Mag je de verlichting van de Erasmusbrug op paars zetten?

| AE 12327 | Regulering, Security | 23 reacties

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk, meldde Tweakers onlangs. RTL Nieuws-reporter Daniël Verlaan kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen, maar de interface van dit systeem bleek zonder beveiliging toegankelijk als je wist wat de netwerkpoort was van de server. Die laatste was via zwakhedenzoekmachine Shodan te vinden. Dat riep dus weer de bekende vraag op, mag dat dan?

Je mag niet binnendringen in andermans computersysteem. Of dat systeem beveiligd is, doet niet ter zake. Enige vraag is of je wist dan wel moest weten dat je daar niet mocht zijn. Het lijkt me evident dat je als Shodan-surfende derde weet dat je niet de verlichting van de Erasmusbrug mag bedienen, dus dat noem je binnendringen.

Natuurlijk kun je per abuis op zo’n server belanden. Je klikte wat rond, iemand deelde een onschuldige server en oeps die brug werd paars. Kan. Maar ik zou zeggen dat het bewijs van jouw bewustzijn een heel eind rond is als jij zegt, ik zat op Shodan te kijken en zag daar de admin van de Erasmusbrug. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

Dit is dus tevens waarom je niet aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. “Ik wil graag eerst met een advocaat overleggen” is het énige dat je zegt. Serieus. Alsjeblieft.

En ja, het is een vrij onschuldig verhaal want er is niets kapot gegaan, niets bediend en niets ernstigs gebeurd. Maar toch, wees voorzichtig als je geen professioneel journalist bent. Ik benadruk dit omdat in de sfeer van “cybercrime” Justitie vaak overspannen reageert vergeleken met real-life situaties. Als je de controlekamer van deze verlichting was binnengelopen, dan had de portier op z’n kop gehad en was jij eruit gejaagd. Maar nu heb je een cyberhack gedaan. In theorie had je zelfs antiterrorismewetgeving kunnen triggeren met zo’n actie.

In dit specifieke geval betreft het een journalist die een opmerkelijke misstand aan de kaak stelt, en daarvoor het enige middel gebruikt om aan te tonen dat de misstand waar is. De maatschappelijke of persoonlijke schade is nihil en het slachtoffer is geïnformeerd en kreeg de kans de misstand op te heffen voordat dit nieuws werd. Dan en specifiek dan wordt de strafbaarheid opgeheven.

En natuurlijk, journalist is geen beschermde titel, maar journalist ben je pas als je journalistieke activiteiten ontplooit. Dus enkel zeggen “ik wilde erover publiceren” is niet genoeg. Je moet een track record hebben (zoals Daniël, koop dat boek) of daadwerkelijk een journalistieke uiting hebben gedáán. Wilde je nu eindelijk eens journalist worden en was dit je eerste geplande publicatie maar werd je gepakt voordat het online stond, dan vrees ik dat je niet wordt geloofd.

Arnoud

ING hoeft slachtoffer van nep ‘LinkedIn-helpdesk’ niet te vergoeden

| AE 12323 | Security | 15 reacties

ING hoeft een klant die werd opgelicht door iemand die zich voordeed als de helpdesk van LinkedIn niet te vergoeden, las ik bij Security.nl. Het financiële klachteninstituut Kifid oordeelde dat de transactie binnen de risicosfeer van de klant viel en niet die van de bank. De klant had vanwege een probleem met haar LinkedIn-account hulp gezocht en was bij een oplichter terechtgekomen, die haar wijs had gemaakt dat ze twee euro moest betalen en erin slaagde tweehonderd te pakken te krijgen. Eigen schuld, aldus de bindende uitspraak.

De klant was op zoek naar hulp voor een probleem met haar LinkedIn-account, en vond een oplichter die zich voordeed als de LinkedIn-helpdesk. Die had bedacht dat je als authenticatie twee keer een euro moet betalen, die je daarna terug zou krijgen. In plaats daarvan werd twee maal honderd euro afgeschreven. Toen de vrouw eiste dat dit terugbetaald werd, werd ze nogmaals genept en bleek er tweehonderd euro extra afgeschreven in plaats van vierhonderd terug.

Nadat een en ander uitkwam, deed de klant aangifte en eiste bij de ING het geld terug. Dat is niet raar: de wet legt in beginsel álle risico bij niet-toegestane online betalingen bij de bank (art. 7:529 lid 1 BW), zij het met een eigen risico van maximaal €150. Een uitzondering hierop is als sprake is van fraude, opzettelijk handelen of grove nalatigheid aan de zijde van consument.

We spreken van een “niet-toegestane” betaling als de consument daar geen instemming voor heeft gegeven (art. 7:522 BW). Daar kunnen afspraken over de procedure over gemaakt worden, bijvoorbeeld dat je toestemming geeft door via internetbankieren met je authenticatiekastje of -app een bepaalde handeling te verrichten en een code in te voeren.

Nu Consument zelf de betalingen heeft verricht en bovendien de oplichter toegang heeft gegeven tot haar computer waardoor hij de overgeboekte bedragen kon manipuleren, al was zij zich hiervan niet bewust, bestaat voor de Bank geen verplichting de door Consument gevorderde schade te vergoeden.
Dat klinkt wel erg makkelijk, gezien de zorgplicht van een bank. De uitspraak is erg kort zodat details over wat er precies gebeurd is. Ik lees dat de vrouw twee keer een iDeal-betaling aangeboden kreeg, waarmee dus die 200 euro werd afgeboekt. Maar was dit een phishing-iDeal betaling waarbij het leek of er één euro werd betaald, of heeft zij niet goed gekeken dat er 200 stond bij het af te boeken bedrag? En wat moet ik met ” Consument is op verzoek van de oplichter ook naar een website gegaan en heeft de oplichter daarmee (onbewust) toegang gegeven tot haar computer. ” in relatie tot het betalen?

Het maakt voor mij wezenlijk uit of je niet oplet bij het bedrag dat in een eerlijke iDeal-link staat dan wel dat die link nep is en op de achtergrond wat anders naar de bank stuurt. Dat laatste hoort niet mogelijk te zijn en vind ik altijd het risico van de bank. Als ik een transactie autoriseer en het bedrag kan anders zijn dan ik denk, dan is de autorisatie ontoereikend en heb ik geen instemming gegeven. Maar let ik niet op dat er 200 bij “Bedrag” staat (bijvoorbeeld door de mooie praatjes aan de telefoon) dan zou ik het eerder mijn risico vinden.

Arnoud

“Camera met gezichtsherkenning meestal niet toegestaan”

| AE 12310 | Privacy, Security | 15 reacties

Het gebruik van camera’s met gezichtsherkenning is, zo las ik bij Security.nl meestal niet toegestaan voor bedrijven. Dit volgt uit een recente publicatie van de Autoriteit Persoonsgegevens. De privacytoezichthouder gaat daarom sectoren die dergelijke camera’s vaak gebruiken voorlichting geven over de regels. De Algemene verordening gegevensbescherming (AVG) verbiedt in beginsel het gebruik van biometrische gegevens om iemand te identificeren, maar het gebeurt vaak aldus de toezichthouder: Winkels gebruiken gezichtsherkenningscamera’s om winkeldieven op te sporen, terwijl bedrijven in de beveiliging, beurslocaties en pretparken de technologie inzetten voor toegangscontrole.

Het onderwerp is al wel vaker langsgeweest, eind vorig jaar blogde ik over gezichtsherkenning inzetten om een lokaalverbod te handhaven en eerder die sportschool die ’s nachts mensen met gezichtsherkenning binnenliet. De kern van het probleem is dat biometrische gegevens als bijzondere persoonsgegevens gelden, en je daar dus van af moet blijven. Gebruik je foto’s van mensen om ze te herkennen, dan tellen die foto’s als biometrische gegevens (een gewoon kiekje is dus geen biometrisch persoonsgegeven). En dan mag je ze dus niet gebruiken.

Dat ‘herkennen’ moet je breed opvatten: het gaat niet alleen over matchen tegen een database met NAW-gegevens of iets dergelijks. Ook enkel geautomatiseerd constateren “die was hier gisteravond ook” of “die lijkt op foto 31337 uit ons bestand overlastplegers” is al een vorm van ‘herkennen’, waarmee je camerabeelden tot bijzondere persoonsgegevens verworden.

Enige ruimte wordt gegeven door de uitzondering uit artikel 29 Uitvoeringswet: identificatie van de betrokkene die noodzakelijk is voor authenticatie of beveiligingsdoeleinden. En natuurlijk, het doel van deze identificatie (inclusief de 31337-constatering) is voor beveiliging, je wilt overlastplegers, lokaalverbodshouders et cetera niet binnen hebben. Maar is er een nóódzaak? Die vraag is veel lastiger want dat is een hele hoge lat.

Kort gezegd moet er dan geen ander middel voorhanden zijn dat ongeveer zo effectief is, en de maatregel moet ook proportioneel zijn. De AP gaat zelfs nog een stapje verder:

Het moet daarbij wel gaan om een zwaarwegend algemeen [italics AE] belang. Dat is bijvoorbeeld de beveiliging van een kerncentrale. Maar de beveiliging van bijvoorbeeld een supermarkt is niet zó belangrijk dat u daarvoor biometrische gegevens mag verwerken.
Dat algemeen belang haal ik zo niet uit de Uitvoeringswet, maar het is natuurlijk waar dat beveiligen van één winkel geen algemeen belang dient. Ik had zelf altijd het idee dat ook een individueel belang goed genoeg kon zijn (dit is weer die discussie over legitiem belang, geloof ik), maar dat het misgaat op wat ik de innovatieparadox noem.

De innovatieparadox uit de AVG luidt: nieuwe maatregelen voldoen nooit aan de noodzakelijkheidseis omdat er altijd bestaande maatregelen zijn die goed genoeg zijn. Zet een portier neer die het verbod handhaaft, beveilig je supermarkt met detectiepoortjes, doe toegangscontrole met tickets op naam, et cetera. Natuurlijk zitten daar kosten aan, maar zeker in het begin zitten die er ook aan camera-identificatie – aanschaf, onderhoud, testen en beveiligen bijvoorbeeld. Dus “dit is veel goedkoper” is geen argument.

Oftewel: hoe betoog je dat een nieuwe manier van persoonsgegevens verwerken acceptabel is, als deze net zo duur is en zich nog niet bewezen heeft in de praktijk?

Arnoud

Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

| AE 12299 | Privacy, Security | 19 reacties

Een lezer vroeg me: De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan… Lees verder

Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

| AE 12292 | Security, Uitingsvrijheid | 7 reacties

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de… Lees verder

Met valse personalia internet bestellen is geen computervredebreuk

| AE 12233 | Regulering, Security | 18 reacties

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken,… Lees verder

Mag de VVE eisen dat alle bezoekers badges krijgen?

| AE 12193 | Security | 32 reacties

Een lezer vroeg me: De VvE van het appartementencomplex waarin ik woon, maakt sinds kort gebruik van een beveiligingssysteem met toegangsbadges in plaats van sleutels. Iedere bewoner krijgt er eentje, en wie meer wil moet dat onder opgaaf van naam en adres van de beoogde verkrijger doen, plus waar de badge toegang toe moet geven (hoofddeur,… Lees verder

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna… Lees verder

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat… Lees verder

Grapperhaus: tweede lek in NL-Alert-app was geen meldplichtig datalek

| AE 11929 | Privacy, Security | 9 reacties

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en… Lees verder