Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

16 reacties

  1. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

    Is dat niet gevaarlijk voor de rechtszekerheid? Als ik vandaag hashes in mijn bezit heb die niet terug te rekenen zijn dan ben ik veilig maar misschien wordt er morgen een zwakheid bekend in dat algoritme waardoor ik opeens strafbaar ben?

  2. md5sum: 827ccb0eea8a706c4c34a16891f84e7b

    sha1sum: 8cb2237d0679ca88db6464eac60da96345513964

    sha256sum: 5994471abb01112afcc18159f6cc74b4f511b99806da59b3caf5a9c173cacfc5

    sha512sum: 3627909a29c31381a071ec27f7c9ca97726182aed29a7ddd2e54353322cfb30abb9e3a6df2ac2c20fe23436311d678564d0c8d305930575f60e2d3d048184d79

    Zijn we nu allemaal in het bezit van deze gegevens? Zijn we nu allemaal strafbaar?

    Ik vind dat het in het bezit hebben van gegevens helemaal niet strafbaar zou moeten zijn. Nooit. Wat jij op jouw gegevensdragers hebt staan is jouw zaak, dat gaat niemand anders iets aan.

  3. Nu vraag ik me af, https://haveibeenpwned.com/ heeft aardig wat hashes in bezit, en krijgt die van allerlei bronnen van legaal tot illegaal. nu bewaren ze zover ik weet de hashes niet, maar ze krijgen ze wel.

    Zijn ze nu strafbaar omdat ze een legitime dienst bieden die mij vertelt welke sites allemaal verzuimt hebben mij te melden dat ze gehacked zijn?

  4. Enkel het bezit van wachtwoorden, of de combinatie gebruikersnaam/wachtwoord, waarmee daadwerkelijk ingelogd kan worden? Enkel een lijstje wachtwoorden zal voor 50% bestaan uit de tekst 12345 waar je nog niks mee kan.

  5. Ik heb een lijst met 248 miljoen wachtwoorden (gekocht voor 12 euro) in mijn database waar ik wachtwoorden van klanten mee vergelijk als ze een nieuwe kiezen. Wachtwoorden van de lijst worden afgekeurd, en daarmee vang je heel eenvoudig de veelgebruikte en veel te makkelijk te raden 123456 en !@#qweasdzxc af. De wachtwoorden zijn ‘echt’, verzameld bij diverse hacks, dus daarmee illegaal?

      1. Een beetje kortzichtige wet dan, want als deze lijst alleen wachtwoorden bevat zonder account gegevens heb je in feite niet wat de beveiligign van een account in gevaar brengt.

        Ik voel een wet aankomen die massaal genegeert gaat worden en alleen maar als extra stok gaat dienen voor zaken dioe op zich al strafbaar waren om wat zwaarder te kunnen straffen.

        1. De wet is eigenlijk bedoeld voor andersoortige informatie: gestolen bedrijfsgeheimen of naaktfoto’s, dat werk. Het criterium is of de informatie niet openbaar was. Dat geldt ook voor wachtwoorden zonder koppeling. Als de wachtwoorden wél te koppelen zijn aan een account, dan zou je het bezit misschien kunnen zien als poging tot inbraak. Maar dan moet wel ergens uit blijken dat je van plan was in te gaan loggen met dat wachtwoord.

          1. Ik sluit mij denk ik aan bij Corné. Het strafbaar stellen van het hebben van gestolen informatie/data in het algemeen is een slecht idee. Om te beginnen is het niet altijd duidelijk of data gestolen is.

            Tevens krijg je problemen met de uitzonderingen. Je noemt die jaarrekening, hoe ga je bepalen of iemand had moeten weten dat die gestolen is? Nog erger: je krijgt de data in de mail en dan? Strafbaar want in je bezit en je had moeten weten dat het gestolen is. Ik werk nu ruim 20 jaar in de financiele dienstverlening.

            Je wil niet weten hoe vaak ik gegevens toezonden heb gekregen omdat mijn naam met de zelfde letters begint als de bedoelde geadresseerde. Je wil niet weten hoe vaak ik vertrouwelijke informatie doorgezonden kreeg, waarvan ik niet kan zeggen of deze eerlijk verkregen is of niet. Maar gezien hoeveel ik met vertrouwelijke informatie werkte ging ik er vanuit dat het goed zat en behandelde het als vertrouwelijk.

            Heb ik nu dan een onderzoeksplicht? En als ik het niet onderzoek dan ben ik strafbaar? Is een lastige want de tijd die ik nodig heb om te onderzoeken of de informatie strafbaar is, heb ik deze wel in bezit!

            Ik heb dus zo mijn bedenkingen bij het bezit van data strafbaar willen stellen op basis van de bron. Het werkt niet en geeft rechtsonzekerheid.

            Dat je databezit strafbaar stelt op basis van de inhoud, mits met duidelijke criteria, heb ik niets op tegen. Dat is namelijk dan voor iedereen zelf te verifieren en dan heb je rechtszekerheid.

            Edit: nog eventjes gelezen en ja hoor artikel 139f is een waar gedrocht. In feite een onderzoeksplicht op alle data die je ontvangt of deze wel legitiem is, want anders loop je het risico dat een overijverige aanklager gaat roepen dat je het had moeten weten.

          2. Het criterium is of de informatie niet openbaar was.

            Hoe moet ik dat dan zien? Wanneer telt info in deze als openbaar? Het lijkt me niet de bedoeling dat zodra info op internet is gezet dat je die dan wel mag ‘bezitten’? Maar mag je de info op wikileaks dan nog wel ‘bezitten’? De grens van algemeen belang lijkt me ook nogal vaag; Daar kun je wel heel veel kanten mee op (e.g. welke info van wikileaks wel en welke niet?).

  6. Hoe zit het als een “journalistieke” organisatie gestolen gegevens openbaart? De journalisten vallen onder de uitzondering (mits algemeen belang), maar de nieuwslezers ook?

    Ik doel op WikiLeaks, en haar publicaties van bijvoorbeeld e-mails. Strafbaar om te downloaden?

    Geldt de uitzondering ook voor academici? Bijvoorbeeld veiligheidsonderzoekers die statistieken willen maken van password dumps?

  7. @Arnoud Engelfriet: In artikel 139d lid 2 Strafrecht lees ik ‘met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd‘.

    Zonder dat oogmerk lijkt me er niets aan de hand.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.