piratenpartij Nederland.
Deel via social media:
Facebooktwittergoogle_plusredditpinterestlinkedinmail

61 comments on "Dataveiligheidsfaal op slechtste moment denkbaar"

  1. Was een persbericht niet meer gepast geweest? [/sarcasme]

    Beter minder groot aankondigen en gewoon in een mailtje achter de foutmailing aangestuurd in plaats van opponenten voer geven om de PP aan te vallen op 1 van de kroonjuwelen… (ICT faals bij de overheid)

    Slechte tactiek om ‘t op de blog te gooien. Het bestuur is uiteraard ook geschrokken, maar dit is overkill.

  2. Idd niet zo slim, maar mijn emailadres is in ieder geval terecht gekomen bij de groep mensen die ik het meest vertrouw als het om mijn privegegevens gaat: de piraten!

  3. “De persoonlijke gegevens staan veilig opgeslagen, maar in het huidige mailingsysteem moeten e-mails naar bepaalde groepen nog met de hand gedaan worden.”

    Sorry, maar als een halve digibeet er bij kan staan die gegevens *niet* veilig opgeslagen. De primaire oorzaak van security-issues is menselijk en organisatorisch falen. En vooral het laatste is storend, de eerste keer dat iemand ook maar suggereerde om op deze manier mailings te versturen hadden er alarmbellen af moeten gaan, zeker bij de Piraten Partij.

    Wat nog stuitender is is dat de partij botweg doorgaat met op deze manier mailings te versturen “het nieuwe systeem in werking is getreden”. Dat is dezelfde kortzichtige hebzuchtige reactie op security en privacy issues die we van de bedrijven en organisaties kennen waar de partij claimt een einde aan te willen maken.

    Deze manier van mailings versturen moet gewoon onmiddelijk wordt gestopt, omdat het tegen elk principe van verantwoordelijk met dit soort zaken om gaan gaat.

    Het limiteren van het aantal adressen is een belachelijke en ronduit beledigende maatregel. Da’s hetzelfde als zeggen “ik weet dat m’n remmen het niet doen, maar ik wil niet wachten op de reparatie dus rij ik voorlopig niet harder dan 40”. Bewust onverantwoord gedrag is bewust onverantwoord gedrag, ook als je het een onsje minder doet.

  4. Ik verwacht nog wel meer actie van de mensen van de PP. Dit is voor mij te weinig. Die gene die hier verantwoordelijk voor is moet weg!

  5. Waarom moet de verantwoordelijke ”de partij uitgezet worden”? Rodger heeft een foutje gemaakt, en dat kan gewoon gebeuren. De adressen blijven gewoon binnen de partij, en er is verder niemand buiten de partij die beschikt over de ”gelekte” adressen van leden.

    Vergeet niet: we zijn allen lid, dus is het echt zo ernstig dat de adressen van leden bekend zijn bij andere leden? Nee toch?

  6. Top, een partij die doorheeft dat dit “not done” is. Liever een partij die zich bewust is van de complicaties, dan eentje die struisvogelpolitiek bedrijft. Menselijk falen blijft een groot risico, het is jammer dat de Piratenpartij blijkbaar niet alles afdoende geautomatiseerd heeft en (dus) technisch gezien ook wat steekjes laat vallen…

  7. Hoe hoog zou de op te leggen boete voor dit vergrijp moeten zijn vinden jullie zelf? ;-). Nou ja, kan gebeuren maar wel wat amateuristisch. Er is zat software in het OpenSource domein waarmee dit te voorkomen was geweest. Maak er werk van zou ik zeggen…

  8. Het is jammer dat het fout is gegaan, mijn emailadres staat er ook tussen, maar zo’n foutje is zo gauw gemaakt als je iets handmatig moet versturen… Ik bedoel, als je midden in de nacht nog een mailing voor de Piratenpartij de deur uit doet dan is er niks mis met je inzet, toch. Het zijn inderdaad allemaal mensen die dit op dit moment naast hun normale werkzaamheden doen en die hart hebben voor de Piratenpartij en waar gehakt wordt vallen spaanders, foutje is menselijk!

  9. “Vanzelfsprekend is het melden van een datalek een risico voor de publiciteit van de partij maar dat is hier van ondergeschikt belang.”

    Oef. Dat dit überhaupt nog een overweging is geweest slaat echt alles!

  10. Nogal apart alle reacties hier die zo blij zijn met de openheid en transparantie (van het online gooien van email-adressen, ook heel open ja).

    Als je database gehacked is kan je het ontkennen, en dan ben je niet transparant nee. Maar als je alle email adressen in de aan-lijst zet dan kan je het nogal moeilijk ontkennen dat je het hebt gedaan. Dat is net als transparant erover zijn dat een brug is ingestort, het is nogal moeilijk om verborgen te houden.

  11. Eigenlijk gewoon een goede publiciteitsstunt, meeste reacties zijn; “goh wat tof dat jullie zo eerlijk en open zijn!”.
    Ik zou het gewoon nog een keer doen, resultaat kan alleen maar beter worden

  12. @systeembeheerder: Daarom horen emailadressen ook helemaal niet toegankelijk te zijn voor de mensen die de mailings versturen. Je selecteert welke categorie(en) uit je bestand de mailing moeten ontvangen, welke template gebruikt moet worden, en typt je tekst, klaar. Het mailingssysteem zorgt voor de rest, inclusief afhandelen van bounces, unsubscribes e.d.

    Bij een systeem waarbij het mogelijk is om handmatig mails te versturen aan externe adressen uit een ledenbestand is het logisch dat iemand een keer zo’n fout maakt. Dus moet je zo’n systeem helemaal niet hebben!

  13. Uiteindelijk zit er op elk kantoor gewoon een typmiep die spullen copy/paste en op send druk. Dit gebeurt overal. Vorig jaar op dezelfde manier een mail gehad van de provinciale divisie van de partij van de Dieren.

  14. Kudos voor de transparantie… het zijn inderdaad allemaal vrijwilligers en hoe lullig zo’n fout ook is, het kan gebeuren. Ik ken genoeg bedrijven waar het steevast gebeurd omdat ze niet eens het verschil begrijpen tussen to-cc-en-bcc 😉

    Piraten zijn net mensen (alleen dan cooler :P)

    Mijn stem heb je gewoon nog Rodger!

  15. Gedeeltelijk vanwegen deze fout zal ik nooit meer op uw partij stemmen. Ik woon, gelukkig, niet in Nederland. Hier heb ik wel op een pirat gestemd. Een tijdje na de verkiezingen heeft deze persoon mij verteld dat 1. de tweede wereld oorlog hem niet interessiert (of is wat hem betreft onbelangrijk), en 2. dat hij geen universitair onderwijs nodig heeft, want alles staat online. Als dit het intellectuële niveau van uw top mensen (in twee landen) is, dan zal ik op andere partijen stemmen.

  16. Kan gebeuren (hoewel ik zo’n fout toch eerder bij m’n moeder verwacht dan bij de Piratenpartij).
    Gelukkig is niemand perfect en geeft de partij de fout ook openlijk toe. Welke andere partij vertelt zo openlijk over gemaakte fouten?
    Heb zojuist per brief gestemd, op de Piratenpartij… de eerste stem is nu dus al binnen 🙂

  17. Fout is gemaakt en dus niet meer terug te draaien. Ik vind het feit dat mijn e-mail adres nu bij 840 anderen terecht is gekomen geen onoverkomelijk probleem. Het is slordig, dat zeker, maar de onwetendheid in de 2e kamer omtrent online privacy, patenten en digitale vrijheid wegen wmb zwaarder dan een menselijke fout…

  18. Over WO2 kan ik deze zeggen. 1. Mijn Nederlandse familie werd uitgerooid door de Nazi’s in Amsterdam, *met* de hulp van veel Nederlandse collaborateurs. Ik vertrouw weinig Nederlander’s meer. 2. De geschiedenis kan zich herhallen. de geest van Anders Behring Breivik leeft voort, met name in Nederland. 3. Vanwege punt 2 kan kennis van WO2 behulpzaam zijn wanneer men deze tendensen wil en moet bestrijden. Wat een universitaire opleiding betrefr, kan je gelijk hebben. De volgende keer dat ik deze man zie zal ik hem het vragen. Zeer onnederlands gedraag misschien, maar ik ben maar een allochtoon.

  19. Hef u zelf maar op, dit wordt toch niks, jullie remmen Nederland alleen nog maar af, wij zijn al verdeeld genoeg.
    En deze enorme privacy blunder zegt meer over jullie dan over de huidige techniek.
    Dat jullie menen ons land te kunnen besturen en daarbij in jullie zieltjeswinnery niet eens checken of de e-mail goed staat ingesteld…… Zeker nog nooit van BCC gehoord.

    SCHANDE!

  20. Maar een punt. Ik kan je verzekeren dat een Nederlandse universitaire opleiding van zeer laag nivo is. Andere landen zijn beter. Ik zeg dit als wetenschapper die in 4 landen heeft gewerkt, aan universiteiten.

  21. Netjes om niet geheimzinnig te doen. Pijnljike fout, dat wel. Toch, bij handmatig adresseren kun je op zo’n vergissing wachten. Het toont wel aan dat veilig computeren in de kinderschoenen staat. Het maken van zo’n triviale fout is al te makkelijk.

  22. Is er een fout gemaakt? Ik zie het probleem niet meteen.
    Waarom is het fout om open te zijn over de mailadressen van leden van de PP tegenover leden van de PP? Ben je veilig in een partij waarvan je niet weet wie er allemaal in zitten? Waarom zou niet elke deelnemer aan een mailinglijst mogen weten wie er op de lijst staan? Waarom zou de veiligheid zijn gegarandeerd in een systeem dat wordt gecontroleerd door een sysadmin die je verder ook niet kent? Is er kortom wel een discussie gevoerd over centrale dataopslag en welke data dan of de alternatieven zoals radikale openheid eventueel gecombineerd met radikale anonimiteit?

  23. Cool. Deze mening is hoohgstwaarschijnlijk niet gedeeld door veel locale Piraten. Wat universiteiten betreft, ik heb tot aan m’n pensioenering aan 6 gewerkt, waarvan 2 in Nederland. Het onderwijspijl in de Nederlandse universiteiten die ik goed ken was zeer laag, met uitzondering van de natuurwetenschappen. Mijn 2 stiefzonen bijvoorbeeld, hebben geen geschiedenis gehad, aan middelbare school of universiteit. Ik hoop dat deze situatie is veranderd.

  24. Uw reactie op deze Faal is PERFECT !! Tenminste EERLIJK !! Dat kan je van de andere partijen niet zeggen !!
    Politieke ‘Draaikonten’ zoals bij de PvdA, D’66 en GroenFlinks zijn er al genoeg.
    Succes 12 sept.

  25. Ik verbaas me over sommige reacties hier! Persoonlijk vind ik het niet erg dat mijn mailadres vermeld stond, het is in een veilige groep. Ik zie dit ook niet als lekken! En de reacties dat Rodger op moet stappen vind ik te belachelijk voor woorden. Wil deze persoon alsjeblieft de eerste steen gooien naar de zondaar? Maar uiteraard niet vóór hij of zij de eigen zonden (lees: fouten) heeft bekeken?? Rodger: kop op! Dit kan gebeuren en het getuigt van goede moed en karakter dat je dit direct op deze manier hebt aangepakt. Gewoon doorgaan, wij plakken de posters, jullie doen de rest 🙂 Heb alle vertrouwen in jullie!

  26. Sorry hoor. Als er een fout wordt gemaakt bij een bedrijf of de overheid dan is dat allemaal expres en wordt dat gedaan om veel geld te verdienen… Als er bij jullie iets fout gaat is fouten maken ineens menselijk… Lekker met 2 maten meten.

  27. +1 Voor transparantie. Ik persoonlijk hecht daar zwaar aan, vergelijkbaar: bedrijf + zo’n fout + doofpot = exit, voorlopig geen zaken meer mee doen.
    -1 Voor het niet uit de partij zetten van iemand die op zo’n cruciaal moment zo’n domme fout maakt. Wil je zelfs maar het risico nemen dat betreffende domoor de partij nog meer schade toebrengt?
    -1 Voor het niet al in gebruik hebben van een systeem die dit soort fouten moet vermijden, nadat zoiets al eerder gebeurde (ken geen details, ik ga af op een eerdere poster). Ongeacht ander bestuur oid in de tussentijd, dat risico-minimaliserende systeem had er na een eerder incident al moeten zijn.

    Heb tot dusverre een amateuristische indruk van de piratenpartij. Jammer dat dat *weer* eens bevestigd wordt, een zelfde e-mail naar een x-aantal BCC ontvangers sturen is toch al lang een opgelost probleem. En het zou best kunnen dat tussen al die leden mensen zitten die misbruik zouden kunnen / willen maken van die gelekte e-mail adressen. Piraten = ‘vrienden’ = naief.

  28. Een voorbeeld van datasloordigheid. Een jaar of zeven geleden heeft een hooggeplaatste ambtenaar in het VK 20000 eenheden van persoonlijke informatie verloren. Ze zatten op een usb stick in z’n broekzaak. Hij raakte het kwijt, waarschijnlijk in een taxi. De USB-stick is nooit teruggevonden. De ophef was groot. Of dit gevolgen heeft gehad weet ik niet. Maar stel dat de informatie aan een crimineel werd verkocht, door iemand die de stick vond. (Trouwens, internationeel opererende mensen zoals de Piraten, behooren geen opmerkingen te maken over m’n taalgebruik. Laat dat over aan de xenofoben.)

  29. het is inderdaad een vrijwillige partij..en ik denk dat deze partij best ver kan komen.als ik t zo zie:
    cda/sgp, CU: voor al dat christelijke T**g, die te braaf zijn
    vvd: voor de rijken en zakkenvullers
    Sp: voor de arbeider
    pvda: idem
    pvv: voor de rascisten
    piratenpartij mogen al deze lui bijeen komen.GEEN enkele partij is goed, tenzij het gemengd is..zoals de kamer oo kzou moeten zijn: met jantje modaal van de straat etc.

  30. @ Rodger van Doorn

    Beetje dom. Een storm in een glas water zoals bij de Loesje- poster omtrent Friso hoop ik.

    Verder zitten er ook positieve kanten aan. Misschien kan ik tussen al die mailadressen nog wel oude bekenden vinden en ze met een ‘oh jij ook lid joh? tijd niet gezien/gesproken!’ te benaderen om eventueel samen wat ten bate van de PP te ondernemen.

    Heel tof dat de PP hier zelf mee naar buiten komt, ook al kan het die ene zetel kosten die we kunnen krijgen. Andere partijen, de PVV voorop (het Cor Bosman- verhaal in Limburg), komen bij interne strubbelingen pas in actie wanneer de media het zelf oppikken. Wat niet betekent dat dit nooit meer voor mag komen natuurlijk.

  31. @Husserl/Nallath – ik was ook niet zo gecharmeerd van de vorige lijsttrekker, maar Dirk Poot lijkt me een stuk capabeler! Universitair onderwijs bestaat niet alleen uit het consumeren van colleges en het uit je hoofd leren van boeken… Anders bestonden die allang niet meer :).

    Ik kan het niet laten om toch ook even te reageren. Dat de piratenpartij zo ‘integer’ omgaat met de fout, maakt wat mij betreft de fout nog niet goed. Dit is geen datalek, dit is gewoon stupiditeit… Ben ik even blij dat ik nog geen lid ben! (ben het wel van plan, maar no way dat ik mijn privé e-mailadres hiervoor gebruik.) Ik ben echt geen IT’er met superveel ervaring, maar zelfs ik weet waar het BCC vakje voor is… Hoe overwerkt vrijwilligers ook mogen zijn, dit is een fout die je als privépersoon al niet mag maken, laat staan als medewerker van een partij.

    Desondanks… de wereld is gelukkig nog niet vergaan :).

  32. Het is inderdaad een gevalletje ‘irony is a bitch’, maar er is netjes mee omgegaan. Nog even jongens, mijn stem hebben jullie. Ik hoop dat het helpt.

  33. Wat jullie bedoeling is is om kennis en informatie tot ieders beschikking te stellen. Nu doen jullie dit door middel van emails maar zeggen dat je dit niet wou. Maar zelf verkondig je dat iedereen het moet doen terwijl zij zelf misschien ook redenen hebben om dit niet te doen. Als je zo graag informatie naar buiten wilt brengen moet je dat zelf doen en anderen niet forceren om het te doen. Zij zelf hebben hier misschien redenen voor. Leef in je eigen wereld en wees zelf vrij en gul, eis niet dat anderen dit zijn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *