Mag PayPal weigeren je transacties te betalen als je tardigrades verkoopt?

| AE 12201 | Ondernemingsvrijheid, Regulering | 13 reacties

Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van menig internetondernemer. Alleen een probleempje: betalingsdienstverlener PayPal laat geen betalingen toe voor wie deze ornamenten bestelt. Na klachten van het bedrijf kreeg men te horen dat de naam maar gewoon aangepast moet worden. Nu is mijn vuistregel dat wie “gewoon” gebruikt, eigenlijk te lui is om het probleem op te lossen, maar hier was meer aan de hand.

Het is al langer bekend dat PayPal bedrijfsnamen scant op bepaalde ongewenste termen, iets dat in het wereldje bekend staat als het Scunthorpe probleem – per abuis een woord weigeren omdat het een vies woord lijkt. (Bij ons zouden we dit het Sexbierum-probleem noemen, en ja ik ken kinderen die zich niet online mochten registreren bij bepaalde spelletjes omdat hun plaatsnaam vieze woorden bevatte.) Maar wat is er in vredesnaam mis met tardigrade? Zelfs in de diepste krochten van internet lijkt dit geen vies woord te zijn geweest, Rule 34 ten spijt.

Enig puzzelwerk op Twitter gaf een logischer verklaring:

there’s an arms dealer by the name of Tardigrade Ltd., so the OFAC banned all transactions containing the word Tardigrade, causing problems for anyone selling products related to this cute micro-organism
De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. En inderdaad staat het Cypriotische Tardigrade Limited op de sanctielijst, daar mag je geen zaken mee doen als Amerikaanse wetgeving jou raakt. Dus logisch dat PayPal dat blokkeert. Alleen dus iets grofmaziger dan je zou denken: niet enkel als afzender of ontvanger van het geld “Tardigrade Limited” heet, maar als ergens in enig veld van de transactie (zoals wat er besteld is) dat eerste woord voorkomt, dan mag het niet. We mogen kennelijk van geluk spreken dat ze “limited” niet apart als woord opgenomen hebben.

De reden dat PayPal zo agressief screent, is dat ze in 2015 een enorme boete (7.7 miljoen dollar) hebben gekregen voor het doorlaten van 486 overtredingen van deze sanctiewetgeving. Daar word je als bedrijf wat zenuwachtig van, en je ziet in het persbericht ook al meteen vergaande maatregelen om dit niet meer te laten gebeuren. Dat daardoor een enkele waterbeerverkoper niet meer kan handelen, ach. Die levert minder winst op dan die 7 miljoen boete, zal de gedachte zijn.

Ja, treurig. Maar ik zie ook het omgekeerde risico wel: A maakt naar B geld over met vermelding “ten behoeve van Tardigrade-wapentransactie”. Filter daar maar eens de vals positieven mee weg.

Arnoud

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12178 | Regulering | 11 reacties

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het hebben of aanbieden van tools die bestemd zijn voor misdrijven is strafbaar. En nu was er een jongen die een tool had voor het omzeilen van antivirussoftware, dus dacht het OM: die pakken we daarop, daar heb je geen verhaal op. Maar toch werd dat een vrijspraak.

De verdachte had (zoals te lezen in het arrest) virussen en andere malware geüpload naar een betaalde internetdienst, Razorscanner genaamd. Deze controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

 

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat… Lees verder

ACM stelt paal en perk aan nepreviews en -likes

| AE 12033 | Ondernemingsvrijheid, Regulering | 12 reacties

Bedrijven die nepreviews of -likes verkopen, maar ook partijen die ze gebruiken, worden harder aangepakt door de Autoriteit Consument en Markt (ACM). Dat meldde BNR vorige week. “Het is voor een consument heel moeilijk om te zien als dit gemanipuleerde informatie is”, aldus de ACM. Helaas zijn neprecensies, -aanprijzingen en -likes tegenwoordig aan de orde… Lees verder

IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

| AE 12021 | Regulering | 41 reacties

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van… Lees verder

Sinds wanneer zijn Youtube-video’s bewijs van feiten van algemene bekendheid?

| AE 12016 | Regulering | 10 reacties

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de… Lees verder

Kan een presidentieel bevel een wet opzij zetten?

| AE 11978 | Regulering, Uitingsvrijheid | 9 reacties

De Amerikaanse president Donald Trump dreigt sociale media ‘streng te reguleren of te sluiten’. Dat meldde Tweakers vorige week. Trump is boos omdat Twitter onlangs enkele van zijn tweets labelde met een ‘disputed’ tag. De remedie lijkt nu bekend: hij heeft een executive order oftewel presidentieel bevel getekend waarin grofweg staat dat het overheidsbeleid vanaf… Lees verder

Hoge Raad: Kentekenparkeren Amsterdam ‘rechtvaardige privacy-inbreuk’

| AE 11884 | Privacy, Regulering | 27 reacties

Het systeem van kentekenparkeren in de gemeente Amsterdam is een “gerechtvaardigde inmenging op het recht op het privéleven”, heeft de Hoge Raad vrijdag geoordeeld. Dat meldde Nu.nl onlangs (leeswaarschuwing: er klopt geen klap van hun juridisch taalgebruik). Stichting Privacy First was naar de rechter gestapt om het automatisch scannen van kentekens te laten verbieden, maar… Lees verder

Eerste Kamer akkoord met spoedwet digitale besluitvorming

| AE 11880 | Regulering | 4 reacties

Nog geen twee weken nadat de ministerraad akkoord ging met de spoedwet digitale besluitvorming voor decentrale overheden heeft ook de Eerste Kamer ingestemd. Dat las ik bij Security.nl. De wet biedt een tijdelijke oplossing voor overheidsorganen om digitaal te werken in deze coronacrisis. Veel formele handelingen van overheden eisen namelijk fysieke aanwezigheid, zoals bij een… Lees verder