Een openbaar toegankelijk script manipuleren is ook gewoon computervredebreuk

| AE 10806 | Security | 20 reacties

De rechtbank Den Haag heeft geen straf opgelegd aan een 45-jarige it’er die een datalek had ontdekt en aan de grote klok had gehangen. Dat las ik bij Tweakers vorige week. De man was met een script binnengedrongen in een databank. De beveiliging daarvan was minimaal, maar dat was genoeg voor de rechtbank om van computervredebreuk te spreken. Het ethisch karakter van de computerkraak was echter reden om geen straf op te leggen.

In 2015 ontdekte de it’er hoe hij toegang kon krijgen tot donateursgegevens van een stichting. In het robots.txt-bestand van de webserver was een script vermeld dat op basis van een ID donateursgegevens teruggaf. Het script kende een gebrekkige beveiliging, waardoor de man simpelweg 80.000 ID’s kon doorlopen en de bijbehorende gegevens kon verkrijgen.

Uit het vonnis blijkt dat de man digitaal was gaan rammelen aan de deur nadat hij in de robots.txt dit script ontdekte. Hij wilde gebreken in de beveiliging van vertrouwelijke persoons- en betalingsgegevens aantonen, en daarvoor achtte hij het nodig om uitgebreid te testen om de omvang van het probleem vast te stellen. Daarna stapte hij naar klokkenluidersite Publeaks, waarna onder meer Tweakers erover berichtte. Opmerkelijk genoeg koos hij er niet voor de stichting zelf in te lichten. En dat wordt hem zwaar aangerekend.

Allereerst kijkt de rechtbank echter naar de vraag of überhaupt sprake is van computervredebreuk. Het script was niet met een wachtwoord beveiligd, maar bij artikel 138ab Strafrecht is dat ook geen vereiste. Enkel willens en wetens binnengaan waar je niet mag zijn, is een strafbaar feit. Analogieën zijn altijd gevaarlijk, maar in dit geval zou de analogie zijn dat je iemands achtertuin betreedt door een per ongeluk opengelaten tuinhekje. Dat is erfvredebreuk, ook als je niets kapotgemaakt hebt.

In dit geval komt de rechtbank tot de conclusie dat sprake is van ‘valse signalen’, een specifieke vorm van computervredebreuk:

De webserver is zo ontworpen, dat een record werd geretourneerd aan wie pictura.php opvroeg en daarna een geldig ID invoerde. De veronderstelling van de beheerder daarbij was dat alleen rechthebbenden dat konden en zouden doen. Door als niet-rechthebbende het pictura.php script op te vragen en een geldig ID in te voeren – en daarmee de webserver “enig teken” te geven –, heeft verdachte een gevolg uitgelokt – het retourneren van een record aan een niet-rechthebbende – waartoe de webserver weliswaar de mogelijkheid bood, maar waarmee de beheerder geen rekening had gehouden. Daarmee is sprake van het geven van valse signalen.

Dit betekent dus inderdaad dat je een strafbaar feit begaat door URL’s te raden. Ik zou wel zeggen, pas vanaf het moment dat je denkt “hé dat is raar, krijg ik echt hiermee gegevens die ik niet behoor te krijgen” en dan gaat doorvragen. Een URL overtypen en dan een typefout maken, waarna je andermans records krijgt, is natuurlijk een heel ander verhaal.

Juridisch is het mogelijk dat je een strafbaar feit begaat zonder zelf strafbaar te zijn. Dat kan bijvoorbeeld wanneer sprake is van ethisch hacken – vanuit een wezenlijk maatschappelijk belang handelen. Dat belang weegt dan zwaarder dan de achterliggende norm die het gedrag strafbaar verklaart. Wel is vereist dat je dan proportioneel en subsidiair handelt.

Proportioneel wil zeggen dat je niet meer doet dan nodig is voor dat belang. In dit geval ging het erom vast te stellen dat er inderdaad persoonsgegevens opvraagbaar waren zonder beveiliging. Daarvoor was het in dit geval niet nodig om 80.000 gegevens te downloaden, met een handjevol kom je ook al een heel eind. Hier ging de man dus veel verder dan nodig.

Subsidiair wil zeggen dat je bij de uitvoering van het feit zo zorgvuldig mogelijk te werk gaat. Dat betekent bij ethisch hacken dat je het ontdekte meldt aan de organisatie. Natuurlijk is het mogelijk dat een organisatie je negeert, maar het is gewoon een verplicht nummer. Het feit dat hij dit niet heeft gedaan, maar direct de publiciteit zocht, wordt hem dan ook zwaar aangerekend. Omdat de man dus niet aan de eisen van proportionaliteit en subsidiariteit heeft voldaan, wordt zijn handelen strafbaar verklaard. Echter, vanwege zijn nobele doel, het feit dat hij steeds meewerkte en dat hij geen strafblad had, wordt hem uiteindelijk geen straf opgelegd.

Voor mij is de uitspraak vooral van belang omdat hij onderstreept dat ethisch hacken wel degelijk een goede grond kan zijn om computervredebreuk te ‘mogen’ plegen. Je moet daarbij wel héél netjes te werk gaan, én natuurlijk de organisatie altijd inlichten.

Arnoud

Mag ik vanaf de openbare weg mensen op een buurtfeest fotograferen?

| AE 10804 | Informatiemaatschappij, Privacy | 49 reacties

Een lezer vroeg me:

Recent liep ik door de buurt en zag ik een buurtfeest met mooie sfeer. Weliswaar achter een afzetting maar op een straat met plein, dus openbare weg volgens mij. Ik maakte vanaf de straat aan de overkant foto’s, en werd toen aangesproken door twee deelnemers dat dat niet mocht, mede omdat er kinderen op de waterglijbaan speelden. Achteraf hoorde ik dat een heleboel ouders wel zelf foto’s van het feest (én de kinderen) op internet hadden gezet. Mag dit nu wel of niet, foto’s maken van zo’n situatie?

Vanaf de openbare weg mag je in principe fotograferen wat en wie je wilt. Dat was altijd het devies voor fotografen en andere nieuwsjagers. Pas bij publicatie moet je rekening houden met privacy, dat bepaalde het portretrecht.

Echter, de AVG heeft daar enige verandering in gebracht. Weliswaar kent die net als het portretrecht een belangenafweging (en dus géén absoluut verbodsrecht), maar de AVG geldt op iedere vorm van verwerking. En het máken van foto’s is al een verwerking, zodat je al op het moment van indrukken van de sluiter onder de wet valt. Sinds 25 mei kun je dus al bezwaar maken tegen het máken van een foto, niet pas tegen publicatie.

In principe blijft voor mij overeind staan dat een gebeurtenis op de openbare weg weinig privacyverwachting heeft. Een hekje er omheen maakt daarbij niet uit. (Een afzetting met blindering of een rij zeecontainers natuurlijk wel.) Maar als je daar van afstand gaat fotograferen, dan zie ik wel hoe mensen daar toch enige moeite mee hebben. Die fotografie is dan geen deel van het feest, en breekt in op de privacyverwachting die men heeft.

En zeker bij foto’s van kinderen op een evenement dat alleen besloten toegankelijk is, is de privacywaarde erg hoog. De ouders verwachten een ontspannen sfeer waarin kinderen vrijelijk kunnen spelen. Bij dergelijke foto’s zie ik dan ook de belangenafweging onder de AVG echt uitvallen in het voordeel van de kinderen.

Ik ben er nog niet uit wie er moet winnen als er alleen volwassenen feest vieren, maar begrijp wel dat daar aanwezige mensen er boos over worden en de vraagsteller sommeren te stoppen.

Arnoud

Heb ik onder de AVG recht op beelden van de diefstal van mijn motorfiets?

| AE 10802 | Privacy | 21 reacties

Een lezer vroeg me:

Enkele dagen geleden is mijn motor gestolen die voor mijn huis geparkeerd stond. De plaatselijke supermarkt heeft dit feit opgenomen met één van hun beveiligingscamera’s. Heb ik recht op inzage?

Het recht op inzage in camerabeelden komt uit de Algemene Verordening Gegevensbescherming, en geldt dus alleen voor camerabeelden waar jouw persoonsgegevens in opgenomen zijn. Kort gezegd: alleen als je in beeld bent, heb je recht op de beelden.

Een afbeelding van een huis of motorfiets is als zodanig geen persoonsgegeven, omdat die objecten niet tot jou te herleiden zijn. Alleen heel indirect, als het adres van het huis zichtbaar is dan zou je via het Kadaster bij jou als eigenaar uit kunnen komen. En voor een motorfiets zou hetzelfde gelden via het nummerbord en de RDW. Maar of dat genoeg is voor inzage van die beelden, betwijfel ik zeer.

Zelfs als je de beelden ter inzage krijgt, dan nog zit je met een probleem. De beelden van de daders van de diefstal zijn hún persoonsgegevens, en jij hebt daar in principe geen recht op. De supermarkt zou die beelden dus moeten pixelen voordat jij ze krijgt, onder je recht van inzage.

De AVG biedt echter een escape: het “verwerken van persoonsgegevens”, hier dus het afgeven van de beelden, mag als er een eigen legitiem belang is bij jou als ontvanger. Aangifte kunnen doen van de diefstal lijkt me evident zo’n belang. Dan kom je in de belangenafweging van de AVG terecht, en die zou best in jouw voordeel uit kunnen vallen als de beelden inderdaad overtuigend zijn.

Een risico voor de supermarkt is dat jij de beelden voor andere doeleinden gaat gebruiken, bijvoorbeeld op internet publiceren met een “Wie deze motor buitengerechtelijk terughaalt, krijgt 1000 euro van me” tekstje er bij. Dat is een probleem want dat is geen legitiem doel, en zij zijn dan aansprakelijk voor de schade bij de huidige houder van de motorfiets. Ik vermoed dat zij dat risico niet willen lopen. Praktisch gezien kom je dan ook uit bij dat ze de beelden niet aan jou mogen geven, maar dat je ze wel moet kunnen bewegen tot aangifte. Of dat jij aangifte doet en meldt dat de supermarkt beelden heeft, die de politie dan kan vorderen.

Arnoud

De rechtspraak en de bedrijfsgeheime bewijsanalyse

| AE 10685 | Innovatie | 28 reacties

Steeds meer bedrijven leunen zwaar op de wettelijke bescherming voor bedrijfsgeheimen, en dat heeft grote impact op de strafrechtspraak. Dat las ik bij Boing Boing een tijdje terug. Het gaat om software die analyses doet op data gebruikt als bewijs, of inschattingen van vluchtgevaar of recidive. Wie als verdachte de bevindingen van die software wil… Lees verder

Over deze drie detailpunten kunnen advocaten wekenlang steggelen

| AE 10785 | Informatiemaatschappij | 6 reacties

Onderhandelen over een deal vereist aandacht voor alle punten, van groot tot klein. Niet alleen de prijs is van belang, ook schijnbare details zoals wanneer sprake is van overmacht moet gewoon goed geregeld zijn. Ik noem mezelf bij onderhandelingen altijd een beroepspessimist of professioneel doemdenker: ik ga bedenken waar jij en je wederpartij ruzie over… Lees verder

Games mogen in Duitsland voortaan hakenkruizen tonen

| AE 10795 | Ondernemingsvrijheid | 8 reacties

Games die in Duitsland worden verkocht mogen voortaan hakenkruizen en andere nazisymboliek in beeld laten zien, meldde Nu.nl net voor mijn vakantie. De Duitse Unterhaltungssoftware Selbstkontrolle (USK, zeg maar de Duitse PEGI) die in Duitsland games van een leeftijdclassificatie voorziet, heeft haar regels bijgesteld, zodat games net als films en andere kunst hakenkruizen mogen laten… Lees verder

Omstreden gamewebsite stopt met illegale roms uit angst voor rechtszaken

| AE 10793 | Intellectuele rechten | 31 reacties

De omstreden gamewebsite EmuParadise gaat niet langer roms van oude games aanbieden. De beheerder van de site vreest namelijk voor mogelijke rechtszaken tegen bijvoorbeeld Nintendo. Dat meldde Nu.nl vlak voor mijn vakantie. De site bood downloadlinks naar roms van oude games. Hierdoor was het mogelijk om klassiekers voor klassieke spelcomputers van bijvoorbeeld Nintendo, Sega en… Lees verder

Mag een jeugdlid door haar vader gevolgd worden tijdens scoutingactiviteiten?

| AE 10788 | Privacy | 26 reacties

Een lezer vroeg me: Ik ben scoutingleider van een groep tussen de 15-18 jaar oud. Eén jeugdlid van 14 wordt door haar vader op het paranoïde af in de gaten gehouden, onder meer met een ‘volg’-app via de smartphone. Naast dat dit voor haar zeer vervelend moet zijn, hebben wij er ook last van want… Lees verder

Best of Rant: kappen met “had je de voorwaarden maar moeten lezen”

| AE 10780 | Informatiemaatschappij | 2 reacties

Deze week ben ik nog met vakantie. Vorige week een terugblik op populaire blogs van de afgelopen jaren, deze week een selectie uit mijn oude tirades van de afgelopen jaren. Deze week: Kappen met “had je de voorwaarden maar moeten lezen” Als je er een beetje op let, dan zie je het dagelijks: advertenties die… Lees verder

Best of Rant: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

| AE 10778 | Informatiemaatschappij | Er zijn nog geen reacties

Deze week ben ik nog met vakantie. Vorige week een terugblik op populaire blogs van de afgelopen jaren, deze week een selectie uit mijn oude tirades van de afgelopen jaren. Deze week: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit Kijk. Natuurlijk is het ergens gek dat iemand aan je raam… Lees verder