FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in plain text heeft. Wat de interessante vraag opriep: mag dat van de AVG?

De eerste vraag is dan natuurlijk, verwerkt HIBP dan persoonsgegevens? Want een wachtwoord is weliswaar persoonlijk maar zegt op zich niets over de persoon. Klopt, maar dat is natuurlijk gekoppeld aan een e-mailadres en dat is wél een persoonsgegeven (uitgaande van wim.tenbrink@example.com-achtige mailadressen, over info@ heb ik het even niet).

Emailadressen worden verwerkt: als je in de dienst je mailadres opgeeft, meldt deze in welke breaches je opgenomen bent. Natuurlijk wordt het wachtwoord niet getoond. Zoals de site het uitlegt:

When email addresses from a data breach are loaded into the site, no corresponding passwords are loaded with them. Separately to the pwned address search feature, the Pwned Passwords service allows you to check if an individual password has previously been seen in a data breach. No password is stored next to any personally identifiable data (such as an email address) and every password is SHA-1 hashed.
Desondanks: ja, HIBT verwerkt dus persoonsgegevens want ze hebben een lijst met mailadressen met daaraan gekoppeld de informatie waar deze slachtoffer van datalekken zijn geworden. En dan krijg je dus de vraag of de AVG van toepassing is, omdat dat Hunt in Australië gevestigd is met zijn site.

Er zitten bergen mailadressen van Europeanen in die gelekte databases, waardoor je kunt gaan kijken naar artikel 3 lid 2 AVG. Want dat regelt situaties waarin de AVG van toepassing is ondanks dat de verwerkingsverantwoordelijke niet in de EU is gevestigd. Eis is dan dat

de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Optie b (monitoren van gedrag) lijkt me vrij evident niet van toepassing, Hunt monitort helemaal niemand. Dus dan is de vraag of Hunt diensten aanbiedt aan deze betrokkenen (want goederen zijn er natuurlijk niet). Is die dienst dan de website, waarin je je mailadres invult en “ja” te horen krijgt, of de achterliggende dienst waarbij hij data verzamelt en koppelt ten behoeve van die website-dienst?

In het eerste geval geldt de AVG zonder twijfel, maar dan gaat het meteen goed met de grondslag en dergelijke: jij vraagt dan om die dienst (“Have I been pwned? :O”) en je krijgt die geleverd (“yes :(“) waarbij de verwerking best wel noodzakelijk is en bovendien voldoet aan dataminimalisatie.

In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

Arnoud

14 reacties

  1. Maar wat ik dan weer afvraag bij HIBP is hoe mijn adres dan uiteindelijk in hun systeem terecht is gekomen. De dienst mag dan mijn email adres bevatten en daarvoor een goede grondslag hebben, maar moeten ze dan reageren als ik vraag hoe ze aan mijn adres zijn gekomen? Want “LinkedIn heeft het gelekt” is dan niet voldoende. Tussen de database van LinkedIn en het systeem van HIBP is mijn data dus ook verwerkt door meerdere, andere partijen. Hier dus de FBI maar ook die heeft het niet rechtstreeks van LinkedIn gekregen.

    Er zit daartussenin een groep tussensystemen die ook mijn data verwerken waarbij ik niet weet of dat wel mag van de AVG…

    Maar goed, kan de AVG eigenlijk wel optreden tegen spammers?

    Maar ik weet nog een leuke betreffende HIBP: je kan namelijk ook per domein opvragen wat er gelekt is. Dus dan vraag je HIBP om alle emails binnen het domein iusmentis.com op te noemen die zijn gelekt en dan krijg je een interessante lijst die je als werkgever eens tegen je lijst van werknemers kunt houden. Waarom zat Arnout (met een ’t’ :P) dan bij “Adult FriendFinder in 2016? 🙂 Wat doet Piet bij adult-fanfiction.org? Waarom zit Pieter bij de Black Hat World? Mag je eigenlijk wel als domein-eigenaar via HIBP alle bekende email adressen opvragen of verbiedt de AVG dat dan wel?

  2. Mmm, geen monitoren? Is er geen mogelijke sprake van het monitoren van het gebruik van slecht beveiligde diensten? Ik kan me een business case voorstellen waarbij een cyberverzekering wordt geweigerd omdat het e-mailadres van de verzekeringsaanvrager ‘has been pwned’.

    1. Je kan de gegevens van je eigen domein opvragen. Dus als jij de eigenaar of beheerder van example.com bent dan kun je vragen welke adressen er binnen jouw domein zijn gelekt. De verificatie gebeurt dan via een email naar de domeinbeheerder (security, hostmaster, postmaster of webmaster at domain) of via een meta-tag die je in de home page moet zetten of via de upload van een bestand. Dus er is een vorm van monitoring, maar wel een vrij beperkte.

  3. Wat ik dan weer wel interessant vind is dat ik email aliassen gebruik zodat ik voor iedere website een ander email adres heb. (facebook@example.com, ziggo@example.com, twitter@example.com, skype@example.com enzovoorts.) Dat betekent dat als ik spam ontvang, ik ook meteen kan zien wie er heeft gelekt. Zo wist ik al vrij vroeg dat Adobe was gehackt. En ook LinkedIn. maar nu zie ik bij HIBP dat mijn kingdom.rush@example.com niet alleen door Armor Games (makers van Kingdom Rush) is gelekt maar ook door iets genaamd “Coupon mom“. Armor Games heeft kennelijk persoonsgegevens doorverkocht aan dit andere bedrijf en nu weten we meteen waar de AVG voor bedoeld is. 🙂

    Ik zie dat andere email aliassen van mij ook op “vreemde lijsten” terecht zijn gekomen. Maakt mij wel nieuwsgierig hoe al deze informatie verspreidt wordt. Zo staat mijn (oude) LinkedIn alias bij ‘You’ve Been Scraped’ en ‘Trik Spam Botnet’ maar ook een ‘Data Enrichment Exposure From PDL Customer’. Okay, LinkedIn was de schuldige van het lek, maar daarna is het gewoon verder gelekt.

    1. Ik gebruik deze setup ook en ik zie sommige adressen (zelfs fictieve adressen die ik echt nooit zelf heb ingevoerd) voorbij komen in meerdere leaks. Dat zijn dan waarschijnlijk ‘verrijkings’-diensten die gewoon zo veel mogelijk data verzamelen, dat kan via inkoop, scraping en data-leaks. Ik vermoed zelfs dat er wat van die fictieve e-mail adressen verspreid zijn geraak door de CC van spam-emails te scrapen.

      1. Ik heb een tijd geleden het domein uitdeweg.nl over kunnen nemen en kwam er later achter dat de vorige eigenaar ervan was overleden en er kennelijk niemand het domein netjes had afgesloten en doorgegeven dat het domein niet meer in gebruik is. Dat het daarna een tijdlang in quarantine gaat en alle emails ketsen vervolgens terug maar niemand die het merkt. Dus een jaar nadat ik het heb overgenomen krijg ik van Twitter nog eens een bericht binnen op dat domein en ben ik zelfs in staat om het Twitter-account van de vorige eigenaar te zien! Moest ik wel even het oude wachtwoord opvragen. Nou ja, de eigenaar was overleden en heeft dan geen privacy meer, maar ik heb er toch gebruik van gemaakt om bij Twitter door te geven dat de eigenaar was overleden en dat het account dus dicht moest.

        En er kwamen nog wel meer emails binnen, onder verschillende accounts van dat domein. Daar waar ik kon afmelden heb ik het ook afgemeld en de rest is aangemerkt als spam. Moest verder nog aan de consumentenbond doorgeven dat het domein door mij was overgenomen want ze hadden een negatieve review over een webwinkel op het domein staan. Wijze les: als je een bestaand domein overneemt dan krijg je soms ook een enorme hoop troep mee die eraan gerelateerd is. En het duurt even voor het allemaal weer uit de weg is…

        Overigens, diverse sites doen nog best moeilijk als een domein van eigenaar wisselt. Twitter wilde een overlijdensacte. Stuurde een plaatje van een middelvinger teug met de vraag of ze wel vaker zo dom zijn… 😀 Consumentenbond had redelijk wat tijd nodig. Er is nog een enkel bedrijf dat nieuwsbrieven verstuurt en nu automatisch als spam wordt aangemerkt, want afmelden is niet mogelijk.

        Kortom, vreemde namen kunnen ook komen van de vorige eigenaren van het domein… 🙂

          1. Ja, mijn ongelukje is een reden waarom domeinen een lange tijd in quarantine gaan. 🙂

            Overigens heb ik diverse domeinnamen waarvan ik er enkelen al meer dan 15 jaar heb. Door ze gewoon een tijdje niet te gebruiken koelt de hoeveelheid spam ook redelijk af. Wel merk ik dat sommige spammers een willekeurige domeinnaam kiezen als afzender met een willekeurige naam erbij uit een verzameling email adressen. Dan krijg jij b.v. een spambericht van arnoud1972(at)wimtenbrink(punt)com omdat de spammer dan de naam van Arnoud zijn Yahoo account 😀 gebruikt met mijn domeinnaam om zo nieuwe email adressen te genereren. Want deze nieuwe mail account zit mogelijk nog niet in een blacklist. En zo kunnen ze doorgaan tot een geheel domein in een blacklist zit. Dat spoofen van de afzender is noet echt eenvoudig, maar nog steeds mogelijk omdat er nog steeds open SMTP servers staan, wereldwijd. Dat mijn domeinen aan een bijbehorend verificatiesysteem gekoppeld zijn die duidelijk moeten maken welke emails nep zijn helpt maar weinig, omdat niet iedere mail ontvanger dit ook controleert.

            Kijk, een simpele melding zoals “spf=fail (google.com: domain of zonalmercedes@anpl.org.uy does not designate [IP address] as permitted sender) smtp.mailfrom=zonalmercedes@[spammer]” is niet iets dat iedereen direct opmerkt in spam, maar geeft wel aan dat dit een nepmail is. In dit geval van een organisatie in Uruguay dat iets met landbouw doet, maar de naam ervoor is een automerk of persoonsnaam. Waarschijnlijk uit een email adres van een autodealer in Spanje of Argentinië. (Ja, ik heb het een en ander nagezocht!) Het IP adres behoort weer tot een universiteit in Turkije. En de email is namens een bedrijf in Singapore dat partner wil worden met mijn “bedrijf”.

            Kijk, doordat spammers zelf hun email adressen samenstellen krijg je soms van die hele vreemde namen. En soms krijg je een reactie terug op zo’n spambericht als een ontvanger erop reageert. Komt de ontvanger zelf op de spamlijst te staan. 🙂

  4. In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

    Voor de AVG gaat het niet om het leveren van diensten maar om het aanbieden ervan. Zodra je klaarblijkelijk voornemens bent om diensten aan te bieden aan een betrokkene in de Unie, val je onder de AVG (overweging 23 van de AVG). Wat mij betreft voldoet HIBP aan dat criterium omdat het de bedoeling is dat je jezelf opzoekt en er een database achter hangt met een aanzienlijk aantal .nl-adressen, dus dan kan het niet anders of HIBP richt zich op Europeanen. HIBP valt dus weldegelijk onder de AVG.

      1. Als grondslag denk ik aan de ‘gerechtvaardigde belangen van een derde’. De gegevens worden bijgehouden zodat een derde kan controleren of zijn e-mailadres of wachtwoord is gelekt. Met de belangen van de derde wordt rekening gehouden door geen wachtwoorden te tonen en in een opt-out mogelijkheid te voorzien.

        Het blogartikel begon met de vraag of de FBI de gegevens mag doorgeven aan HIBP. De AVG is hierop volgens mij niet van toepassing om twee redenen. Ten eerste is de AVG niet van toepassing op de bevoegde autoriteiten met het oog op (..) bescherming en voorkoming van gevaren voor de openbare veiligheid. Ten tweede heeft de FBI weliswaar kantoren in Europa, maar die lijken geen enkele relatie te hebben met de doorgegeven wachtwoorden.

  5. Ik vermoed zelf dat Troy het bij twijfel gewoon kan gooien op het dienen van een publiek belang (grondslag: gerechtvaardigd belang). De documentatie op de website is heel duidelijk over alle voorzorgsmaatregelen die Troy neemt om oneigenlijk gebruik van de gegevens tegen te gaan. De meeste multinationals hebben dat een heel stuk minder goed geregeld.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.