“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?
Natuurlijk is het in principe computervredebreuk om in te loggen met publiek aangetroffen accountgegevens, zoals een boardingkaartnummer en een achternaam. Je dringt dan binnen in een systeem onder de hoedanigheid van de luchtpassagier, en je weet dat je daar niet mag zijn in die hoedanigheid. Dat de gegevens publiek te vinden waren, maakt daarbij niet uit. (Als je ooit denkt “de informatie is publiek dus ik mag X”, dan heb je -als vuistregel- juridisch geen gelijk.)
Punt is natuurlijk dat Verlaan werkt als journalist, en daarbij technologie en met name security als aandachtspunt voor zichzelf geclaimd heeft. Hij bouwde onder meer de site Laat je niet hack maken, die mensen in gewone taal uitlegt wat wel en niet verstandig is bij online security. En als zo’n journalist ziet dat iemand met een profiel als Peter Verhaar publiekelijk oproept om zoiets doms te doen, dan snap ik meteen dat hij dat publiceert. Zoals een twitteraar het vergeleek: “ik ben tegen de bankmaffia, u ook, post dan uw creditcard voor en achter”.
Een journalist mág zoiets ook, in het kader van het aan de kaak stellen van een misstand. Ook als daarbij een strafbaar feit nodig was. Als journalist mag je soms net een klein stapje verder gaan, als dat in het belang is van je publicatie en je geen andere manier hebt om je punt te maken.
De vraag is dus, had Verlaan die noodzaak om in te loggen en die gegevens van vrouw en kind te noteren en (geanonimiseerd) te publiceren? Ik zou zeggen van wel: Verhaar begaat zo’n ernstige en onverantwoorde fout dat daar onmiddellijk een signaal tegen gegeven moet komen. En iemand die zo oliedom is, zal van enkel “dat is niet handig!!1!” van een nerdjournalist (sorry Daniel) niet onder de indruk zijn. Die persoonlijke informatie is dan nodig om direct het signaal te geven, doe dit niet, houd ermee op. Dus ja, dit mocht.
Arnoud
Mag hij dit doen omdat hij als journalist bij een media organisatie aan het werk is, of omdat er een maatschappelijk belang om hiervoor te waarschuwen is?
Wat zou de afweging zijn geweest als deze tweet van een (ik noem maar wat) arbeidsrecht jurist was gekomen? Gewoon exact dezelfde tweet en waarschuwing en in het belang van het publiek, maar dan niet van een journalist?
Uiteindelijk is journalistiek iets dat je doet, niet iets dat je bent. Dus ook als jij of ik dit hadden gedaan, waren we bij de rechter ermee weggekomen, zo is mijn inschatting. Ik denk wel dat meeweegt dat Daniel Verlaan gezien zijn achtergrond goed in staat is die afweging te maken (bv. wel het tonen van de kaart maar niet de privégegevens) en dat daar een stukje zorgvuldigheid van uitgaat. Wij zouden eerder foutjes maken en die krijg je dan zwaar aangerekend – je hebt hier geen verstand van, dus je dacht ik publiceer even een integrale boardingpass als waarschuwing?
Maakt overigens wel duidelijk hoe matig dat Amadeus-systeem is ontworpen, dat een boekingscode zowel een unieke identificator is die overal prominent op geprint staat, als ook iets dat je tegelijk strict geheim moet houden.
Bij veel luchtvaartmaatschappijen kun je met je boekingscode plus achternaam de boekingsdetails raadplegen. Verder geen authenticatie nodig. Dit is natuurlijk een privacylek van jewelste, met name omdat mensen zich hier niet van bewust zijn, en die boekingscode dus met iedereen delen — en hem vaak ook verplicht moeten delen als onderdeel van een visumaanvraag, waarbij bewijs van een geboekt ticket moet worden overlegd (Een eis die ook de NL overheid ook nog steeds stelt, al is die eis al meermaals door de ombudsman als onrechtmatig handelen is beoordeeld: de overheid mag die eis pas stellen als het visum in principe is toegewezen, maar nog moet worden uitgereikt. De overheid negeerd hier stelselmatig de eigen regels). De work-around om dit onrechtmatig handelen van de overheid was dan eenvoudig: een ticket boeken, reserveringsbewijs printen, ticket meteen weer cancellen, dan na toekenning visum alsnog de vlucht boeken. Het probleem bij deze truuk is dat je door die werkzijze van luchtvaartmaatschappijen dat kunt nagaan (mijn ervaring is dat dat niet gebeurd).
Mijn ervaring is dat dit ook afhankelijk is van het type visum of je hier last van hebt. Verder zou het voldoende moeten zijn dat je een ticket uit Nederland hebt zodra je het land inkomt en er anders niet in mag.
Het schijnt ook af te hangen van de ambassade die de aanvragen afhandeld. Een paar jaar geleden is men overgestapt op “regionale” visaafhandeling, en worden in de meeste ambassades geen visas meer geplakt. De afhandeling van de meest gebruikelijke (kort bezoek) aanvragen is ook grotendeels uitbesteed naar een particulier bedrijf, dat weer extra eisen verzint.
Toch jammer dat hij zijn credit card niet heeft gepost.
Toch is er nog een ander probleem met deze publicatie die Daniel hier maakt! Er staat een datum en tijd op de boarding pass, wat betekent dat Peter op dat moment niet thuis zal zijn. En Peter zal als bankier best een interessante inboedel hebben die op dat moment even “opgehaald” kan worden. Zijn adres zal niet moeilijk te vinden zijn en hoewel een beveiliging wel te verwachten is, is het maar de vraag hoe efficiënt deze is. Gelukkig is Peter op zijn blog al een tijdje niet meer actief zodat daar geen domme dingen meer komen, maar dom zijn op Twitter… Tja, da’s dom… 🙂
Zou Peter alweer terug zijn van zijn vakantie? En is zijn huis ondertussen leeg? Ach, boeit mij niet.