Aansprakelijk voor schoonmaakkosten van een virus van je ebookleverancier

Even geen gratis e-books meer, las ik via Twitter bij de blog van Jan Willem Alphenaar. Hij had deze ondergebracht bij een externe site die het “betaal met een tweet”-principe voor hem implementeerde. Dus verplicht twitteren dat je het boek hebt, en dan gratis downloaden. Maar die site bleek rare software (‘Mystart Incredibar’) te installeren bij een geïnteresseerde in het e-book. En deze dreigt nu een factuur te sturen voor de uren van zijn ICT-er om deze weer te verwijderen. Eh, wacht, wát?

Na enig puzzelen bleek het probleem hem te zitten in dit schermpje:

Ziet u ook dat knopje “Download” rechts? Inderdaad, dat downloadt niet het e-book maar een gezellige browserbalk die héél hard blijft plakken. Malware dus. En die verwijderen is geen eenvoudige zaak.

Maar of je de rekening daarvoor bij Alphenaar kunt zeggen, betwijfel ik. Natuurlijk, had hij dit systeem niet gebruikt dan was de infectie niet opgetreden. Maar dat is niet genoeg om automatisch hem alle rekeningen te laten betalen.

Specifiek voor virussen is er een aparte strafbepaling in de wet (art. 350b Strafrecht): als het je te verwijten is dat er een virus (verder) verspreid werd, ben je strafbaar én civiel aansprakelijk voor de schade. Je hebt schuld aan de verspreiding als je de verspreiding had kunnen voorzien met de nodige veiligheidsmaatregelen of onderzoek, en het onzorgvuldig is dat je dat niet hebt gedaan.

Is browserbalkmalware een virus? In principe niet, want het heeft niet als doel schade aanrichten in de computer waar het geïnstalleerd is. Maar volgens het Kournikova-arrest hoeft het doel niet heel expliciet te zijn. Ook het per ongeluk laten vastlopen van systemen (bv. doordat het virus zich te enthousiast verspreidt) telt als ‘schade’. De kosten van het opruimen zijn echter geen ‘schade’ die die balk beoogt of indirect beoogt. De maker van die balk wil integendeel juist dat deze goed werkt, anders gaan mensen ‘m te snel verwijderen.

Echter ook als het geen virus is, gaat die norm van “had je het redelijkerwijs kunnen voorkomen” wel op in het civiele recht. Als die browserbalk in het e-book zelf zat, dan zou ik wel grond zien voor een claim: natuurlijk haal je zo’n e-book even door een scanner voordat je deze uploadt. Wie dat niet doet, is dus nalatig en moet de schade vergoeden.

Maar is het redelijk om te moeten voorzien dat je e-bookverspreider misleidende downloadknoppen toevoegt aan jouw schermpje met “betaal met een tweet”? Dat lijkt me toch niet. Ik kan me moeilijk voorstellen dat een verspreidingssite dit opzettelijk doet, dat kost ze hun reputatie. En googelen naar het bedrijf levert me geen resultaten op die wijzen op boze intenties.

Oké, ze kunnen per ongeluk zijn geïnfecteerd (dat overkomt zelfs Google) maar daar hoef je als e-bookuploadende gebruiker van die dienst geen rekening mee te houden. Dus ook dan zie ik geen grond voor een claim.

En nog iets anders: ik heb zelf een paar keer die “pay with a tweet”-diensten gebruikt maar nog nooit zo’n downloadknop aan de zijkant gezien. Je gaat je dan haast afvragen of een eerder stukje malware niet die webpagina bewerkt heeft.

Arnoud

21 reacties

  1. Als je “VLC Download” zoekt op google krijg je advertenties met de verkeerde download, als je uiteindelijk op de sourceforge.net download pagina komt zie je dezelfde advertentie als in de tweet hierboven. Ik vind het persoonlijk enigsinds misleidend (voor niet oplettende bezoekers) om een advertentie met een grote download knop op een pagina te zetten die gerelateerd is aan een download. In het geval van sourceforge.net moet je ook nog wachten voordat de download begint. Maar ik kan me wel voorstellen dat het juridisch allemaal waterdicht is….

    1. Ik denk dat het aanbieden van een “alternatief programma” voor download nog net binnen de grenzen van de wet valt, zolang het programma zich niet automatisch installeert. (We kunnen discussiëren over de mate van misleiding en of het plaatsen van dergelijke advertenties fatsoenlijk is.) Wat mijn probleem is, is een geautomatiseerde (drive-by) download en installatie van malware en wie er aansprakelijk gesteld kan worden voor de schade. Wie kan er bijvoorbeeld aansprakelijk gesteld worden voor de schade veroorzaakt door de trojan bij de NRC van vandaag? Een getroffen consument komt al snel een krant tegen die naar een advertentienetwerk wijst voor de schade en de echte malwareverspreider verschuilt zich achter een katvanger (gestolen creditcard?)

  2. Het is een Google advertentie – te zien aan de twee icoontjes rechtsboven. Kortom de e-Book auteur huurt een dienst in om een ‘betaling’ te doen, en die huren een dienst in (AdSense) om ‘kosten te dekken’ en die huren een advertentieleverancier in die een malware-verspreider blijkt. “Had je redelijkerwijs kunnen voorkomen”: niet echt dus.

    Wanneer ik jouw linkje met informatie over deze toolbar volg, dan lees ik There is no other report of its harm or damages except for browser hijacking.. De betreffende gebruikster geeft aan dat de schade zo groot is dat ze niet kan werken, en komt bovendien niet over alsof ze heel erg snugger met computers is. Ik kan me zo voorstellen dat haar PC één groot broeinest van virussen is. Laat haar maar aantonen dat de schade het gevolg is van deze toolbar.

    Juridische zijdelingse vraag: komt er met ‘Pay with a Tweet’ een overeenkomst tot stand?

    1. Ja, “Pay with a tweet” is een overeenkomst. Het is geen koop, want er wordt geen geld als tegenprestatie betaald. Een overeenkomst is een meerzijdige rechtshandeling, twee partijen spreken iets af. In dit geval spreken ze beiden iets af: de een staat een download toe (licentie) en de ander zal een bericht plaatsen op Twitter. Als je wel downloadt maar niet twittert, pleeg je wanprestatie en de ander kan bij de rechter plaatsing van de tweet afdwingen.

  3. Je ziet wel vaker hele grote downoadbuttons die verwijzen naar een of andere setup.exe die je absoluut niet wilt hebben op je systeem. Mag wat mij betreft dus onderdeel worden van de ‘veilig internetten’ campagne van deze week: kijk goed waar je op klikt en wat er allemaal omheen staat. Deze button staat nota bene ‘advertisement’ boven, en de buttons die je wél moet hebben zijn ook op de pagina zichtbaar. Kwestie van goed lezen en niet hersenloos klikken dus. Uiteraard wel heel gebruikers-onvriendelijk, maar een beetje oplettendheid kan ook geen kwaad. Je rijdt toch ook niet een tramtunnel in omdat je TomTom het zegt? 😉

  4. “natuurlijk haal je zo’n e-book even door een scanner voordat je deze uploadt. Wie dat niet doet, is dus nalatig en moet de schade vergoeden.” – grappig, ik heb nog nooit een e-book-based virus gezien. Het is over het algemeen erg lastig om iets wat alleen tekst (en eventueel plaatjes) hoort te bevatten als code te laten gaan uitvoeren. Bovendien zijn er zo veel verschillende e-readers dat dat ene model waar het misschien op lukt waarschijnlijk niet gebruikt wordt door de gebruiker die toevallig zo een virus te pakken krijgt. Oh, en natuurlijk het grote nadeel dat de meeste e-readers geen internetverbinding hebben en het verspreiden dus erg langzaam zou gaan.

    1. e-Pub-bestanden zijn stiekem ZIP-files met daarin het boek in web-pagina-vorm (xml, css en eventuele afbeeldingen). Ze verschillen daarin dus eigenlijk nauwelijks van .docx-bestanden. Daar zou dus allerlei andere zooi tussen kunnen zitten.

      Hoewel het in dit geval eenvoudig is om te zien waar je moet klikken, zijn er ook websites waar de downloadlink die je moet aanklikken als pietepeuterige tekst verstopt staat in een woud aan reclamebanners en knoppen die allemaal schreeuwen ‘Download me’

  5. Geval van #RTFM? Links click the button below …. start your free download Rechts Download, 7 zip daar boven staat nog install software. Het kan natuurlijk zijn dat daar wat anders stond toen de dame het boek wilde downloaden Testing pay with a tweet, onderstaande advertenties roteren (bij mij) -BlackBerry’s Halve Prijs -Pulsante Twitter (Gratis) Daar kan dus van alles staan

    PS al zoekend: Hahahahaha http://socialcommercetoday.com/brilliant-kelloggs-opens-pay-with-a-tweet-pop-up-shop-in-soho-photos/

  6. Ben zelf nog steeds een voorstander van de analoge boeken in plaats van e-booken. Bij een analoog boek kun je alleen een virus oplopen als je het boek aan een grieperig persoon hebt geleend. 🙂

    Ik kan de verwarring overigens wel begrijpen, omdat je “Download” ziet en dus denkt dat je het al kunt downloaden zonder te tweeten. Veel mensen lezen sowieso maar een deel van wat er op een scherm staat, vooral als ze geleerd hebben om oninteressante teksten op sites te negeren. Je ziet “Gratis Ebook”, je ziet “Download”, maar wat zou je dan meer moeten lezen?

    Uiteindelijk is het de reclame zelf die voor de misleiding zorgt. Alleen, de download die wordt aangeboden wordt door diverse personen “malware” genoemd terwijl dat dus weer niet duidelijk vast staat. Het betreft gewoon een browser toolbar, als ik het goed begrijp. Alleen wel eentje die niet lekker kan worden gede-installeerd? Goed, even zoeken dus op Google naar “mystart.Incredibar.com” en blijkt dat velen dit inderdaad kwalijke software vinden en problemen hebben met de verwijdering ervan. Dan lijkt het mij, omdat het een Adware reclame betreft, dat de rekening bij Google gepresenteert moet worden. Of mogelijk bij de maker van deze malware zelf, die volgens mij toch eenvoudig te vinden moet zijn. Toch? Want ik vraag mij af hoe de maker ervan gewoon door kan gaan met het uitleveren van deze software als het zo schadelijk is. De dader is gewoon IncrediBar zelf… En achter dit bedrijf zit weer Perion. Dus Perion levert malware. Beetje “Name and Shame” en mogelijk houden ze er meteen weer mee op.

    Betreffende de rekening voor het opschonen, die zou dus eigenlijk naar Perion moeten. Denk ik, maar daar zou misschien een Amerikaanse rechter over moeten beslissen?

  7. Probleem met mystart incredibar (ik had hem laatst op mijn PC, voor het eerst in jaren dat ik zoiets had. Ik had snel een tooltje nodig en lette dus niet op en klikte op die download knop en vervolgens ja ja ja. Dat doe ik doorgaans niet en was dus al jaren virus/malware vrij. Het programma is moeilijk te verwijderen om één simpele reden.

    Het installeert een service die het programma terug zet als je het verwijderd. En die service wordt niet verwijderd als je de verwijderingsoptie van het programma gebruikt. Als je die service hebt verwijderd is het daarna een vervelend werkje, maar wel weg.

    Om helemaal eerlijk te zijn, die service is de werkelijke malware. Die Incredibar in al je browsers en het wijzigen van je homepage wordt ‘gewoon’ je akkoord voor gevraagd. Ook blijkt als je er wat meer naar zoekt dat die bar ook wel wordt geïnstalleerd zonder die service. Blijft gewoon een nutteloos ding daar niet van.

    1. Ik irriteer me er nog vooral aan dat Google dit soort advertenties accepteert. Ik gebruik zelf geen adsense, maar kan je kiezen voor een adsense optie waarbij de advertentie alleen mag doorlinken naar een website en niet een download starten. En waarbij je kan eisen dat er geen geluid etc… wordt gebruikt?

  8. Very nice..Om het positief te benaderen (voor jou). Dan lijkt het mij, omdat het een Adware reclame betreft, dat de rekening bij Google gepresenteert moet worden. Het is over het algemeen erg lastig om iets wat alleen tekst (en eventueel plaatjes) hoort te bevatten als code te laten gaan uitvoeren. Bovendien zijn er zo veel verschillende e-readers dat dat ene model waar het misschien op lukt waarschijnlijk niet gebruikt wordt door de gebruiker die toevallig zo een virus te pakken krijgt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.