Internetrecht door Arnoud Engelfriet

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zonder toestemming van gebruikers bij een externe notificatiedienst terechtgekomen, en dat is natuurlijk een meldplichtig lek. Maar waarom is dat hier niet het geval?

De NOS legt uit:

De app verwerkt die locatie om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.

Vereist voor deze truc was wel dat je het unieke token uit de app te pakken wist te krijgen. Daarmee kon je je aanmelden voor pushberichten van de gebruiker van die app. Er zat dus alleen geen verdere authenticatie op dat proces, dus wie het token had kon op ieder apparaat pushberichten bestellen van de tokenhouder. Je zou zeggen dat dat een meldplichtig datalek is, want dit is wel érg mager qua beveiliging en onthult zeer kwetsbare informatie.

Maar nee:

Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek.

Pakken we de AVG er even bij. Artikel 33 AVG zegt grofweg dat iéder datalek moet worden gemeld bij de toezichthouder, “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.

De volkomen onleesbare overweging 75 bevat wat aanwijzingen voor wanneer het wel of niet waarschijnlijk een risico is:

(75) Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer [bijzondere persoonsgegevens[ worden verwerkt (…); wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

Je ziet daarin “locatie te analyseren of voorspellen” staan, dus het lijkt een gelopen race. Maar je moet het zo lezen dat we het een risico vinden dat men door een lek iemands locatie kan achterhalen. De vraag is dus hoe waarschijnlijk het is dat dit risico zich zal verwezenlijken.

Het antwoord van de minister laat zien dat men dit als zeer onwaarschijnlijk inschat. Als je fysiek het toestel in handen moet hebben én er technische kennis nodig is, dan is het lek minder makkelijk te exploiteren. Ook wist kennelijk vrijwel niemand van het lek, waardoor de kans op misbruik ook weer klein is. Anders gezegd: dit was inderdaad een lek maar behoorlijk theoretisch, meteen dichtmaken die handel en klaar.

Voor een bedrijf was het dus genoeg geweest dit in het interne register datalekken (artikel 33 lid 4 AVG) op te nemen en het gat te dichten. Maar als overheid is het wel logisch dat je ook nog even de Kamer informeert.

Arnoud

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Een lezer vroeg me:

Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland?

Het domein corp.com gaat inderdaad in de verkoop als ik het goed lees, al lijkt het vooral de bedoeling dat Microsoft het koopt voor een miljoen dollar. Dat zou dan zijn omdat inderdaad veel slecht geconfigureerde Windowsnetwerken verkeer naar dit domein sturen, inclusief authenticatiemiddelen zoals wachtwoorden.

De reden hierachter is dat Windows bij het maken van een intern netwerk standaard de suffix “.corp” voorstelt, wat lang niet iedereen aanpast. Interne diensten zoals gedeelde harde schijven kun je benaderen met iets als \klantdata\ in de Explorer. Echter, ga je vervolgens ergens werken waar je andermans DNS gebruikt, dan maakt Windows van die naam eerst “klantdata.corp” en vervolgens “klantdata.corp.com” omdat .corp niet bestaat bij die ander. En dan stuurt je systeem dus inderdaad logins en dergelijke naar die website.

Op zich gebeurt dit vaker. Bedrijven die een oude domeinnaam hebben overgenomen, of blijken te hebben geregistreerd, ontvangen regelmatig mails voor de oude eigenaar bijvoorbeeld. Dat is vervelend, maar in de praktijk gooi je die mail dan weg en dan is het klaar.

Hier voelt het iets anders, omdat de bedoeling van deze domeinnaam hebben nu duidelijk lijkt te zijn dat je die logins wilt hebben. Het is moeilijk daar een legitiem doel aan te koppelen. Natuurlijk is er vast een marketingblablaverhaal te verzinnen dat je corporate dienstverlening wilt verrichten en dat corp.com dan perfect aansluit bij je merkwaardebeleving, maar om eerlijk te zijn geloof ik daar dan geen bal van.

In Nederland is het strafbaar (art. 139d Strafrecht) om wachtwoorden of dergelijke authenticatiemiddelen te verwerven, in te voeren, beschikbaar te stellen of voorhanden te hebben. Althans, als je doel daarmee is om het misdrijf computervredebreuk, denial of service of aftappen van vertrouwelijke informatie te plegen. Een wetenschapper die wil onderzoeken hoe groot dit probleem is, kan dus prima monitoren wat hier gebeurt. Een security-onderzoeker die al die bedrijven wil waarschuwen handelt ook legaal. Maar voor het overige zie ik niet hoe je iets kunt doen met die informatie.

Arnoud

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil… Lees verder

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit… Lees verder

Een lezer vroeg me: Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem… Lees verder

Een lezer vroeg me: Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te… Lees verder

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant… Lees verder

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van… Lees verder

Een datalek bij de ‘slimme’ camera’s van merken Apexis en Sumpple treft 14.000 exemplaren in Nederland, meldde onder meer Tweakers en RTL. De database van de fabrikant waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken bij willekeurige camera’s. Bepaald pijnlijk, laakbaar en juridisch zonder… Lees verder