Spywareboete DollarRevenue in stand gehouden (vrijwel dan)

dollarrevenue-floepvensters-balken.pngDe OPTA heeft een bedrijf en een persoon onterecht een boete opgelegd voor betrokkenheid bij de DollarRevenue-spywarezaak, meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware als onvoldoende duidelijk werd aangemerkt en je niet langs deze weg legaal software mag installeren. Dat de OPTA dan ten onrechte één BV en één van de directeuren privé had beboet, lijkt me dan meer iets voor de vierde alinea.

De boete werd opgelegd in 2007 vanwege het ongevraagd installeren van software, wat namelijk in strijd is met de Telecommunicatiewet, of beter gezegd het Besluit Universele Dienstverlening en Eindgebruikersbelangen (Bude). Het bedrijf DollarRevenue bood via allerlei affiliates een downloader aan, dat nadat het was geïnstalleerd op de computer van een eindgebruiker, zonder tussenkomst van die eindgebruiker automatisch contact opnam met de DollarRevenue server om daar nog meer software te downloaden. Daardoor kreeg de eindgebruiker een stroom van reclameboodschappen in floepvensters en een extra zoekbalk in de taakbalk van Windows XP, plus nog de nodige narigheid.

dollarrevenue.pngNou mag dat op zich allemaal wel, mits je maar de gebruiker vooraf vertelt wat hij gaat downloaden. Dat was hier niet gebeurd: de software werd via botnets verspreid maar ook als ActiveX control aangeboden. En vanwege dat laatste maakten de DollarRevenue-jongens bezwaar tegen de boete. Bij ActiveX wordt namelijk een EULA getoond, en daar stond het allemaal heus in. Zeker sinds SP2, waarbij Microsoft de informatievoorziening rond installeren van ActiveX controls had uitgebreid.

Daar trapte de verrassed cluevolle rechtbank niet in:

Bij XP SP2 wordt immers uitsluitend algemene informatie verstrekt over de toepassing van ActiveX en wordt er geen informatie gegeven over de doeleinden en plaatsing van de downloader, de loader.exe en de advertentiebundel. Het duidelijk verschaffen van informatie komt neer op de invulling van ‘Name’ en ‘Publisher” in het standaard ActiveX venster. Met betrekking tot de naam is het vermelden van ‘Click here to agree to this download”, zoals bij DollarRevenue, ontoereikend. Deze ruimte dient immers gebruikt te worden om de naam van de software kenbaar te maken. In bijvoorbeeld het ActiveX venster van Adobe Flash Player staat duidelijk om welke software het gaat, namelijk de Flash Player. Dit is met de naam ‘click here to agree to this download niet het geval.

(Een rechter die Flash installeert? Het moet niet gekker worden.)

De DollarRevenue jongens hadden nog wat achter de hand: in de EULA stond deze toch niets aan duidelijkheid overlatende zin:

Carefully read the following license agreement and the partner software application eulas found at the above online sites, because by downloading or installing, registering for, or using the software and/or partner application software, you are consenting to be bound by and are becoming a party to these agreements applicable to your software.

Maar het noemen van een EULA plus verwijzing naar die van anderen is toch bezwaarlijk uit te leggen als voldoende duidelijke uitleg over wat deze software nu gaat doen. Verwijzen naar EULAs van advertentiebedrijven helpt daarbij niet.

Bij andere verspreidingsvormen, zoals via dat botnet of via de silent install optie (bedoeld om de eindgebruiker “een overdaad aan informatieschermen te besparen”, hoe krijg je het verzonnen) en via exploits, werd zelfs helemaal niets in beeld gebracht. Dus hoe dan ook werd artikel 4.1 Bude overtreden.

Na een kort intermezzo over de bevoegdheid (veel gebruikers van deze software woonden buiten Nederland, maar dat bleek niet relevant) maakt de rechtbank vervolgens korte metten met het argument dat het allemaal de schuld van de affiliates was. DollarRevenue verspreidde de software ook zelf, en had bovendien niets gedaan om te controleren dat de affiliates zich netjes zouden gedragen.

Arnoud

20 reacties

  1. Tja, wie gebruikt er ook Microsoft. Gevalletje eigen schuld van de gebruiker. Gebruikers van unix/linux-based systemen hebben geen last van dit soort automatische download en install dingen. Autorijden zonder veiligheidsriem is als internetten op een computer met Microsoft. Microsoft is de enige software die wetgeving nodig heeft voor eindgebruikers om veilig en spyware vrij te kunnen internetten. Dat geeft te denken.

