Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

| AE 9350 | Domeinnamen | 38 reacties

Via Twitter kreeg ik de vraag:

[V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht?

Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam, maar stopte er in 2014 mee. De domeinnaam is toen op zeker moment kennelijk verlopen, en nu was er iemand anders die deze naam wel wat leek, de domeinnaam registreerde en daarmee een password reset kon doen op het bijbehorende Twitteraccount.

Het lijkt me niet strafbaar om een verlopen domeinnaam te registreren en daar dan een vergelijkbare dienst bij op te gaan zetten. Als een domeinnaam verlopen is, dan mag een ieder die opnieuw registreren. Dat er dan nog bezoekers voor de oude site komen, of dat men zo meelift op de bekendheid van de oude site, lijkt mij niet onrechtmatig. Dit is volgens mij niet anders dan een oud V&D-pand huren en er een warenhuis in beginnen.

Het Twitteraccount kapen is dubieuzer. Als je heel formeel gaat doen, dan wordt hier met een truc toegang verkregen tot dat account: je krijgt een password reset gemaild naar dat domein dat je net geregistreerd had, en vervolgens kun je inloggen op dat account. Dat is dan naar de letter van de wet computervredebreuk.

Ik aarzel hier wel een tikje over, zeker in situaties waarin het Twitteraccount net zo ongebruikt blijkt als de site. Het zou dan niet uit moeten maken dat dat Twitteraccount formeel nog steeds actief is. Dat Twitter accounts niet opruimt en domeinnaamregistries wel, moet niet het verschil zijn tussen computervredebreuk en legaal ergens gaan zitten.

Maar ik kan niet ontkennen dat het account actief ís en dat je het dus overneemt van de oude eigenaar. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

Arnoud

Deel dit artikel

  1. Verhaal heeft natuurlijk twee kanten; aan de ene kant wist de “overnemer” blijkbaar op welk e-mailadres het account geregistreerd was. Dat is natuurlijk wel wat dubieus. Aan de andere kant stond het account blijkbaar geregistreerd op een e-mailadres op een domeinnaam dat verloopt. Dat is natuurlijk een stomme zet van Lubach. Als je nog wat met het account wilt doen moet je zorgen dat je het account onder controle hebt. Nu kan de geïnteresseerde partij ook niet via Twitter contact opnemen met Lubach; de e-mails met notificaties komen niet meer aan, dus ben je afhankelijk van het al dan niet ingesteld staan in een app oid. Ik zou niet weten wat Twitter hieraan zou moeten doen.

    • Verhaal heeft natuurlijk twee kanten; aan de ene kant wist de “overnemer” blijkbaar op welk e-mailadres het account geregistreerd was. Dat is natuurlijk wel wat dubieus.

      Niet noodzakelijkerwijs nodig. Een wachtwoord-reset kan op basis van Twitter-username i.c.m. een catch-all op de domeinnaam. Dát aan het Twitter-account een e-mailadres op dat domein gekoppeld was, kan gewoon een aanname zijn.

  2. Overigens klinkt “verlopen” van de domeinnaam als iets dat je ook per ongeluk kunt laten gebeuren en daarmee is het verhaal wat gekleurd. Een .nl-domein werkt met een abonnementsvorm tot wederopzegging. Door het op te schrijven als “de vorige eigenaren hadden de domeinnaam opgezegd” wordt al veel duidelijker dat ze hier expliciet een keuze gemaakt hebben en dus veel minder ‘slachtoffer’ zijn.

    Daar komt bij dat het Twitteraccount 1-op-1 gerelateerd was aan de website; dus niet iemands privéaccount waarvoor hij dat domein gebruikte, maar een account met dezelfde naam en duidelijk bedoeld om de content op de site te ondersteunen.

    Als je ervoor kiest om de domeinnaam van de site op te zeggen, én je verandert niet het e-mailadres van het bijbehorende twitteraccount, dan kun je wat mij betreft op de blaren zitten.

  3. Draai het eens om. Stel er komt een (gegronde) klacht binnen over een oud bericht van dat Twitteraccount. (Voorbeeld: auteursrechtinbreuk) Is de nieuwe domeinnaamhouder verantwoordelijk te houden voor het aanhouden van de klacht, en deze niet op te lossen terwijl hij dat (technisch) wel, misschien zelfs als enige, zou kunnen.

  4. Ik mis hier eigenlijk nog een beetje het privacy stuk. Door het op die manier overnemen van een twitter account, kan je ook bij alle privéberichten, instellingen (bijv. 06 nummer) etc. Op mijn twitter account is ook al jaren niks gepost (mei 2015 voor het laatst), maar dat betekend niet dat ik hem niet gebruik. Wel weer een duidelijk voordeel waarom je two-factor authentication moet gebruiken!

  5. Zoals anderen al aangaven; slordig (maar het gebeurt nu eenmaal) om een account zo achter te laten; gekoppeld aan een domein wat je laat verlopen.

    Arnoud, je hebt het over computervredebreuk. Maar betreft het eigenlijk niet meer identiteitsfraude? Bij Twitter sta ‘je’ bekend onder het e-mailadres, dus is het een persoonsgegeven. Maar ja. Een domein kan van eigenaar wisselen. Is een e-mailadres dus eigenlijk wel een persoonsgegeven? Want dat is nodig om het als identiteitsfraude te laten gelden.

  6. Ben je als eigenaar van een Twitter-account niet ook gewoon verantwoordelijk om te zorgen dat je email adres voor Twitter up to date blijft? Immers, als je domein weg is, is ook je email adres weg. Je zou deze dan moeten aanpassen bij Twitter. Doe je dat niet, dan gaat de betreffende account eigenlijk gewoon mee met de verkoop van het nieuwe domein. Je hebt immers niet meer het recht om dat adres te gebruiken omdat je niet de eigenaar bent van het domein. De originele Twitteraar pleegt daarmee dus een onrechtmatige daad die de nieuwe eigenaar dus verhelpt met een password reset.

    Komt dat door de giecheltoets, denk je?

  7. Dat Twitter accounts niet opruimt en domeinnaamregistries wel…

    Begrijp ik hier goed dat het niet mogelijk is een Twitter-account definitief op te heffen en te verwijderen, maar dat het op een later moment altijd weer tot leven gewekt kan worden? Dat zou dan een behoorlijke WTF van Twitter zijn.

  8. Dit is precies het zwakke punt in de methode om password te resetten via email, maar ook via SMS tokens. Domeinnamen kunnen vervallen en opnieuw uitgegeven worden aan anderen. Telefoonnummers worden na een afkoelingsperiode hergebruikt. Geen enkele grote e-mailprovider garandeert dat je e-mailadres niet hergebruikt wordt nadat je je e-mailcontract opgezegd hebt (ook al zijn ze misschien zo wellevend om het vooralsnog niet te doen). Als je je baan opzegt wordt de post aan je oude werk-e-mailadres mogelijk door een ander geopend.

    In plaats van de juridische pijlen te richten op degene die heer het verlaten domein verworven heeft, lijkt het mij nuttiger om clubs die dit soort reset voor hun accounts gebruiken juridisch aan te pakken wegens de gapende grootte van dit lek in hun procedures. Maar ja, password reset via e-mailadres of telefoonnummer is wel lekker goedkoop te implementeren…

    • Daarnaast wordt als eigenaar van een account gewoon de eigenaar van de betreffende mailbox gezien, niet degene die het account heeft geregistreerd. Dus als je een Twitter-account aanmaakt met een email adres van je bedrijf, ofwel je werk-adres, dan is de account dus eigenlijk werk-gerelateerd en dus van je werkgever. Toch?

      Sowieso kun je eenvoudig een adreswijziging doorgeven aan Twitter, indien nodig. En dat moet je eigenlijk ook doen als je eigen email adres wordt opgeheven omdat er altijd de kans is dat iemand anders deze gebruikt. Een beetje je portemonnee op straat laten liggen in de hoop dat de “eerlijke” vinder er niets kwaads mee doet…

  9. “Zelf schrijven de initiatiefnemers Joost Lubach, 10e (Martine de Jong), RuSt (Ruben Steeman), ‘Gustav Zimmermann’ (Jan Sietsma), ‘Olaf’ (Arjen Lubach) en Lorenzo van Gool over hun besluit om te stoppen:” Zo te zien zat er een collectief achter dus privacy, identiteitsfraude lijkt me niet echt een grond.

    1. Who May Use the Services You may use the Services only if you agree to form a binding contract with Twitter and are not a person barred from receiving services under the laws of the applicable jurisdiction. If you are accepting these Terms and using the Services on behalf of a company, organization, government, or other legal entity, you represent and warrant that you are authorized to do so.
    https://twitter.com/tos#intlTerms Dit zou een issue kunnen zijn als er een een legal entity aan de naam hangt? Zo te zien zijn alle tweets weg dus auteursrechten zou geen issue moeten zijn? Althans op dit moment, op https://recensiekoning.nl/ lees ik (nu)
    Inmiddels hebben wij de oude tweets verwijderd, zijn we bezig met een nieuw logo en een nieuw concept.
    Dus er stonden eerst wel oude tweets. Ik neig naar twitter account hoort bij de bijbehorende site dus dom van originele eigenaar dat ze de oude account niet aangepast of opgeruimd hebben.

  10. Volgens mij kun je het lezen van zo’n mailtje het best vergelijken met het overnemen van een pand en het vervolgens openmaken van de post die aan de vorige bewoners is geadresseerd. De nieuwe eigenaar van het domein heeft een sleutel uit een mailtje gebruikt om een password-reset uit te voeren, terwijl dat mailtje niet voor hem bedoeld was maar toevallig bij hem aankwam omdat de vorige “bewoner” geen adreswijziging had doorgegeven. Ik heb er dus niet zo’n moeite mee dit computervredebreuk te noemen.

  11. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

    Doet me denken aan (mijn) recente lezersvraag over mails naar een (overgenomen) domeinnaam. Die domeinnaam is bewust overgedragen van oude naar nieuwe eigenaar. ’t Voelt wel wat vreemd om op basis van binnenkomende mails toegang tot Dropbox-, Google-, LinkedIn- en Facebook-accounts over te nemen (hoewel het bij die laatste 2 wellicht iets anders licht, omdat dat persoonsgebonden accounts zijn). Accounts bij leasemaatschappijen, energiemaatschappijen, alarmcentrales, datacentra, loterijen, vacaturewebsites. Deels zakelijke mailadressen (zakelijk en privé in gebruik), deels in gebruik als persoonlijke mail. Voelt vreemd, lijkt me niet de bedoeling, maar niet direct verboden?

  12. Een twitter account is altijd geregistreerd op naam. Mits de eigenaar die naam correct ingevuld heeft kan er dus nooit een misverstand zijn over het eigendom van de Twitter account. Als je je door middel van een verlopen email domein toegang verschaft tot de twitter account ben je effectief dus illegaal bezig.

    Daarnaast zeggen de Twitter regels

    Gebruikersnamen kapen: je mag geen gebruikersnamen kapen.

    • Nee, een Twitter-account wordt gemaakt op basis van een naam en een email adres. En de correspondentie over de account gaat dus naar dat betreffende adres. Dat betekent dat de eigenaar van het email adres is gemachtigd om het Twitter-account te gebruiken. Dus als het adres over gaat naar een nieuwe eigenaar dan gaat de Twitter account gewoon mee.

      Daarnaast gaat het om een Twitter account dat vernoemd is naar de site en niet naar de eigenaar. Dan is het eigenlijk een bedrijfsonderdeel, toch?

        • Maar de brievenbus van je huis gaat weer wel mee naar de volgende eigenaar. En die moet vervolgens gaan bepalen wat er gebeurt met de post die daarna in die brievenbus komt. Het betreffende twitter-account is duidelijk gerelateerd aan het domein en niet aan een persoon in dit geval. Het is immers een @bedrijfsnaam account. Dus hoort het eigenlijk bij het domein. Als het niet mee had gemoeten dan had de vorige eigenaar het adres moeten wijzigen. Maar dan krijg je mogelijk een handelsmerk-conflict, waarbij de nieuwe domeineigenaar eigenlijk de rechten alsnog kan opeisen.

  13. Wat ik hier nergens terug zie is dat de SIDN (nederlandse domein beheerder) geen twitter accounts uitgeeft.

    Bezit van een domein is dus wezenlijk anders dan bezit van een twitter account. Het zijn producten van totaal verschillende partijen. Dat iemand een mailbox van een verlopen domein als correspondentie adres of zelf als gebruikersnaam heeft opgegeven bij een derde partij geeft anderen (de huidige domein eigenaar) geen recht op achterliggende accounts of producten. Stel je voor dat arjan deze account ook op bv amazon zou hebben gebruikt. Hebben de nieuwe eigenaren van het domein dan ineens het recht om arjan zijn kindle boeken collectie toe te eigenen? Ik dacht het niet. Dit hele gedoe is een simpele truc voor account kaping en dus illegaal (zolang de twitter account nog actief was en dan bedoel ik expliciet opgezegd bij twitter.

    Eigenlijk valt het me zwaar tegen dat Arnoud niet het verschil tussen een domeinregistratie en een accountregistratie lijkt te kennen. Want anders zou er geen enkele discussie zijn.

    En natuurlijk had Arjan natuurlijk het email adres op zijn accounts moeten wisselen, maar dat soort slordigheidjes komen voor. Een huis dat niet op slot is kun je niet claimen door er binnen te lopen.

    • Grotendeels eens, maar dat van dat huis: het ging om een inactief account met oude tweets. Vergelijkbaar dus met een leegstaande woning waar het behang nog her en der hangt. Daar mag je wel degelijk in onder bepaalde voorwaarden, anti-kraak heet dat. De eigenaar van de grond gaat daarover. Met Twitter hetzelfde geval: nu is het een anti-kraakaccount. Als Arjan het terug wil, dan moet ie contact opnemen met de eigenaar van de “grond”, oftewel Twitter dus.

  14. Twitter kan wellicht een beroep doen op art. 326 Sr: “Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. ” De nieuwe domeinnaamhouder heeft immers Twitter bewogen tot afgifte van (inlog)gegevens en aldus verlenen van een dienst aan iemand die niet de accounthouder was. Wellicht niet door een valse hoedanigheid aan te nemen, maar in ieder geval door een listige kunstgreep.

  15. Het feit dat het Twitteraccount is verkregen door gebruik te maken van een verlopen domeinnaam maakt het in mijn ogen onrechtmatig.

    Als het Twitteraccount was verkregen doordat het twitteraccount verlopen was, en opnieuw geregistreerd, dan is dat een ander verhaal.

    SIDN verleent domeinnamen, niet “domeinnamen, bijbehorende email accounts, en twitter accounts”. Die diensten zijn dus niet gekoppeld. Ook niet als de naam toevallig hetzelfde was.

    Pas als beide (in mijn ogen ongerelateerde) diensten als gemeenschappelijk geheel overgedragen waren, bijvoorbeeld omdat dit schrijverscollectief hun hele hebben en houden hadden verkocht, dan was het legaal geweest.

    Waar het wringt is het volgende: Het schrijverscollectief heeft gewoon nog het auteursrecht op hun boek, website blogs, twittergeleuter, en wat al niet te meer zijt. Waar hier aan voorbij wordt gegaan is in hoeverre ze nog recht hebben op hun (al dan niet geregistreerde) merknaam “recensiekoning”.

    In het ene geval vervalt dit naamsrecht op het moment dat je het stopt met gebruiken (bijvoorbeeld omdat de domeinnaam vrijkomt), in het andere geval vervalt dat recht nooit (bij Twitter mag je geen eerder gebruikte accountnaam opnieuw registreren). Er zit wel een héél erg groot verschil tussen deze twee uitersten. Het lijkt mij nuttig als er jurisprudentie komt na hoeveel tijd een naam vervalt, en dat dienstverleners zich hiernaar schikken. Bijvoorbeeld met een “cool down” periode waarin een verwijderd account (zoals domeinnaam of twitteraccount) niet meer opnieuw is te registreren, behalve door de oorpronkelijke gebruiker.

  16. Gezien de lange termijn dat het twitteraccount niet gebruikt is, en gezien de link met een emailadres op het verlopen domein, lijkt me dit een typisch een gevalletje ‘kennelijk prijsgegeven’.

    De oude eigenaren hechtten blijkbaar geen waarde meer aan het account. Dat iemand het opnieuw activeert is misschien niet netjes uit privacyoverwegingen, maar als je je hele administratie buiten bij het grofvuil zet….

    Die iemand kan trouwens ook nog beweren: Ik wilde alleen het account, niet de privegegevens, maar ik kon het een niet krijgen zonder het ander. (in ouderwetste termen: Ik kon die kapotte TV die ik kreeg niet repareren zonder hem open te maken, en dus heb ik de binnenkant kunnen zien)

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS