Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

| AE 12292 | Security, Uitingsvrijheid | 7 reacties

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de nodige discussie over ethisch hacken, dingen mogen veranderen en hoe publiek je mag gaan met zo’n ontdekking.

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid. Twitter zelf zegt geen rare inlog te hebben gezien, en bij een screenshot van Gevers dat het interne profiel van Trump toont, ontbreekt het Amerikaanse vlaggetje in de biografie-regel. (Mogelijk kwam dat door de gebruikte browser/OS combinatie.)

Maar dat even terzijde. Stel inderdaad, je weet het wachtwoord van zo’n prominent account te raden en je ziet dat ook alle beweerdelijke extra maatregelen (zoals 2FA) er niet zijn. Wat mag je dan doen? Nou ja, het slachtoffer en/of de dienstverlener informeren natuurlijk, dat past volledig binnen de heersende spelregels voor ethische hackers.

Ermee naar buiten treden is een ander verhaal. Natuurlijk, bij responsible disclosure hoort ook een melding op zeker moment zodat het publiek ook weet wat er mis is. Maar dat is omdat het publiek getroffen kan zijn door het lek dat jij als ethisch hacker had ontdekt. Of omdat ze moeten weten dat die dienstverlener zat te prutsen. Bij een probleem als dit zie ik geen reden om met (responsible) disclosure te dreigen.

Wel is het natuurlijk zo dat het zeer groot nieuws is dat dit oppermachtige Twitteraccount zó slecht beveiligd is. Dan kun je prima naar de pers stappen en melden dat je dit nieuws ontdekt hebt. Ook als je het zelf hebt gemaakt, dat nieuws. Een journalistieke hack is niet hetzelfde als een ethische hack.

Arnoud

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 20 reacties

Een lezer vroeg me:

Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar?
Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde regels. Dat zijn immers allemaal persoonsgegevens onder de AVG.

Het maakt niet uit of je handmatig een 06-nummer in een e-mail plakt en deze zo doorgeeft, of dat je in de WhatsApp applicatie voor de optie “Contactpersoon toevoegen” kiest, een gegevenssetje kiest uit de lijst van je Android/Apple adresboek en deze in mooie layout laat verschijnen bij de ontvanger. In beide gevallen gebeurt hetzelfde: de contactgegevens komen bij de ontvanger.

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Als het onder de AVG valt heb je een grondslag nodig. Dat zal vaak toestemming zijn (“geef mijn nummer maar aan Jaap, hij mag me altijd appen voor een offerte”), maar dat is niet de enige. Uitvoering van een overeenkomst kan ook (“Jaap is mijn accountant, app hem maar over de jaarcijfers zodat we het contract kunnen finaliseren”). En wellicht kom je er ook met een eigen gerechtvaardigd belang (“Jaap vindt het vast fijn als Pieter hem appt hierover”).

Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen. Dat argument volg ik niet. Ten eerste staat dat niet in de voorwaarden van WhatsApp, en ten tweede kunnen die voorwaarden geen toestemming afdwingen voor levenslang gecontacteerd te worden door eender wie.

Het maakt dus niet uit hoe je iemands contactgegevens deelt. De kern is dat je het alleen moet doen als het netjes is om te doen.

Arnoud

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid.

| AE 12274 | Uitingsvrijheid | 18 reacties

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid, las ik bij Rechtspraak.nl. Dat is gek, want Youtube mocht laatst juist niet bepaalde video’s offline halen omdat ze in strijd waren met haar eigen regels.

De betreffende Facebook-regels dateren uit januari. Sinds die tijd “werkt Facebook samen met wereldwijde organisaties zoals de Wereldgezondheidsorganisatie (WHO) en UNICEF om hen te helpen bij de bestrijding van verspreiding van informatie over COVID-19 die schadelijk zou kunnen zijn voor de volksgezondheid”, lees ik in het vonnis. Dat komt zo terug in de voorwaarden:

Nu mensen over de hele wereld worden geconfronteerd met deze ongekende noodsituatie voor de volksgezondheid, willen we er zeker van zijn dat onze richtlijnen voor de community mensen beschermt tegen schadelijke inhoud en nieuwe typen misbruik die zijn gerelateerd aan COVID-19. We werken eraan inhoud te verwijderen die mogelijk schade in de echte wereld kan toebrengen, zoals door ons beleid voor het verbod op de coördinatie van schade, verkoop van medische maskers en gerelateerde goederen, haatdragend taalgebruik, pesten en intimidatie en desinformatie die bijdraagt aan het risico op dreigend geweld of fysieke schade.
In juli dit jaar ontdekte horeca-belangenorganisatie Smart Exit dat haar Facebookpagina “Nee tegen 1,5 meter” was verwijderd, en bij navraag werd gemeld dat dat was vanwege overtreding van dit beleid. Ook de organisatie Viruswaanzin overkwam iets dergelijks, al blijkt vervolgens onduidelijk wat er nu precies bij wie verwijderd was. De rechtbank wijst de eis niet af vanwege deze onduidelijkheid, omdat het gaat om een algemene vraag: mag Facebook eigen beleid voeren over wat je wel  en niet mag zeggen over COVID-19?

Die discussie is terug te voeren op wat juristen noemen de horizontale werking van de vrijheid van meningsuiting. Die vrijheid geldt namelijk in principe tegen de overheid (“verticale werking”): die mag jou niet verbieden je mening te uiten, behalve voor zover noodzakelijk én wettelijk geregeld. Andere burgers (of bedrijven) zijn niet zo hard gebonden aan dat verbod. Die hoeven niet mee te werken en mogen je zelfs hinderen.

