Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Strafrecht | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

De legaliteit van die “Find my phone” documentaire

| AE 9138 | Strafrecht | 6 reacties

Een lezer vroeg me:

In het filmpje laat een student nav zijn gestolen iPhone een andere smartphone stelen maar deze keer met spyware erop om een documentaire te maken over de kwestie wie de dief is, maar ook om de privacy aspecten aan de kaak te stellen.

Het filmpje (een slordige 20 minuten) is zeer het bekijken waard, al is het maar om te realiseren wat er zoal kan met zulke apparaten. De documentairemaker voorziet een Android-smartphone van een compleet onverwijderbare spyware-app waarmee hij op afstand de telefoon kan benaderen. Vervolgens laat hij deze met enige moeite stelen (wat nog niet meeviel trouwens) waarna hij vastlegt wat er allemaal gebeurt met de telefoon.

Uitlokking van diefstal? Meh. Volgens de Hoge Raad is dat pas een ding als je iemand brengt “tot andere handelingen dan die waarop zijn opzet reeds tevoren was gericht.” Enkel een waardevol object onbeheerd achterlaten daar waar vaak gestolen wordt, is geen uitlokking. Dus nee, dit is totaal geen issue.

Met de geïnstalleerde spyware kan het toestel precies worden gevolgd, kunnen foto’s en video’s worden gemaakt en kan de microfoon worden uitgeluisterd. Zo kon men bijvoorbeeld ontdekken dat de telefoon een andere simkaart kreeg, en kon vervolgens alles worden geregistreerd dat vervolgens werd gedaan.

In hoeverre mag dat nou, al dat meekijken. Er is geen wet die dit keihard verbiedt (of toestaat), zoals wel vaker in het ICT- of internetrecht moet je een belangenafweging maken. Informatie achterhalen over je eigen telefoon valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen.

Voor mij komt uiteindelijk die afweging in het voordeel van de documentairemaker uit, vooral omdat hij een en ander netjes in beeld brengt en er geen heksenjacht van maakt. Hij maakt een punt – je kunt alles achterhalen als je iemands telefoon beheerst – en is er niet op uit die dader als persoon te beschuldigen of te veroordelen. En het punt wordt mooi in beeld gebracht, met een minimale privacyschending.

En wat nu als de telefoon ondertussen tweedehands is doorverkocht? Dan zit je dus bij een mogelijk onschuldige derde te kijken. Dit is een beetje dezelfde discussie waarom je je eigen gestolen fiets niet terug mag pakken als je die ergens ziet staan. Het komt neer op de vraag hoe groot de kans is dat de huidige houder van dat ding te goeder trouw is, en hoe zwaar je dat belang wilt laten wegen tegen het eigendomsbelang van de bestolen partij. Hier zie ik ook dat niet: de maker laat overtuigend zien dat het echt de dief is die de telefoon verderop gebruikt.

Alles bij elkaar zie ik dus niets strafbaars aan het maken en publiceren van deze documentaire. (En wie aan de Wbp denkt: de belangenafweging uit art. 8 sub f valt uit in het voordeel van de documentairemaker, mede gezien de uitingsvrijheid die als legitiem belang heeft te gelden.)

Het zou anders worden als iemand het zou houden bij een data-dump an sich, of de data gebruikt om de dader te lokaliseren en dat publiceert met een “Pak hem” bordje erbij.

Arnoud

Denk je een tip te geven, krijg je een knorrige bedrijfsjurist op je dak

| AE 8093 | Aansprakelijkheid, Grappig | 19 reacties

grumpy-cat-no-nee-weigering-juristAls je de directeur van AT&T een tip durft te geven, dan krijg je een knorrige bedrijfsjurist op je dak, las ik bij Ars Technica (dank, tipgevers!). “AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public,” zo klonk het korzelig in reactie op een eenvoudige suggestie om een nieuwe abonnementsvorm in te voeren. Stapte hier iemand met het verkeerde been uit bed, of is dit beleid? Het is beleid.

Ene Alfred Valrie had de CEO gemaild op het mailadres dat al jaren publiek geadverteerd wordt, om te suggereren dat het bedrijf een all-you-can-download DSL-abonnement zou moeten introduceren en bij voorkeur ook beperkte SMS-bundels voor mensen die zelden SMS’en. De bedrijfsjurist reageerde meteen, maar niuet zoals Alfred had verwacht:

AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public, … Therefore, we respectfully decline to consider your suggestion.

Bedrijven doen dit omdat er in de VS een angst heerst dat als je iemands idee aanneemt, ze achteraf schadeclaims gaan indienen omdat het “hun IP” is. Dat is juridisch onzin – op ideeën als zodanig kún je geen intellectueel-eigendomsrecht claimen. Maar praktisch gezien moet je dan toch weer van die rechtszaak af, en dat gaat tijd en geld kosten. Het is dan beter (vanuit bedrijfsjuridisch perspectief) om dit voor te zijn en meteen “lalala wij willen u niet horen, ga weg” te roepen. Dat dit bepaald onvriendelijk is, is dan een secundaire factor.

Eigenlijk zou die jurist dus een analyse moeten maken, kán men hier rechten op claimen, en als dat niet zo is, de directeur lekker enthousiast laten reageren. Alleen, ook in dat geval blijft er het risico van een claim. Mensen kunnen immers frivole claims indienen, en dat blijft dan toch boven je bedrijf hangen. Dus wat moet je anders als jurist?

Arnoud

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Strafrecht | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder

Wanneer is het strafbaar met een nepnaam internet op te gaan?

| AE 7934 | Aansprakelijkheid, Privacy, Strafrecht | 15 reacties

Roel Stellinga (18) ontdekte vorige maand bij toeval dat zijn foto’s van Facebook werden misbruikt door ene ‘Oscar’. Dat las ik in het AD. Via dit nepprofiel – en dus met zijn foto’s – werden jonge meisjes benaderd. De les van Roels vader: “Als je je account niet goed afschermt, kan het blijkbaar toch vrij… Lees verder

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Aansprakelijkheid, Strafrecht | 30 reacties

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder

De strafbaarheid van gestolen naaktfoto’s

| AE 6940 | Aansprakelijkheid, Privacy, Strafrecht | 43 reacties

Nooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei… Lees verder

BeWifi bundelt bandbreedte bij buren

| AE 6338 | Aansprakelijkheid, Innovatie | 9 reacties

Het Spaanse telecombedrijf Telefonica heeft onder de naam BeWifi een technologie ontwikkeld die het mogelijk maakt om extra bandbreedte van naburige modems te ‘lenen’ via wifi, meldde Tweakers zondag. Modems met BeWifi aan boord werken met elkaar samen; als een modem capaciteit over heeft, deelt hij die met een ander modem dat net hevig staat… Lees verder

Een brakke beveiliging hebben, waarom is dat niet strafbaar?

| AE 5575 | Beveiliging, Strafrecht | 28 reacties

Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig. Het is strafbaar om binnen… Lees verder