Met valse personalia internet bestellen is geen computervredebreuk

| AE 12233 | Regulering, Security | 18 reacties

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken, is al tijden geen argument meer. Maar nee, toch is dit géén computerdelict. Dat blijkt uit een recent strafrecht vonnis uit Rotterdam.

De verdachte heeft zich met zijn partner op grote schaal en creatieve wijze schuldig gemaakt aan het veelvuldig oplichten van VodafoneZiggo en KPN gedurende een periode van bijna twee jaar, zo opent het vonnis. Hij nam onder valse persoonsgegevens contracten af, nam de modems in ontvangst en kon zo internetten en bellen zonder daarvoor te hoeven betalen. Kennelijk ging er iets mis bij VodafoneZiggo haar fraudecontrole, want “[i]n het huis van de verdachte en in een door hem gehuurde garagebox zijn maar liefst 1161 modems aangetroffen.” Maar goed, uiteindelijk toch gepakt.

Het OM noemde dit computervredebreuk, want “door met valse personalia via VodafoneZiggo modems te bestellen, deze aan te sluiten en te gebruiken en de kosten daarvan onbetaald te laten, is sprake van het wederrechtelijk binnendringen in deze modems.” Een argument dat je wel vaker hoort. Je weet dan dat je niet in die modems (of de bijbehorende servers) mag zijn, omdat je weet dat je geen abonnement hebt.

Toch klopt het niet:

De verdachte heeft niet op een andere wijze toegang gekregen tot en gebruik gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Niet kan dan ook worden gezegd dat hij door die gedragingen op een wederrechtelijke manier toegang heeft verworven tot de modems.
In mijn woorden, als je een computer of netwerk gewoon gebruikt zoals het bedoeld is, dan is het geen computervredebreuk. Ook niet als je eigenlijk onder valse voorwendselen opereerde, zoals hier dus met de nep-NAW gegevens. Dat sluit aan bij een eerder arrest uit Amsterdam, waarin de verdachte vervalste betaalopdrachten aan de computer van de Rabobank had aangeleverd:
de verdachte […] gebruik heeft gemaakt van hem door de Rabobank […] ter beschikking gestelde gegevens (pincode, overeenkomstnummer, software etc, met uitzondering van het door hem zelf samengestelde wachtwoord). De verdachte heeft door aldus te handelen op reglementaire, geautoriseerde wijze verbinding gezocht en verkregen met het computersysteem van de Rabobank […] toen hij zijn batch-bestanden verzond van zijn computer naar die van de Rabobank […]. Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.
Valse input geven aan een systeem is dus op zichzelf nog geen computervredebreuk. Pas als je de computer wat anders laat doen dan wat deze normaal gaat doen (zoals bij een SQL injectie) dan kom je in dat strafbare feit terecht.

Oplichting was het natuurlijk wel, wat deze meneer had gedaan. En daarvoor krijgt hij dan ook 18 maanden cel, waarvan 6 voorwaardelijk. De schadeclaim van VodafoneZiggo van een dik half miljoen wordt afgewezen “omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt” waaruit kon blijken dat de persoon die deze indiende, gemachtigd was namens VZ te handelen. Auw.

Arnoud

Mag PayPal weigeren je transacties te betalen als je tardigrades verkoopt?

| AE 12201 | Ondernemingsvrijheid, Regulering | 13 reacties

Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van menig internetondernemer. Alleen een probleempje: betalingsdienstverlener PayPal laat geen betalingen toe voor wie deze ornamenten bestelt. Na klachten van het bedrijf kreeg men te horen dat de naam maar gewoon aangepast moet worden. Nu is mijn vuistregel dat wie “gewoon” gebruikt, eigenlijk te lui is om het probleem op te lossen, maar hier was meer aan de hand.

