Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Hacken, Strafrecht | 16 reacties

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Deel dit artikel

  1. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

    Is dat niet gevaarlijk voor de rechtszekerheid? Als ik vandaag hashes in mijn bezit heb die niet terug te rekenen zijn dan ben ik veilig maar misschien wordt er morgen een zwakheid bekend in dat algoritme waardoor ik opeens strafbaar ben?

  2. md5sum: 827ccb0eea8a706c4c34a16891f84e7b

    sha1sum: 8cb2237d0679ca88db6464eac60da96345513964

    sha256sum: 5994471abb01112afcc18159f6cc74b4f511b99806da59b3caf5a9c173cacfc5

    sha512sum: 3627909a29c31381a071ec27f7c9ca97726182aed29a7ddd2e54353322cfb30abb9e3a6df2ac2c20fe23436311d678564d0c8d305930575f60e2d3d048184d79

    Zijn we nu allemaal in het bezit van deze gegevens? Zijn we nu allemaal strafbaar?

    Ik vind dat het in het bezit hebben van gegevens helemaal niet strafbaar zou moeten zijn. Nooit. Wat jij op jouw gegevensdragers hebt staan is jouw zaak, dat gaat niemand anders iets aan.

  3. Ik heb een lijst met 248 miljoen wachtwoorden (gekocht voor 12 euro) in mijn database waar ik wachtwoorden van klanten mee vergelijk als ze een nieuwe kiezen. Wachtwoorden van de lijst worden afgekeurd, en daarmee vang je heel eenvoudig de veelgebruikte en veel te makkelijk te raden 123456 en !@#qweasdzxc af. De wachtwoorden zijn ‘echt’, verzameld bij diverse hacks, dus daarmee illegaal?

        • De wet is eigenlijk bedoeld voor andersoortige informatie: gestolen bedrijfsgeheimen of naaktfoto’s, dat werk. Het criterium is of de informatie niet openbaar was. Dat geldt ook voor wachtwoorden zonder koppeling. Als de wachtwoorden wél te koppelen zijn aan een account, dan zou je het bezit misschien kunnen zien als poging tot inbraak. Maar dan moet wel ergens uit blijken dat je van plan was in te gaan loggen met dat wachtwoord.

          • Ik sluit mij denk ik aan bij Corné. Het strafbaar stellen van het hebben van gestolen informatie/data in het algemeen is een slecht idee. Om te beginnen is het niet altijd duidelijk of data gestolen is.

            Tevens krijg je problemen met de uitzonderingen. Je noemt die jaarrekening, hoe ga je bepalen of iemand had moeten weten dat die gestolen is? Nog erger: je krijgt de data in de mail en dan? Strafbaar want in je bezit en je had moeten weten dat het gestolen is. Ik werk nu ruim 20 jaar in de financiele dienstverlening.

            Je wil niet weten hoe vaak ik gegevens toezonden heb gekregen omdat mijn naam met de zelfde letters begint als de bedoelde geadresseerde. Je wil niet weten hoe vaak ik vertrouwelijke informatie doorgezonden kreeg, waarvan ik niet kan zeggen of deze eerlijk verkregen is of niet. Maar gezien hoeveel ik met vertrouwelijke informatie werkte ging ik er vanuit dat het goed zat en behandelde het als vertrouwelijk.

            Heb ik nu dan een onderzoeksplicht? En als ik het niet onderzoek dan ben ik strafbaar? Is een lastige want de tijd die ik nodig heb om te onderzoeken of de informatie strafbaar is, heb ik deze wel in bezit!

            Ik heb dus zo mijn bedenkingen bij het bezit van data strafbaar willen stellen op basis van de bron. Het werkt niet en geeft rechtsonzekerheid.

            Dat je databezit strafbaar stelt op basis van de inhoud, mits met duidelijke criteria, heb ik niets op tegen. Dat is namelijk dan voor iedereen zelf te verifieren en dan heb je rechtszekerheid.

            Edit: nog eventjes gelezen en ja hoor artikel 139f is een waar gedrocht. In feite een onderzoeksplicht op alle data die je ontvangt of deze wel legitiem is, want anders loop je het risico dat een overijverige aanklager gaat roepen dat je het had moeten weten.

          • Het criterium is of de informatie niet openbaar was.

            Hoe moet ik dat dan zien? Wanneer telt info in deze als openbaar? Het lijkt me niet de bedoeling dat zodra info op internet is gezet dat je die dan wel mag ‘bezitten’? Maar mag je de info op wikileaks dan nog wel ‘bezitten’? De grens van algemeen belang lijkt me ook nogal vaag; Daar kun je wel heel veel kanten mee op (e.g. welke info van wikileaks wel en welke niet?).

  4. Hoe zit het als een “journalistieke” organisatie gestolen gegevens openbaart? De journalisten vallen onder de uitzondering (mits algemeen belang), maar de nieuwslezers ook?

    Ik doel op WikiLeaks, en haar publicaties van bijvoorbeeld e-mails. Strafbaar om te downloaden?

    Geldt de uitzondering ook voor academici? Bijvoorbeeld veiligheidsonderzoekers die statistieken willen maken van password dumps?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS