Mag je openbaar toegankelijke databases wissen omdat het datalekken zijn?

Een lezer vroeg me:

Recent kwam in het nieuws dat duizenden onbeveiligde databases worden gewist door een aanvaller die alleen het woord “Meow” achterlaat. Het gaat om per abuis onbeveiligd toegankelijke databases, soms met en soms zonder persoonsgegevens. Het motief is onduidelijk, dus nu vroeg ik me af of je dit zou kunnen rechtvaardigen vanuit zaakwaarneming? Die bedrijven veroorzaken datalekken, dat moet zo snel mogelijk gestopt dus dan zelf maar ingrijpen?
Als ik de berichtgeving goed begrijp, dan gaat het om een robot die het internet afzoekt naar bekende plekken waar databases wel eens per abuis worden neergezet. Het is natuurlijk niet de bedoeling, maar helaas worden zulke databases nog wel eens ergens in productie genomen waar ze direct benaderbaar zijn via internet.

De motieven van de dader lijken onduidelijk – de speculatie is “omdat het kan”, er wordt immers geen nadere informatie gegeven en alleen de term “meow” achtergelaten in de database. Dat past niet echt bij een white hat hacker die datalekken wil stoppen. Maar een bijeffect is wel dat een hoop datalekken zo opgeruimd worden.

Het gaat me te ver om te zeggen dat dit legitiem kan zijn als een vorm van zaakwaarneming. Bij zaakwaarneming bemoei je je met andermans zaken omdat daar een onmiddellijke noodzaak voor is. Je ziet een vlam in de pan bij de buurman die even naar buiten was, je slaat een ruitje in en draait het gas uit. Zoiets.

Het is bij die vlam niet nodig eerst de buurman te vragen (als je weet dat die er niet is) of dat wel mag, de noodzaak is evident dus grijp je in. Maar bij zo’n open database ligt dat anders voor mij, dan is contact opnemen wel echt nodig. Alleen: er staat zelden bij van wie de database is, laat staan hoe je de FG van dat bedrijf benadert om het datalek te melden. Dat maakt het dus even lastig.

Het is strafbaar om andermans data te wissen of ontoegankelijk te maken, ook als je meent dat die data toegankelijk is vanwege een datalek. Het moet wel een heel acute en grote situatie zijn wil wissen door een derde ook maar enigszins gerechtvaardigd zijn. Ik kan dat niet bedenken, in ieder geval niet zonder discussie met de eigenaar.

Alleen weet ik niet wat dan wél te doen met zo’n openbare database waar geen contactgegevens bij staan. Jullie wel?

Arnoud PS: volgende week ben ik met vakantie, u krijgt dan een reeks over de geschiedenis van NDA Lynn

15 reacties

    1. Ja dat is vaak zeer zeker mogelijk. Via de publieke whois data krijg je vaak genoeg contact gegevens om de hoster of netwerk aanbieder te benaderen bij een IP adres (deze heb je minimaal). Daarmee zou je dus in ieder geval eerst contact op kunnen nemen als andere opties niet mogelijk zijn.

      1. Niet helemaal. Wissing kan al een meldplichtig datalek opleveren als de tijdelijk beperkte beschikbaarheid de belangen van betrokkenen schaadt. ‘Ik heb NU de contactgegevens van klant X nodig om hem te vertellen dat hij zijn aandelen asap moet verkopen’ of ‘kaartjes zijn vanaf 00.00 uur te bestellen, wie het eerst komt, het eerst maalt’. Dan helpt het niet dat er ergens een backup is. Het feit dat persoonsgegevens nodig en toch niet op het juiste moment beschikbaar zijn, is al voldoende om dan van een datalek te spreken toch?

        1. Ik zie je punt, maar had het standpunt van de AP zo begrepen dat het pas een datalek is als de gegevens onherstelbaar weg zijn. Als mijn server gereboot wordt, zodat ik 30 seconden niet kan inloggen op mijn CMS met klantgegevens, heb ik dan 30 seconden een datalek? Dat voelt wat vreemd.

          1. Nee, pas als door die 30 seconden onbeschikbaarheid aanmerkelijke problemen ontstaan. Meestal is dat niet het geval, maar stel bv. dat het een plaatje van een hersenscan is die de chirurg precies op dat moment nodig heeft tijdens een operatie, dan wel.

        1. Dat is zo. Maar ik zou het zéér onwaarschijnlijk vinden dat een blob met data op een openbare AWS server of iets dergelijks de enige kopie is van die data. En daar staat tegenover dat de blootgestelde gegevens wel een acuut risico vormen.

          Misschien een tussenoplossing zoals elders gezegd: data downloaden, encrypten en uploaden, daarna origineel wissen. Sleutel dan inleveren bij bedrijf. Een beetje alsof je iemands kapotgewaaide deur vervangt en de sleutel bij de buurman afgeeft zeg maar.

  1. De boel encrypten en contact gegevens achterlaten zodat de eigenaar de decryptie sleutel kan krijgen na bewijzen te hebbben dat hij de echte eigenaar is en geen random persoon. (komt wel heel dicht in de buurt van ransom ware). Een kopie maken voordat je de boel wist voor als de eigenaar geen backup heeft, zou ook controversieel zijn.

    Een nettere oplossing zou zijn om het gat te dichten dan wel de openstaande interface uit te zetten. Maar hiervoor zou je bij de instellingen van de server moeten komen ipv alleen bij de database en waarschijnlijk is dat weer niet mogelijk.

  2. Ik schaar dit in de categorie ‘burgerlijke ongehoorzaamheid’. Mag niet, is wel beter voor de wereld. Nu nog hopen dat de wet in lijn wordt gebracht en dat dit soort nalatige hosters/verantwoordelijken aansprakelijk worden gesteld.

  3. https://blog.iusmentis.com/2017/05/04/mag-andermans-brakke-iot-apparaten-op-afstand-onschadelijk-maken/

    De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.
    Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.
    Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.

    De onmiddelijke noodzaak voor het weghalen van de datalek (de eigenaar kan niet verantwoordelijk met andermans data omgaan) is evident: Als je via een scriptje of Shodan het kan vinden, dan kan iedereen erbij.

    Als je het goed wil doen, schrijf je dan geen “meow” maar laat je netjes je 06 nummer achter. Maar dat is praktisch gezien natuurlijk lariekoek, dan ben je de hele dag aan het bellen met buitenlanders. Misschien beter om te linken naar een anonieme pastebin met instructies om het lek te dichten de volgende keer, en je motivatie toe te lichten. Geef je wel netjes je 06 zoals een goede huisvader betaamd, dan vind ik dat de zaakhebber je ook schadeloos moet stellen (consultancy tarief voor een security onderzoeker, en een bonus voor de misgelopen boete voor lekken).

    1. Quote ging niet helemaal goed. Mijn addendum start vanaf: De onmiddelijke noodzaak voor het weghalen van de datalek (de eigenaar kan niet verantwoordelijk met andermans data omgaan) is evident: Als je via een scriptje of Shodan het kan vinden, dan kan iedereen erbij.

      Als je het goed wil doen, schrijf je dan geen “meow” maar laat je netjes je 06 nummer achter. Maar dat is praktisch gezien natuurlijk lariekoek, dan ben je de hele dag aan het bellen met buitenlanders. Misschien beter om te linken naar een anonieme pastebin met instructies om het lek te dichten de volgende keer, en je motivatie toe te lichten. Geef je wel netjes je 06 zoals een goede huisvader betaamd, dan vind ik dat de zaakhebber je ook schadeloos moet stellen (consultancy tarief voor een security onderzoeker, en een bonus voor de misgelopen boete voor lekken).

  4. Hier zie ik nog wel wat ruimte voor zaakwaarneming afhankelijk van de ernst van het lek eventueel op basis van de impact voor betrokkenen. Een lek met ‘enkel’ adresgegevens is van een ander kaliber dan een lek met BSNs. Je slaat niet het ruitje in als het eten bij de buurman verpieterd, maar wel als, inderdaad, de vlam in de pan slaat.

    Wat nou als je de database kloont, opslaat (wel veilig uiteraard), de oorspronkelijk database wist en je contactgegevens achterlaat? Dat is een beetje hetzelfde als de inboedel van de buurman veilig opslaan als z’n huis volledig open ligt en je geen toegang/capaciteit hebt om de boel te laten fixxen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.