Het is al langer bekend dat PayPal bedrijfsnamen scant op bepaalde ongewenste termen, iets dat in het wereldje bekend staat als het Scunthorpe probleem – per abuis een woord weigeren omdat het een vies woord lijkt. (Bij ons zouden we dit het Sexbierum-probleem noemen, en ja ik ken kinderen die zich niet online mochten registreren bij bepaalde spelletjes omdat hun plaatsnaam vieze woorden bevatte.) Maar wat is er in vredesnaam mis met tardigrade? Zelfs in de diepste krochten van internet lijkt dit geen vies woord te zijn geweest, Rule 34 ten spijt.

Enig puzzelwerk op Twitter gaf een logischer verklaring:

there’s an arms dealer by the name of Tardigrade Ltd., so the OFAC banned all transactions containing the word Tardigrade, causing problems for anyone selling products related to this cute micro-organism
De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. En inderdaad staat het Cypriotische Tardigrade Limited op de sanctielijst, daar mag je geen zaken mee doen als Amerikaanse wetgeving jou raakt. Dus logisch dat PayPal dat blokkeert. Alleen dus iets grofmaziger dan je zou denken: niet enkel als afzender of ontvanger van het geld “Tardigrade Limited” heet, maar als ergens in enig veld van de transactie (zoals wat er besteld is) dat eerste woord voorkomt, dan mag het niet. We mogen kennelijk van geluk spreken dat ze “limited” niet apart als woord opgenomen hebben.

De reden dat PayPal zo agressief screent, is dat ze in 2015 een enorme boete (7.7 miljoen dollar) hebben gekregen voor het doorlaten van 486 overtredingen van deze sanctiewetgeving. Daar word je als bedrijf wat zenuwachtig van, en je ziet in het persbericht ook al meteen vergaande maatregelen om dit niet meer te laten gebeuren. Dat daardoor een enkele waterbeerverkoper niet meer kan handelen, ach. Die levert minder winst op dan die 7 miljoen boete, zal de gedachte zijn.

Ja, treurig. Maar ik zie ook het omgekeerde risico wel: A maakt naar B geld over met vermelding “ten behoeve van Tardigrade-wapentransactie”. Filter daar maar eens de vals positieven mee weg.

Arnoud

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12178 | Regulering | 11 reacties

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het… Lees verder

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat… Lees verder

ACM stelt paal en perk aan nepreviews en -likes

| AE 12033 | Ondernemingsvrijheid, Regulering | 12 reacties

Bedrijven die nepreviews of -likes verkopen, maar ook partijen die ze gebruiken, worden harder aangepakt door de Autoriteit Consument en Markt (ACM). Dat meldde BNR vorige week. “Het is voor een consument heel moeilijk om te zien als dit gemanipuleerde informatie is”, aldus de ACM. Helaas zijn neprecensies, -aanprijzingen en -likes tegenwoordig aan de orde… Lees verder

IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

| AE 12021 | Regulering | 41 reacties

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van… Lees verder

Sinds wanneer zijn Youtube-video’s bewijs van feiten van algemene bekendheid?

| AE 12016 | Regulering | 10 reacties

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de… Lees verder

Kan een presidentieel bevel een wet opzij zetten?

| AE 11978 | Regulering, Uitingsvrijheid | 9 reacties

De Amerikaanse president Donald Trump dreigt sociale media ‘streng te reguleren of te sluiten’. Dat meldde Tweakers vorige week. Trump is boos omdat Twitter onlangs enkele van zijn tweets labelde met een ‘disputed’ tag. De remedie lijkt nu bekend: hij heeft een executive order oftewel presidentieel bevel getekend waarin grofweg staat dat het overheidsbeleid vanaf… Lees verder

Hoge Raad: Kentekenparkeren Amsterdam ‘rechtvaardige privacy-inbreuk’

| AE 11884 | Privacy, Regulering | 27 reacties

Het systeem van kentekenparkeren in de gemeente Amsterdam is een “gerechtvaardigde inmenging op het recht op het privéleven”, heeft de Hoge Raad vrijdag geoordeeld. Dat meldde Nu.nl onlangs (leeswaarschuwing: er klopt geen klap van hun juridisch taalgebruik). Stichting Privacy First was naar de rechter gestapt om het automatisch scannen van kentekens te laten verbieden, maar… Lees verder