[ archief ] Microsoft heeft van OneDrive ransomware gemaakt

[keesnobel]

Vandaag konden mijn kinderen niet meer bij hun OneDrive. Er moest een zogenaamde leeftijdsverificatie worden gedaan. Dit kan op 2 manieren: Door een kopie ID te mailen naar Microsoft (!!) of door een creditcard betaling te doen van 0,50 waarbij de kaart direct wordt opgeslagen om in de toekomst meer Microsoft producten te kunnen kopen.
Een kopie ID is wettelijk niet toegestaan en mag Microsoft dus ook niet vragen. Een creditcard opslaan bij Microsoft die dan gelijk aan de winkel van hen gekoppeld wordt voelde ik weinig voor. Dus maar eens gebeld naar de helpdesk. Hier kwam ik niet verder; betreffende dame had geen idee, maar alleen deze 2 opties waren mogelijk. Via de chat nog maar eens geprobeerd. Ook daar kom je niet verder: wil je weer bij je bestanden, dan moet je eerst de verificatie uitvoeren en dat kan alleen middels een creditcard of een kopie ID. Het bedrag zou ik via de account pagina kunnen terug krijgen.
Net briefje gemaakt en deze als PDF geupload bij de kopie ID. Komt er een bevestiging waarin staat dat ze er over een dag of 7 naar gaan kijken! Maar ik wil nu bij mijn bestanden kunnen! De kinderen slaan al hun schoolwerk op op OneDrive zodat ze er altijd bij kunnen (behalve als Microsoft ineens bedenkt dat dit niet meer kan). Uiteindelijke toch maar 0,50 betaald via mijn creditcard zodat de kinderen weer bij hun bestanden kunnen.
Direct daarna de creditcard weer verwijderd, want die was opgeslagen door Microsoft zodat er toekomstige aankopen in de store mee gedaan konden worden (waar ik geen enkele behoefte aan heb). Terugstorten is echter geen optie, ik kan er alleen Microsoft spullen mee kopen.. Dus weer contact via de chat.
Dat had ik dus verkeerd begrepen. Ik moet het bedrag via mijn creditcard maatschappij gaan terughalen.

Naast het ontbreken van een wettelijke basis voor deze actie en het vragen van een kopie ID wat helemaal niet mag, heb je geen andere keuze dan betalen om weer bij jouw data te kunnen. Microsoft heeft dus van OneDrive ransomware gemaakt: ook al heb je een abonnement en ook al heb je betaald, Microsoft blokkeert zonder pardon de toegang en geeft deze pas na betaling weer vrij.

Ik heb de chats opgeslagen en bekijk nu hoe Microsoft juridisch aangepakt kan worden. Hopelijk pakt Radar het op.

[rvjapio]

Volgens mij hebt u gewoon op een spambericht gereageerd. Ik heb net ingelogd op mijn onedrive en er is niks aan de hand. Ik zou mijn pc maar een checken op spyware en andere troep. Microsoft gaat normaliter echt geen twee kwartjes vragen of uw creditcard.

[HADES2001]

Totaal geen spam of ransomware zie ook hier nieuwsartikel
https://tweakers.net/nieuws/137723/micr ... ouder.html

Microsoft krijgt nieuwe wetgeving voor zijn voeten en doet wat er nodig is om zich hier aan te voldoen.
Dit is omdat minderjarigen geen online account mogen hebben zonder toestemming van de ouders.
Zodoende of creditcard betaling (bewijst dat het een meerderjarige is want kind kan geen credit card krijgen)
Of een foto van ID (je mag BSN en foto weg photoshoppen)

[sylvesterb]

Een kopie ID is wettelijk niet toegestaan en mag Microsoft dus ook niet vragen.

Welke wet verbiedt dat?

Bedrijven mogen natuurlijk wel om je ID vragen er is enkel regelgeving omtrent de opslag van deze gegevens. Hoe wil je anders je identiteit laten vaststellen.

De overheid heeft zelfs een app ontwikkeld die je hiervoor kunt gebruiken. Zonder app is ook een pagina met welke zaken je mag verwijderen van de kopie en hoe je hem veilig kan versturen.

https://www.rijksoverheid.nl/onderwerpe ... eitsbewijs

[Theotrucker]

Dan hebben ze goed gereageerd op al die mensen waarvan de kinderen aankopen hebben gedaan via aan credit card gekoppelde spellen. Zijn we misschien van de klachten af?

[HADES2001]

Dan hebben ze goed gereageerd op al die mensen waarvan de kinderen aankopen hebben gedaan via aan credit card gekoppelde spellen. Zijn we misschien van de klachten af?

Betwijfel het sterk, al die kinderen waren braaf en zouden nooit mama en papas credit card misbruiken.
Wel netjes dat deze TS zo slim is om de credit card gegevens niet te laten staan op het account

[keesnobel]

Omdat er geen andere (werkbare) optie is om weer bij mijn gegevens te kunnen, valt het gewoon binnen ransomware: je bent gegijzeld door MS en alleen door te betalen kun je verder.
Om de betaling te kunnen doen ben je verplicht een creditcard als betaalmiddel aan je account toe te voegen. Als je deze niet direct verwijderd, kan deze daarna ook gebruikt worden om aankopen te doen. Of de gegevens werkelijk verwijderd zijn op het moment dat ik de kaart uit mijn account haal kon men geen antwoord geven.
Bedrijven mogen een kopie ID niet opslaan, maar op het moment dat je upload naar de servers van MS wordt het bij hen opgeslagen... Meer is ook hier te vinden: https://autoriteitpersoonsgegevens.nl/n ... eitsbewijs
MS vraagt om een kopie ID zonder daarbij erop te wijzen dat je kenmerken moet maskeren. Hoeveel mensen zullen gewoon hun kopie ID maken en uploaden? Heb je geen creditcard dan heb je dus gewoon pech: MS blokkeert toegang tot je gegevens en je kunt zeker een week wachten totdat je weer verder kunt. Waarom niet netjes even vooraf melden? Heeft men dan zo liggen snurken en komt men er 1 maand voor ingang van de AVG achter dat ze iets moeten doen? Wie heeft dit in hemelsnaam bedacht? Ik neem aan dat MS deze persoon inmiddels van de loonlijst heeft geschrapt. Wat een blamage. Van een dergelijk bedrijf verwacht je toch iets meer zorgvuldigheid en niet van dergelijke zeer schadelijke onbezonnen acties.

[bprosman]

Omdat er geen andere (werkbare) optie is om weer bij mijn gegevens te kunnen, valt het gewoon binnen ransomware: je bent gegijzeld door MS en alleen door te betalen kun je verder.

Onedrive kun je ook laten Synchen zodat je ook altijd een werkbare kopie van je documenten op je lokale computer hebt staan.
Zelf werk ik altijd in de lokale versie van de documenten en als deze gesloten is synched hij vanzelf naar/met Onedrive.

If you do not agree, you can choose to discontinue using the products and services, and close your Microsoft account before these terms become effective. If you are a parent or guardian, you are responsible for your child’s or teenager’s use of Microsoft products and services, including purchases.

komt men er 1 maand voor ingang van de AVG achter dat ze iets moeten doen?

U moet iets doen, en dat hebben ze vorige maand verteld (29/03).

[BreejKC]

Ik denk dat MS hier inderdaad in de fout gaat. Zeker nu binnenkort, door Europeese wetgeving, de regels omtrent beheren van persoonsgegevens flink verscherpt wordt.

Leuk dat TS dit met ons deeldt. Beter is het om hiervan melding te doen bij de Autoriteit Persoonsgegevens. Die kennen de huidige en nieuwe regelgeving hieromtrent van binnen en van buiten. Als MS hiermee inderdaad de regelgeving met voeten treedt dan worden zij door deze overheids-autoriteit wel op hun vingers getikt.

[sylvesterb]

Ik denk dat MS hier inderdaad in de fout gaat. Zeker nu binnenkort, door Europeese wetgeving, de regels omtrent beheren van persoonsgegevens flink verscherpt wordt.

Leuk dat TS dit met ons deeldt. Beter is het om hiervan melding te doen bij de Autoriteit Persoonsgegevens. Die kennen de huidige en nieuwe regelgeving hieromtrent van binnen en van buiten. Als MS hiermee inderdaad de regelgeving met voeten treedt dan worden zij door deze overheids-autoriteit wel op hun vingers getikt.

Welke regelgeving breekt MS hier dan? Je mag als bedrijf vragen (het is soms zelfs juist verplicht) om je te identificeren. MS houdt zich juist al aan de nieuwe wetgeving dat voor het verzamelen van data van minderjarige (in Nederland vanaf 16 jaar, in Belgie vanaf 13 jaar) expliciete toestemming nodig is van de ouders. Door de identificatie voldoen ze dus aan deze nieuwe regelgeving (die in de USA al enige tijd van toepassing is maar niet actief werd gecontroleerd).

[BreejKC]

Welke regelgeving? Heeft u goed gelezen? Als u iets digitaal instuurt dan wordt het automatisch bij de ontvanger ergens opgeslagen. Of het al dan niet bewaard wordt is lastig te controleren. Daarom moet je met die verscherpte wetgeving al met het vragen naar die gegevens oppassen, of een andere manier van verificatie trachten te hanteren.

Ik weet het, makkelijker wordt het hier niet mee voor bedrijven, maar wel veiliger voor de burger. Zeker gezien het feit dat overheden straks makkelijker ook digitaal mogen snuffelen en gegevens her en det soms zomaar op straat belanden. Let wel, alles wat door mensen gemaakt wordt kan door andere mensen kapot gemaakt worden. Zie dit in het verlengde van het hacken van gegevens.

[angel1978]

Ik denk dat MS hier inderdaad in de fout gaat. Zeker nu binnenkort, door Europeese wetgeving, de regels omtrent beheren van persoonsgegevens flink verscherpt wordt.

Leuk dat TS dit met ons deeldt. Beter is het om hiervan melding te doen bij de Autoriteit Persoonsgegevens. Die kennen de huidige en nieuwe regelgeving hieromtrent van binnen en van buiten. Als MS hiermee inderdaad de regelgeving met voeten treedt dan worden zij door deze overheids-autoriteit wel op hun vingers getikt.

Borrelpraat. Doet het ongetwijfeld goed op verjaardagspartijtjes, maar slaat eigenlijk gewoon nergens op.

[Theotrucker]

Juist vanwege de zorg om de jeugd te beschermen zullen ze iets moeten verzinnen om de leeftijd van de klanten vast te stellen. En zonder ID of bewijs van gebruik mogen maken van een creditcard is dat erg moeilijk. Of heeft iemand een beter idee.?

[sylvesterb]

Welke regelgeving? Heeft u goed gelezen? Als u iets digitaal instuurt dan wordt het automatisch bij de ontvanger ergens opgeslagen. Of het al dan niet bewaard wordt is lastig te controleren. Daarom moet je met die verscherpte wetgeving al met het vragen naar die gegevens oppassen, of een andere manier van verificatie trachten te hanteren.

Lees nu nog een wat je schrijft? Er is regelgeving en om daaraan te voldoen heeft MS deze gegevens nodig, dit is conform die regelgeving. Jij verzint regelgeving die er niet is. MS mag gewoon om een ID bewijs vragen en de overheid geeft zelfs informatie hoe je deze veilig kan verstrekken.

MS moet ook aan de regels voldoen hoe ze deze gegevens opslaan. Als ze zich hier niet aanhouden dan riskeren ze enorme boetes. Na de Facebook affaire is Microsoft nu opeens zich aan de regels in de VS aan het houden (die straks ook in Europa gelden).

Jij zegt dat wat ze doen niet mag en ik vraag je welke regelgeving dit regelt of denk je dit enkel?

Ik weet het, makkelijker wordt het hier niet mee voor bedrijven, maar wel veiliger voor de burger. Zeker gezien het feit dat overheden straks makkelijker ook digitaal mogen snuffelen en gegevens her en det soms zomaar op straat belanden. Let wel, alles wat door mensen gemaakt wordt kan door andere mensen kapot gemaakt worden. Zie dit in het verlengde van het hacken van gegevens.

De overheid mag straks niet makkelijker snuffelen bij bedrijven, hierin veranderd niets. Ze mogen vanuit een strafrechtelijk onderzoek altijd al rond snuffelen, maar dan heeft een rechter wel beoordeeld of dit noodzakelijk is. Het lijkt wel of je wilt verwijzen naar de sleepwet, maar die gaat over iets heel anders dan snuffelen bij MS zelf. Hacken is een gevaar maar als je je ID gewoon opstuurt met de tips die de overheid geeft hoef je nergens bang voor te zijn, immers kan de hacker dan niets met jouw ID en pakt hij die wel van iemand die wel wat kan. Echter is hacken niet zo simpel bij dit soort bedrijven als jij nu stelt, de meeste hacks komen door nalatigheid van de bedrijven en hierop staan behoorlijke boetes in de nieuwe wetgeving.

[bprosman]

Microsoft loopt juist heel erg voorop met de GDPR en loopt al een jaar bij multinationals rond om consultancy te bieden op dat vlak :
https://www.microsoft.com/en-us/TrustCe ... fault.aspx

Zelfs de Amerikaanse regering heeft de moed opgegeven, MS juridisch aan te pakken waar deze dwars lagen om geen gegevens uit Europese datacenters zomaar met de regering te delen :
https://www.theverge.com/2018/4/5/17203 ... and-ruling

En dan wil TS Microsoft juridisch aanpakken
Via je rechtsbijstand of ga je een LOI cursus volgen ?