Wanneer gaat hengelen naar een beloning over in afpersing?

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Dat meldde Tweakers vorige week. De aangifte zou zijn vanwege chantage dan wel afpersing. De ontwikkelaar verwijst naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon raar om voor dit niveau ‘afpersing’ naar de politie te stappen, en de PR is bepaald onhandig ingestoken. Al snel werd de keutel ingetrokken. Maar zit er juridisch een punt achter?

Het datalek in kwestie is overigens geen AVG-datalek, maar een financieel lek: je kunt per dag zien hoe veel tickets men verkoopt en wat de prijs per ticket was. Zonder enige rare actie, behalve dan F12 drukken in je browser. (Geen paniek, nog een keer F12 en deze blog is weer normaal.) In iets meer detail:

Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.

De ontwikkelaar gaf deze technische blunder door aan Walibi, inclusief een stukje van de informatie als bewijs dat het lek er inderdaad zat. Hij gebruikte daarbij het mailonderwerp ‘Datalek ruilen voor kaartjes?’, kennelijk refererend aan eerder contact waarbij Walibi had aangeven dat kaartjes soms als beloning worden gegeven voor het melden van datalekken. Maar de directeur van Walibi (waarom die directrice genoemd wordt ontgaat me overigens, het is toch geen school) las hierin een strafbaar feit, namelijk afpersing:

Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.

Even los van de bepaald onhandige inschatting hier, is dit nu überhaupt afpersing te noemen? Het flauwe antwoord is nee, want afpersing is (art. 317 Strafrecht) kort gezegd dreigen met geweld om jezelf te bevoordelen. Ze bedoelen dan ook afdreiging (art. 318 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Het stukje ‘dwingen’ is makkelijk hier, de ontwikkelaar zou die vier kaartjes (kaartjes zijn “enig goed”) willen hebben met zijn mail. Maar wat is dan de ‘dreiging’, het andere essentiële bestanddeel van dit delict? Dat zou dan waarschijnlijk een gang naar de pers zijn, betaal me of ik maak openbaar dat je een datalek hebt.

Dat is wat de ontwikkelaar zou hebben gezegd, aldus het pretpark:

Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?

Dit stukje doet mij ook de wenkbrauwen fronzen. Het hele punt van belonen is voor het mélden van datalekken, je betaalt mensen niet voor hun stilzwijgen maar voor hun speurwerk. En ja, binnen de letter van de wet is het als afdreiging te construeren als je zegt “ik zal een geheim niet publiceren als je me geld geeft” wanneer dat publiceren op zichzelf wederrechtelijk is.

Bij de reacties lees ik dan de ontwikkelaar die stelt dat je de zin moet lezen in de context van eerdere communicatie. Dat snap ik gezien de voorgeschiedenis, en ik weet vrij zeker dat de directeur die niet kent en daarom de zin zo heftig oppakt. Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in het bedrijfs moet communiceren.

Arnoud

6 reacties

    1. Iets als

      “Naar verwijzing van toezeggingen zoals die door uw IT manager in eerdere correspondentie met ondergetekende zijn gedaan, zou ik het op prijs stellen indien u mij als tegenprestatie voor de gedane inspanning vier Fastlane Gold tickets voor aanstaande zondag zou doen toekomen. Vanzelfsprekend zal ik alle bedrijfsgevoelige informatie als dusdanig behandelen, ongeacht of u ingaat op mijn verzoek.”

  1. De kaartjes voor een R.I.P. XL arrangement (waarin de Fastlane Gold Pass zit) zijn 139,95 per stuk. Staat geen toegang tot Below of Clinic bij. Dat is nog iets van 30 euro per stuk erbij. Voor 4 personen dus ongeveer 680 euro totaal aan kaartjes.

  2. Ik zag laatst op Quora een vraag hierover, waar ik vervolgens antwoord op gaf. Maar er lijkt steeds meer informatie vrij te komen hierover. Blijft lastig om de ware toedracht te vinden…

    Ik had ergens gelezen dat in het verleden de hacker door Walibi was gevraagd om langs te komen om een voorgaand lek even nader toe te lichten. Dat wilde hij wel, maar da’s “werk” en als freelancer wou hij €60 per uur en had hij verwacht 6 uur werk te hebben. Daarna werd het opeens stil. En bij dit nieuwe lek gaat Walibi opeens “afpersing” schreeuwen…

    Kennelijk zag de directrice dit dus als afpersing. Iemand vindt een lek en wil vervolgens betaald worden om er meer uitleg over te geven. Dat negeren ze dan en als hij later nogmaals met een lek komt valt de vlam in de pan. Tja, zo kun je het ook zien…

    Aan de andere kant, wat ik zie: hacker vindt een lek. Hacker meldt het lek. Bedrijf bedankt hem maar wil meer weten over het lek. Bedrijf vraagt hacker om langs te komen voor verdere tekst en uitleg. Hacker zegt: “Ja, hoor! Dit is mijn uurtarief!” En einde contact…

    1. Arnoud refereert er al aan, maar dit is wat ik heb begrepen over het hele verhaal:

      Begin dit jaar had hacker contact met hoofd IT van Walibi. Volgens de hacker is het vrij normaal een uurtarief te rekenen om de beveiliging van een bedrijf te checken. Dit lijkt me zelf ook niet zo gek, maar goed. Hoofd IT geeft in eerste instantie aan dat Walibi eigenlijk alleen met vrijkaartjes beloont. Het lijkt erop dat de hacker dit een vrij lachwekkend voorstel vindt, maar dat is niet het einde van het contact.

      Door verschillende privé-omstandigheden bij zowel de hacker, als bij het hoofd IT van Walibi, komt het uiteindelijk niet tot een overeenkomst, en laten ze het verder liggen.

      Fast forward naar de ontdekking van de hacker over het kunnen vinden van de verkoopgegevens. Hij geeft zelf aan dat dit nauwelijks moeite kostte, en wat hem betreft nauwelijks als hack gezien mag worden. Het kostte hem 20 minuten werk, wat voornamelijk ging om het begrijpen van de data, niet het verkrijgen ervan. Als grappige referentie naar het eerdere contact, mailt hij het lek en vraagt hij om vrijkaartjes (voor, wat ik van hAI lees, een belachelijk hoog bedrag, waarschijnlijk verdere referentie aan hoe belachelijk hij die beloning vindt). Dit gaat door naar PR en de directeur. Het lijkt erop dat het hoofd IT er niet meer werkt, gezien een openstaande vacature, wat kan verklaren waarom de referentie niet werd begrepen en er zo heftig werd gereageerd.

      Overigens zijn er sindsdien nog 2 lekken gevonden, die wat grotere gevolgen hadden: Blijkbaar kon/kun je op de webshop een negatieve waarde als aantal opgeven, waardoor je de kaarten die je wil hebben in je winkelmandje kunt doen, en dan een aantal andere kaarten met een negatieve waarde erbij, die van het totaalbedrag worden afgetrokken, en zo voor 50 cent kaarten kunt kopen. Deze informatie werd via de media gespeeld, omdat de hacker die dat vond, bang was voor een soortgelijke behandeling van Walibi. Ook grapte hij dat de eerste hacker zo met veel minder gedoe ook die (bijna) gratis kaarten had kunnen krijgen.

      Ook schijnt het mogelijk te zijn het betaalproces af te breken, en dan in de broncode 3 links te vinden. 1 van die 3 links is de “betaling geslaagd” link, en als je die volgt, heb je niets betaald, maar denkt de website van wel, en heb je gratis kaarten. Dit is geloof ik computervredebreuk, net als toen met het vinden van die troonrede door het gokken van de URL, maar toch.

      Het zou me niet verbazen als die andere twee hacks zijn gevonden omdat Walibi zich in de schijnwerpers zette binnen de hacker-community, gezien hun houding. Op zich begrijp ik wel dat Walibi zo reageerde, maar misschien hadden ze het iets beter moeten uitzoeken van te voren. Ik kan me echter ook voorstellen dat (ethische) hackers, vanwege het verhaal van de hacker, zich tegen Walibi keerden, zoals de familie van een ex.

      Conclusie: Beveiliging webshop van Walibi is zo lek als een mandje. Walibi is gierig/ouderwets in het belonen van al dan niet ingehuurde ethische hackers, en gaat nucleair om grapjes.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.