  2. Ik vond die insteek ook al eigenaardig, al zit het OPTA niet mee de laatste tijd. Verder zou het toch wel aardig zijn als er separaat ook nog consequenties zaten aan die installaties via een botnet. Dat gaat toch wel heel ver voor een bedrijf wat zich nota bene op EULAs gaat beroepen.

    (PS; “floepvensters”, leuk!)

  3. @jdk: Tja, als je dan in een Toyate rijdt heb je volgens jouw beredenering ook eigen schuld als de remmen er mee ophouden.

    90% maakt gebruik van een Microsoft OS, je kan de eindgebruikers niet aanrekenen dat er boefjes zijn die daar misbruik van maken. Hetzelfde zou met Linux gebeuren als 90% van de wereldbevolking die zou gebruiken. Je kan misdadig gedrag niet goed praten door te stellen dat het de schuld van de eindgebruiker is….

    Of is geskimd worden ook “eigen schuld dikke bult” en moeten we terug naar cash betalen?

  4. Ik zou het vergelijken met een krakkemikkige Chinese auto: Er wordt gewaarschuwd dat die dingen erg onveilig zijn en door er in te rijden neem je bewust risico. Ook al zullen er mensen onwetend toch in gaan rijden. Of vergelijk het met de kredietcrisis: Er werd al jaren voor gewaarschuwd, echter de massa deed de waarschuwingen af als prietpraat van enkele zonderlinge analisten en men deed niets aan de subprime-hypotheken of bonussen. Op dezelfde manier is het al jaren bekend dat Windows onveilig is, slechts een enkeling nam daar boodschap aan.

    Hoe dan ook, de veiligheid van Windows is hier niet relevant. Deze boeven zijn even schuldig onafhankelijk hoe veilig Windows is. Het feit dat iets slecht beveiligd is betekent niet dat je daar misbruik van mag maken. Net zoals de bankiers verantwoordelijk zijn voor de kredietcrisis, of het toezicht nu faalde of niet.

  5. @Herman,

    Ik denk dat het sowieso een goed idee zou zijn om meer cash te gaan betalen, al was het alleen maar om het net dat kleine beetje moeilijker te maken om elke handeling die we doen te volgen. Want vergis je niet. We maken ons allemaal zorgen om de inzage die politie in justietie willen in ons online gedrag maar toegang tot bankgegevens hebben ze al jaren.

    En de staat is er zelfs niet vies van om gestolen bankgegevens met beide handen aan te pakken met als smoesje. “Wij hebben ze toch niet zelf gestoeln of gekocht?”

    Peter G

  6. @Herman

    Dat is niet de juiste vergelijking die je maakt. 90% van de mensheid maakt – ten gevolge van ondeugdelijk advies en onderwijs – gebruik van software wat inherent onveilig is. Wanneer die 90% van de mensheid Linux/Unix gebruikt is internet automatisch een heel stuk veiliger zonder dat daar wetgeving voor georganiseerd hoeft te worden. Verder is het begrip ‘eigen schuld’ gangbaar in het recht.

    @Daniel, uitlokking is ook een geaccepteerd begrip in het recht. Door onveilige spullen te gebruiken wordt misbruik uitgelokt.

    Wat mij stoort is dat de hele wereld de kwaliteitsloze producten van Microsoft gebruikt, daarmee computer systemen onveilig makend, en dat er ten gevolge daarvan wetgeving nodig is om Internet veilig te krijgen. Microsoft dient aangesproken te worden op het feit dat het software levert wat bovenstaande onveiligheden ingebakken heeft. Denk eens aan de patientendossiers.

  7. @jdk@10: Ik zou het op prijs stellen als de wettelijke regels voor consumentenbescherming ook op software van toepassing worden verklaard (zoals de EU wil). Betekent ook dat “zwarte en grijze lijsten” van toepassing worden op EULA voorwaarden. Ook zou er gekeken moeten worden naar de koppelverkoop van Windows bij nieuwe computers. Maar dat is allemaal niet direct “on-topic” waar het gaat om misleiding door malware verspreiders.

    On topic: ik ben blij dat de OPTA behoorlijk effectief optreedt tegen het type “zakenlieden” dat achter DollarRevenue zit. Wat je nu ziet gebeuren is dat in beroepszaken jurisprudentie komt over de mate van zorgvuldigheid die de OPTA moet hanteren… Het is niet erg als af en toe een OPTA boete teruggedraaid wordt, dan waren de bedrijven/personen kennelijk iets te zijdelings betrokken bij de zaak (of het bewijs wan niet sterk genoeg…)

  8. @MathFox /11

    Is er een wettelijke beperking waarom consumentenbescherming niet op software van toepassing is? Weet niet hoe dat precies geregeld is. Gevoelsmatig denk ik dat daar geen beperking is. Ontopic ben ik niet blij dat dit soort procedures gevoerd moeten worden. Een uitvloeisel van collectieve toepassing van ondeugdelijke software. Op diverse terreinen is dit terug te vinden. Zoals hierboven, maar ook bij de bewaarplicht, het spamverbod, de copyright, patentrecht, allemaal excessen die het gevolg zijn van collectieve verslaving aan Microsoft. Ook heel slecht voor het onderwijs. Frustreert de dynamische kennis economie aan alle kanten. Zorgt voor onveiligheid van pati?nten en andere dossiers. Maakt het moeilijker voor toetreders op de markt en meer van dat soort zaken. Voor de gezondheid van elke computer en eindgebruiker is het gebruik van software van het bedrijf Microsoft ten sterkste af te raden. Een wettelijk verbod op het gebruik van Microsoft software zoals ook heroine verboden is zou de Bude niet mis staan.

  9. Er is in dit geval geen reden om witte en zwarte lijsten op de EULA los te laten: De EULA is hier niet gebruikt als een stuk tekst wat de gebruiker diende te accepteren voor dat hij dit stuk bagger mocht gebruiken, maar als een willekeurige tekst die de gebruiker zou waarschuwen wat het programma precies deed. Er hoefde en er is dus niet geoordeeld over het al dan niet geldig/onredelijk bezwarend zijn van (delen van) deze EULA, er is alleen geoordeeld dat datgeen wat in de EULA stond de gebruiker geheel zeker niet afdoende waarschuwde.

  10. Dani?l, de witte/zwarte lijst opmerking had betrekking op software in het algemeen, niet specifiek op de DollarRevenue adware. Aan de andere kant, misschien had DollarRevenue ook aangepakt kunnen worden vanwege het leveren van slechte software.

    @jdk, ik heb begrepen dat de wet hier op meerdere manieren uitgelegd kan worden, maar dat softwaremakers kiezen voor een interpretatie die zo min mogelijk bescherming aan de consument biedt. Ik ben echter geen jurist, vertel door wat ik gehoord heb.

  11. Er wordt hier wel eens gediscusseerd over hoe de wet uitgelegd mag worden, maar ik denk dat niemand beweerd dat software uitgezonderd is van consumentenbescherming. Wel zijn er problemen hier en daar en die zie ik vooral bij betaalde downloads: Waar de aanschaf van een beschreven CD een koop is, en alle consumentenbescherming die het Burgerlijk Wetboek aan een koop koppelt van toepassing is, is een betaalde download lastig als een koop te zien. Als er geen koop is, zijn al die artikelen die je moeten beschermen ook niet van toepassing.

  12. Da’s een goed punt trouwens Dani?l: sinds wanneer voldoe je aan je informatieplichten door in een EULA te zetten wat software doet? Niemand leest EULAs, je mag niet verwachten dat mensen EULAs lezen dus je kunt dat vehikel m.i. helemaal niet gebruiken voor wettelijk verplicht informeren van gebruikers.

  13. @jdk: Een OS is maar zo veilig als zijn laatste updates. Daarnaast is het grootste probleem echt niet meer het OS, maar 3rd party applications (denk aan Adobe, Apple, Real, etc.). De grootste fout is nog altijd degene voor/achter het scherm.

  14. > … meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware …

    Zo merkwaardig is dat niet. Veel media stellen zich passief op en publiceren vaak alleen zaken die ze krijgen aangereikt. Zo speelde een paar jaar geleden een (eveneens) OPTA-spam zaak tegen spammer Arjen Jongeling. De rechter veroordeelde Jongeling niet omdat OPTA vormfouten had gemaakt. Zie ook http://www.arjenjongeling.com/2007/06/spam-boete-van-de-baan.html waar hij hier op ingaat. Dezelfde dag dat de rechter dit uitsprak, deed hij ook een andere uitspraak, namelijk een waarin hij Jongeling tot een boete veroordeelde wegens het niet meewerken aan het OPTA-onderzoek. De pers pikte deze uitspraak niet op, zie bijv. http://www.nu.nl/internet/1103406/opta-moet-spamboete-speko-heroverwegen.html .

    Waarschijnlijk heeft Tweakers dus alleen informatie gebruikt die ze is aangereikt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.