De security scan als strafbare poging tot computervredebreuk

| AE 7233 | Hacken | 3 reacties

Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk? Een vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken.

Een security scan kan van alles omvatten. Uitproberen of een invulveld gevoelig is voor cross-site scripting. Directory traversals zoeken. Of een portscan uitvoeren, waarbij je per poort gaat kijken welke software daar draait en of dat kwetsbare software is. Dit kun je puur uit nieuwsgierigheid doen. Of omdat je bezig bent met een groot onderzoek hoe kwetsbaar allerlei systemen zijn. Maar het kan ook overkomen als een opmaat tot inbreken – ‘s nachts om drie uur aan een huisdeur rammelen komt ook best wel over als een opmaat tot insluipen in dat huis.

In deze zaak had de verdachte verklaard dat hij uit nieuwsgierigheid allerlei sites had gescand met de vulnerability scanner Acutenix. Er was in de krant allerlei ophef over onveilige sites en hij wilde wel eens weten hoe dat zit.

Niet geloofwaardig, aldus de rechtbank:

Door meermalen het computersysteem van [bedrijf 2] te ‘scannen op zwakheden’ met de programma’s waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvormen niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [bedrijf 2].

Wat exact de bewijzen zijn voor deze conclusie, kan ik niet halen uit het vonnis. Mogelijk speelde ook mee dat hij had gezegd dat het een schoolopdracht was, wat niet waar was. Dan sta je natuurlijk al meteen met 3-0 achter in de verdere discussie. En het lijkt erop dat hij naast het uitproberen ook data heeft gekopieerd, zo staat in de tenlastelegging:

immers heeft hij, verdachte, een of meer bestand(en) en/of gegevens gekopieerd naar zijn eigen computer, te weten 500 gebruikersnamen en wachtwoorden om in te loggen op de webwinkel van de genoemde groothandel;

Ik kan begrijpen dat het “ik wilde alleen uit nieuwsgierigheid scannen” niet heel geloofwaardig is als je ook inloggegevens bewaart. Een nieuwsgierige zou genoegen nemen met het uitslagscherm van de scanner lijkt me.

Tegelijk kan ik me ook voorstellen dat je bij zo’n scan data downloadt als deel van het proces, en daar vervolgens niet meer naar omkijkt. Dan heb je dus een probleem want je hebt zwaar de schijn tegen in zo’n situatie. Dus áls je vreemde systemen wilt gaan scannen omdat je nieuwsgierig bent, zorg er dan voor dat je niets downloadt, hoe nieuwsgierig je ook bent.

Arnoud

Hoe bewijs je je gelijk in een online game?

| AE 7236 | Internetrecht | 6 reacties

persoon-gebruiker-verbannen-bannedEen lezer vroeg me:

Laatst werd ik geband in een online spel, omdat ik volgens de beheerder onfatsoenlijk taalgebruik had gebruikt. Op mijn vraag wat dan, kreeg ik te horen dat logs vertrouwelijk zijn maar dat zij volgens de spelvoorwaarden altijd gelijk hadden. Kan dat zomaar?

Dergelijke situaties kom ik vaak tegen. Het is erg frustrerend voor spelgebruikers om te merken dat ze zomaar ineens verbannen zijn, al dan niet permanent, op basis van bewijs dat ze niet mogen inzien.

We hadden die recente discussie bij hosters die niet willen overleggen met hun gebruikers. Dit is in feite het omgekeerde perspectief: wat doe je als een bedrijf zegt “je zit fout, kickban, toedeledokie”.

Ik heb nog eens zitten denken over welke grond je nu kunt gebruiken tegen zo’n toedeledokie-opzegging. Volgens mij kom je met dit artikel van de grijze lijst een eind:

d. dat de gebruiker van zijn gebondenheid aan de overeenkomst bevrijdt of hem de bevoegdheid daartoe geeft anders dan op in de overeenkomst vermelde gronden welke van dien aard zijn dat deze gebondenheid niet meer van hem kan worden gevergd;

Opzeggen zonder genoemde grond of zonder ernstige grond (“kan niet worden gevergd”) door de gebruiker van de voorwaarden (de dienstverlener dus) is dus verdacht, en de dienstverlener moet dus bewijzen dat hij wél zomaar mag opzeggen zonder genoemde grond of op basis van iets triviaals. Dat geeft hem een achterstand maar een keihard verweer is het niet.

Maar goed, stel er staat iets in de AV van “geen onfatsoenlijk taalgebruik” of “verboden vals te spelen bv. met een bot“en men zegt “onze logs bewijzen dat je dat deed, ernstige en genoemde overtreding, toedeledokie”. Wat dan?

Allereerst is er de vraag of je het bewijs mag inzien. Dat lijkt me vrij evident vanuit mijn juridische onderbuik maar een specifiek artikel heb ik niet. Eisen dat iets gemotiveerd wordt met bewijs, zou ik alleen vanuit de algemene regels van redelijkheid en billijkheid kunnen onderbouwen. Of heel misschien via de Wbp – dan doe je een inzageverzoek voor persoonsgegevens over jou. Men is verplicht je die inzage te geven, maar dat is een apart traject los van de discussie of het bewijs terecht is.

Vervolgens zou je dan tegenbewijs willen leveren. Wellicht maak je filmpjes van alles dat je doet, en kun je die terugkijken om te zien of je werkelijk raar speelgedrag vertoonde. Art. 6:236 sub k BW zegt dat algemene voorwaarden niet mogen bepalen dat de gebruiker geen tegenbewijs kan leveren, of dat het bewijs van de dienstaanbieder altijd bindend is. Er moet dus ruimte zijn voor tegenbewijs.

Heb je geen tegenbewijs, dan houdt het vrij snel op denk ik. En soms ís het ook gewoon een vrije beoordeling; wanneer is taal onfatsoenlijk of wanneer is spelgedrag nu typisch iets voor een bot?

Arnoud

Hoe rechtsgeldig is een foutief toegepaste kortingscode?

| AE 7248 | Webwinkels | 47 reacties

teufel-winter-wonderland-korting-coupon-codeDiverse lezers wezen me op een Tweakersdiscussie over een kortingscode van het Duitse bedrijf Teufel. Die code gaf 50% korting op je bestelling, maar Teufel meldde zich achteraf in de mail met dat dit een vergissing was en of men de spullen even terug wilde sturen. Hoe werkt die variant op het Otto-arrest eigenlijk?

Een basisregel in het recht is dat je pas een koopovereenkomst hebt als beide partijen het eens zijn over wat er moet worden geleverd en wat er moet worden betaald. Als dat niet zo is, dan is er nog één redmiddel: mag de wederpartij er redelijkerwijs op vertrouwen dat het aanbod zo bedoeld was? Dit is waar de toets over “kennelijke typefouten” uit het Otto-arrest op gebaseerd is. Typt men 99 terwijl men 999 bedoelde, dan is het verschil te groot en heb je geen overeenkomst. Typte men 888 terwijl men 999 bedoelde, dan is de kans groot dat je wél gewoon een overeenkomst hebt. Die getallen liggen niet bijster ver uit elkaar.

Hier gaat het om een kortingscode, die een stevige korting van 50% opleverde. Geloofwaardig? Gezien de kerstactie (zie screenshot hierboven, bron) op zich wel, 50% korting is niet gek in een “Winter Wonderland” actie met korte looptijd.

Teufel zegt in de annuleringsmail echter:

Bij deze bestelling werd een actiecode geactiveerd, die weliswaar in ons systeem is aangemaakt, maar niet openbaar is gemaakt. De code is door iemand toevallig ontdekt en o.a. op internet verspreid. Bij het gebruik van de niet vrijgegeven code werd in het bestelproces een foutieve prijs aangegeven.

Ik volg niet helemaal hoe dat kan gebeuren, maar op zich hebben ze daar wel een punt áls het zo is. Dan ontbrak de wil van de verkoper om die korting te geven. Het tegenargument moet dan zijn “maar ik mocht erop vertrouwen dat jij dit wilde, een code van 50% uitgeven”. Alleen dan moet er wel bewijs komen: waar komt die code vandaan, wat zei Teufel bij de aankondiging van de code en welke voorwaarden zaten er eventueel op?

Dat iets technisch werkt, is geen bewijs dat je erop mocht vertrouwen dat het juridisch bindend was. Net zoals wanneer de kortingscode technisch zou werken maar in strijd met de voorwaarden gebruikt werd. Staat er in de voorwaarden bijvoorbeeld “alleen bij bestellingen vanaf €100″ en hij werkt toch bij een bestelling van €50, dan heb je gewoon per definitie pech. Voorwaarden winnen het van implementatie.

Verder had Teufel nog een mailtje gestuurd met daarin de frase “bindende opdrachtbevestiging”. Ik denk niet dat dat veel betekenis heeft: die mail is automatisch gegenereerd, en uit het Otto-arrest blijkt dat je geen rechten kunt ontlenen aan zulke automatische mails, zeker niet als ze wettelijk verplicht verzonden moeten worden:

Otto heeft daarmee enkel bevestigd dat de bestelling van de consument haar heeft bereikt (artikel 3:37 lid 3 BW). Juist omdat bij een bestelling die via elektronische weg wordt gedaan geen direct menselijk contact plaatsvindt, is … wettelijk vereist dat de dienstverlener, in casu Otto, zo spoedig mogelijk via elektronische weg de ontvangst van de bestelling bevestigd (artikel 6:227 c lid 2 BW). Het betreft dus geen ‘opdrachtbevestiging’ doch enkel een ontvangstbevestiging. Een ontvangstbevestiging geeft geen uitsluitsel over de vraag of er al dan niet een overeenkomst tot stand is gekomen.

En als laatste melden sommige mensen dat ze het product gehad hebben en dat Teufel ‘dus’ erkend heeft dat de overeenkomst rechtsgeldig is. Nou, vergeet het maar. Die bestel- en leverprocessen zijn automatisch, en daarmee geen (sterk) bewijs dat men dit daadwerkelijk wilde. De afdeling orderafhandeling gaat niet over de prijzen. Het is natuurlijk buitengewoon slordig, maar als het aanbod of de kortingscode niet geloofwaardig was, dan is er geen rechtsgeldige koop gesloten en dan moet het geleverde terug want daar heb je geen recht op.

(Misschien dat je nog kunt zeggen, never mind die code, ik betaal het verschil bij en koop zo voor het originele bedrag. Maar formeel doe je dan een nieuw aanbod aan Teufel in plaats van ze te houden aan een eerdere koop.)

Wat mij betreft komt de vraag dus zoals altijd neer op: hoe reëel was de kortingscode en waarom mocht je erop vertrouwen dat die code correct en legaal gepubliceerd was?

Arnoud

Nogmaals de rechtsgeldigheid van gebruiksvoorwaarden, EULA’s en zo

| AE 7238 | Contracten | 18 reacties

Een lezer vroeg me: Regelmatig moet ik bij het installeren van apps gebruiksvoorwaarden accepteren. Wanneer is dat nou rechtsgeldig? Gebruiksvoorwaarden, TOS, EULA of hoe je het maar wilt noemen: deze juridische regeltjes zijn altijd goed voor veel ergernis. Met name van het soort “waarom val je me hiermee lastig”. Naar Nederlands recht zijn dergelijke voorwaarden… Lees verder

Als particulier de openbare weg filmen valt onder de privacywet

| AE 7231 | Beveiliging | 18 reacties

Wie met een beveiligingscamera de openbare weg filmt, valt onder de privacywet (Wet bescherming persoonsgegevens) ook als hij dat als privépersoon doet. Dat bepaalde het Hof van Justitie vorige week. Je kunt je niet beroepen op de uitzondering voor “strikt privégebruik” en je moet dus een belangenafweging maken tussen jouw beveiligingsbelang en het belang van… Lees verder

Google News sluit in Spanje na nieuwe wet

| AE 7225 | Auteursrecht, Zoekmachines | 30 reacties

De nieuwssite van Google sluit zijn deuren in Spanje, nadat een nieuwe wet het verplicht maakt om te betalen voor het tonen van fragmenten uit nieuwsartikelen. Dat las ik bij Nu.nl na enig aansporen vanuit de comments hier. Een Spaanse wet Google News is controversieel bij nieuwsuitgevers, omdat ze gerichte snippets van nieuws aanbiedt zonder… Lees verder

De rechtsgeldigheid van een niet te openen pdf-bestand

| AE 7209 | E-mail | 38 reacties

Die kende ik nog niet: “Het is immers algemeen bekend dat er, afhankelijk van bijvoorbeeld het e-mailaccount van de ontvanger of van de apparatuur die hij gebruikt of het netwerk op de plaats van ontvangst, problemen kunnen optreden bij het openen van bijlagen bij e-mailberichten.” Citaat uit een vonnis met een discussie over of een… Lees verder

Nog even over die nieuwe Facebookvoorwaarden

| AE 7214 | Contracten | 26 reacties

Vorige week blogde ik Facebookdisclaimer tegen de nieuwe voorwaarden van de dienst, waarbij Facebook en passant tot een open stad werd uitgeroepen en het bedrijf het Statuut van Rome inzake het internationaal strafgerechtshof om de oren kreeg. Seriously, wtf. Maar wat zijn de nieuwe voorwaarden van Facebook nu en wat betekent dat in de praktijk?… Lees verder

Mag een school-app persoonsgegevens van kinderen naar derden sturen?

| AE 7205 | Privacy, Software | 15 reacties

Digitaal lesmateriaal is iets totaal anders dan gewoon maar een boek op de computer: de software observeert en categoriseert al doende elk kind dat met zulk digitaal lesmateriaal werkt. Dat schreef Karin Spaink vorige week naar aanleiding van een Kamerbrief over allerlei apps en tools die persoonsgegevens van leerlingen bijhouden. Dat roept meteen een belangrijke… Lees verder