Pas als de vrijheid van meningsuiting als geheel in gevaar komt, dan kan dat anders komen te liggen. Dat is precies waar het Appleby-arrest over gaat (dat vanwege de AVG kennelijk nu het [partij]/Verenigd Koninkrijk-arrest heet):

Where, however, the bar on access to property has the effect of preventing any effective exercise of freedom of expression or it can be said that the essence of the right has been destroyed, the Court would not exclude that a positive obligation could arise for the State to protect the enjoyment of the Convention rights by regulating property rights.
Facebook heeft weliswaar een enorm bereik met haar platform, maar dat is op zichzelf nog geen argument dat zij dus maar iedere mening toe moet staan. Sterker nog: als je dat citaat hierboven goed leest, dan staat er dat in zo’n situatie de overheid iets moet doen, namelijk een wet maken om Facebook op dit punt te reguleren. Niet dat Facebook dan automatisch alles toe moet laten.

Indirect heeft de vrijheid van meningsuiting wel effect op relaties tussen burgers onderling. In juridische taal, deze werkt door in bijvoorbeeld de redelijkheid en billijkheid of de maatschappelijke betamelijkheid. Ook dan is het geen automatisme dat je dus alles moet mogen zeggen, een toetsing blijft vereist. En in dit geval valt die uit in het voordeel van Facebook:

In het licht hiervan wordt wel het volgende overwogen. Facebook handelt door haar COVID-19 beleid te hanteren voorshands niet in algemene zin in strijd met hetgeen – naar huidige opvattingen – maatschappelijk betamelijk is. Zij heeft een maatschappelijke plicht om zich te houden aan overheidsrichtlijnen, tenzij die evident onjuist zijn. Dat is voorshands niet het geval. Het wetenschappelijk en maatschappelijk debat over COVID-19 en wat passende en doeltreffende maatregelen zijn, is nog gaande.
En dan gaat de rechtbank nog een stapje verder. Want Facebook volgt de Europese aanbevelingen van de overheid, en die aanbevelingen moet je dan juist zien als een (softe) regulering van het spanningsveld tussen de uitingsvrijheid, de volksgezondheid en de belangen van Facebook en haar gebruikers. Daarmee doet Facebook dus eigenlijk al precies

En wat is nu het verschil met Youtube? Daar werd vooral gezegd dat in het algemeen kritische uitingen op overheidsbeleid en wetenschappelijke bevindingen niet zomaar tegengehouden mag worden, maar wel gevaarlijke uitingen afkomstig van een huisarts: die nemen mensen eerder serieus. Dus dat voelt als een specifieker geval dan deze uitspraak.

Arnoud

Mag je WhatsApp-screenshots met anderen delen?

| AE 12238 | Privacy, Uitingsvrijheid | 26 reacties

Interessante vraag op Reddit: Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy? Legaal gezien, pardon juridisch gezien maakt het niet heel veel uit met welk technisch middel… Lees verder

YouTube mag video’s met onjuiste en gevaarlijke Covid-19 informatie verwijderen

| AE 12199 | Ondernemingsvrijheid, Uitingsvrijheid | 15 reacties

YouTube moet video’s met daarin kritiek op de visie van het Nederlandse RIVM en wereldwijde WHO toestaan, meldde Tweakers woensdag. Voorlopig, zeg ik er meteen bij – dit is een kort geding, dus het gaat om een ordemaatregel in afwachting van een eindoordeel in de bodemprocedure die er ongetwijfeld gaat komen. De video waar de… Lees verder

Mogen mensen je kind buiten fotograferen en op Facebook zetten?

| AE 12181 | Informatiemaatschappij, Privacy, Uitingsvrijheid | 8 reacties

Een lezer tipte me over deze Viva-forumdiscussie: Vorige week werd ik getagged op Facebook in een bericht van een winkelcentrum in de buurt. Hierop staat mijn kind in het midden met verder alleen een ander persoon die je alleen van De achterkant ziet weglopen. Mijn kind zie je vanaf de zijkant en precies midden in de foto. Nu… Lees verder

Mag YouTube video’s blokkeren die Covid-19-middel aanprijzen?

| AE 12172 | Uitingsvrijheid | 46 reacties

Hoever mag YouTube gaan in zijn strijd tegen misinformatie over corona, zo vroeg NRC zich onlangs af. En staat het verwijderen van video’s die niet aan de huisregels voldoen een open maatschappelijk debat over het coronabeleid van de overheid en het RIVM in de weg? Interviewer Ab Gietelink en huisarts Rob Elens hebben een kort… Lees verder

Je eigen gesprekken opnemen is je goed recht en daarmee basta

| AE 12047 | Privacy, Uitingsvrijheid | 31 reacties

Via de onvolprezen Charlotte Meindersma op Twitter: Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar. Dat gaf enige heftige reacties, van ongeloof (“mag… Lees verder

Wat kun je juridisch doen als je zingen wordt gedeepfaked?

| AE 12027 | Intellectuele rechten, Uitingsvrijheid | 25 reacties

Rapper Jay-Z is een rechtszaak begonnen over muziek-deepfakes met zijn stem, las ik bij Pitchfork. Met deepfakes bedoelen we door machine learning gegenereerde werken die lijken op echte werken. Meestal in de context van video, maar het kan ook met audio. Daardoor ontstaan haast niet van echt te onderscheiden muziekwerken in dit geval, waarbij je… Lees verder