Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

| AE 11749 | Ondernemingsvrijheid, Security | 24 reacties

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit achterhaalde door te snuffelen op het KPN intranet, waar men toegang toe had via een laptop die een monteur was vergeten bij een klant – en die ook geen wachtwoord had. Eh, wacht, wat. En vooral, mag dat dan, journalistiek snuffelen?

De laptop gaf met enkele muiskliks toegang tot gevoelige ­documenten van het Nederlandse ­telecombedrijf, aldus Trouw. Vooral vanaf het begin val je ICT-securitytechnisch van je stoel: er zat geen wachtwoord op de laptop. Vervolgens kon men zo bij het intranet TeamKPN, waar geen extra login of tweefactorauthenticatie nodig is. En dan lees je bijvoorbeeld dat een KPN manager over de samenwerking met Tencent zegt dat KPN in zijn ogen ‘een hofleverancier van persoons­data voor de Chinese overheid is’. Oeh, schandaal, manager roddelt over eigen bedrijf met collega’s, nog nooit gehoord.

Nou ja, het zal wel nieuws zijn op een of andere manier. En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.

Voor mij staat wel voorop dat áls je tegen het illegale aan gaat schuren, dat je dat pas doet als je weet dat je een mooie scoop gaat ontdekken. En helemaal als je gewoon keihard computervredebreuk gaat plegen. Want ja, dat doe je als je een laptop opentrekt waarvan je weet dat ‘ie niet jouw eigendom is. En oké, die laptop is achtergelaten dus een bijdehante jurist zegt dan res derelicta dus 5:18 BW geen eigenaar dus mag je erin kijken. Oké, wat jij wilt.

Maar dan mag je nog steeds niet het KPN intranet op, want daarvan weet iedereen dat dat een vertrouwelijk netwerk is. En zonder vooraf ook maar iets van een misstand te vermoeden en dat op te willen lossen dan gaan snuffelen, nee dat lijkt mij gewoon strafbaar. Dan blijft alleen nog over “maar ik héb me toch een schandaal gevonden”, het excuus achteraf. Dat vind ik een hele spannende, het zou dus betekenen dat als je zomaar gaat snuffelen je strafbaar bent afhankelijk van wat je uiteindelijk vindt.

Arnoud

Deel dit artikel

  1. copy pase: En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.

    Copy paste van jouw site: Je bent journalist als je “informatie, meningen of ideeën aan het publiek bekend maakt”, ook als je niet voor een krant, tijdschrift of professionele website werkt. De term burgerjournalistiek wordt vaak gebruikt om onderscheid te maken tussen medewerkers van massamedia en ‘gewone’ mensen met een website, maar die term is juridisch gezien onzin.

    De wet kent geen speciale regels die alleen voor journalisten gelden. Ook een politieperskaart geeft geen speciale rechten - behalve dat je dan afgezette plaatsen mag betreden bij bv. calamiteiten. Een journalist mag echter in zeer uitzonderlijke gevallen strafbare feiten plegen, als dat noodzakelijk is voor de vrije nieuwsgaring. 
    

    Leg die eens uit

    • Ik vermoed dat het verschil zit in de intentie en de belangenafweging die het OM maakt of ze vervolgen en eventueel de rechter of ze veroordelen.

      Als je als journalist bezig bent, dan heb je extra bescherming, omdat die afwegingen eerder in jouw voordeel uitvallen wegens het algemeen belang. Als je niet als journalist bezig bent heb je dat niet; ook al werk je verder 40 uur per week als journalist.

      Als ik een blog begin en een tip krijg dat ergens iets illegaals gaande is wat nieuwswaardig is (wat tegenwoordig een vrij lage drempel is) en ik luister dat af en krijg zo bewijs voor een blogpost, dan zal ik vrij veilig zijn voor vervolging. Ook al ben ik verder 40 uur per week ICT-er. Luister ik de concurrent af om een voordeel te krijgen, dan kan ik mij niet meer op dat blog beroepen.

  2. Vraagje uit nieuwsgierigheid: in artikel 5:18 BW staat “De eigendom van een roerende zaak wordt verloren, wanneer de eigenaar het bezit prijsgeeft met het oogmerk om zich van de eigendom te ontdoen.” Als je een laptop per ongeluk vergeet voldoe je hier toch niet aan? Dus afblijven want de eigenaar is gewoon bekend, namelijk KPN?

  3. Ik heb altijd destijds geleerd – ik doe aan civiel recht – dat je pas strafbaar bent als je handelen of nalaten volstrekt moet overeenstemmen met de delictsomschrijving. En die luidt: Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. Zelfs het voldoen aan die laatste voorwaarde is twijfelachtig. Je schrijft dat je kon inloggen zonder verdere identificatie op de laptop en het Intranet. Dat vind ik al nieuwswaardig. En mocht je bij het rondsnuffelen niks vinden, dan schrijf je toch gewoon dat je verder niet hebt rondgesnuffeld. Heeft iemand al iets vernomen over een boete van de Autoriteit Persoonsgegevens voor KPN?

      • Dat klopt, maar als ik me het artikel in Trouw goed herinner, is er door de klant eerst zonder succes geprobeerd de laptop te retourneren via de helpdesk en is er vervolgens door Trouw in de laptop gekeken in de verwachting van een afgeschermde startpagina met de naam van de medewerker. Dus dit lijkt meer op een gevalletje: “Joehoe mevrouw, meneer, uw deur staat open en de sleutel zit in het slot …” Dat is voor het OM qua wederrechtelijkheid en proportionaliteit wel aardig verwijderd van dat lijstje met omschrijvingen van hacken.

  4. Wat mij wel verbaasd van 1 kant is dat KPN hier blijkbaar geen betere leverancier heeft gekozen. Voor zover ik van verschillende kanten hoor hebben de meeste grote ISPs in Nederland en de rest van Europa heel veel uitbesteed en is er steeds minder kennis bij de bedrijven zelf te vinden. Dat is wat mij betreft ook het grootste probleem als ze vervolgens leveranciers voor hardware van buiten de EU kiezen. Dan komen ook de medewerkers van die hardware leverancier vaak mee voor het beheer. Daarmee geef je uiteindelijk een land buiten de EU toegang om mee te kijken en gegevens te verzamelen. Daarnaast was hier blijkbaar een intranet waar die leveranciers ook bij konden waar al veel op te vinden was.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS