Mag en moet ik de fallout van de Acropalypse bij mijn gebruikers op gaan ruimen?

Een lezer vroeg me:

Je zult vast hebben gelezen over de aCropalypse, een kwetsbaarheid in Google- en Windows screenshot apps die bij het croppen weggesneden informatie behielden in het bestand. Wie zo’n screenshot dan publiceert, onthult daarmee meer informatie dan zhij wil. Op forums (zoals die ik beheer) staat het dus vol met potentieel kwetsbare screenshots – denk aan weggeknipte naam- en adresgegevens, privéberichten of misschien wel privéfoto’s. Er zijn tools om dat te doen, ook in batch op alle mediabestanden op het forum. Mijn moderators en ik vragen ons af of wij dat zouden mogen doen, en of we wellicht verplicht zijn vanuit onze ICT-zorgplicht om dit te doen nu we weten van deze enorme kwetsbaarheid?
Dit is inderdaad een hele pijnlijke: in plaats van een afbeelding te vervangen met zijn bijknipsel, worden de twee achter elkaar in hetzelfde bestand gestopt. Wie dus een beetje snuffelt in het bestand, kan zo het origineel terughalen. Concreet voorbeeld in deze tweet, waarbij men de volledige creditcardgegevens haalt uit een afgelakte(!) en bijgeknipte crop van een screenshot van een mail waarin (zogenaamd) de plaatser een creditcard uitgereikt krijgt. Hetzelfde kan dus spelen met huisadressen, herkenbare foto’s van je kinderen of contactgegevens die je niet bedoelde te delen.

Wie dus screenshots ergens heeft gepubliceerd of gedeeld die waren bijgewerkt met deze tools (de Markup tool van Google Pixel, Snip & Sketch for Windows 10 en Snipping Tool for Windows 11) kan dus een serieus probleem hebben. Weghalen en vervangen is dus het devies, alleen waar stonden ze ook allemaal weer?

Een forumbeheerder of image-hostingorganisatie kan in principe bij alle afbeeldingen, en zou ze met een detectie-script kunnen controleren en opschonen. Alle afbeeldingen worden dan ontdaan van de originele informatie, zodat alleen het (beoogde) screenshot met eventuele strepen en andere tekeningen overblijft. Daarmee zou de kwetsbaarheid verholpen zijn, althans voor de kopie op die site – als een derde al een kopie gedownload heeft, dan is daar niets meer aan te doen.

Nergens in de wet staat een expliciet verbod, ook nergens in de wet staat een expliciete plicht om zoiets te doen. Je komt dan inderdaad uit bij de zorgplicht voor een dienstverlener, die bepaalt dat je moet doen wat een “goed opdrachtnemer” zou doen (art. 7:401 BW). Dat is net zo’n vage term als de redelijkheid en billijkheid, dus het komt neer op een geschikte redenering.

Als eerste zullen mensen misschien denken, als beheerder of hoster ben je niet aansprakelijk voor wat mensen op je site publiceren. Dat klopt (art. 6:196c BW en vanaf 1 januari 2024 artikel 6 DSA, zie mijn nieuwe boek) maar betekent niet dat je dus niet mág ingrijpen. Het betekent alleen dat als er claims komen over die inhoud, je daar geen gehoor aan hoeft te geven. De huidige wet zegt “niet aansprakelijk”, de DSA voegt toe dat het moet gaan om “illegal information” maar dat lijkt niet echt een serieuze beperking van de oude regel te zijn. Ook staat er zowel nu als in de DSA dat je geen actieve zoekplicht hebt. Als je dus in het algemeen weet dat de aCropalypse bestaat, of dat er bij jouw forum best eens screenshots kunnen zijn die hieraan lijden, dan nog móet je niet in actie komen. Dat beperkt dus je zorgplicht.

Tegelijkertijd: het mág wel, want niets in de wet verbiedt je om actief te gaan zoeken. En het is ook niet zo dat je dan automatisch aansprakelijk wordt voor de afbeeldingen die je hebt gemist, juist omdat je dit automatisch doet met een tool die checkt op technische kenmerken. Ook over andersoortige claims over de opgeschoonde afbeeldingen maak ik me geen zorgen, je hebt immers geen idee wat daar staat omdat je het met een automatische tool deed, dus hoezo weet je dan ineens dat er iets anders mis kon zijn? Ik zie ook niets in het argument dat je dan ineens ook op criterium X of eigenschap Y zou moeten gaan controleren omdat je hebt laten zien dit te kunnen.

De enige reële tegenwerping die ik kan bedenken is bij afbeeldingen die je incorrect bewerkt. Dan maak je concreet iets stuk in een publicatie van een gebruiker. Maar ten eerste is de kans daarop vrij klein, wederom omdat je het met een tool doet die specifiek dit probleem oplost, en de oplossing is vrij rechttoe rechtaan, namelijk het weghalen van de ‘oude’ afbeelding die technisch eenduidig herkenbaar is in het bestand. Ten tweede zie ik zo even niet de schade: je beoogde een screenshot te plaatsen, wat er nu staat ís een screenshot, wat is er nu precies mis?

Arnoud

3 reacties

  1. Ik zou toch huiverig zijn om het automatisch te doen, vanwege de mogelijkheid dat je script iets breekt. Een voorbeeld dat ik zo kan bedenken is dat iemand expres zo’n bestand maakt om de kwetsbaarheid aan te tonen. Dan heb je iemands bewijs stuk gemaakt. En er zijn vast meer voorbeelden, zowel dat je script niet doet wat je denkt dat het doet, als legitieme toepassingen van de zo’n terugdraai-mogelijkheid.

    Ik zou sowieso zorgen dat er een tijdelijke backup bestaat van de originele bestanden, die je kan terugplaatsen als iemand klaagt. Maar als je zelf een backup maakt van bestanden met mogelijk vertrouwelijke info, maakt dat je dan zelf verantwoordelijk? Bijv. als de backup uitlekt?

    1. Da’s wel een leuk randgeval ja. Maar mag ik dat counteren met het argument dat je daar vast nog het origineel van hebt, en dus de boel eenvoudig kunt herstellen? Gezien de impact voor anderen is het dichten van het lek van groot belang, en jouw moeite van herstel van zo’n recente bijlage bij een bericht zou heel klein moeten zijn.

      Een backup maken kan ook, daarvoor gelden dan dezelfde regels als bij de originelen die je klanten hadden geupload. Vertrouwelijke informatie lijkt het me niet, het gaat immers om gepubliceerde bestanden zoals screenshots die mensen in Discord-chats of op forums plaatsen en waar dan meer mee wordt onthuld dan men had bedoeld. “Yes ik heb eindelijk een creditcard” zeg maar.

  2. Het is fijn om te weten dat je in zo’n geval mag ingrijpen als je een morele verplichting voelt om je gebruikers te beschermen, en ook fijn dat het niet juridisch verplicht is, want dat haalt wat druk van de ketel.

    Qua morele verplichting heeft het mij na gesprekken die ik heb gehad met klanten en vrienden wel verbaasd dat verschillende mensen hier heel echt enorm verschillend over denken. De één voelt zich geenszins geroepen om in te grijpen en legt de verantwoordelijkheid volledig bij degene die het bestand zelf heeft geüpload, de ander heeft met grote spoed de potentiële probleembestanden opgespoord en aangepast. Voor mij persoonlijk telt mee dat gebruikers zichzelf haast niet kúnnen beschermen: zij hebben niet de mogelijkheid om makkelijk te scannen wat ze eerder hebben geüpload. En als ze het zelf niet kunnen en de beheerder kan gewoon een simpel scriptje draaien, dan vind ik toch dat je als beheerder werk aan de winkel hebt.

    Inmiddels heb ik een paar TB gescand en daarbij honderden afbeeldingen gevonden die voldoen aan de signatuur. Dit was op servers van verschillende klanten. De ene klant wilde graag meteen fixen, de andere wilde gebruikers op de hoogte brengen. Zelf voel ik toch meer voor het meteen fixen met optipng -fix; de kans dat je daarmee de afbeelding stuk maakt lijkt me verwaarloosbaar, terwijl de kans dat in zo’n bestand onbedoeld geheimen worden gelekt wel eens best groot zou kunnen zijn. (Al blijft dat een gok, want het gaat mij te ver om de originele afbeelding te proberen te herstellen.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.