Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit achterhaalde door te snuffelen op het KPN intranet, waar men toegang toe had via een laptop die een monteur was vergeten bij een klant – en die ook geen wachtwoord had. Eh, wacht, wat. En vooral, mag dat dan, journalistiek snuffelen?

De laptop gaf met enkele muiskliks toegang tot gevoelige ­documenten van het Nederlandse ­telecombedrijf, aldus Trouw. Vooral vanaf het begin val je ICT-securitytechnisch van je stoel: er zat geen wachtwoord op de laptop. Vervolgens kon men zo bij het intranet TeamKPN, waar geen extra login of tweefactorauthenticatie nodig is. En dan lees je bijvoorbeeld dat een KPN manager over de samenwerking met Tencent zegt dat KPN in zijn ogen ‘een hofleverancier van persoons­data voor de Chinese overheid is’. Oeh, schandaal, manager roddelt over eigen bedrijf met collega’s, nog nooit gehoord.

Nou ja, het zal wel nieuws zijn op een of andere manier. En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.

Voor mij staat wel voorop dat áls je tegen het illegale aan gaat schuren, dat je dat pas doet als je weet dat je een mooie scoop gaat ontdekken. En helemaal als je gewoon keihard computervredebreuk gaat plegen. Want ja, dat doe je als je een laptop opentrekt waarvan je weet dat ‘ie niet jouw eigendom is. En oké, die laptop is achtergelaten dus een bijdehante jurist zegt dan res derelicta dus 5:18 BW geen eigenaar dus mag je erin kijken. Oké, wat jij wilt.

Maar dan mag je nog steeds niet het KPN intranet op, want daarvan weet iedereen dat dat een vertrouwelijk netwerk is. En zonder vooraf ook maar iets van een misstand te vermoeden en dat op te willen lossen dan gaan snuffelen, nee dat lijkt mij gewoon strafbaar. Dan blijft alleen nog over “maar ik héb me toch een schandaal gevonden”, het excuus achteraf. Dat vind ik een hele spannende, het zou dus betekenen dat als je zomaar gaat snuffelen je strafbaar bent afhankelijk van wat je uiteindelijk vindt.

Arnoud

24 reacties

  1. copy pase: En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.

    Copy paste van jouw site: Je bent journalist als je “informatie, meningen of ideeën aan het publiek bekend maakt”, ook als je niet voor een krant, tijdschrift of professionele website werkt. De term burgerjournalistiek wordt vaak gebruikt om onderscheid te maken tussen medewerkers van massamedia en ‘gewone’ mensen met een website, maar die term is juridisch gezien onzin.

    De wet kent geen speciale regels die alleen voor journalisten gelden. Ook een politieperskaart geeft geen speciale rechten - behalve dat je dan afgezette plaatsen mag betreden bij bv. calamiteiten. Een journalist mag echter in zeer uitzonderlijke gevallen strafbare feiten plegen, als dat noodzakelijk is voor de vrije nieuwsgaring. 
    

    Leg die eens uit

    1. Ik vermoed dat het verschil zit in de intentie en de belangenafweging die het OM maakt of ze vervolgen en eventueel de rechter of ze veroordelen.

      Als je als journalist bezig bent, dan heb je extra bescherming, omdat die afwegingen eerder in jouw voordeel uitvallen wegens het algemeen belang. Als je niet als journalist bezig bent heb je dat niet; ook al werk je verder 40 uur per week als journalist.

      Als ik een blog begin en een tip krijg dat ergens iets illegaals gaande is wat nieuwswaardig is (wat tegenwoordig een vrij lage drempel is) en ik luister dat af en krijg zo bewijs voor een blogpost, dan zal ik vrij veilig zijn voor vervolging. Ook al ben ik verder 40 uur per week ICT-er. Luister ik de concurrent af om een voordeel te krijgen, dan kan ik mij niet meer op dat blog beroepen.

  2. @ ItsMe: volgens mij spreken deze twee paragrafen elkaar niet per se tegen. Het gaat hier om de aard van het werk, niet om de functietitel an sich. Vervang “als journalist” uit de bovenste door “wanneer je journalistiek werk verricht” en je bent er al.

    1. Spreekt elkaar keihard tegen. Maar ja ik zit hier op een ‘juridische’ site en geld heeft tot op heden nog altijd de dienst uit gemaakt. En als je het Nederlands recht geschiedkundig bekijkt is het alleen maar eigenbelang wat er klinkt, met uiteraard degene met het meeste geld.

  3. Vraagje uit nieuwsgierigheid: in artikel 5:18 BW staat “De eigendom van een roerende zaak wordt verloren, wanneer de eigenaar het bezit prijsgeeft met het oogmerk om zich van de eigendom te ontdoen.” Als je een laptop per ongeluk vergeet voldoe je hier toch niet aan? Dus afblijven want de eigenaar is gewoon bekend, namelijk KPN?

  4. Ik heb altijd destijds geleerd – ik doe aan civiel recht – dat je pas strafbaar bent als je handelen of nalaten volstrekt moet overeenstemmen met de delictsomschrijving. En die luidt: Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. Zelfs het voldoen aan die laatste voorwaarde is twijfelachtig. Je schrijft dat je kon inloggen zonder verdere identificatie op de laptop en het Intranet. Dat vind ik al nieuwswaardig. En mocht je bij het rondsnuffelen niks vinden, dan schrijf je toch gewoon dat je verder niet hebt rondgesnuffeld. Heeft iemand al iets vernomen over een boete van de Autoriteit Persoonsgegevens voor KPN?

    1. Er staat “Van binnendringen is in ieder geval sprake” waaruit ik opmaak dat de genoemde lijst niet limitatief is. Vergelijkend doet me dit eerder denken aan een gevalletje huisvredebreuk/insluipen: de deur stond toevallig open en je liep naar binnen terwijl je wist dat je er niets te zoeken had en niet binnen had mogen gaan…

      1. Dat klopt, maar als ik me het artikel in Trouw goed herinner, is er door de klant eerst zonder succes geprobeerd de laptop te retourneren via de helpdesk en is er vervolgens door Trouw in de laptop gekeken in de verwachting van een afgeschermde startpagina met de naam van de medewerker. Dus dit lijkt meer op een gevalletje: “Joehoe mevrouw, meneer, uw deur staat open en de sleutel zit in het slot …” Dat is voor het OM qua wederrechtelijkheid en proportionaliteit wel aardig verwijderd van dat lijstje met omschrijvingen van hacken.

      1. Vind ik wel; tenminste een snipper en misschien meer dan dat. Als ik zo’n laptop aanzet en ik ben gelijk in Windows, denk ik op zijn minst dat de veiligheidsinstructies tekortschieten of onvoldoende worden bewaakt. Bij veel organisaties worden pc’s trouwens ingericht door ICT en kun je er zelf geen parameter aan veranderen. Dan krijg je een inlogscherm met een personeelsnummer of zo en moet je om de drie maanden je wachtwoord vernieuwen. Misschien is dat bij Trouw ook zo. Ik zou als journalist oprecht verbaasd zijn.

        1. Oké, die zie ik. Maar moet je dan niet stoppen bij de constatering dat je het intranet kunt bezoeken, waarom mag je dan verder en kijken wat managers zeggen over Tencent? Dat voelt echt als “even zoeken of ik nog wat leuks vind” en niet “even de scoop valideren die ik net ontdekte”.

          1. In antwoord op je vraag: misschien was dat helemaal niet het oogmerk. Misschien wilde Trouw – terecht – weten welke gegevens van contactpersonen/accounts beschikbaar waren op het Intranet. Zakelijke, mobiele telefoons worden doorgaans ook privé gebruikt dus dan heb je gelijk al een datalek van jewelste. Bovendien moet zo’n Intranet een of andere koppeling hebben met een database van een externe mail client of een personeelssysteem; Gefundenes Fressen voor een hacker. En dan kom je die gewraakte berichten tegen. Een vraag aan jou: we verschillen van mening over de wederrechtelijkheid van dit onderzoek, soi, maar vind je het ook zelf niet op z’n minst problematisch dat onze grootste provider dit soort steken laat vallen?

            1. Jazeker! Hoe doe ik je iets anders denken? KPN heeft in dezen op geen enkele manier de hand in eigen boezem gestoken. Slappe hap. Het begint al met de helpdesk die echt niet groen bloed meer heeft en echt niet snapt wanneer of hoe ze iets moeten escaleren. Gebeurt ook bij andere privacy lekken. Dan krijg je typisch helpdeskgedrag: ligt niet aan ons, jij doet het fout, de groeten. Afhouden!!! En dan heb ik het nog niet over het 112-fiasco.

          2. “We konden op het intranet van KPN” komen is op zich geen groot nieuws. “We konden klantengegevens via het onbeveiligde intranet bekijken” is wel groot nieuws.

            Laten we even aannemen dat dit de “scoop”/het vermoeden van de verslaggevers was. Om deze vast te stellen, was computervredebreuk nodig. Eenmaal “ingebroken” kwamen kennelijk in plaats van de klantgegevens de interne discussie over het faciliteren van de Orwelliaanse bewakingssystemen van de Chinese overheid tevoorschijn.

  5. Wat mij wel verbaasd van 1 kant is dat KPN hier blijkbaar geen betere leverancier heeft gekozen. Voor zover ik van verschillende kanten hoor hebben de meeste grote ISPs in Nederland en de rest van Europa heel veel uitbesteed en is er steeds minder kennis bij de bedrijven zelf te vinden. Dat is wat mij betreft ook het grootste probleem als ze vervolgens leveranciers voor hardware van buiten de EU kiezen. Dan komen ook de medewerkers van die hardware leverancier vaak mee voor het beheer. Daarmee geef je uiteindelijk een land buiten de EU toegang om mee te kijken en gegevens te verzamelen. Daarnaast was hier blijkbaar een intranet waar die leveranciers ook bij konden waar al veel op te vinden was.

    1. KPN is zelf leverancier van kantooratomatiseringssystemen voor grote bedrijven via bijvoorbeeld citrix. Best aardig dichtgetimmerd. Als je zo’n laptop vindt kun je er niks mee.

      Raar dus dat hun eigen personeel met onbeveiligde laptops zou rondlopen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.