Het mysterieuze geval van de gehackte productwebsite met iframe

| AE 6819 | Aansprakelijkheid, Hacken | 11 reacties

hacker-iframeDe eerste keer dat een iframe in een vonnis staat, volgens mij. En een redelijk bizarre context ook: de website van een leverancier wordt gehackt om middels een stiekem iframe productbeschrijvingen toe te voegen die ze op grond van een recent vonnis nu net niet meer mochten verkopen. Wát is hier gebeurd?

Rapoo en Gembird verkopen onder meer toetsenborden. Rapoo had een Gemeenschapsmodelrecht op een aantal modellen, en in een eerder vonnis was geoordeeld dat Gembird daar inbreuk op maakte. (Een modelrecht is een soort van auteursrecht op industriële vormgeving en productuiterlijk.)

Die inbreukmakende toetsenborden mocht Gembird dus niet meer aanbieden. Toch doken er productvermeldingen van die toetsenborden op op de website van Gembird, waarop Rapoo naar de rechter stapte en de dwangsommen eiste die ze op grond van dat eerdere vonnis mocht opeisen.

Gembird was daar een tikje door verrast denk ik, want zij hadden keurig het vinkje “Publiceren op website” van die productinformatie weggehaald in hun CMS. Maar screenshots van Rapoo lieten duidelijk zien dat die informatie wel degelijk gewoon online stond. Buitengewoon raar dus.

Uit twee onafhankelijke onderzoeken bleek echter dat Gembird het slachtoffer is geworden van een hack. De betreffende productpagina’s waren voorzien van een Javascript (dat niet werkte) en een iframe die vanaf een externe locatie informatie ophaalde. En daarmee was precies de productinformatie online die van het eerdere vonnis niet getoond mocht worden.

Een hack door de wederpartij? Je zou het haast denken, maar in de iframes was nog de tekst “Hacked by Dark Knight Sparda – BD Black Hat” terug te vinden, en wie daarop googelt ziet diverse gehackte pagina’s van anderen. Dus kennelijk is er echt zo’n club actief.

In het vonnis wordt nog geruzied over al dan niet vervalste screenshots, omdat er twee verschillende URL’s werden getoond bij dezelfde webpagina. Maar de verrassend cluevolle rechter snapt hoe het zit:

Als de muis op de hoofdpagina van Gembird Europe staat bij het in beeld brengen van de bronweergave, wordt de website van Gembird Europe weergegeven als bron. Als de muis daarentegen in het frame staat waarvan de inhoud is gehackt, wordt een bron weergegeven die verwijst naar de server van de hacker. Het verschil kan volgens de deskundige van Gembird Europe dus verklaard worden door een andere positie van de muis op het moment dat de schermafbeeldingen werden gemaakt.

Op basis hiervan concludeert de rechter dan ook dat het duidelijk is dat Gembird gehackt is en niet zelf die productinformatie online heeft gezet. Maar had Gembird niet de gehele pagina offline moeten halen in plaats van ze slechts op concept te zetten in haar CMS? Dat is toch een stukje slordig, aldus Rapoo: er is dan een kans dat een hacker die pagina terugzet met al dan niet extra iframes. Maar dat overtuigt de rechter niet:

Toen Gembird Europe er na het Vonnis voor zorgde dat de informatie niet langer op haar website te zien was, hoefde zij er niet op bedacht te zijn dat de op de server nog aanwezige informatie door een hacker gebruikt zou worden op de wijze als geschied. Gembird Europe heeft ook gemotiveerd gesteld dat zij beschikt over een voldoende beveiligd automatiseringssysteem, hetgeen Rapoo Shenzen heeft betwist, doch zonder deugdelijke onderbouwing.

Ook de stelling dat Gembird heeft getreuzeld wordt niet gevolgd. Nadat Gembird de hack had ontdekt, heeft ze direct een forensisch onderzoeker ingeschakeld en die had nu eenmaal wat tijd nodig. Plus, het is vrij logisch dat Gembird geen bestellingen zou krijgen op basis van die hackframes. En aangezien het verbod gaat over verkoop, is hiermee dan ook niet het verbod overtreden.

Hoogst merkwaardig. Ik kan uit het vonnis maar half halen wat dat iframe nu precies deed. Ik durf eerlijk gezegd niet goed te zoeken naar andere gehackte pagina’s want ik heb geen zin in een Dark Knight Sparda in mijn blog. Wie helpt?

Arnoud

Hoe weerleg ik een bestelling onder identiteitsfraude?

| AE 6802 | Webwinkels | 41 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngEen lezer vroeg me:

Een aantal weken geleden heb ik mijn werkcomputer aan laten staan, met mijn e-mail ingelogd. Vanaf mijn e-mail heeft iemand in mijn afwezigheid op internet een aankoop gedaan, en ik krijg daar nu een aanmaning van. Het afleveradres is mij onbekend en daar weten ze van geen pakketje. Wat kan ik nu het beste doen?

Het is buitengewoon eenvoudig een bestelling op andermans naam te plaatsen. Als je dan ook nog de factuur naar die ander kunt laten sturen en het pakketje naar iemand bij wie je het makkelijk kunt ophalen, dan is fraude wel heel makkelijk.

Sinds kort is identiteitsfraude strafbaar. Art. 231b Strafrecht bepaalt dat het opzettelijk en wederrechtelijk identificerende persoonsgegevens van een ander gebruiken strafbaar is als je daarmee je eigen identiteit ‘verheelt’ (oftewel verbergt) en die ander nadeel bezorgt. Daar lijkt me wel sprake van bij een bestelling op andermans naam. Je kunt dus aangifte doen.

Ook is hier sprake van oplichting. Er is sprake van wederrechtelijk bevoordelen met gebruikmaking van een valse naam, art. 326 Strafrecht. Echter, daar zit één lastig punt aan: het is de webwinkel die opgelicht is en niet de eigenaar van de werkcomputer. De winkel is immers een product kwijt. Aangifte doen als computereigenaar is dan eigenlijk niet mogelijk.

Zonder te weten wie deze actie heeft uitgehaald, is het lastig zelf juridische actie te ondernemen. Je kunt de winkel aanschrijven en ontkennen de bestelling ooit geplaatst te hebben. De winkel moet dan bewijzen van wel, en een IP-adres of e-mailadres is een tikje mager daarvoor. Waarschijnlijk zal men het gooien op het feit dat het pakket is aangenomen, maar ook dat is formeel natuurlijk geen echt bewijs. Alleen zal de discussie een lastige worden want de winkel zal waarschjnlijk gewoon het incassotraject opstarten. Dus hoe bewijs je dat dit geen smoesje van een wanbetaler is?

Arnoud

Wie is eigenaar van de data van je Tesla-auto?

| AE 6816 | Innovatie | 9 reacties

tesla-app-data-eigendomElon, ik wil mijn data! Dat blogde ene Espen Andersen (via) naar aanleiding van zijn pogingen om inzage te krijgen in de data die het bedrijf Tesla centraal opslaat over het rij- en parkeergedrag van zijn auto. Je zou zeggen, zijn auto == zijn data, maar zo werkt het niet volgens Tesla: alleen met gerechtelijk bevel kan er inzage gekregen worden.

Data is op zich niets. Ook al verkrijgt een bedrijf data dankzij jouw input hulp, je kunt er niet zomaar een eigendomsrecht op claimen of een kopie van verlangen. (Heel misschien als de data jouw creatieve schepping is, dan zou je auteursrecht kunnen claimen.)

Hier gaat het echter om een specifiek soort data: persoonsgegevens. Data over waar je auto heen gereden is, zegt iets over jou. En wanneer data iets over een persoon zegt, is die data een persoonsgegeven. En dan zijn er meer mogelijkheden.

Iedereen die persoonsgegevens verwerkt, is verplicht daar inzage in te geven wanneer de betrokken persoon zich meldt. Dat staat in alle Europese privacywetten, waaronder onze Wbp in artikel 35:

1. … De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.

2. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Dat van dat ‘schriftelijk’ is wat vervelend, maar op grond van artikel 37 mag je ook in andere vorm (dus elektronisch bijvoorbeeld) het overzicht verstrekken mits een “gewichtig belang” dat eist.

Formeel is er dus geen discussie: als meneer Andersen dat wil weten, dan moet Tesla hem inzage geven in wat ze weten en dat “volledig overzicht daarvan in begrijpelijke vorm” geven. Alleen – welk Tesla? De Noorse vestiging of het Amerikaanse bedrijf dat de servers opereert waar de data naartoe gaat? Ik denk dat als je de wet letterlijk leest, je vrij snel in Amerika uitkomt en het valt niet mee Amerikaanse bedrijven aan Europese wetten te houden.

In de Google-vergeetrechtzaak bepaalde het Hof van Justitie dat Google Spanje verantwoordelijk is voor zoekresultaten door Google Inc met als motivatie dat die Inc uit Californië zo moeilijk aan te pakken is. Daar zit wel wat in maar het voelt wat geconstrueerd. Diezelfde redenering zou je dan hier toepassen om Tesla Noorwegen te dwingen met die data over de brug te komen. Ik hoop dat meneer Andersen hier een punt van gaat maken.

Arnoud

Nederland mag gegevens blijven uitwisselen met NSA

| AE 6828 | Beveiliging, Privacy | 7 reacties

De Nederlandse inlichtingendiensten AIVD en MIVD mogen gegevens blijven uitwisselen met de Amerikaanse NSA, las ik bij Nu.nl. In een loei van een vonnis bepaalt de rechtbank Den Haag dat de samenwerking met buitenlandse inlichtingendiensten een dringende noodzaak in de zin van het Europees Verdrag voor de Rechten van de Mens oplevert, op grond waarvan… Lees verder

Inbeslagname van criminele bitcoins

| AE 6807 | Innovatie, Strafrecht | 20 reacties

In de jacht op crimineel verkregen vermogen heeft het Openbaar Ministerie (OM) er een nieuw wapen bij, meldde het AD onlangs. Men kan bitcoins in beslag nemen als deze door criminele activiteiten verkregen zijn. Er was altijd twijfel of dat wel mocht, maar het OM heeft ondertussen drie gerechtelijke uitspraken verkregen waarin dit werd toegestaan…. Lees verder

Tom Kabinet mag voorlopig tweedehands ebooks blijven verkopen

| AE 6822 | Auteursrecht | 14 reacties

De verkoop van tweedehands ebooks door de Nederlandse website TomKabinet.nl is niet evident illegaal. Dat vonniste de Amsterdamse rechter gisteren. De site had een rechtszaak aan de broek gekregen van het Nederlands Uitgeversverbond, dat meende dat bij tweedehandsebookhandel geen sprake van uitputting zou zijn. Sinds het Usedsoft-arrest weten we dat gedownloade software tweedehands mag worden… Lees verder

Hoe bewijs je nu dat een e-mail is aangekomen?

| AE 6804 | E-mail | 23 reacties

Bewijzen dat een e-mail is aangekomen, ga er maar aan staan. Het valt niet mee met voldoende zekerheid aan te tonen dat iemands mailserver een bericht heeft ontvangen, tenzij men natuurlijk een reactiemailtje heeft gestuurd. Maar in een recente rechtszaak was dit bewijs best belangrijk: per e-mail waren instructies gestuurd over het doorzetten van een… Lees verder

Franse moet schadevergoeding betalen om prominente negatieve recensie

| AE 6813 | Aansprakelijkheid, Meningsuiting, Zoekmachines | 44 reacties

Een Franse rechtbank heeft een blogger veroordeeld tot een schadevergoeding van 1500 euro omdat een negatieve recensie van een restaurant te hoog in de Google-zoekresultaten verscheen, meldde Tweakers gisteren. De recensie was nogal negatief, maar hoewel mijn Frans wat roestig is kan ik er niet echt smadelijke teksten in ontdekken. Helaas is het vonnis niet… Lees verder

Amazon in VS aangeklaagd om beleid in-app aankopen

| AE 6799 | Software, Webwinkels | 7 reacties

De Amerikaanse Federal Trade Commission (FTC) klaagt internetbedrijf Amazon aan vanwege zijn beleid met betrekking tot in-app aankopen, las ik bij Nu.nl. Dit beleid zou het te makkelijk maken dingen te kopen, met name voor kinderen. Na klachten werd er een wachtwoord gevraagd bij aankopen van $20 of meer, en pas een jaar later ook… Lees verder

Incompatibel internet reden voor ontbinding koop smarttelevisie

| AE 6793 | Webwinkels | 21 reacties

Hoe een televisie incompatibel kan zijn met het Nederlandse internet ontgaat me, maar het was in dit vonnis reden om de aanschaf van die televisie te mogen ontbinden. Wel mooi om te zien dat het verwijzen naar de fabrikant ook hier eenvoudig naar de prullenbak verwezen wordt. De winkel die een televisie verkoopt, is verantwoordelijk… Lees verder