Een lezer vroeg me:
Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit. Is dat heling? Ben ik strafbaar als ik dit gebruik?
Nee, je bent niet strafbaar als je via HaveIBeenPwned.com kijkt of je wachtwoord ergens gelekt is.
Het is natuurlijk strafbaar om met een gestolen of gelekt wachtwoord op andermans account in te breken. Ook als het wachtwoord ondertussen publiekelijk bekend is geworden en ook als men nalatig is met het aanpassen van het wachtwoord. Het is en blijft andermans account, en dus computervredebreuk als je daar willens en wetens op inlogt.
Het is echter ook strafbaar (art. 139d lid 2 Strafrecht) om een “computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan” voorhanden te hebben, beschikbaar te stellen of te verspreiden. Vereist is dan wel dat je dit doet met het oogmerk dat iemand er computervredebreuk mee gaat plegen (of vertrouwelijke communicatie mee gaat afluisteren).
Het is dat oogmerk waardoor Hunts site legaal is. Het doel van die site is zo evident niet om inbreken makkelijker te maken dat ik er geen seconde aan twijfel dat hier niet op vervolgd wordt. De site is opgezet om mensen te informeren en te laten checken of hun account gehackt is. Natuurlijk zou je dat met andermans mailadres of accountnaam kunnen controleren, maar het lijkt onmogelijk om enkel met een mailadres te komen tot een wachtwoord of hash daarvan.
Wie op de homepage een mailadres invult, krijgt een lijst van sites waar een account behorende bij dat mailadres is gecompromitteerd, maar geen hashes of wachtwoorden die daarbij hoorden. Je kunt ook zoeken op wachtwoord, maar dan krijg je geen e-mailadressen te zien of zelfs maar sites waar deze gelekt zijn. Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.
Ik zie dus nergens een manier om misbruik te maken van die gegevens. En daarmee kan er geen sprake zijn van een strafbaar feit.
Arnoud
Het lastige met dit soort zaken vind ik het bepalen welk recht van toepassing is. Iets kan volgens het Nederlandse recht niet strafbaar zijn, maar voor Italiaans recht wel. En omgekeerd. Daarnaast is er verschil tussen strafrecht en civiel recht. Lastige materie dus
Maar voor zover ik weet opereert Arnoud vanuit Nederland en houdt dus ook het Nederlands recht aan.
Niet alleen zorgt Hunt er voor dat derden geen misbruik kunnen maken van zijn website. Ook zorgt hij dat hij dat zelf niet kan: hij gebruikt een slimme manier om te controleren of je wachtwoord gebruikt is, zonder dat hij weet op welk wachtwoord je zoekt. Details over deze k-anonymity staan op zijn blog. Leuk leesvoer!
En in het licht van de AVG? Het betreft tenslotte persoonsgegevens. Wat is hier de wettelijke grondslag? Wat is de bewaartermijn? Welke rechten hebben betrokkenen?
Dit valt volgens mij onder “zaakwaarneming”. Dankzij deze site vond ik een oud account dat gehacked was, omdat de provider gebruik maakte van unsalted MD5 (enorm gemakkelijk te kraken). Ik weet dus beide dat ik dat wachtwoord nooit meer mag gebruiken en dat die provider laks omgaat met gegevens.
Je kunt echter wel “misbruik” maken van deze gegevens, door bijvoorbeeld het email adres van je man of vrouw in te vullen. Je hoeft niet, middels een confirmatie email, te bewijzen dat je de eigenaar bent van het email adres. Als je dan dit email adres terugvind in een dump van Ashley Madison (een dating site voor vreemdgangers) dan heeft je partner iets uit te leggen (zo’n account kan namelijk niet door iemand anders zijn aangemaakt, want Ashley Madison vraagt wel om confirmatie).
Dat misbruik maken gaat wel meevallen; Troy Hunt maakt namelijk onderscheid in de zogenaamde “sensitive breaches” (zie https://haveibeenpwned.com/FAQs#SensitiveBreach) De resultaten van dit soort sites laat hij alleen zien aan geverifieerde gebruikers. En als je toch al toegang hebt tot het account van je partner, is een “wachtwoord vergeten” gebruiken bij zo een site net zo eenvoudig.
Goed punt, ik denk dat ik in de war was met een andere dump-site. “Sensitive breaches” is inderdaad een slimme manier om misbruik te voorkomen.
Rest mij de vragen: