[tahanteada]

OT: Aga eemaltvaatajana, mitte selle teensue kasutajana, jääb igatahes mulje, et ühel osapoolel polegi tegelikult sisuliselt mingit võimalust ju ausalt tõtt rääkida, sest sel juhul kaasneks päris korralik skandaal ja torm, mis nii mõnegi mehe oma kohalt minema lennutaks või ka viiks üldse mõne firma sulgemiseni ja uute loomisteni.

Nii, et see antud olukord, mudeli tasemel, A versus B, võttes, tundub olema natuke laiapõhjalisem, kui niisama vastastikused süüdistused ja rünnakud.

[iFlop]

Ei see absoluutselt aru, mis jura see EIS ajab
Miks süüdistatakse inimest, kes kogus avalikustatud andmeid, et tõstatada antud probleemi olemust? Probleem on ju ikkagi selles, et läbi Virtuaal'i avalikustati isikuandmeid, ilma eraldi nõusolekuta!
Selge on see, et EIS'i peavad vastavad isikuandmed jõudma. Läbi nende whois'e on aga nähtavad vaid nimi ja email. Aga aadress, telefon ja isikukood - miks neid andmeid üldse EIS kõikidele .ee registripidajatele pakub?? Neile piisaks sellest samast whois'st, mis avalikult ju kättesaadav on.

Seega mulle tundub, et andud juhul on nii EIS kui ka Virtuaal mõlemad ühte moodi süüdi ning ei taha seda tunnistada, vaid süüdistavad hoopis Samueli.

[p2tu]

Kui keegi süüdi on, siis paraku virtuaal.com, kelle vilets infosüsteem, seda leket põhjustas.

Aga EIS kardab seetõttu, et ilmselt lepingu järgi on nendel kohustust eelnevalt seda infosüsteemi kontrollida ja kuna sellist labast viga ei leitud, siis jagavad nad vastutust. Tundub küll, et lõpuks tehakse süüdlaseks virtuaal.com ja ma tõesti ei taha oma 20 domeeni sealt kolima hakata...

[inzinz]

Asjal suht mitu külge, esiteks andis EIS liiga palju infot välja registripidajatele, teiseks jagas virtuaal.ee neid ilma turvameetmeteta vabalt välja, kolmandaks sattus sinna peale Saamuel kes ei saanud enne pidama kui kõik info oli käes.

Üldiselt hinnates on praeguseks (peale 60 000 inimese info välja võtmist Saamueli poolt) vist seaduse silmis süüdi kõik kolm osapoolt. Kui Saamuel oleks targemini käitunud siis oleks süüdi ainult teised osapooled suht selgelt, praegu aga jagub süüdistusi igas suunas.

Selle asemel et pisteliselt mingi 100 inimese/asutuse info välja võtta tõestamaks et piiranguid pole ja saab vabalt kätte kõik info, võttis Saamuel kõik 60 000+ inimese/asutuse info välja mitme päeva sihikindla töö tulemusena, mis on tõlgendatav pahatahliku käitumisena seaduse poolt (isiklikult ei usu et ta pahatahtlikult tegi ja infot müüa nüüd tahab kuskile, aga seadus ei pruugi seda niimoodi näha).
2000 aasta hot.ee juhtumis oli samas suurusjärgus 60 000 inimest kelle infot ta näppis ja lõppes temapoolse avaliku vabandamisega ning süüdistust tema õnneks edasi ei surutud.

Ise olen mitmesse kohta turvavigasid sisse teavitanud, ilma et keegi oleks kunagi millegagi ähvardama hakanud.
Enda konto peal testimine on normaalne, kogu kasutajaskonna peal testimine on aga juba korralik ülepingutamine ning siis jääb juba leheomaniku tujude taha, kas ta annab asjale ametliku käigu ja vaatab mis seadusesilm asjast arvab.

Pakun et kui ma oleks mingi kaks aastat tagasi AINULT oma konto peal testitud javascripti koodijupi (luges sisse sisseloginud inimese meilid ja saatis välisesse serverisse, oskas ennast saata hot.ee kontaktidele edasi, kustutas kõik inbox ja outbox maha jne) hotis reaalselt laiali lasknud ja siis paari päeva pärast läinud kuulutama, et kui vigane neil ikka leht on, siis oleks lõppenud asi tõenäoliselt kriminaalkaristusega. Reaalsuses teatasin leitud vead sisse ja huvi pärast testisin oma kontol mida kõike teha saaks antud vea läbi, enne kui see ära parandatud veel oli.
Või kui oleks cvkeskuses aasta tagasi ENDA ja nende endi soovitud tõestuse saamise nimel TEST konto asemel kõikide inimeste cv'sid omavoliliselt muutma hakanud, et tõestada 100% kontrollitult et ikka KÕIGI omasid saab muuta, ei oleks ka head nahka saanud.
Pluss veel hulgim muid lehti kuhu sisse teavitanud otsest rahalist kahju tekitavaid vigasid, kõike seda ilma probleemideta.

Lahtise ukse teoreetikutele küsiks vastu, et kas see kui ma unustan ukse lukust lahti ja keegi kohe asju välja tassima hakkab, tähendab et seaduse ees jääb välja tassijale õigus teha mida tahab ja maja tühjaks tassida? Minu teada vist ikka päris nii ei ole.
Palju lihtsam on ukse pealt hõigata et uks on lahti, kui et kodu tühjaks tassida ja siis üritada rääkida "uks oli ju lukust lahti". Vastutus langeks küll ka ukse lahti jätjale, aga kodu tühjaks tassijat see vastutusest ei vastuta ju ja seaduse silmis puhtaks ei pese, või mis?

Praegu nüüd on aga teema segane kuna kolm osapoolt kes kõiki teisi süüdistavad, oleks EIS ja virtuaal ainult siis oleks kõvasti lihtsam kogu teema.

[p2tu]

Lahtise ukse teooria on hea, aga kas Tõnu tekitkas materiaalset kahju? Pigem ta lihtsalt "vaatas" uksest sisse ja kirjutas üles, mis seal on. Kas see on ebaseaduslik?

Probleem on pigem ikka ukse lahti jätmises, sest kui ma usaldan kellelegi oma delikaatsed asjad ning lepin temaga kokku, et ta HOIAB UKSE KINNI ja ta seda ei tee ning Tõnu uksepealt piiludes kõik kirja paneb, siis... on ikka pahasti küll

[Ho Ho]

[Betamax]

Sellised jamad tekitavad vist paljudes tulevikus küsimuse - kas teatada turvaaukudest või mitte? Juhid tähelepanu probleemile ja vastuseks süüdistatakse sind kuriteos.

[ander]

[inzinz]

Turvalisemasse kohta hoiule tõstmise analoogia on nii ja naa, peamiselt sellesama teguri pärast mida Ho Ho ise ka juba mainis: tegu oli siiski kopeerimisega ja algsesse ebaturvalisse kohta jäi kõik info alles kõigile teistele ligipääsemiseks.
Kui oleks võrreldav, et pani luku peale/lükkas ukse kinni oleks kõik ok, probleeme poleks.
Endal on olnud juht kus õhtul kortermaja parklas võõral autol tagaukse kinni lükanud (signa tuli nagu vilkus kusjuures), nähtavasti lahti jäänud kuidagi. Lisaks paar korda sattunud korteriuksi kinni lükkama mis pärani vajunud kuna pole kinni tõmmatud korralikult vms.
Kui nende näidete puhul oleks läinud autosse sisse mingil põhjusel (omaniku numbrit otsima et talle kindlalt teatavaks teha et tal uks lahti vms) ja siis oleks omanik peale sattunud, siis katsu seletada et ei tegelenud kriminaalse värgiga parasjagu.
Samamoodi korterisse sisse jalutada, et omanikule vannitoas või kuskil mujal ikka kindlalt öelda et tal oli uks pärani lahti jäänud, oleks samamoodi suht halb idee. Kui korduma hakkab, siis viisakas oleks ikkagi koputada ja ukse taga teatega oodata mitte sisse jalutada

Saalis ja kassas hinna erinevuse kohta peaks ilusti vastav seadus kuskil kirjas olema, et läheb kasutajale soodsaima hinnaga, kaupluse oma asi kui endale kahjumit teeb ning otsene motivatsioon koheseks parandamiseks olemas.
Inimeste andmete lekkimine keerukam: kui palju on kellegi andmed väärt, kas kellegi omad väärtuslikumad kui teisel, kes täpselt vastutab ja kui suurt trahvi tuleks teha.

Sessuhtes ma ei oska kommenteerida kui palju muid vigasid Saamuel kuskile sisse teatanud on ja kuidas tavaliselt käitub nendega. Igatahes 2000 aasta hot.ee juhtum ja siis nüüdselt 2011 aasta virtuaal.com juhtum näitavad selgelt, et kui oma poindi tõestamisega üle piiri minna, siis on kergelt jama kaela tulemas.
Põhiline häda just see, et üle viisakuse piiri minnes on ka seadusesilmal raske vahet teha kummal pool piiri sa oma tegemistega asud ning vigase lehe omanikul on tõestusmaterjal olemas selle kohta. Kui ainult OMA kontole häkkida ja täiesti süütute asjadega, siis pole mitte kellelgi mingit šanssi tulla süüdistama kriminaalses häkkimises (suur asi, nägin omaenda andmeid, muutsin omaenda andmeid, varalist kahju ei tekitanud kellelegi jne).
Endal pole veel selliseid probleeme tekkinud nagu Saamuelil praeguseks kaks korda on tekkinud, alati lähtunud põhimõttest, et testin ainult OMA konto peal ja tõestuseks piisab kui alert(1) lehe peal tööle jooksutada ja juurde kirjeldada sõnaliselt mida see tähendab vms. Ei pea näiteks lehte maha võtma tõestuseks: "näe ma suutsin seda teha".

[Max Powers]

[Jebus]

Minu arust pole siin küll midagi "segast". On kaks osapoolt EIS ja Samuel. Kas Samuel tegi midagi valesti või seadusevastast? Sellele küsimusele saame vastuse siis kui kohus otsustab kas avalikust veebist data copymine kõvakettale on kuritegu või mitte.
Kas EIS tegi midagi valesti või seadusevastast? Sellele küsimusele saame vastuse siis kui vaatame kas EIS eksis enda kehtestatud reeglite vastu:

Spoiler

8 ISIKUANDMETE TÖÖTLEMINE JA KAITSE

8.1 EIS töötleb Registreerija poolt, sealhulgas Registripidaja kaudu EIS-le taotluses avaldatud isikuandmeid järgmistel eesmärkidel:

8.1.1 isiklikke andmeid (nimi, isikukood, sünniaeg, isikut tõendava dokumendi andmed jne) Registreerija ning Registreerija Haldus- ja Tehnilise kontakti isikusamasuse ja esindusõiguse kontrollimiseks;

8.1.2 kontaktandmeid (telefoninumber, aadress, e-posti aadress jne) Registreerijale informatsiooni edastamiseks;

8.1.3 Registreerija nime ning Halduskontakti ja Tehnilise kontakti nime ja e-posti aadressi peamiselt domeeniregistri toimimise võimaldamiseks.

8.1.4 EIS-i poolt lepingute sõlmimiseks ja täitmiseks, sh Domeeninime registreerimise või muu EIS-i pädevusse kuuluva toimingu otsustamiseks või teostamiseks, sh isikuandmete töötlemine domeeniregistri toimimiseks ja selle Internetis avaldamiseks, sh WHOIS teenuse päringutele vastamise kaudu, õigusakti või muu EIS-i suhtes kohustuslikku mõjuga normi, juhise või tava järgimiseks, samuti oma rikutud või vaidlustatud õiguste kaitsmiseks kohtus või kohtuväliselt.

8.2 EIS-l on ülalnimetatud eesmärkidel õigus koostada erinevatel alustel analüüsitud isikuandmetest nimekirju (nt. Registreerijate nimekiri jmt) ning võrrelda talle edastatud isikuandmeid teistes registrites olevate andmetega.

8.3 Registreerijal on õigus saada EIS-lt ning Registripidajalt igal ajal teavet isikuandmete kohta, mida EIS ning Registripidaja töötlevad ning õigus ja kohustus taotleda oma Registripidaja kaudu neis muudatuste tegemist kui nimetatud isikuandmed ei ole enam õiged.

8.4 Registreerijal ja tema Haldus- ning Tehnilisel kontaktil on õigus nõuda EIS-lt oma isikuandmete töötlemise lõpetamist.

8.5 Kõik EIS-i poolt isikuandmete töötlemiseks volitatud isikud, nende aadressid ja muud kontaktandmed on avaldatud EIS-i veebilehel.

või riigi kehtestatud seaduste vastu:

Spoiler

https://www.riigiteataja.ee/akt/12909389

Ja kuna asi on mõlemalt poolelt antud pädevatele organitele uurimiseks, siis saab asi loodetavsti peagi selgeks. Süüdlased karistada ja kahjukannatajad kopsakad hüvitised.

[londiste]

ma kahtlustan, et kui saamuel oleks sealt tõesti 3 domeeni andmed välja kopeerinud nagu saates eis või millegi esindaja pakkus, oleks ta piltlikult öeldes välja naerdud...

[LiivaneLord]

Kahju, et minu IK seal ei ole. 100€ kuluks ära küll.

[jaagupk]

Muidugi kui soov on veel kuidagi EIS-ile tööd juurde anda siis võiksid kõik domeeni omanikud saata kirja, kus nõuavad Isikuandmete kaitse seadus § 19 järgi infot enda andmete kohta. See annaks neile tööd kõvasti juurde

[jägaja]

[iFlop]

[kpihus]

[sigakoer]

Samueli käitumine on ikka jälle väga samuellik... kõigepealt rahuldab oma uudishimu sellega et tõmbab alla mis tõmmata saab. Siis paneb asja suure kella külge, et meedia tähelepanu all peesitada. Alles kõige lõpuks (kui üldse) teavitab teenuse omanikku ja ootab augu parandamist.

Täiskasvanud inimesed teavitavad august kohe teenuse omanikku ning ei avalikusta seda oma ego buustimise nimel, isegi kui augu parandamine kuus kuud aega võib võtta. http://en.wikipedia.org/wiki/Responsible_disclosure

[londiste]

tüüp ise ütles, et ootas mingi turvemeetme rakendumist oma automatiseeritud päringute tulemuseks.
samuti tsitaat uudisest:

[LiivaneLord]

Tõnu meetod oli karm, kuid mitte vale. Ta ise ütles ka, et ta tegi seda, et ta meediasse pääseks (pealtnägijas). Kellele see ei meeldi, see kadestab teda. Sellega ei saa EIS väita, et ainult üksikud andmed lekkisid. Läks ikka kõik kogu täiega.

Küsimus on selles, mida Tõnu nende andmetega edasi tegi. Kas ta andis koopia ainult vastavatele asutustele, mida nimetati antud loos või hoiab alles või on juba jaganud kolmandatele isikutele. Esimesel juhul on ta täiesti korralikult käitunud, kuid viimaste puhul käituks valesti ja tuleks karistada.

[voyager_est]

[iFlop]

voyager_est, minuteada võib avalike isikuandmetega põhimõtteliselt ükskõik mida teha.. Aga kui isikuandmed pole avalikud, siis on vaja eraldi nõusolekut selle isiku käest.
Antud juhul oli vist andmed avalikustatud mitteseaduslikel alustel. Eeldades, et Samuel on sellest teadlik, siis edasine isikuandmetega töötlemine talle vist kasuks ei tule..

[LiivaneLord]

Ei ole mina isikuandmete kaitse seadust läbi lugenud ja ei ole seda arvatavasti ka enamik neid ametnikke, kes peaksid seda unepealt teadma, kuid oma vähestest kogemustest tean, et selle taha kõik ennast mugavalt sätivad. Kui ei viitsita millegagi tegeleda, on mugav see lause näkku paisata. Samal ajal need andmed levivad iga võimalikku teed pidi ja need on nn "avalikud saladused".

Selle aasta kevade paiku hakkas mu eelmisele ligi 6 aastat kasutatud telefoninumbrile saabuma reklaami. Telefonis oli kõnekaart ja seetõttu küsisin kõigilt, et kust te mu numbri saite. Kõik vastasid, et andmebaasist. Aga kust see andmebaasi satub, seda peaks vist jumalalt endalt küsima. Nüüd on üle poole aasta uus nr ning senimaani telefoniteenusepakkujavälist reklaami pole tulnud ning helistatud samuti mitte.

Vähemalt sain teada, mida tunnevad need inimesed, kelledele tulevad sellised reklaamkõned iga päev. Samas muidugi üsna hea oli neid inimese per*e saata.

[voyager_est]

Mis asi on "avalikud isikuandmed" ?

[Prosperity]

Kui pädevate inimeste asemel pannakse asutust juhtima (noor)poliitikud ja lähikondlased, siis ongi vaid aja küsimus, kuna miski vastu taevast lendab. Arvestades lekke ulatust, saab vaid õnnelik olla, et andmed ei sattunud pahatahtlike inimeste kätte.