Tag: Diefstal

About Diefstal

Subscribe Feeds

Bestaat er goede trouw bij de aankoop van illegale software?

Geplaatst op in Intellectuele rechten, 11 reacties

hardware-software-computer-gollem-huh.jpgEen lezer vroeg me:

Stel dat iemand mijn fiets steelt en die doorverkoopt tegen een reële prijs. Dan is de fiets officieel van de koper en krijg ik hem niet terug. Maar hoe werkt dat nu met software? Als iemand mijn software gaat doorverkopen zonder dat dat mag, wanneer is de koper dan tóch eigenaar?

Als een zaak (een ding, zoals een fiets) door diefstal wordt verkregen, dan kan de dief deze juridisch gezien niet doorverkopen. Hij is immers geen eigenaar. Echter, wat nu als de koper te goeder trouw meende echt een legale fiets te kopen? Dan zou het wel zuur zijn als hij die vervolgens moest inleveren omdat deze tóch gestolen blijkt. Daarom bepaalt de wet dat een particulier die koopt bij een winkel (en tegen een normale prijs) beschermd wordt: hij wordt eigenaar, ook als de fiets gestolen was. (Oké, dit is óók zuur want de bestolen eerste eigenaar heeft nu het nakijken. Maar je moet íets.)

Bij software ligt dit anders. Software is geen zaak en kan niet worden gestolen. Bovenstaande regel geldt dus niet, behalve als we het hebben over standaardsoftware tegen een reële prijs (die kon je immers wél kopen) en deze dus in een winkel wordt doorverkocht. Maar een website is geen winkel. En bovendien is “doorverkoop van een licentie buiten de grenzen van de Usedsoft-uitspraak” niet hetzelfde als diefstal, maar alleen auteursrechtinbreuk.

Meestal zal er bij softwareverkrijging sprake zijn van licentieverlening. (Ik hoor nu hAl tussendoor: “Nee hoor, meestal is er sprake van welbewuste piraterij.” En ja, oké, maar daar ging deze blog even niet over.) In die situatie kan er ook sprake zijn van een vorm van goede trouw. Wat je dan namelijk aan de hand hebt, is een beweerdelijke vertegenwoordiging: de ‘doorverkoper’ van de software (de licentienemer) doet alsof hij bevoegd is namens jou een licentie te verlenen aan zijn wederpartij (de doorkoper?). En daar is een wetsartikel voor:

Is een rechtshandeling in naam van een ander verricht, dan kan tegen de wederpartij, indien zij op grond van een verklaring of gedraging van die ander heeft aangenomen en onder de gegeven omstandigheden redelijkerwijze mocht aannemen dat een toereikende volmacht was verleend, op de onjuistheid van deze veronderstelling geen beroep worden gedaan.

De vraag is dus of de rechthebbende de indruk heeft gewekt dat de licentienemer de licentie mocht doorverhandelen of nieuwe licenties mocht uitdelen. Bij gewoon doorgeven van een verkregen licentie zal daar geen sprake van zijn, maar wanneer iemand op de site van de rechthebbende als ‘certified partner’ of iets dergelijks vermeld staat dan zou ik die indruk wel durven aannemen. De rechthebbende zit dan vast aan die licentie, ook al mocht die eigenlijk niet worden verleend.

Ik vraag me af hoe vaak dit voorkomt. Vaker dan je denkt, denk ik (ahem). Wie durft er te zeggen dat ‘ie écht de licentiestructuren van de bekende softwarereuzen doorgrondt?

Arnoud

Heeft het nut om IMEI’s van gestolen telefoons te blokkeren?

Geplaatst op in Security, 27 reacties

change-imei.jpgKPN, Vodafone en T-Mobile gaan vanaf volgend jaar op verzoek van de politie gestolen telefoons mogelijk onbruikbaar maken, las ik bij Tweakers. Elke telefoon heeft een zogeheten International Mobile Equipment Identity of IMEI nummer, dat meegestuurd wordt naar het netwerk als je je aanmeldt of wilt bellen. Door dit nummer bij de telefonieprovider te checken tegen een zwarte lijst, kun je dus verhinderen dat gestolen telefoons nog gebruikt worden. Dat zou diefstal toch af moeten schrikken. Nou ja, in theorie dan.

Een dergelijk systeem werkt natuurlijk alleen als de IMEI van een telefoon niet wijzigt. In Engeland, waar deze antidiefstalaanpak is uitgevonden, is het dan ook expliciet strafbaar gesteld om de IMEI te wijzigen (Section 1 van de Mobile Telephones (Re-programming) Act 2002), want als het strafbaar is dan doet een crimineel dat niet. Ahem.

In Nederland hebben we zo’n regel niet, en het lijkt er ook niet op dat deze er gaat komen. In 2011 werd nog in antwoord op Kamervragen gemeld dat dit niet zinnig leek, omdat IMEI nummers eenvoudig te wijzigen zijn, zelfs voor domme mobieltjesdieven. Om dezelfde reden is de politie gestopt met sms-bommen sturen (elke drie minuten een sms met “Deze telefoon is gestolen”) naar gestolen telefoons.

De enige echte optie om dit werkbaar te krijgen lijkt me om de IMEI verplicht hardcoded in de telefoon vast te leggen, zodat ze niet meer te wijzigen zijn. Ik heb eigenlijk geen idee waaróm een IMEI wijzigbaar zou moeten zijn. Jullie wel?

(Oh, en natuurlijk moet de IMEI-blokkade Europabreed uitgerold zodat je ook in Finland of Roemenië niet kunt bellen met een gestolen telefoon.)

Arnoud

“Stelen van broncode is niet strafbaar”

Geplaatst op in Security, 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

“Stelen van broncode is niet strafbaar”

Geplaatst op in Security, 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

Virtuele goederen én belminuten kun je stelen

Geplaatst op in Security, 51 reacties

second-life-mobiele-telefoon-diefstal.jpgVirtuele goederen, zoals de meubi’s bij Habbo en de amuletten in Runescape, kun je stelen. Dat wisten we al een tijdje maar de Hoge Raad geeft er nu definitief haar zegen aan. En op dezelfde dag bepaalt ze ook dat je belminuten en sms’jes kunt stelen. En dát was voor mij in ieder geval nieuws.

Om van diefstal te kunnen spreken, moet er een “goed” zijn, oftewel een voor menselijke beheersing vatbaar tastbaar iets dat kan worden weggenomen. Elektriciteit valt onder die definitie (prima te hanteren met rubber handschoenen immers), maar computergegevens niet (kopiëren is geen stelen, hoi Tim).

Op het eerste gezicht leek het dan ook gek dat bij een Habbo-zaak diefstal met geweld, oftewel beroving, ten laste werd gelegd. Twee jongens hadden een ander met een mes gedwongen zijn meubi’s af te geven in het spel namelijk. Maar zijn die meubi’s wel te stelen? Het zijn toch computergegevens in de servers van Habbo? Idem voor een Runescape-zaak met ongeveer dezelfde omstandigheden.

Ja, die dingen kun je stelen, aldus de rechtbank in beide zaken. Zulke virtuele goederen zijn gemáákt om te worden verplaatst en weggegeven. Daarmee zit de mogelijkheid van stelen (wegnemen) er in gebouwd. Even IT-technisch: wanneer een systeem alleen de atomaire actie “verplaatsen” kent en niet “kopiëren” dan is het diefstal de verplaatsbare objecten te verplaatsen zonder toestemming van hun eigenaar.

Voor virtuele goederen kan ik dat nog wel volgen, maar in een ander arrest bepaalde de Hoge Raad hetzelfde voor belminuten en sms’jes. In die zaak had een man een simkaart van een bedrijf weten te verkrijgen en was hij daarmee gaan bellen, wat opviel toen de rekening van ” 2.645,39 binnenkwam. Hij werd vervolgd, en wel voor diefstal – nee, niet van de sim maar van de belminuten en de 100 euro aan sms’jes.

Volgens het gerechtshof was er inderdaad sprake van diefstal, omdat belminuten en sms’jes gewoon ‘goederen’ zijn die je kunt wegnemen. Immers, wie ze gebruikt, maakt ze op, en ze vertegenwoordigen nog waarde ook. En “gelet op de functie die belminuten en sms-berichten in het maatschappelijke verkeer vertegenwoordigen” moeten we ze dus gewoon als goederen zien. De Hoge Raad is het daarmee eens, want

Ook een niet-stoffelijk object kan [onder ‘steelbaar goed’] worden begrepen, mits het gaat om een object dat naar zijn aard geschikt is om aan de feitelijke heerschappij van een ander te worden onttrokken.

En tsja, de mogelijkheid een sms-bericht te versturen (want daar komt het op neer) voldoet aan die definitie. Dat object, die teller in de databank bij de telecomprovider, ben je kwijt als het aangepast wordt in die databank. Sjonge.

Mijn oude prof aan de TU Eindhoven zei ooit “het verschil tussen hardware en software is dat hardware pijn doet als het op je voet valt”. Dat vond ik altijd wel een mooi criterium, ook voor de vraag of iets te stelen is. Maar juridisch gezien klopt dat niet meer; ook niet-tastbare zaken zijn dus prima te stelen als hun functie is dat ze kunnen worden verbruikt of verplaatst. Dataverkeer zal er zeker onder vallen nu, en credits in een spel ook.

Wie weet er nog meer dingen die volgens dit criterium kunnen worden gestolen?

Update (18 april): de Hoge Raad bepaalde vandaag dat ook credits gestolen (verduisterd) kunnen worden. Die credits konden worden gekocht via een telefoon en daarna doorgezet naar andere diensten.

Arnoud

Is identiteitsdiefstal strafbaar?

Geplaatst op in Security, 55 reacties

rename-identiteit.pngRegelmatig krijg ik vragen over identiteitsdiefstal, met name van journalisten die op zoek zijn naar een sappige juridische quote. Nou geef ik die graag, maar in dit geval is dat wel moeilijk: ‘identiteitsdiefstal’ staat als zodanig niet in het wetboek van strafrecht namelijk. Andermans naam aannemen (met opzet of per ongeluk) is niet strafbaar. Pas als je daarmee dingen doet, zoals producten bestellen op diens naam of zijn reputatie beschadigen, kan het strafbaar worden.

Vaak wordt geroepen dat dit valsheid in geschrifte oplevert. Dat feit is inderdaad strafbaar: artikel 225 Strafrecht verbiedt het valselijk opmaken of vervalsen van geschriften, en dat geldt ook voor elektronische geschriften. Alleen moet dat geschrift wel bestemd zijn om tot bewijs van enig feit te dienen. En daar wringt vaak de schoen bij online valse geschriften.

In 2009 vond iemand het grappig een comment onder mijn naam te plaatsen. Die comment is geen valsheid in geschrifte, want die diende niet tot bewijs van wat dan ook. Dat was een mededeling, niet een akte of ander stuk dat als bewijs zou moeten dienen. Bij “tot bewijs dienen” moet je eerder denken aan een schriftelijk contract of een diploma.

Zo’n gebruik van je naam zou eventueel smaad of laster kunnen opleveren, omdat dit een poging is jouw eer of goede naam aan te tasten. Smaad is niet alleen “hij is een dief” maar ook een vervalst bericht met daarin “hallo ik ben een dief”.

Gebruik van iemands identiteit om bijvoorbeeld spullen te kopen of bestellingen te doen is natuurlijk wel strafbaar: dat is oplichting, artikel 326 Strafrecht, en dit artikel noemt expliciet “het aannemen van een valse naam” als grond om van oplichting te mogen spreken.

Ook andere gevolgen van identiteitsdiefstal kunnen strafbare feiten opleveren. Maar in alle gevallen geldt: er kan formeel pas iets worden gedaan nadat die gevolgen zijn ingetreden. Dat iemand je wachtwoord weet, of je BSN heeft overgeschreven, is nog geen grond om legale stappen te ondernemen. Pas als hij inlogt met je wachtwoord, of je BSN gebruikt om je belastingteruggaaf op zijn bankrekening te krijgen, kun je aangifte doen. Maar dan is de schade al opgetreden.

Een apart wetsartikel tegen identiteitsdiefstal an sich lijkt een goed idee. Alleen: hoe definieer je identiteitsdiefstal?

Arnoud

Wat moeten wij met het nieuwe wetsvoorstel computercriminaliteit?

Geplaatst op in Informatiemaatschappij, Uitingsvrijheid, 27 reacties

Plannen voor een nieuwe wet computercriminaliteit. Dat zou alweer de derde worden. Er is al veel over geschreven over het afsluitbevel, en ook vanwege mijn vakantie houd ik het kort (goed he, Steven?). Wie zin heeft in uitgebreid & diepgaand, leze Jan-Jaap Oerlemans’ analyse.

Allereerst dat afsluitbevel. Op zich is het nu al mogelijk (art. 54a Strafvordering) om een internetprovider of hoster te bevelen een website offline te halen of materiaal te blokkeren als deze kennelijk strafbaar is. Alleen is nu een machtiging van de rechter-commissaris nodig, dus van de rechterlijke macht. Volgens het wetsvoorstel zou een bevel van de officier van justitie genoeg zijn, waarmee de onafhankelijke toets komt te vervallen.

Bits of Freedom maakt terecht bezwaar tegen deze ‘censuur’. Voor mij is daarbij het belangrijkste argument dat het niet goed werkt, zoals Schellekens, Koops en Teepe in 2007 al concludeerden. Plus natuurlijk het argument dat nergens uit blijkt waar dit voor nodig is. Het enige dat ik kan bedenken is dat rechters-commissarissen niet altijd zomaar een machtiging afgeven, maar dat lijkt me een wat wankel argument.

