Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

| AE 1540 | Informatiemaatschappij, Security | 23 reacties

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

Deel dit artikel

  1. Jammer dat de rechter kennelijk niet weet wat hacken is.

    Internet is gebouwd door hackers, is zelf een hack en was zonder hacken niet tot stand gekomen. Internet is niet vrij van hacken, en dat zou je ook zeker nooit moeten willen.

    Nou weet ik best dat “de media” hacken synoniem hebben gemaakt aan computercriminaliteit, maar ik vind dat een rechter daar boven moet staan, en niet door z’n onzorgvuldige taalgebruik een heleboel vredelievende technici moet beledigen.

    Inhoudelijk: ik vind het wel erg interessant dat een record in een database kennelijk aangemerkt kan worden als eigendom, en dat het op een bepaalde manier veranderen van dat record kan worden gezien als diefstal, en ook nog echt strafbaar kan zijn. Technisch gaat ’t om niet veel meer dan een plakkertje met iemands naam. Als ik nou m’n fiets in een loods zet met ’n plakkertje “Juerd” er op, en iemand anders vervangt dat door een plakkertje met z’n eigen naam, terwijl ‘ie de fiets verder niet aanraakt… heeft ‘ie dan mijn fiets gestolen?

  2. Als ik nou m???n fiets in een loods zet met ???n plakkertje ???Juerd??? er op, en iemand anders vervangt dat door een plakkertje met z???n eigen naam, terwijl ???ie de fiets verder niet aanraakt??? heeft ???ie dan mijn fiets gestolen?

    Wel als jij daarna je fiets niet meer kan gebruiken en degene die het stickertje heeft geplakt wel. Volgens jouw redenatie zou het inbreken op een bankrekening en al het geld overschrijven naar je eigen reactie dan ook niet strafbaar zijn, aangezien er slechts een record in een database wordt aangepast?

  3. Precies. Het gaat niet om stickertjes maar om de macht over het object kwijtraken. Bij fietsen raak je die kwijt doordat hij niet meer fysiek onder je beheer is (en wel bij een ander). Een huis zou je kunnen stelen door de akte van eigendom op je naam te kunnen zetten (hoewel dat met notarissen en dergelijke nogal complex wordt).

  4. Toon, Arnoud, bedankt voor de toelichting over die extra voorwaarde die ik over het hoofd zag.

    Binnen deze definitie is een domeinnaam ook eigendom. In Nederland is er altijd heel voorzichtig gesproken over “houders” van domeinnamen, in plaats van “eigenaars”. Maar je raakt als de registratie op andermans naam wordt gezet wel degelijk de macht erover kwijt.

    Arnoud, misschien is “object” nog niet ruim genoeg, want dat lijkt me ook een fysiek fenomeen. Een virtueel meubel past in mijn gedachtegang nog wel binnen de definitie van een object, want het is een virtuele versie van een fysiek ding. Maar van iets als een domeinnaam of een user account of een bankrekening komt het raar over als je dat objecten noemt. Of misschien ligt dat aan mij.

  5. Nee, een domeinnaam is een dienst die door de SIDN aan de afnemer geleverd wordt afsluit met de SIDN (andere Tld’s kunnen onder andere regels vallen), zie ook http://www.sidn.nl/ace.php/p,727,5693,320637268,AVhoudersdef10NLpdf . Juist omdat dit expleciet als dienst gedefinieerd is, lijkt het me niet dat een rechter zich er aan zal wagen dit te gaan betitelen als goed (maargoed, met sommige rechters weet je het nooit natuurlijk).

  6. En toch, dit soort dingen ‘diefstal’ en ‘goederen’ noemen stuit me erg tegen de borst.

    Bij het originele (Runescape) vonnis waaraan je refereert was er eigenlijk nooit sprake van ‘eigendomsoverdracht’, volgens de voorwaarden is de de uitgever van het spel eigenaar van alle voorwerpen binnen het spel. Met een vonnis voor bedreiging in de hand had eenvoudig de ‘overdracht van dienst’ kunnen worden teruggedraaid, alles binnen het spel.

    Ook hier kan je met het computervredebreukvonnis in de hand eenvoudig naar Habbo lopen om de ‘diefstal’ terug laten te draaien.

    Opent dit vonnis niet de deur voor een aangifte voor diefstal als je iemand neerschiet binnen spellen als Halflife? Ook dan kan je immers ‘items’ kwijtraken.

  7. Sterker nog, als je virtuele dingen hetzelfde gaat behandelen als fysieke dingen, dan zou iemand neerschieten in een spel zelfs nog wel als moord bestempeld kunnen worden… Maar dat klinkt dan weer zo bezopen dat ik dat niet snel zie gebeuren, dus een virtueel mens is geen mens. Maar een virtueel ding is wel een ding. Wat zou het relevante onderscheid tussen mens en ding zijn? Houdt het recht rekening met respawnen? 🙂

    Dit is een heerlijk onderwerp om over te filosoferen.

  8. Een virtueel ding kun je bezitten, het kost tijd of geld om het te bemachtigen en als het afgepakt wordt, ben je het kwijt. Waarom is het kwijtraken van het Amulet van Yendor minder erg dan het kwijtraken van je Leatherman?

    Ik zie het nog wel een keer gebeuren dat iemand langs onreglementaire weg een avatar vermoordt en dan een claim tegen zich krijgt. Weet je wel hoe veel het kost om een level 70 Mage te krijgen? Hm, dat doet me denken aan die ene South Park aflevering.

  9. @Mrten: ik denk dat je onderscheid moet maken tussen reglementaire en buitenreglementaire acties. Als wij gaan voetballen, dan mag jij de bal van me afpakken zonder dat de politie daar 1 seconde aandacht aan besteedt. Maar ren je met de bal naar huis, dan pleeg je toch echt een misdrijf.

    Hier (en in de Runescape-zaak) was het ook geen kwestie van iemand bevechten en winnen. Als je dat lukt, mag je hem looten. Maar iemands wachtwoord bemachtigen en zo zijn avatar beroven vind ik van een heel andere orde.

  10. @Arnoud: als je binnen een virtuele omgeving iemand virtueel kan vermoorden, dan is dat kennelijk reglementair. Geen enkele reden om “moordenaar” buiten het spel om aan te pakken, hoogstens de uitgever van het spel (die dat uiteraard uitsluit in de voorwaarden van gebruik). Waarom zouden alle wetten uit de echte wereld op moeten gaan in een virtuele omgeving? Want dat is wat je voor lijkt te staan. Soms heb je in zo’n spel gewoon pech, net als in het eggie.

    Je focust imho teveel op het ontnemen van het virtuele object, en je vergeet in rekenschouw te nemen dat de handelingen binnen de virtuele omgeving (in beide voorliggende gevallen) eenvoudig, volledig en zonder neveneffecten terug te draaien zijn door de lokale $DEITY (Habbo/Jagex). Overtreding begaan binnen virtuele wereld, straffen binnen de virtuele wereld. Niet werelden door elkaar gaan halen, want strafmaten in de echte wereld hebben hele andere grondslagen.

    Je verweer met de voetbal faalt wat mij betreft ook om die reden, je haalt twee werelden door elkaar (binnen het spel, buiten het spel).

  11. @Mrten: als je binnen het spel erin slaagt om iemands spullen af te pakken, dan is dat reglementair en daarmee per definitie geen diefstal in de zin van de wet. Net zo goed als wanneer je iemands avatar weet te vermoorden. Ga je cheaten, dan wordt het een grijs gebied, maar ik denk dat je ook dan nog wel buiten de strafwet blijft. Vergelijk het toebrengen van lichamelijk letsel bij een overtreding in een sport. Dat “mag” althans je wordt lang niet zo snel vervolgd. Als ik iemand op straat net zo hard tackle als ik laatst zag bij het voetballen, dan kan ik zes maanden de cel in. Hij krijgt een rode kaart en dat is dat.

    Hier werd het afpakken geregeld buiten het spel om. Men phishte de wachtwoorden (Habbo) of bedreigde de eigenaar met fysiek geweld (Runescape). Dat op dat moment de strafwet komt kijken, vind ik niet meer dan normaal.

  12. @Arnoud: De situaties die je schetst zijn nauwelijk gelijk. Waarom ga je met een ‘normaal uitgevoerde tackle met verkeerde resultaten’ op het veld niet het gevang in maar met dezelfde tackle op straat wel? Omdat het slachtoffer op straat hoogstwaarschijnlijk niet meedeed met het spel en dus geen bewuste keuze voor de risico’s heeft genomen.

    En uiteraard komt de strafwet om de hoek kijken, voor het misdrijf dat je hebt begaan in de echte wereld, bedreiging/chantage respectievelijk computervredebreuk. Triggerhappy kijken waar je het strafrecht nog meer op toepassing kan verklaren komt wellicht voort uit een nobel streven (of op zoek naar een hogere strafmaat), maar the road to hell is paved with good intentions. Wat helpt het ons verder dat we nu “goed” moeten definieren als “fysieke en virtuele objecten”?

    Als een virtueel goed geen 1:1 koppeling heeft met een fysiek goed dan ‘bestaat’ het niet en kan je het bijna per definitie niet stelen, niemand lijdt immers schade.

  13. Maar Mrten, ik ben dat virtuele goed net zo goed kwijt als dat fysieke goed toch? Waarom is dat laatste erger? Beiden kostten me tijd, geld of moeite om te vergaren, en ik kan er niet zomaar een vervangende voor oppikken. En de manier van kwijtraken was niet diegene die ik mocht verwachten. Dat was geen risico waar ik voor koos.

    Natuurlijk kan het beheer de ‘diefstal’ terugdraaien, maar hoe moeten zij nagaan wat er gebeurd is? Zij hebben geen mogelijkheden om te kijken wie van de twee de waarheid spreekt: de speler die het object kwijtraakte of de speler die het oppikte. Hoe zien zij het verschil tussen een domme fout en een speler die onder bedreiging handelt? Nee, ik vind de keuze om het diefstal te noemen en de politie erop te zetten lang zo slecht nog niet.

  14. Je bent het niet kwijt, want je had het om te beginnen niet 🙂

    Maar met een gerechtelijke uitspraak voor computervredebreuk (twee keer; keertje hotmail, keertje habbo) of zelfs bedreiging in je hand lijkt het me het geen probleem om die handelingen terug laten te draaien.

    Denk je dat de handelingen bij Habbo en Runescape nu niet zijn teruggedraaid?

  15. Ik vraag me af wat de gevolgen van deze uitspraken (Habbo en Runescape) zijn voor het burgerlijk recht. Virtuele objecten kunnen goederen zijn in de zin van het strafrecht, maar is er ook sprake van virtueel eigendom in de zin van het BW? In de meeste spellen (Second Life en dergelijk daar gelaten) is er sprake van een licentieovk tussen producent en gamer.

    Any thoughts?

  16. Zó, dus virtuele meubeltjes gappen op Habbo is dus strafbaar geworden, dat is eigenlijk best wel jammer, want dát ging nou juist zo lekker makkelijk.

    Je kiest een poppetje welke een leuke overtollige voorraad meubi heeft en een niet alledaagse naam, bijvoorbeeld: Bill-y, je googled ff en vindt het bijbehorend e-mail(inlog)adres.

    Habbo zet die mogelijkerwijs zelf op internet, althans een (nu ex)medewerker, met naam, toenaam en (voor de vorm, hackkersforum)adres erbij.

    De Nederlandse ???bemanning??? van de Habbo-helpdesk is per mei 2011 ontslagen, die helpdesk is nu gestationeerd in Costa Rica, waar de voertaal een soort Spaans is.

    Indien je Habbo-helpdesk om hulp vraagt krijg je random antwoord, dat wil zeggen: je krijgt een automatisch standaard pre-fab mail, (eigen-schuld-dikke-bult), of maak je geen zorgen, vul deze vragenlijst maar in, en/of je krijgt helemaal geen antwoord meer.

    ENNEUH ??? als ik het wachtwoord ???vergeten??? ben van m???n volgend slachtoffer(tje) dan druk ik toch op het knopje wachtwoord vergeten ? ??? dan krijg ik keurig een schermpje met de vraag naar welk adres mogen we het u toesturen ?

    Nou, u begrijpt: dat is kaasi, zeg nou zelf, das pas kindervriendelijk.

    Maar mijn vraag is: kunnen gedupeerden verhaal halen op Habbo, het is uiteindelijk een miljoenen(binnenharkend)bedrijf waar je als enkeling weinig tegen begint. Zo ja, hoe dan ? je moet vooraf zorgen voor een strategie tegen lastige vragen, nietwaar ?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS