De zoekmachine We Leak Info is volgens het Openbaar Ministerie (OM) opgezet om criminelen eenvoudig toegang te geven tot e-mailadressen en wachtwoorden, maar de betrokken Nederlandse verdachte beweert dat de website goede bedoelingen had. Dat las ik bij Nu.nl vorige week. Met deze website kon je – inclusief premiumabonnement – zoeken in de vele gelekte datadumps die er tegenwoordig zijn. Het verweer luidde natuurlijk dat er ook vele andere sites zijn, met name Have I Been Pwned van de bekende researcher Troy Hunt, waar je dat in kunt doen. Hoe zie je nou het verschil?
Even beginnen bij de wet. Artikel 139d Wetboek van Strafrecht zegt dat het een strafbaar feit is als je
- een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden hebt
Eh, wacht, verkopen? Ja, aldus het OM: meneer adverteerde op bekende criminelenforums dus kennelijk wil je dan misdadigers die gegevens verkopen, precies wat we hier strafbaar stellen. Maar nee:
Hen proberen te bereiken zou ook de reden zijn geweest dat We Leak Info op hackforums adverteerde, al leverde dat volgens de Nederlander ook “verkeerde klanten” op.Mij lijkt dat als je in zo’n situatie weet dat een klant “verkeerd” is, dat je dan niet moet gaan handelen want dan val je – via voorwaardelijke opzet – onder dat oogmerk.
Verder vergeten heel veel mensen die deze vergelijking maken, dat Hunt buitengewoon veel moeite steekt in het niet daadwerkelijk lekken van wachtwoorden. Standaard kun je alleen zoeken op emailadres of telefoonnummer en dan zegt hij welke dienst het datalek had waar dat adres of nummer in zat. Het wachtwoord krijg je niet te zien. Daarmee is er hoe dan ook geen sprake van een strafbaar feit. Ik kan me omgekeerd eigenlijk ook niet voorstellen wat wél een legitieme use case is van het publiceren van login én wachtwoord.
Edit (14 mei 2021): verdachte veroordeeld, 2 jaar cel (1 voorwaardelijk) en winstafdracht van € 110.000.
Arnoud
Na deze quote “Ik kan me omgekeerd eigenlijk ook niet voorstellen wat wél een legitieme use case is van het publiceren van login én wachtwoord.” was ik benieuwd of je de website van scattered secrets kent. https://scatteredsecrets.com/ Vergelijkbaar met haveibeenpwnd, maar dan wel inzage in het wachtwoord dat gelekt is.
Dat lijkt me ook geen legitiem gebruik, het legt ook niet echt uit waarom er inzicht in het wachtwoord nodig is.
De aangevoerde reden is “mensen schrikken pas als ze daadwerkelijk hun wachtwoord zien staan, alleen een melding van een lek neemt men niet serieus, zoals je ook kan zien aan haveibeenpwned”. Dat lijkt me een reden die niet totaal onzin is. Ik zou wel verwachten dat iemand die op die manier maatschappelijke verantwoordelijkheid probeert te nemen een stuk harder zijn best zou doen om misbruik te voorkomen, en vind het verhaal van We Leak Info dus niet overtuigend; maar het lijkt me ook niet bij voorbaat flauwekul.
Dan zou je kunnen volstaan door de eerste/laatste/random x karakters van een wachtwoord te laten zien. Dus “BruineHoed123” tonen als “B****eHo****3”. Als dat mijn wachtwoord is, dan zou ik hiermee wel overtuigd zijn dat ze mijn wachtwoord daadwerkelijk weten.
Het helpt ook als je dan geen geld vraagt voor 24 uur toegang, dat suggereert voor mij toch sterk dat mensen willen snuffelen. Geld vragen voor de kosten oké, maar doe dan “sms p0wnaan naar 4111 en je krijgt je wachtwoord te zien”.