Internetrecht door Arnoud Engelfriet

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”

Arnoud

Een man die werd verdacht van handel in 40 kilo MDMA, 300.000 xtc-pillen en ruim twintig kilo ketamine is door de rechtbank in Breda geheel vrijgesproken omdat de rechtbank het enkele bewijs van een reeks door de politie ontsleutelde pgp-berichten van Sky-ECC niet voldoende vindt. Dat meldde Crimesite onlangs. De uitspraak is opmerkelijk, omdat in tientallen rechtszaken zwaar is geleund op Sky-ECC berichten zonder dat rechters daar moeite mee hadden.

In 2016 wist de Nederlandse politie een gouden greep te doen in afluisterland: men kreeg de sleutels te pakken waarmee versleutelde communicatie tussen criminelen te ontcijferen was – de app Sky ECC van het bedrijf Ennetcom. Sindsdien zijn de betreffende berichten in vele zaken gebruikt, een snelle zoekopdracht geeft 84 uitspraken waarbij het mede ging om Sky ECC berichten.

In vrijwel al die zaken maakte de advocaat een punt van de toelaatbaarheid van dit bewijs. Meestal ging het dan om inzage in de hele dataset die hoorde bij het account van de verdachte, omdat je berichten in de context wil kunnen beoordelen. Dat is een principieel punt, in het kader van een eerlijk proces (artikel 6 EVRM) moet je als verdediging het gebruikte bewijs kunnen beoordelen:

De rechtbank stelt vast dat er verschillende niveaus van onderzoek aan data te onderscheiden zijn. Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de primaire dataset). … In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden.

Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende.

De rechtbank stelt vast dat de verdenkingen tegen verdachte gebaseerd zijn op de in het procesdossier aanwezige Sky ECC-berichten. Deze berichten komen naar het oordeel van de rechtbank allemaal uit één bron, namelijk de gekraakte berichtendienst Sky ECC. Dat door het Openbaar Ministerie wordt verwezen naar meerdere chatsessies van het account [accountnummer] met verschillende andere gebruikers van Sky ECC maakt dit niet anders. In het procesdossier zijn geen bewijsmiddelen opgenomen die de inhoud van de berichten ondersteunen. Hierdoor is de inhoud van de berichten niet te toetsen. De rechtbank is van oordeel dat hierdoor het wettige bewijs voor de tenlastegelegde feiten ontbreekt. Zij spreekt verdachte daarom vrij van alle tenlastegelegde feiten.

Maar het punt is op zich wel heel belangrijk: hoe stel je vast dat een chatlog een betrouwbare weergave is van wat de verdachte gechat heeft? Natuurlijk zit er een hele bewijsketen aan vast om precies dit vast te stellen, bij instanties als TNO (de Hansken-tool, waarmee deze berichten worden doorzocht, komt van TNO) mag je er wel op vertrouwen dat die het goed op orde hebben. Maar als het gaat om vragen als “hebben we alle relevante berichten” of “wat is er gezegd óver de verdachte” dan ontstijg je dat niveau.

Arnoud

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

• Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Een lezer vroeg me: Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen? Die oudere D-Link routers blijken… Lees verder

De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen… Lees verder

Tesla eist dat een belangenorganisatie video’s verwijdert waarin auto’s van de fabrikant over etalagepoppen van kinderen rijden. Dat meldde Nu.nl op gezag van The Washington Post donderdag. In die video’s van The Dawn Project zag de nieuwste software van Tesla’s Full Self-Driving-functie meerdere keren een pop ter grootte van een kind over het hoofd. Dat gaf nogal… Lees verder

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken, las ik bij Security.nl. Dit omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Is dat een pietluttig… Lees verder

Een 35-jarige man uit Heerenveen is dinsdag veroordeeld tot drie jaar cel, las ik bij Nu.nl. Hij verkocht op internet lijsten met niet openbaar beschikbare persoonsgegevens, die door criminelen misbruikt konden worden voor verschillende vormen van fraude. Bij de strafmaat zit ook hennepbezit en witwassen van 70k, maar toch: dat zie je niet vaak, persoonsgegevenshandel…. Lees verder

Een lezer vroeg me: Ik ben security consultant en deel van mijn werk is het organiseren van phishing tests bij organisaties. Daarvoor moet ik natuurlijk logo’s en huisstijlen van bekende dienstverleners (zoals Microsoft of Apple, maar ook Nederlandse bedrijven zoals salarisadministrateurs) gebruiken om de testmails en nepsites echt te laten lijken. Nu maakt een klant… Lees verder

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke… Lees verder