Is een site aansprakelijk voor besmette advertenties?

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het platform of die sites aansprakelijk kunnen stellen voor je schade?

Het verspreiden van virussen is natuurlijk strabaar (art. 350a Strafrecht):

Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Met de term “bestemd om schade aan te richten” worden dus virussen, Trojans en andere vormen van malware gedekt. Vroeger stond daar nog wat bij over “zichzelf vermenigvuldigen in een geautomatiseerd werk” zodat je je kon afvragen of een zuivere Trojan er ook onder zou vallen.

Met dit wetsartikel zijn de virusverspreiders dus aan te pakken. En natuurlijk zijn ze ook voor computervredebreuk te vervolgen – ze hebben immers een technische ingreep op de OpenX server van Adfactor gepleegd om deze zo iets te laten doen waar ze niet toe bevoegd waren. Maar ja, vind ze maar eens.

Wat veel mensen echter niet weten, is dat er naast artikel 350a ook nog een artikel 350b Strafrecht is dat over virusverspreiding gaat. En dát artikel biedt een optie om ook eens met gefronste strafrechtwenkbrauwen te kijken naar Adfactor of de sites die via dat netwerk advertenties laten zien:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Het verschil zit hem in “wiens schuld te wijten” versus “wie verspreidt”. Wie verspreidt, kiest daar actief voor. Wie schuld heeft, heeft dat niet actief gekozen maar was wel een beetje dom bezig, zeg maar. Lichtzinnigheid (“dat valt wel mee, gebeurt toch niet”) of niet genoeg nadenken terwijl dat wel had gemoeten. Beiden zijn vormen van nalatigheid.

En dat biedt dan perspectieven: kun je een advertentienetwerk zulke nalatigheid verwijten? Hoe hard moet je je servers en software controleren, welke mate van nadenken mag je verwachten van zo’n platformbeheerder of van de site waar de advertenties op komen te staan?

Ik ben geneigd te zeggen, dit mag gewoon niet gebeuren klaar – maar dat is onrealistisch, er kan altijd een zeer geavanceerde hack langskomen waar gewoon écht niets aan te doen is. Plus, het blijft mensenwerk dus fouten kunnen altijd gebeuren. Een fout betekent niet automatisch nalatigheid. Maar waar leg je dan de grens? Hebben jullie een suggestie?

Arnoud

12 reacties

  1. ‘Strafrechtelijk te vervolgen’ en ‘aansprakelijk zijn’ zijn natuurlijk ook nog twee verschillende zaken — het lijkt me niet onredelijk dat de aanbiedende site de ontstane schade (inhuren van iemand om het virus weer te verwijderen) moet vergoeden- zij hebben immers financieel voordeel bij het plaatsen van een advertentie.

    1. Goeie, had ik nog niet eens aan gedacht. Het zou bewijsbaar moeten zijn, immers het is dan algemeen bekend dat het virus via die banner geleverd werd. (Hoewel de site kan zeggen, nee dat is toeval, maar dat klinkt dan niet geloofwaardig.)

      Waarom zou niemand dat doen? Zelfs in sue-happy USA heb ik nooit gehoord van een rechtszaak tegen een besmette-advertentiesite. Te weinig schade? Gedoe?

      1. Te weinig schade?

        Als je zelfs voor het branden van je mond aan een hete koffie een schadeclaim toegewezen kan krijgen???

        Om een beheerder/eigenaar van een website aansprakelijk te stellen zal je voldoende bewijs moeten leveren. Dat kon wel eens lastig zijn omdat de gemiddelde internetter meerdere sites bezoekt. Daarnaast heeft de eigenaar van de website niet direct invloed op wat het advertentienetwerk verspreid. Dat wordt misschien wel anders als er regelmatig van malware voorziene advertenties door het advertentienetwerk worden verspreid. Er komt een punt waarbij je zou kunnen stellen dat de beheerder/eigenaar van een website bewust meewerkt..

        Het advetentienetwerk is misschien wel een heel ander verhaal. Immers, die zouden door de eigenschap van hun dienst moeten weten, of moeten kunnen weten, dat hun systeem de gedroomde kans is voor om het even wie om malware te verspreiden. Dan kan je het niet meer afdoen met “dat wisten wij niet”. Of “wij hebben het niet gemerkt”. Je zal dan heel actief moeten monitoren en eventuele incidenten onmiddelijk in de kiem moeten smoren. En niet te vergeten de gaten gelijk dicht timmeren.

        Het al dan niet hebben van voordeel bij het (laten) plaatsen van advertenties lijkt mij voor aansprakelijkheid of eventueel te vergoeden schade niet echt relevant?

        Dan hebben we het nog niet gehad over de eigen pc van de bezoeker, daar ligt ook een eigen verantwoording.

        1. Die giga-claim van de koffie was vooral gebaseerd op het Amerikaanse systeem van “punitive damages”, civiele boetes. Wij de jury vinden dit zó erg dat u gewoon maar eens zuigt aan duim 500 miljoen moet betalen aan de eiser. Dat kennen wij niet, bij ons is schade echt de kosten van herstel, terugbrengen in de originele toestand. En graag met bonnetjes bewijzen.

          Commercieel handelen kan een grotere zorgplicht met zich meebrengen. Bij een particulier zie je nog wel eens dat de rechter zegt, deze fout met bv. auteursrecht reken ik niet te zwaar. Maar bij bedrijven met “ik wist niet hoe de wet werkt” is de rechter snel klaar: dat is uw probleem.

          Ik vind enerzijds niet dat je het een bedrijf kunt aanrekenen dat hun advertentienetwerk gehackt is. Je hebt immers weinig te zeggen over wat dat netwerk levert. Anderzijds is het wel iets dat ze kunnen regelen (vrijwaring/audit) dus misschien geeft het wel een prikkel als je zegt, Sanoma is aansprakelijk voor gehackte banners op Nu.nl en ze verhalen de claims maar op het advertentienetwerk.

          1. Een kleine off-topic nuancering, als dat mag:

            De betreffende geruchtmakende zaak van hete koffie draaide – zo heb ik begrepen – om een vrouw die in een drive-in koffie bestelde en na het afrekenen (wellicht om plaats te maken voor de volgende wachtende?) een klein stukje verder reed met de koffie op haar schoot / tussen de benen. Daarbij is de koffie omgevallen en heeft zij substantiële brandwonden opgelopen, zodanig dat tijdens de rechtszaak niet duidelijk was of zij ooit nog via de natuurlijke weg kinderen zou kunnen krijgen. Dat lijkt me een – hoewel nauwelijks op geld waardeerbare – forse schade. Het lijkt mij iig serieuzer dan je mond te branden…

            De oorzaak van de bijzonder ongelukkige ‘brandschade’ was de koffie die te heet werd geserveerd. Koffie op normale temperatuur zou minder (brandwond-)schade hebben veroorzaakt, en vermoedelijk daarmee ook minder dramatische gevolgen.

            De reden voor het bewust (!) te heet serveren van koffie, zo bleek na onderzoek, was gelegen in het feit dat hoe heter de koffie is, hoe minder klanten de sterkte van de koffie bemerken. Ofwel: hoe heter de koffie is, hoe slapper dat je ‘m kan uitserveren; de klant merkt het toch niet. De verkopende partij – zo bleek uit het onderzoek – was daarmee bekend en serveerde bewust slappe, hete koffie. Dat bespaarde hem aan koffie-inkoop en hij handelde daarmee uit economische motieven (plat gezegd: hij belazerde de klanten om er zelf beter van te worden, en liet de klanten daarbij ook nog eens een hoger risico lopen).

            Binnen die feitenconstellatie kan ik me voorstellen dat een jury van mening is dat de verkoper dan ook maar moet bloeden..

            Daarnaast is in Common Law landen de wetgeving vaak beduidend minder uitgebreid dan bij ons. Vanuit de gedachte dat de overheid zich zo weinig mogelijk met de onderhorigen moet bemoeien, biedt de overheid een raamwerk, waarna het aan het fatsoen van de deelnemers in de maatschappij is om hun gedrag op dat raamwerk en op elkaar af te stemmen. Wanneer iemand dan uit de bocht vliegt wordt op ‘democratische wijze’ een straf bedacht door een jury. Daar waar bij ons de wetgeving op (in principe) democratische wijze tot stand komt via volksvertegenwoordigers, komt onder Common Law de handhaving van ‘maatschappelijk verantwoord gedrag’ op democratische wijze tot stand, via een jury.

            En omdat de maatschappij als geheel erbij gebaat is dat mensen in aktie komen wanneer er maatschappelijk onverantwoord gedrag wordt vertoont (zodat een rechter, ter bescherming van de overigen, een oordeel kan vellen), is er voor mensen die inderdaad in aktie komen (en zelf opdraaien voor alle kosten wanneer zij in het ongelijk gesteld worden en daarmee dus een groot risico lopen) een incentive in de vorm van punitive damages wanneer zij (vanuit het perspectief van de maatschappij als geheel dus gewenst en prijzenswaardig) hun verantwoordelijkheid nemen om het onrecht aan de kaak te stellen.

  2. Ik zou de advertentie-site aansprakelijk stellen (in dit geval Adfactor). Zij hebben tenslotte hun systemen laten misbruiken voor een banking trojan.

    Ook zij zouden makkelijk aansprakelijk gesteld kunnen worden voor eventuele diefstal van mijn geld + het repareren van de schade die het virus zelf op mijn computer heeft veroorzaakt.

    Als de wet hierin mee zou gaan, zou dat mooi zijn.

  3. Eerst en vooral kan het iedereen overkomen. Zelfs dit blog zou ooit een keer besmet kunnen raken door malware! Vervelend, maar het kan. En dan? Bepalen hoe nalatig de beheerder ervan is geweest? De kosten van een dergerlijk onderzoek kunnen behoorlijk oplopen en iemand zal die rekening gepresenteerd krijgen. Ik denk dus dat het belangrijk is om af te wegen of de kosten van een dergerlijk onderzoek wel opwegen tegen de uiteindelijke schade. Zeker als de schade beperkt is gebleven tot een beetje ongemak onder de bezoekers. Maar ook het onderzoek naar hoeveel schade er uiteindelijk is aangericht kost geld en tijd. Dat betekent dus dat je niet meteen weet hoeveel schade er daadwerkelijk is en dus ook niet of een nalatigheids-onderzoek nodig is. In die tijd zou de site administrator weer stappen kunnen ondernemen die de sporen van nalatigheid uitwissen. Een lastige kwestie dus…

  4. Met een beetje botte redenatie: Als je met malware besmet wordt is dat toch je eigen schuld. Als de malware op jou computer namelijk niet je eigen schuld is hoe kan het dan wel de schuld zijn van de adverteerde die ook het slachtoffer is van malware op de computers.

    1. “Als je in een gat in de weg valt, dan is dat je eigen schuld. Immers als het niet jouw schuld is hoe kan het dan wel de schuld zijn van de wegbeheerder die ook het slachtoffer is van een gat in de weg.”

      Nee, dat gaat niet op. Natuurlijk iedereen heeft zijn eigen verantwoordelijkheid en sommige dingen zijn voor iedereen overmacht. Maar sommigen hebben meer verantwoordelijkheid dan anderen. Hoe beter je positie om iets te voorkomen is, hoe meer je moet doen.

  5. Advertentie netwerken hebben, mijn inziens, een enorme grote verantwoordelijkheid. Zij voeren dynamische code uit op miljoenen website’s. Je mag ze bij nalatigheid daar best op aanspreken, en indien nodig, beboeten. Ook de grote site’s zelf (zoals in het geval van Nu.nl die malware verspreidde via een advertentie).

    Als dit niet gebeurd dan is er geen “incentive” op het beter aan te pakken. Bovendien opereren sommige advertentie netwerken reeds op het randje, door de klant de mogelijkheid te geven JavaScript uit te laten voeren in de advertentie zelf. Een drive-by exploit of redirect is dan zo gepiept. Als zo’n netwerk dan kan zeggen: Sorry, wisten wij ook niet! dan schiet je daar niets mee op.

    Ook bij grote site’s die gebruik maken van een eigen adserver (bv. van OpenX) dienen zaakjes goed in de gaten te houden. Altijd updaten naar de laatste versie, goed wachtwoordbeheer en melden als het mis is gegaan. Indien aan deze 3 dingen iets schort, dan hebben ze mijn inziens ook nalatig gehandeld.

    Hoewel ik het nut van advertenties voor producenten maar al te goed snap, kies ik bij advertenties voor mijn eigen veiligheid. Ik heb namelijk niets tegen advertenties, maar wil ook niet dat mijn moeder wordt geredirect naar een vieze site, of dat mijn vader slachtoffer wordt van een banking trojan. Mijn advies blijft dus nog steeds: Installeer een advertentie blokker voor uzelf en uw familie. Het is helaas nog verre van veilig.

    1. Helemaal met Sandor eens. Websites kiezen er zelf voor om ad-network 100% controle over hun websites te geven, terwijl ze ook kunnen volstaan met alleen tekst of plaatjes (die geen risico op virusverspreiding opleveren, knock-on-wood). Ze moeten wat mij betreft dan maatregelen treffen die zorgen dat de gebruiker niet wordt blootgesteld aan nare virussen en bijv. wederrechtelijk trackgedrag. Laten ze dat na, dan zijn ze… nalatig.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.