mboost-dp1

newz.dk

Datatilsynet afslutter sag om sikkerhedsbrist på newz.dk

- Via newz.dk -

Som tidligere skrevet så henvendte Datatilsynet sig til newz.dk i forbindelse med at en crackergruppe offentliggjorde en liste over en del af newz.dk’s brugere på internettet juleaftensdag 2007. Listen indeholdte blandt andet brugernavne og adgangskoder til newz.dk.

Vi har fra newz.dk’s side naturligvis valgt at samarbejde med Datatilsynet, selvom vi, som oplyst af Datatilsynet, ikke var forpligtigede til at gøre dette.

Sagen er nu afsluttet, og Datatilsynet konkluderer, at det passerede er beklageligt, og at vi jf. persondatalovens § 41, stk 3, skulle have udvist større omhu. De har desuden noteret sig de tiltag, vi har gjort for at undgå en lignende situation (bl.a. bedre kryptering, lukning af det oprindelige hul) samt håndteringen af sagen efterfølgende.

På den baggrund har Datatilsynet valgt ikke at foretage sig yderligere i sagen.





Gå til bund
Gravatar #1 - karga
5. mar. 2008 11:48
Rart at høre :) ja der skulle muligvis have været bedre sikkerhed.. men som jeg husker det, var det en gammel brugerliste, der ikke var i brug? Så måske det hellere skulle ha været oprydning der var på tavlen..

Ved godt de har andet at lave hos datatilsynet, men er en sagsbehandling på næsten 3 måneder ikke ret voldsomt?
Gravatar #2 - jakobdam
5. mar. 2008 11:52
Super :)

Spildt mælk skal man ikke græde over - det ville nok alligevel være blevet for gammelt inden man nåede til at få det blandet med kakaopulver.
Gravatar #3 - BurningShadow
5. mar. 2008 11:55
Lad os så bare håbe at det ikke sker igen.

...men hvad mon ungerne finder på næste gang?
Gravatar #4 - bottiger
5. mar. 2008 12:03
#1 Det er vel hvad man kan forvente af det offentlige...
Gravatar #5 - Saxov
5. mar. 2008 12:06
#1, 3 måneders behandlings tid.. ? hmm.. brugte TGG ikke dobbelt så lang tid på at behandle data'en.. ? og på at genneskue hvordan "god" og "password" var blevet hashet.. ? :)
Gravatar #6 - madeinrussia
5. mar. 2008 12:08
#5 Tror bare de kørte standard på koderne også lod dem ligge til juleaften ( har de jo gjort med andre steder )
Gravatar #7 - LsV
5. mar. 2008 12:12
#1
3 mdr. er da faktisk temmelig kort tid fra det offentlige.
Havarikommisionen (dem som tager sig af jernbane og flystyrt) er min. et halvt år om at lave deres redegørelser.

Hvad ville der mon være sket hvis datatilsynet havde lavet en sag mod newz.dk - hvem skulle betale for den evt. bøde der kunne komme? - Svjv så er det jo frivilligt arbejde, også er der vel ikke nogle decideret ejere, da newz.dk jo som sådan ikke er et selskab.

Ville det så være hmn, Net_Srak og Pernicious der ville komme til at stå for den bøde?
Gravatar #8 - karga
5. mar. 2008 12:15
#7 et flystyrt er også en deeeel mere kompliceret end at være heldig at finde et smuthul til noget gammelt data på en hjemmeside.. ihvertfald hvis folk der har forstand på deres arbejde er over sagen..

Men ville også lidt frem til at sagsbehandlinger som oftests tager for lang tid imo..
Gravatar #9 - BurningShadow
5. mar. 2008 12:16
#7

Ville det så være hmn, Net_Srak og Pernicious der ville komme til at stå for den bøde?
Hvis det skete, tror jeg at selv de mest Newz-kritiske brugere (jeg selv inkl.) ville være parate til at gribe i lommerne, og sende penge i retningen af dem.
Det har været på tale flere gange, i andre sammenhænge, men har endnu ikke været nødvendig.
Gravatar #10 - flasken.dk
5. mar. 2008 12:16
af skade blir'r man klog...:)
Gravatar #11 - paradise_lost
5. mar. 2008 12:17
#9 De har jo freeway til at betale :)
Gravatar #12 - Carstone
5. mar. 2008 12:18
Bliver lømlerne slet ikke fanget og straffet ??? ! :/
Gravatar #13 - LsV
5. mar. 2008 12:22
#8
Det selvfølgelig rigtig... men jeg er så også helt sikker på at datatilsynet har mere end dobbelt så mange sager :)

Men ja, nogle sager synes jeg også kan trække alt for langt ud... tænk på at skulle vente 4-5 år for at komme i landsretten og få sin dom (Riskjær..)

#9
Men ville det være hmn, Net_Srak og Pernicious der ville stå med bøden - eller måske freeway - nu tænker jeg ikke på hvem der skal betale bøden

#11
Mon ikk freeway er mere en slags "sponsor"?
Gravatar #14 - paradise_lost
5. mar. 2008 12:26

Mon ikk freeway er mere en slags "sponsor"?


#13 så vidt jeg ved så ejer de 50%, så 50% af en evt bøde skulle vel så også betales af dem. Men med alle de penge de har så kunne de hvis godt få råd til at betale hele bøden!
Gravatar #15 - Mort
5. mar. 2008 12:41
På den baggrund har Datatilsynet valgt ikke at foretage sig yderligere i sagen.


Argh, er en offentlig henrettelse nu for meget at forlange ? ;oD
Gravatar #16 - vandfarve
5. mar. 2008 13:07
#15

Desværre, det sluttede med Taliban-regimets fald, men en god gammeldags gabestok ville ikke være en dum idé.
Gravatar #17 - stephenson
5. mar. 2008 13:30
#7 svjv så er newz registreret som et ApS med en fastansat og flere deltidsansatte. Derudover har de eget kontor mv (hvis de har fået det? har hørt de skulle få det). Derudover ejer freeway jo 50% af virksomheden.

Bare lige for at få det på plads:D
Gravatar #18 - Borg[One]
5. mar. 2008 13:31
#12 Jeg går ud fra at du med lømlerne mener crewet bag newz.dk - ellers er der jo ikke meget sjovt i dit indlæg.

#13 Man ville lave en newz-afstemning, hvor man kunne stemme på de 5 mest aktive nyhedsskribenter - der så ville få regningen.
Gravatar #19 - rwzxy
5. mar. 2008 13:34
sløsen og raslen. Det er en OMMER newz. større omhu næste gang tak
Gravatar #20 - stephenson
5. mar. 2008 13:35
#19 de har jo rettet op på det hele og beklaget fejlen, de har derudover strammet op omkring både deres kode og hvad der ligger på serverne.
Gravatar #21 - rwzxy
5. mar. 2008 13:40
#20 det er også godt de har rettet op på det, det er imo stadigvæk en OMMER.

det var fandme en skandale af de helt store. Folks passwords lå frit fremme. TGG havde uendelig tid til at misbruge lortet inden de frigav data´en på deres blog. skandale. ifølge mig er newz moralsk forpligtet til at erstatte sved og tårer og hvad der ellers måtte ligge at ulme hos de folk det gik ud over. Enhver kan komme med en undskyldning bagefter. sløsen og raslen!
Gravatar #22 - stephenson
5. mar. 2008 13:47
#21 ja, rigtigt at det var for dårligt, men sket er sket.

Da fejlen skete var newz ikke en professionel virksomhed og var drevet 100% på frivillig basis og dette var brugerne indforstået med. Dermed kan man heller ikke regne med en dybt professionel data beskyttelse.

Så vidt jeg husker var det også en fejl i openAds (nu OpenX) og ikke i newz egen kode, men kan godt være jeg husker forkert.
Gravatar #23 - rwzxy
5. mar. 2008 13:52
#22 stephenson

Freeway har nu valgt at støtte op om newz. de er derfor ifølge mig moralsk forpligtet til at give en økonomisk undskyldning til de ramte. de kan jo vælge at give gratis point på deres studienet hjemmeside eller gratis VIP på en af deres andre hjemmesider. hvorfor gør de ikke det? syntes det fortæller meget om freeway.

PINLIGT.
Gravatar #24 - stephenson
5. mar. 2008 13:58
#23 økonomisk undskyldning? Hvorfor dog det? Du har jo på ingen måde betalt nogen penge for at benytte newz. Du ved vel forhåbentligt at al brug af diverse gratis hjemmeside forgår på eget ansvar. Det er altså ikke USA vi lever i men Danmark. (tak skæbne for det). Du bruger vel forhåbentligt heller ikke den samme kode på newz som på data sikre sider som fx din netbank.

Hvorfor fortæller det meget om freeway? Freeway står KUN for salg og administration af reklamer på siden, intet andet. Der er mange inklusiv mig selv der ikke ser så positivt på freeway, men alt skidt er altså ikke deres skyld.
Gravatar #25 - rwzxy
5. mar. 2008 14:03
#24: stephenson

Hvorfor? som en undskyldning for det som er sket. en moralsk undskyldning. De har ikke pligt til at gøre det. men at de ikke gør det er ifølge mig amoralsk. fordi en service er gratis er de ikke fritaget for give en moralsk økonomisk undskyldning ifølge mig.

Hvorfor det fortæller meget om freeway? de er den store økonomiske drivkraft bag newz. de har midlerne til en økonomisk undskyldning.
Gravatar #26 - zin
5. mar. 2008 14:11
#25: Det ville holde stik hvis ellers Freeway ejede newz.dk på det tidspunkt indbrudet skete, men hvis du læser lidt op på det, ville du vide at det gjorde de ikke.
Desuden ejer Freeway ikke newz - de er partnere (50/50 begge to), og newz.dk står for driften af newz.dk og derfor kan Freeway ikke stilles til ansvar for sådanne sikkerhedsbrud på newz.dk's side.
Og luk så røven - du har intet betalt for din konto, så du har intet mistet, du har fået en undskyldning og så meget en dækning over sagen som du har kunnet ønsket. Ingen domstol eller etisk mand ved sine fulde fem ville mene at du skulle have erstatning.
Gravatar #27 - TWFH
5. mar. 2008 14:12
#25 Hvis du mener du har ret til kompensation, må du jo redegøre for i hvilket omfang du har lidt skade, og navnlig hvordan denne 'skade' berettiger dig til et økonomisk vederlag.

Brugerne har fået en undskyldning fra Newz.dk's side, og det synes jeg er fint, også selv om mit password til min Newz.dk-konto (ja, uha da) var til frit skue i en periode.
Mere synes jeg ikke der er at gøre ud af den sag.
Gravatar #28 - arne_v
5. mar. 2008 14:14
Det kan vel ikke komme som nogen overraskelse.

Der var ligesom ikke nogen "sag".
Gravatar #29 - The-Lone-Gunman
5. mar. 2008 14:14
rwzxy, du har ikke helt styr på dine facts.

21 skrev:
Folks passwords lå frit fremme. TGG havde uendelig tid til at misbruge lortet inden de frigav data´en på deres blog.


Alle kodeord var krypteret, men desværre uden salt. Det er derfor TGG først frigav oplysninger lang tid efter, og kun dem der havde simple koder, der kunne brydes med et rainbow table.

Selvfølgelig har newz.dk et ansvar, men man kan altså aldrig sikre sig 100%

23 skrev:
Freeway har nu valgt at støtte op om newz. de er derfor ifølge mig moralsk forpligtet til at give en økonomisk undskyldning til de ramte. de kan jo vælge at give gratis point på deres studienet hjemmeside eller gratis VIP på en af deres andre hjemmesider. hvorfor gør de ikke det? syntes det fortæller meget om freeway.


Freeway har ikke noget med den almindelige drift af newz.dk at gøre, udover at sælge reklameplads på siden, så hvorfor skulle de gå ind og give ting væk på en af deres helt andre projekter. Jeg har meget svært ved at se logikken.

25 skrev:
Hvorfor det fortæller meget om freeway? de er den store økonomiske drivkraft bag newz.


Nej, det er de ikke.
Gravatar #30 - The-Lone-Gunman
5. mar. 2008 14:25
7 skrev:
Hvad ville der mon være sket hvis datatilsynet havde lavet en sag mod newz.dk - hvem skulle betale for den evt. bøde der kunne komme? - Svjv så er det jo frivilligt arbejde, også er der vel ikke nogle decideret ejere, da newz.dk jo som sådan ikke er et selskab.

Ville det så være hmn, Net_Srak og Pernicious der ville komme til at stå for den bøde?


newz.dk ApS er skam et rigtigt firma. Det der er forholdsvis nyt, er at det er et ApS, før var der tale om et I/S.

Ved et I/S hæfter ejerne personligt, så hvis der var kommet en retsag ud af Cliche-sagen, og newz.dk havde tabt, så havde ejerne hæftet personligt og solidarisk for hele beløbet.

I dag er det så et ApS. For at stifte et ApS kræver det en startkapital på mindst 125.000 kroner, og kapitalen i virksomheden må aldrig komme under dette beløb. Hele idéen er nemlig, at anpartshaverne kun hæfter med indskudsbeløbet, hvilket betyder at de aldrig ville kunne komme til at skulle af med mere end det, de allerede har smidt efter newz.dk ApS, hvorimod at hvis der var tale om et I/S kunne de komme til at få tvangsauktioneret deres boliger osv.

Og det var så dagens lektion i virksomhedsøkonomi.
Gravatar #31 - rwzxy
5. mar. 2008 14:25
#26: ZiN

Det ville holde stik hvis ellers Freeway ejede newz.dk på det tidspunkt indbrudet skete, men hvis du læser lidt op på det, ville du vide at det gjorde de ikke.


jeg ved udemærket godt at freeway ikke ejer newz? kom igen

Desuden ejer Freeway ikke newz - de er partnere (50/50 begge to), og newz.dk står for driften af newz.dk og derfor kan Freeway ikke stilles til ansvar for sådanne sikkerhedsbrud på newz.dk's side.


øhh jeg taler ikke om et strafferetligt ansvar men et moralsk ansvar ifølge mig? kom igen jeg er da den eneste som kan vurdere hvad JEG mener er amoralsk og moralsk accepteret

Og luk så røven - du har intet betalt for din konto, så du har intet mistet, du har fået en undskyldning og så meget en dækning over sagen som du har kunnet ønsket. Ingen domstol eller etisk mand ved sine fulde fem ville mene at du skulle have erstatning.


nu bliver du sej. At jeg intet har betalt for min konto spiller ingen rolle. De er følge mig MORALSK forpligtet til at erstatte blod, sved og tårer for de ramte da deres data blev offentligjort kom igen. jeg er da en etisk mand? det er vi vel alle? jeg har enda læst flere bøger om moral og etik end du har tænder i din mund.


#29: The-Lone-Gunman

Nej, det er de ikke.


der er vel argumenter for og imod dette. ifølge mig er de den største økonomiske drivkraft for newz. så dit "nej det er de ikke" holder ikke fem flade flødeboller.
Gravatar #32 - The-Lone-Gunman
5. mar. 2008 14:28
31 skrev:
der er vel argumenter for og imod dette. ifølge mig er de den største økonomiske drivkraft for newz. så dit "nej det er de ikke" holder ikke fem flade flødeboller.


I mit indlæg #30 linker jeg til newz.dk ApS hos CVR-registret. Der kan du for 37 kroner få en kopi af regnskabet, hvis du vælger ikke at tro på mig.
Gravatar #33 - <3Thinkpads
5. mar. 2008 14:31
#rwzxy:

I guder, tror du ikke at du skal smutte tilbage på EB's Nationen? Newz.dk har lavet en fejl, rettet den. Og du er vel heller ikke så dumt at du har det samme password til alle dine logins?

Freeway er ikke forpligtet til noget, kun hvis en bøde forligger.

Og umiddelbart, så er der ikke andre herinde som mener at freeway skal give noget gratis ud. Sitet er stadig drevet frivilligt.

Hvis du mener at du "moralsk" bliver skyldt noget, så kan du jo finde et andet sted eller lægge sag an.
Gravatar #34 - jl
5. mar. 2008 14:32
rwzxy>> Da jeg læste dine indlæg tænkte jeg "WTF, mage til pengeliderlig grib skal man da lede længe efter.....du får noget gratis, og mener nu at du burde have endnu mere som kompensation pga. en logik der ingen mening giver"

Så tjekkede jeg din profil og så at du er en kvinde...........nothing to see here, move along
Gravatar #35 - NinjaZee
5. mar. 2008 14:33
rwzxy:
Hvorfor skulle nogen nogensinde give en økonomisk kompensation til privatpersoner fordi deres kode til en simpel brugerprofil på et gratis site er blevet lækket?
Hvor meget "blod sved og tårer" ville det koste dig hvis du var nødt til at oprette en ny profil på newz.dk? Hvilket ville være den yderste konsekvens. Det ville kræve 30 sekunder af din tid. At du måske havde brugt samme kode alle mulige andre steder kan kun stå for egen regning, og hvis nogle skulle betale for det så ville det være dig der skulle betale en dummebøde.
Gravatar #36 - rwzxy
5. mar. 2008 14:37
jeg opgiver.

lægge sag an skriver en? jeg kan vel ikke lægge sag an når det drejer sig om moral og etik tsk

moral er ikke universel derfor har ingen af os ret.

det er vel kun op til mig at bedømme hvad JEG finder amoralsk og moralsk accepteret. tsk farvel.
Gravatar #37 - rwzxy
5. mar. 2008 14:38
foresten så kræver JEG personligt ikke nogen penge. det gik ikke ud over mig. jeg tænker på alle de mennesker som blev ramt.

tsk

farvel
Gravatar #38 - Zombie Steve Jobs
5. mar. 2008 14:39
#36/37 Ja, men så bedøm det alene, i din hule. Din moral, hvis den overhovedet kan findes uden et kraftigt mikroskop, er noget bizar.
Gravatar #39 - paradise_lost
5. mar. 2008 14:41
Kan alle de pattebørn herinde ikke snakkede ordentligt til hinanden?? Er det så svært at diskutere uden at svine hinanden til. Børnehave!!!
Gravatar #40 - zin
5. mar. 2008 14:42
For at citere Gandalf, ud af kontekst; "Throw yourself in, next time and rid us of your stupidity!"
Sorry for OT. :-)
Gravatar #41 - stephenson
5. mar. 2008 14:51
#36 du skriver moral? Hvad er moralen i at kræve penge fra personer (dengang var newz drevet 100% på frivillig basis) som giver dig noget gratis fordi de har lavet en fejl. Hvorfor skal de betale penge til brugerne udover den service de yder dig. Du kan jo som bruger bare lade vær med at bruge den service.

Der er forskel på den perfekte "moral" og den realistiske moral. Derudover er det vel også at have god moral at kunne tage imod en undskyldning uden at den skal indeholde penge. Forstår virkelig ikke din kapitalistiske version af moral.
Gravatar #42 - paradise_lost
5. mar. 2008 15:06
#41

Dvs vil sige, hvis feks dating.dk var gratis og dit brugernavn/password blev tilgængelig for nogen personer som det ikke skulle være. Så var det helt okay selvom dating.dk tjente passer af penge på bla. reklamer ?? Så ville en alm undskyldning være rigeligt? Et firma med en stor kapital bag sig kunne godt vise noget good will også feks "gi" 1 uges gratis vip adgang til en anden service for virkelig at vise at de beklager fejlen og at de meget gerne vil beholde en som bruger.

Ved godt at det ikke kan bruges i den her sag da hullet i newz.dk blev fundet og udnyttet før freeway kom ind i billedet.

Der er mange der ikke har et godt indtryk af freeway som bevist i utallige tråde som begyndte da freeway kom ind i newz.dk.

Så en god måde for freeway at ændre dette ry kunne somsagt være at gi vip adgang til en el anden tjeneste i X antal dage/uge. Det ville ikke koste dem noget og de kunne måske få folk hooked på den service + at mange ville nok ændre sin opfattelse af freeway, det ville jeg i hvert fald :)

Jeg er ligeglad for bruger ikke nogen af deres hjemmesider, men bare det at de ville tilbyde det så ville jeg tage hatten af og bukke for dem.
Gravatar #43 - sguft
5. mar. 2008 15:24
#42: Det ændrer sig når det går ud over folk der betaler for en konto på et site, så har man som udbyder en størrer forpligtelse - enig.

Og var det sket på dating.dk vil jeg da også gå ud fra lign. kompensation havde fundet sted, det er sket tidligere i forb. med nedbrud og lign.

Men newz.dk er jo ikke et site der indkræver brugerbetaling, så at kræve kompensation er lidt underligt på et gratis site, specielt hvis du vil have den i form at VIP til eks. dating.dk - det har jo intet med hinanden at gøre.

Det gælder også i forhold til det med Freeways ry, hvad skulle VIP til dating.dk for newz.dk brugere gøre godt for? (det er muligt at der er et vist målgruppe sammenfald, meeen alligevel :-)

Og angående Freeways ry, er det så fordi newz.dk har ændret sig mærkbart siden det partnerskab blev indgået? Alle de her bange anelser folk havde er endnu ikke blevet til virkelighed og der er stadig ikke noget der indikerer at det sker.
Gravatar #44 - rwzxy
5. mar. 2008 15:27
#42: paradise_lost

præcis
Gravatar #45 - stephenson
5. mar. 2008 15:29
#42 - der er også stor forskel på hvilken data siderne behandler. En dating side kan indeholde meget personlige informationer (mener ikke et password til en side som newz er MEGET personligt).

Men jeg vil dog ligegyldigt hvad påstå at en side der ikke benytter sig af brugerbetaling ikke skal give en ØKONOMISK kompensation for tab af data eller fejl i deres service/produkt.

Derudover skal freeway på ingen måde trækkes ind i denne sag da det er ting der er sket før freeway kom ind i billedet.

#44 jeg troede du var smuttet?
Gravatar #46 - rwzxy
5. mar. 2008 15:45
#45: stephenson

jeg kom tilbage i håb om at DU var smuttet
Gravatar #47 - stephenson
5. mar. 2008 15:50
#46 Hvorfor nu det? Jeg føler ellers jeg har været ok saglig i den her debat. Vi er jo bare uenige. Du sagde bare farvel derfor jeg blev lidt overrasket over at se dig igen.
Gravatar #48 - LKM
5. mar. 2008 15:56
30 skrev:
Ved et I/S hæfter ejerne personligt, så hvis der var kommet en retsag ud af Cliche-sagen, og newz.dk havde tabt, så havde ejerne hæftet personligt og solidarisk for hele beløbet.

I dag er det så et ApS. For at stifte et ApS kræver det en startkapital på mindst 125.000 kroner, og kapitalen i virksomheden må aldrig komme under dette beløb. Hele idéen er nemlig, at anpartshaverne kun hæfter med indskudsbeløbet, hvilket betyder at de aldrig ville kunne komme til at skulle af med mere end det, de allerede har smidt efter newz.dk ApS, hvorimod at hvis der var tale om et I/S kunne de komme til at få tvangsauktioneret deres boliger osv.

Og det var så dagens lektion i virksomhedsøkonomi.


Et selskabsansvar udelukker ikke et personligt strafansvar hos de ansvarlige i selskabet. Dog vil man i mange tilfælde undlade at rejse personlig tiltale sideløbende med et virksomhedsansvar, medmindre personernes handlinger er af høj strafværdighed og eventuelt på ledelsesniveau.

Summa summarum - du kan ikke være sikker på at undgå straf, bare fordi du handler i/for et selskab.

Og det var så dagens lektion i virksomhedsansvar =)
Gravatar #49 - The-Lone-Gunman
5. mar. 2008 16:09
48 skrev:
Et selskabsansvar udelukker ikke et personligt strafansvar hos de ansvarlige i selskabet. Dog vil man i mange tilfælde undlade at rejse personlig tiltale sideløbende med et virksomhedsansvar, medmindre personernes handlinger er af høj strafværdighed og eventuelt på ledelsesniveau.

Summa summarum - du kan ikke være sikker på at undgå straf, bare fordi du handler i/for et selskab.

Og det var så dagens lektion i virksomhedsansvar =)


Ja, jeg skulle nok ikke have skrevet aldrig, men så taler vi vel sager hvor der bevidst er udført svindel, eller særligt grove tilfælde?
Gravatar #50 - LsV
5. mar. 2008 16:29
Tænk... jeg troede faktisk newz.dk var brugernes helt uafhængige side, som ikke var ejet af nogle, andet end stifterne selvfølgelig... Øv øv :)

Havde kun erhvervsøkonomi på E niveau (tror jeg det var) så alt det med ApS, I/S, A/S osv osv aner jeg faktisk ca. ikk en skid om - men så har man da også lært lidt idag.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login