Mag je openbaar toegankelijke databases wissen omdat het datalekken zijn?

| AE 12123 | Informatiemaatschappij | 15 reacties

Een lezer vroeg me:

Recent kwam in het nieuws dat duizenden onbeveiligde databases worden gewist door een aanvaller die alleen het woord “Meow” achterlaat. Het gaat om per abuis onbeveiligd toegankelijke databases, soms met en soms zonder persoonsgegevens. Het motief is onduidelijk, dus nu vroeg ik me af of je dit zou kunnen rechtvaardigen vanuit zaakwaarneming? Die bedrijven veroorzaken datalekken, dat moet zo snel mogelijk gestopt dus dan zelf maar ingrijpen?
Als ik de berichtgeving goed begrijp, dan gaat het om een robot die het internet afzoekt naar bekende plekken waar databases wel eens per abuis worden neergezet. Het is natuurlijk niet de bedoeling, maar helaas worden zulke databases nog wel eens ergens in productie genomen waar ze direct benaderbaar zijn via internet.

De motieven van de dader lijken onduidelijk – de speculatie is “omdat het kan”, er wordt immers geen nadere informatie gegeven en alleen de term “meow” achtergelaten in de database. Dat past niet echt bij een white hat hacker die datalekken wil stoppen. Maar een bijeffect is wel dat een hoop datalekken zo opgeruimd worden.

Het gaat me te ver om te zeggen dat dit legitiem kan zijn als een vorm van zaakwaarneming. Bij zaakwaarneming bemoei je je met andermans zaken omdat daar een onmiddellijke noodzaak voor is. Je ziet een vlam in de pan bij de buurman die even naar buiten was, je slaat een ruitje in en draait het gas uit. Zoiets.

Het is bij die vlam niet nodig eerst de buurman te vragen (als je weet dat die er niet is) of dat wel mag, de noodzaak is evident dus grijp je in. Maar bij zo’n open database ligt dat anders voor mij, dan is contact opnemen wel echt nodig. Alleen: er staat zelden bij van wie de database is, laat staan hoe je de FG van dat bedrijf benadert om het datalek te melden. Dat maakt het dus even lastig.

Het is strafbaar om andermans data te wissen of ontoegankelijk te maken, ook als je meent dat die data toegankelijk is vanwege een datalek. Het moet wel een heel acute en grote situatie zijn wil wissen door een derde ook maar enigszins gerechtvaardigd zijn. Ik kan dat niet bedenken, in ieder geval niet zonder discussie met de eigenaar.

Alleen weet ik niet wat dan wél te doen met zo’n openbare database waar geen contactgegevens bij staan. Jullie wel?

Arnoud PS: volgende week ben ik met vakantie, u krijgt dan een reeks over de geschiedenis van NDA Lynn

Deel dit artikel

  1. De boel encrypten en contact gegevens achterlaten zodat de eigenaar de decryptie sleutel kan krijgen na bewijzen te hebbben dat hij de echte eigenaar is en geen random persoon. (komt wel heel dicht in de buurt van ransom ware). Een kopie maken voordat je de boel wist voor als de eigenaar geen backup heeft, zou ook controversieel zijn.

    Een nettere oplossing zou zijn om het gat te dichten dan wel de openstaande interface uit te zetten. Maar hiervoor zou je bij de instellingen van de server moeten komen ipv alleen bij de database en waarschijnlijk is dat weer niet mogelijk.

  2. https://blog.iusmentis.com/2017/05/04/mag-andermans-brakke-iot-apparaten-op-afstand-onschadelijk-maken/

    De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.
    Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.
    Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.

    De onmiddelijke noodzaak voor het weghalen van de datalek (de eigenaar kan niet verantwoordelijk met andermans data omgaan) is evident: Als je via een scriptje of Shodan het kan vinden, dan kan iedereen erbij.

    Als je het goed wil doen, schrijf je dan geen “meow” maar laat je netjes je 06 nummer achter. Maar dat is praktisch gezien natuurlijk lariekoek, dan ben je de hele dag aan het bellen met buitenlanders. Misschien beter om te linken naar een anonieme pastebin met instructies om het lek te dichten de volgende keer, en je motivatie toe te lichten. Geef je wel netjes je 06 zoals een goede huisvader betaamd, dan vind ik dat de zaakhebber je ook schadeloos moet stellen (consultancy tarief voor een security onderzoeker, en een bonus voor de misgelopen boete voor lekken).

    • Quote ging niet helemaal goed. Mijn addendum start vanaf: De onmiddelijke noodzaak voor het weghalen van de datalek (de eigenaar kan niet verantwoordelijk met andermans data omgaan) is evident: Als je via een scriptje of Shodan het kan vinden, dan kan iedereen erbij.

      Als je het goed wil doen, schrijf je dan geen “meow” maar laat je netjes je 06 nummer achter. Maar dat is praktisch gezien natuurlijk lariekoek, dan ben je de hele dag aan het bellen met buitenlanders. Misschien beter om te linken naar een anonieme pastebin met instructies om het lek te dichten de volgende keer, en je motivatie toe te lichten. Geef je wel netjes je 06 zoals een goede huisvader betaamd, dan vind ik dat de zaakhebber je ook schadeloos moet stellen (consultancy tarief voor een security onderzoeker, en een bonus voor de misgelopen boete voor lekken).

  3. Hier zie ik nog wel wat ruimte voor zaakwaarneming afhankelijk van de ernst van het lek eventueel op basis van de impact voor betrokkenen. Een lek met ‘enkel’ adresgegevens is van een ander kaliber dan een lek met BSNs. Je slaat niet het ruitje in als het eten bij de buurman verpieterd, maar wel als, inderdaad, de vlam in de pan slaat.

    Wat nou als je de database kloont, opslaat (wel veilig uiteraard), de oorspronkelijk database wist en je contactgegevens achterlaat? Dat is een beetje hetzelfde als de inboedel van de buurman veilig opslaan als z’n huis volledig open ligt en je geen toegang/capaciteit hebt om de boel te laten fixxen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS