Is mijn persoonlijk motto juridisch te beschermen?

Photo by Nathan Dumlao on Unsplash

Een lezer vroeg me:

Ik heb me de afgelopen jaren online geprofileerd met een specifieke slogan of motto, en ben daarmee heel herkenbaar en zichtbaar geworden. Nu wil ik mijn kennis in boekvorm uitgeven, maar ik ontdek net dat er al enkele maanden een semi-concurrent met een zeer vergelijkbare titel op de markt is. Kan ik me ergens op beroepen?
Een motto of slogan mag dan goed werken in je marketing, maar juridisch gezien is het een best lastig iets om wat mee te doen.

Vaak zie ik dat mensen denken auteursrecht te hebben op een slogan, soms zelfs met het ©-teken er bij. Dat is juridisch vrij kansloos: één enkele zin wordt vrijwel nooit als auteursrechtelijk beschermd gezien. En zeker als de ander er een variatie in aanbrengt, houdt het al heel snel op.

Een merkdepot is mogelijk. Je slogan moet dan onderscheidend zijn, in die zin dat mensen de slogan met jóu associëren. Het Hof van Justitie omschreef dat als volgt:

Dit kan in het bijzonder het geval zijn wanneer deze merken niet een gewone reclameboodschap zijn, maar in zekere mate origineel of pregnant zijn, een zekere uitleggingsinspanning vragen of bij het relevante publiek een denkproces in gang zetten.
Dat denkproces moet vervolgens wel bij jou uitkomen, wat mogelijk is door langdurig gebruik – we denken allemaal aan dezelfde persoon als we Tsjakka! horen, bijvoorbeeld. Wereldberoemd in Nederland hoeft niet: ik zou Er vis er een jarig hoera hoera ook een te beschermen merk achten.

Kern van een merk is wel dat je het gebruikt om naar jezelf te verwijzen. Een titel van een boek, hoe zeer dat boek ook met jou geassocieerd wordt, is dus niet geschikt als merk. Dat zou wel kunnen als je een reeks boeken uitgeeft onder een bepaalde groepstitel. Bij juristen is bijvoorbeeld de Tekst&Commentaar een zeer bekende reeks, en dat mag dus een merk zijn. (Andere juristen moeten hun commentaren op wetsteksten dus anders noemen, zoals ik met Artikelsgewijs commentaar.)

Hier gaat het om de titel van een boek die lijkt op een lang gebruikt merk. Allereerst is dan de vraag of dat merk vastgelegd is, zonder depot geen bescherming. Ten tweede is dan de discussie of die concurrent het merk gebruikt, oftewel hoe groot is de variatie, en lijkt het nog genoeg op het vastgelegde merk. En ten derde is de vraag of het merk als merk wordt gebruikt, doet die concurrent of hij je zakenpartner is of wil hij meeliften met jouw bekendheid?

Zonder de namen naast elkaar te leggen (wat in een blog wat onhandig is), is het moeilijk hier een definitieve uitspraak over te doen. In de zaken die ik ken, is voor mij de algemene regel wel ontstaan dat dit niet heel kansrijk is. Mensen hebben zelden een merk, en boeken die (variaties op) andermans slogan gebruiken doen dat zelden op een manier die inbreuk oplevert.

Je kunt natuurlijk een boos mailtje naar de concullega eruit doen, maar als het boek al in de winkel ligt is de kans vrij klein dat die op basis daarvan een terugroepactie organiseert. De beste tegenactie die ik ooit zag, was hard online reclame maken onder de slogan en kleine variaties daarop (toevallig lijkend op de boektitel) en zo de boekenlezers bij jou binnenhalen als klant.

Arnoud

Scarlett Johansson beschuldigt OpenAI ervan haar stem te gebruiken voor ChatGPT

Photo by Jason Rosewell on Unsplash

Scarlett Johanson zegt dat OpenAI haar stem zonder toestemming heeft gebruikt als AI-stem voor ChatGPT, las ik bij Tweakers. De betreffende stem, Sky geheten, leek sterk op de stem van Johansson, maar volgens OpenAI was dat niet bewust. Weinigen die dat geloven, want de stem werd vrij snel daarna weggehaald. Onder juridische druk heet dat dan – maar wat zou dat precies moeten zijn?

Het artikel legt uit:

In een verklaring van Johansson, die door journalist Bobby Allyn op sociale media werd gezet, zegt ze dat Altman haar in september vorig jaar had benaderd om de stem van ChatGPT in te spreken. Naar eigen zeggen sloeg zij dat aanbod toen af. Vlak voor de demonstratie zou Altman haar opnieuw hebben benaderd om haar stem in te spreken, maar voordat ze kon antwoorden, was Sky al gedemonstreerd.
Versie 4o van ChatGPT komt met stembediening en -uitvoer, en de stem Sky is er daar een van. Het is een gekloonde stemacteur wiens identiteit niet bekend wordt gemaakt aldus het bedrijf. Op zich kan dat, de technologie om stemsynthese te doen nadat iemand flink wat zinnen inspreekt is niet nieuw. Dat de vrouwen clichématig moesten klinken ook niet, maar dat terzijde.

Wel opmerkelijk is dat een van de gevraagde stemacteurs diezelfde Scarlett Johanson was. Helemaal als je bedenkt dat zij de stem van de AI insprak in de film herwaar OpenAI-directeur Sam Altman bij de lancering van GPT 4o expliciet naar refereerde. Dat elke gelijkenis met echte gebeurtenissen of locaties of personen, levend of dood, geheel toevallig is, wil er bij mij dan niet in.

Na een stevige brief van Johanssons advocaat werd de stem teruggetrokken. Maar voor mij begint het dan pas: welke juridische basis is er om een claim te leggen?

In Californië – waar dit speelt – zijn er iets meer mogelijkheden dan bij ons. Rechters hebben daar diverse malen geoordeeld dat het specifieke feit van “voice misappropriation” onrechtmatig is wanneer 

a distinctive voice of a professional singer is widely known and is deliberately imitated in order to sell a product, the sellers have appropriated What is not theirs and have committed a tort in California.
Het is dan een korte stap van ‘zanger’ naar ‘acteur’, dus die juridische gestalte zie ik wel opdoemen.

Minstens zo interessant is het argument dat hier een audio-deepfake wordt gemaakt van Johanssen. Dat is voor zover ik kan vinden niet strafbaar – alleen video-deepfakes en dan ook nog eens met het motief van beschamen of beschadigen – maar als bewezen zou worden dat OpenAI, al is het impliciet, de stem van Johanssen wilde laten horen dan ben je daar een heel eind.

In Nederland is er ook geen algemeen strafrechtelijk verbod op audio-deepfakes, maar daar hebben we binnenkort wél artikel 50 van de AI Act dat bij het produceren van deepfakes een duidelijke markering vereist. Dat betekent volgens mij dat het er expliciet bij moet staan, je deepfake ‘Sky’ noemen is echt te weinig.

Arnoud

Mag dat eigenlijk wel, generatieve AI zoekresultaten aan elkaar laten praten?

Photo by Mohamed_hassan on Pixabay

Soms wilt u snel antwoord, maar heeft u geen tijd om alle benodigde informatie bij elkaar te zoeken. Search doet het werk voor u met AI Overviews. Met die marketingblaat maakte Google onlangs bekend dat haar zoekdienst AI gaat krijgen: deze verwerkt resultaten tot een mooi klinkend verhaal. Wat leidt tot de juridische vraag, mag dat eigenlijk wel?

Technisch gezien is “AI Overviews” niet meer dan een herziening van het resultaatscherm. In plaats van een lijst met webpagina’s neemt Google de daarop gevonden informatie en laat een genAI systeem daar een verhaaltje van maken. Dat lijkt vooral handig voor een snel overzicht en het opnemen van de informatie.

Er zit echter een fundamenteel verschil met de ouderwetse lijst. Waar die lijst niet meer doet dan suggereren waar je heen kan gaan, met bij wijze van citaat een paar mogelijk relevante frases, geeft dit verhaaltje al direct het antwoord. Doorklikken is daarmee niet meer nodig.

Dit wringt, omdat zoekmachines altijd juist vanwege die quid pro quo van het aanleveren van bezoekers in ruil voor het mogen scrapen van content als soort-van-legaal zijn gezien onder het auteursrecht.

Een genAI-zoekmachine haalt echter die balans onderuit. Wel alle content binnenhalen, maar niet als hoofdregel mensen doorverwijzen. Dat kost de contentaanbieders dus alleen maar, terwijl ze er niets (of veel minder) voor terugkrijgen.

Alleen: dit is vrij ongrijpbaar, juridisch gezien. Er is nooit letterlijk een uitspraak over geweest. We hebben wel zaken zoals het Zoekallehuizen-arrest (huizenadvertenties) gehad, maar daar ging het om het vertonen van stukjes informatie in zoekresultaatpagina’s, niet om het onderliggende scrapen en opbouwen van een databank met heel internet.

Natuurlijk, we hebben ondertussen diverse nieuwe wetten – de AI Act (bijna), de Digital Markets Act, de nodige aanpassingen aan de Auteurswet, enzovoorts. Maar geen daarvan bevat iets waarmee deze transformatie van zoekresultaten aan te pakken is.

Ja, ik ben een tikje cynisch maar sowieso erger ik me al geruime tijd aan de achteruitgang van de ooit bliksemsnelle en verrassend goed werkende zoekmachine. Als ik dan óók nog de bronsites moet gaan vissen uit een mooi klinkend verhaal dan houdt het wel een beetje op hiermee.

Arnoud

 

Tornado Cash-ontwikkelaar veroordeeld voor maken criminele tool, niks neutrale privacytool

Photo by BilliTheCat on Pixabay

“Met oogkleppen op, geheel voorbijgaand aan het misbruik dat via en door Tornado Cash plaatsvond, is verdachte doorgegaan met het ontwikkelen en exploiteren van Tornado Cash.” Dat laat aan duidelijkheid niets te over: de rechtbank veroordeelt de maker van deze cryptocurrency-tumbler tot 64 maanden cel – niks neutrale privacytool.

Het verhaal begint enigszins dramatisch op 23 maart 2022:

De dag waarop de Lazarus Group zichzelf onrechtmatig toegang bleek te hebben verschaft tot Axie Infinity, een ontwikkelaar van online games op de Ethereum blockchain. Op die bewuste dag wordt door de Lazarus Group ETH, met een waarde van 625 miljoen USD, gestolen. Volgens het OM is een aanzienlijk deel van deze ETH, met een waarde van in totaal bijna 450 miljoen USD, via Tornado Cash witgewassen.
Witwassen is een strafbaar feit, als volgt gedefinieerd in de wet (art. 420bis Sr):
hij die van een voorwerp de werkelijke aard, de herkomst, de vindplaats, de vervreemding of de verplaatsing verbergt of verhult, dan wel verbergt of verhult wie de rechthebbende op een voorwerp is of het voorhanden heeft, terwijl hij weet dat het voorwerp – onmiddellijk of middellijk – afkomstig is uit enig misdrijf;
De betreffende Ether was afkomstig uit misdrijven, en werd via Tornado Cash verhuld. Het doel van dergelijke systemen – ook wel tumblers geheten – is om het moeilijk te maken de afkomst van het geld dat eruit komt te achterhalen. Dit gebeurt door allerlei munten met elkaar te mengen en te splitsen, vandaar de term.

Ik probeer dit zo neutraal mogelijk te beschrijven. Zoals ik bij de arrestatie van deze meneer blogde:

Maar als ik heel eerlijk ben, ik heb grote moeite een legitieme toepassing hiervoor te bedenken. Want ja ik vind dan “het is een neutrale tool waarmee je je privacy beschermt” toch een tikje te generiek als verweer. Of nou ja: naïef. Zeker als ik dan lees dat “minimaal één miljard dollar” (FIOD) van de zeven miljard doorvloeiend cryptogeld vrij zeker crimineel is (14%, andere bronnen komen bij 25%). Dan verwacht je iets meer in de reactie dan obligate opmerkingen over grondrechten.
Meer dan die obligate opmerkingen kwamen niet los tijdens de rechtszaak:
De intentie van de ontwikkelaars van [crypto-systeem] was nooit het overtreden van de wet of het faciliteren van criminele activiteiten, maar was het bieden van een legitieme privacy oplossing voor een groeiende behoefte in de cryptogemeenschap. [crypto-systeem] is daarmee een privacy tool die in een legitieme behoefte wil voorzien. Het is aan de gebruiker om deze software niet te misbruiken voor illegale doeleinden.
De rechter gelooft hier dus geen bal van. De iets juridischer discussie is wie er precies witwast – de persoon die er uit misdrijf verkregen munten in stopt en wit geld terugkrijgt, of de operator van de dienst? Die was niet triviaal, omdat het systeem opgezet is met smart contracts, zelfstandig opererende computerprogramma’s.

De rechtbank oordeelt toch dat je dit aan de verdachte kunt toewrijven:

[V]erdachte, [medeverdachte 1] en [medeverdachte 2] zijn de bedenkers, de makers en de uitvoerders van [crypto-systeem]. Daarmee zijn zij ook verantwoordelijk voor de (gevolgen van de) werking van deze tool. Het autonome, onveranderlijke en niet te stoppen karakter van de smart contracts werkt in dit verband niet disculperend. Dat is immers geen toevallige omstandigheid. Deze eigenschappen zijn het gevolg van bewuste keuzes van de ontwerpers. [crypto-systeem] werkt zoals het is bedacht. Naar het oordeel van de rechtbank kan verdachte daarom worden aangemerkt als pleger van de door [crypto-systeem] uitgevoerde witwashandelingen.
In december 2020 verschoof het beheer naar een zogeheten DAO: een Decentralized Autonomous Organisation, oftewel de gemeenschap van enthousiastelingen rondom de software. Daarbij werd er gedecentraliseerd gestemd, zij het dat bepaalde dingen onveranderlijk vastlagen in die smart contracts. Bovendien had de verdachte met zijn medeverdachten zo’n 30% van de stemmen, zodat hij hoe dan ook nog een forse vinger in de pap hield bij wat de software deed.

Blijft over of de verdachte dit alles opzettelijk deed – dus opzet op het witwassen.

Gelet op dit alles was het naar het oordeel van de rechtbank vanaf het begin voorzienbaar dat in [crypto-systeem] uit misdrijf afkomstige Ether zouden worden gestort, vanwege het verhullende effect van [crypto-systeem] . Dit is ook daadwerkelijk veelvuldig en in grote mate gebeurd. Verhullen is de facto steeds een kernactiviteit van [crypto-systeem] geweest. De kans dat de in [crypto-systeem] gestorte Ether van misdrijf afkomstig zouden zijn, was dan ook aanmerkelijk.
Zoals juristen dat zeggen, het aanvaarden van een aanmerkelijke kans is een vorm van opzet – voorwaardelijke opzet, om precies te zijn.

Het helpt natuurlijk niet als in de pers je dienst veelvuldig neergezet wordt als witwasdienst, en als de politie met enige regelmaat in de chat hangt vanwege criminele transacties en wat je daaraan gaat doen. En nee, dat is geen bewijs dat je crimineel wilde handelen, maar als je zulke dingen weet en je doet vervolgens niets om het criminele handelen van je klanten te stoppen, dan komt er een punt dat de rechter denkt, eigenlijk vond je het wel prima, je aanvaardde die situatie. En dan ga je voor de bijl.

Arnoud

 

ACM beboet Epic voor oneerlijke praktijken gericht op kinderen in Fortnite

Photo by Joshua Hoehne on Unsplash

De Autoriteit Consument & Markt (ACM) beboet gameontwikkelaar Epic Games International voor oneerlijke handelspraktijken gericht op kinderen in het spel Fortnite. Dat meldde de toezichthouder begin deze week. De ACM zag onder meer dat kinderen in het spel met teksten als ‘Get it now’ of ‘Buy now’ werden opgeroepen tot het doen van aankopen. En damanie, zouden ze in Brabant zeggen.

Iets formeler: het is een zwartelijst-agressieve handelspraktijk (art. 6:193i BW) om

kinderen in reclame er rechtstreeks toe aanzetten om geadverteerde producten te kopen of om hun ouders of andere volwassenen ertoe over te halen die producten voor hen te kopen;
En dat is natuurlijk precies wat je doet met zo’n letterlijke aanprijzing in een spel dat nadrukkelijk op kinderen (18-minners) gericht is.

Maar het is niet alleen een iets te assertieve “kopen kopen nu nu” aanprijzing. De ACM zag structurelere problemen, zo lees ik in het Sanctiebesluit:

Bij het aanbod in de Item Shop wordt onder andere gebruik gemaakt van timers (in combinatie met roulerend aanbod). Timers duiden op een beperking in tijd om te beslissen over een aanbod. Het roulerend aanbod na afloop van de timer wijst op (kunstmatige) schaarste. Kinderen zullen logischerwijs denken dat items in de Item Shop na afloop van de timer niet meer beschikbaar zijn en dat kan gevolgen hebben voor hun aankoopbeslissing.
Zo’n manier van druk uitoefenen is ook een vorm van agressief of oneerlijk handelen als bedrijf jegens consumenten. De ACM citeert onderzoek dat laat zien dat schaarste leidt tot snellere koopbeslissingen, en dat bij kinderen fear of missing out een zwaardere factor is die meeweegt dan bij volwassenen. Oftewel, kinderen gaan onzindingen kopen omdat er een klok afloopt:
Schaarste leidt volgens John, Melis et al. tot een voorkeur onder kinderen voor unieke, hedonistische producten zonder functionele eigenschap (zoals cosmetische items of dansjes en ‘moves’ voor characters) omdat meer schaarste gepaard gaat met meer FOMO en omdat kinderen dergelijke schaarse producten gebruiken om zich uniek te voelen.
Het is zeer verfrissend om een juridisch bindend besluit zo nadrukkelijk bij onderzoek en literatuur aan te zien sluiten. Ik weet niet waarom maar het gebeurt niet vaak dat er niet-juridische bronnen worden geciteerd in besluiten zoals deze.

Men noemt nog aanvullende overwegingen, zoals dat de klok om middernacht begint te lopen, dat willen opvallen en differentiëren bijzonder zwaar weegt bij kinderen en dat je onder sterke tijdsdruk staat om te kiezen zodat je niet geëlimineerd te worden in het spel terwijl je stond te treuzelen in de winkel.

Epic was het er natuurlijk niet mee eens: die literatuur was allemaal anekdotisch, een deel was pas na de onderzoeksperiode gepubliceerd en bevindingen worden verder doorgetrokken dan zou mogen. Daar laat de ACM geen spaan van heel.

Wat er met name misging met die timers, was dat ze de indruk wekken dat content na 24 uur verdween terwijl dat niet daadwerkelijk zo was. Na afloop van de timers ververste en veranderde het aanbod, maar dingen konden dan goed blijven staan, zij het op een andere plek. Inderdaad, die kledingzaak die al zes maanden “opheffingsuitverkoop” heeft of de dumpstore met elke week alles nú met 50% korting.

Alles bij elkaar ziet de ACM een duidelijke serie overtredingen en legt ze ruim een miljoen euro boete op. Ook krijgt Epic een aantal bindende aanwijzingen. Zo moet men voortaan per item aangeven wanneer het weggaat uit de shop en moet een langere tijd dan 24 uur worden gehanteerd (Epic is al naar 48 uur, en dat is prima). Als laatste komen er “cabined accounts“, waar ouders van minderjarigen effectieve controle op aankoopgedrag en dergelijke kunnen uitoefenen.

Arnoud

 

 

 

Franse toezichthouder beboet Google wegens trainen AI op nieuwsberichten

Photo by Patrick Tomasso on Unsplash

De Franse toezichthouder legt Google een boete van 271 miljoen dollar op wegens auteursrechtschending op generatieve AI, las ik bij CIO Magazine. Niet precies: het is geen schadevergoeding of boete voor het overtreden van de Auteurswet, maar wegens een schending van een eerdere schikking rondom toen nog Bard.

Zoals het artikel nader uitlegt:

De Autorité de la concurrence zei woensdag dat de zoekgigant niet heeft voldaan aan een schikking uit juni 2022 over het gebruik van nieuwsverhalen in zijn zoekresultaten, Nieuws- en Discover-pagina’s. Google vermeed op dat moment een boete door onder meer te beloven te goeder trouw te gaan onderhandelen over compensatie met nieuwsaanbieders voor hun inhoud.
Deze schikking betrof een breder onderzoek naar vermeende auteursrechtinbreuk door Google met hun News-dienst. De discussie was toen of het overnemen van snippets en kleine afbeeldingen telt als inbreuk, citaatrecht of iets anders.

Over zo’n dispuut kun je schikken, en dan kun je allerlei afspraken maken. En als je daarbij niet uitkijkt dan komen die afspraken terug in een geheel andere context:

With regard to “Bard”, the artificial intelligence service launched by Google in July 2023, the Autorité found in particular that Bard had used content from press agencies and publishers to train its foundation model, without notifying either them or the Autorité. Google subsequently linked the use by its artificial intelligence service of the content concerned to the display of protected content, by failing to propose a technical solution for press agencies and publishers to opt out of the use of their content by Bard without affecting the display of content protected by related rights on other Google services, thus obstructing the ability of press agencies and publishers to negotiate remuneration.
Voor mij is met name dat “technical solution” heel relevant: Google zal nu een opt-out moeten gaan ontwikkelen voor Franse nieuwsdiensten. Dat kan zo simpel zijn als duidelijk maken hoe men hun aparte AI-scraper bot kan weren met een robots.txt-bestand (want het zou oneerlijk zijn om als je daarmee ook de gewone Googlebot zou weren).

Interessanter is als men een nieuw protocol ontwikkelt (ai.txt?) waarmee je als uitgever kan aangeven dat data mining voor AI-training niet toegestaan is. Dat zou dan bredere consequenties hebben, omdat onder de Europese auteursrechtregels tekst- en datamining (TDM) is toegestaan op beschermd werk tenzij dit machinaal leesbaar is voorbehouden. Tot nu toe is er geen enkele standaard op dit gebied, en machineleesbaarheid bestaat niet zonder standaard.

Arnoud

 

Gaat Volkswagen Porsche automodellen van de markt halen vanwege de EU cybersecurity regels?

Photo by Pixabay on Pexels

Nieuwe EU-regels voor cyberbeveiliging zorgen ervoor dat autofabrikanten oude modellen mijden, las ik bij Deutsche Welle (DW). Het verhaal duikt op meerdere plekken op: De Volkswagen Up en T6.1, en bij Porsche de Macan, Boxter en Cayman-modellen, worden stopgezet zonder een directe opvolger “vanwege strengere EU-cyberveiligheidseisen”. Hoe zit dat?

Het klopt dat zowel Volkswagen als Porsche modellen niet langer in productie houden, en daarbij cybersecurity als reden citeren:

VW brand chief Thomas Schäfer told dpa [Deutsche Presse-Agentur, AE] the measures were necessary due to the high compliance costs. “Otherwise, we would have to integrate a completely new electronic architecture [in the car model], which would simply be too expensive,” he said.
Dit klinkt natuurlijk een beetje als “we worden met onze populaire auto’s weggepest vanwege rare cybersecurity-regels uit het bureaucratische Brussel waar ze geen verstand hebben van innovatie”, een ondertoon waar ik steeds meer een hekel aan begin te krijgen.

Het grappige is wel dat het niet eens gáát om Europese regels – dus wie aan de Cyber Resilience Act of NIS2 dacht, heeft het mis. Helemaal onderaan het DW artikel wordt het correct genoemd: het is UN R155/R156, de Cyber security and cyber security management system definitie van de UNECE. Die regels zijn er al even, maar het is 1 juli 2024 dat problematisch gaat worden:

From July 2022, manufacters in the EU, obtaining approval for new vehicle types, must comply with this Regulation. The obligation will extend to all the new vehicles sold in this territory from July 1st, 2024.

To obtain the cybersecurity certification, manufacturers must show that their models are cyber protected against 70 vulnerabilities. This list of risks to avoid includes potential cyber-attacks during the whole process: development, production, and post-production of the vehicle, so those models that get the certification will be protected throughout their entire life cycle.

De kern is dus dat Volkswagen en Porsche het bij deze modellen sinds 2021 (inwerkingtreding R155) niet waardevol genoeg vonden om te investeren in een adequate cybersecurity, en daarom per 1 juli 2024 moeten stoppen met deze modellen. Dat is ook weer wat kort door de bocht (haha), want in de standaard staat letterlijk:
However, for type approvals prior to 1 July 2024, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cybersecurity was adequately considered during the development phase of the vehicle type concerned.
Hieruit haal ik dat VW en Porsche met deze oudere modellen alleen hoeven te laten zien dat er adequaat nagedacht is over cybersecurity ten tijde van het ontwerp (2007 voor de Up, 2014 voor Porsche). Mogelijk dat zaken als die sleutelhack uit 2016 hierin meewogen.

Arnoud

 

 

 

 

Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?

Photo by Austin Chan on Unsplash

Een lezer vroeg me:

Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?

Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.

Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.

Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.

Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.

Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.

(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)

Arnoud

 

Mag je een tshirt aanhebben met een stopteken daarop? (Wetende dat AI auto’s dan gaan stoppen.)

(bronvideo)

Mag je van de wet een tshirt met een stopbord (B07) erop dragen op straat? En maakt het dan uit of je weet dat er zelfrijdende auto’s in de buurt zijn die dan gaan stoppen? Vele mensen stuurden me de video van het plaatje hiernaast, waarin een meneer in San Francisco precies dat uitprobeert.

Een sleutelcomponent van zelfrijdende auto’s is beeldherkenning, specifiek het herkennen van verkeersborden, -lichten en dergelijke. Herken je een stopbord (B07), dan moet je stoppen. Duh.

Deze meneer had kennelijk een hekel aan zelfrijdende auto’s en begon dus een tshirt (en rugzak) met daarop een officieel stopbord te dragen. Auto’s reageren daarop, want die zien het verschil niet met een bord aan een paal.

In Nederland hoort dat zo: verkeersdeelnemers moeten gehoor geven aan een verkeersteken/verkeersbord dat gebod of verbod inhoudt, ook wanneer blijkt dat plaatsing daarvan (nog) niet berust op geldig verkeersbesluit. Het staat niet ter beoordeling van weggebruikers of een verkeersbord overeenkomstig voorschriften en terecht is geplaatst.

Mijn enige twijfel is of een bord op een tshirt telt als een “verkeersbord”. Het RVV 1990 specificeert niet dat een bord aan een paal moet hangen, of zelfs maar op ijzer geschilderd moet zijn. Dit zou dus betekenen dat ook die shirts met 50 (jaar) erop een “verkeersbord” zijn, iets waar ik toch moeite mee heb.

Tegelijkertijd kan deze man een boete krijgen voor het veroorzaken van potentieel gevaar (art. 5 WVW), want menselijke bestuurders zullen het shirt negeren en niet vermoeden dat zelfrijdende auto’s anders gaan handelen.

Wat ik me vooral afvraag is of je dit als een gebrek aan datagovernance kunt zien in het ontwerp van de auto’s. Had men dit mee moeten nemen bij het opzetten van de dataset met verkeersborden?

Arnoud

 

Mag je andermans bedrijfsnaam in je emailadres gebruiken?

Photo by OpenIcons on Pixabay

Via Reddit:

[Ik gebruik] andermans bedrijfsnaam in mijn emailadres,  bijvoorbeeld: reddit@ed_random.bla. … Nu vertelde iemand mij dus dat dit niet mag en dat zo’n bedrijf hier melding van zou kunnen maken. Dat vind ik interessant, en ik ben benieuwd waar ik daar meer over kan lezen. Ik snap dat impersonatie verboden is, maar dat doe ik dus niet want ik doe mij niet voor als iemand van het bedrijf, mijn domeinnaam is niet verborgen en lijkt ook niet op die van het bedrijf.
Het is een bekende truc: gebruik niet overal hetzelfde mailadres, maar varieer dit. Daarmee kun je bij een datalek of doorverkoop van je mailadres achterhalen welke partij hiervoor verantwoordelijk is.

De makkelijkste manier om dit te doen, is door de naam van de betreffende partij te gebruiken. Ik zie diverse mensen die hier reageren met een mailadres zoals “iusmentis@example.com”. Op de blog van mijn kantoor zouden ze dan “ictrecht@example.com” gebruiken, bijvoorbeeld.

Dat gaat goed als je je eigen domeinnaam hebt, want dan kun je (zoals ook de vraagsteller) het systeem zo instellen dat alle mailtjes in je eigen inbox komen, ongeacht wat er voor het @-teken staat. Als je dat niet hebt, is gebruik van het + teken een goed alternatief: wim.tenbrink+iusmentis@example.com komt bij veel mailsystemen gewoon in de mailbox van Wim.

Als die naam een merknaam is (wat voor de hand ligt), dan kan ik me voorstellen dat iemand denkt, is dat geen merkinbreuk. Zomaar iemands merk gebruiken, het zou verboden moeten worden. Maar nee, dit is echt legaal, al is het maar omdat je de merknaam alleen passief en privé gebruikt in een registratie of aanvraag.

Pas als de merknaam ergens zichtbaar is (je usernaam dus, op Reddit) dan kunnen we een juridische discussie starten of hier wellicht sprake is van inbreuk door jezelf voor te doen als (geaffilieerd aan) de merkhouder.

Arnoud