Ook ergerlijk vind ik het idee om het opnemen van gesprekken te verbieden zonder instemming van de wederpartij. Dat is nergens voor nodig, en zal in de praktijk voor veel problemen zorgen. Bewijs vergaren bij niet-schriftelijke transacties wordt ontzettend moeilijk als je geen geluidsopnamen van de onderhandelingen of andere gesprekken kunt maken. Want natuurlijk gaat een malafide handelaar geen toestemming geven. Ik zou wellicht iets zien in een publicatieverbod (tenzij zware maatschappelijke noodzaak) maar het opnemen zelf moet te allen tijde kunnen als je deelnemer bent.

Ook wordt er een artikel voorgesteld dat het overnemen van “niet openbare gegevens zonder toestemming” verbiedt. Hiermee wil men sites aan kunnen pakken die gestolen gegevens herverspreiden. De aanleiding was de Manon-Thomaszaak, wier gestolen foto’s op diverse sites opduikten zonder dat daar strafrechtelijk wat aan gedaan kon worden. De dief kon wel worden vervolgd (computervredebreuk met gegevensdiefstal) maar het herpubliceren van zulke informatie is geen heling.

Alles bij elkaar zie ik weinig voordeel in dit wetsvoorstel. De WCC II was zeker een verbetering ten opzichte van de wet uit 1993, maar dit concept-WCC III mag wat mij betreft meteen naar de prullenbak.

Arnoud

Wanneer wordt wanprestatie oplichting?

Geplaatst op in Informatiemaatschappij, 19 reacties

Een lezer vroeg me:

Een tijd geleden kocht ik via Marktplaats een telefoon. Ik had vanaf het begin al twijfels, gezien de advertentie en de status van de verkoper, maar ik wilde de gok toch wagen want de prijs was wel erg mooi. Maar je raadt het al: na betaling hoorde ik niets meer. Eerst nog wat smoezen over ziekte en familieproblemen, maar zelfs dat krijg ik nu niet meer. Ik ben naar de politie geweest, en die zeggen dat dit een civiele zaak is (wanprestatie). Maar hoe lang moet ik nu wachten voordat ik wél aangifte van oplichitng kan doen?

Van oplichting (art. 326 Strafrecht) is sprake als je met slinkse trucs iemand anders geld, producten of iets dergelijks probeert af te troggelen. Het gaat dus niet zozeer om de tijd waarin je aan het lijntje wordt gehouden, maar om de intentie van de verkoper. Die moet de bedoeling hebben gehad om jou je geld afhandig te maken en daarvoor geen product te willen sturen.

Nu is dit lastig te bewijzen. Een lange tijdsduur en verbroken contact kan een aanwijzing zijn, want normale verkopers doen dat zelden en oplichters doen dat vaak. Maar doorslaggevend is het niet, het is denkbaar dat ook een welwillende verkoper ineens van de aardbodem verdwijnt. Dat maakt hem nog geen oplichter, in juridische zin. Update (8 mei 2012) de Hoge Raad bepaalde eerder:

dat het enkele aangaan van een overeenkomst en het vervolgens in gebreke blijven op zichzelf – ook indien degene die de overeenkomst is aangegaan al voorzag niet aan zijn verplichtingen te kunnen voldoen – niet het aannemen van een valse hoedanigheid noch een listige kunstgreep als bedoeld in artikel 326 van het Wetboek van Strafrecht oplevert.

Niet leveren is dus geen oplichting, óók niet als je bij het sluiten van de koop wist dat je nooit zult kunnen gaan leveren. Je moet iets listigs of valsigs doen, bijvoorbeeld vals bewijs dat het product verzonden is aanleveren zodat de klant niet meer weet waar het te zoeken.

Wel heeft hij ondertussen al het geld ontvangen, dat hij nu onder zich houdt en niet wil teruggeven. Je zou kunnen zeggen dat hij dat verduisterd heeft (art. 321 Strafrecht), immers hij verkreeg het legaal maar behoudt het nu wederrechtelijk. Maar ik twijfel of dat opgaat. Als hij namelijk nog steeds meent te kunnen leveren, dan is hij gerechtigd het geld te houden. Pas als de koper hem in gebreke stelt en de koop ontbindt, moet het geld terug. En dan nog: niet terugbetalen van geld na zo’n ontbinding is wederom een contractueel probleem en niet automatisch een strafbaar feit.

De enige echte manier om oplichting aan te tonen, is te laten zien dat er sprake is van een patroon. Eén gedupeerde is waarschijnlijk nog een civiele zaak, tien of honderd gedupeerden geven een vermoeden dat iemand dat met opzet doet. Of dat hij failliet aan het gaan is natuurlijk.

Update (22 januari 2013) zie ook dit arrest met goede samenvatting van de jurisprudentie en een flink aantal voorbeelden van wel en niet bewezen oplichting.

Arnoud

Die prijsmanipulatie bij Just-Eat

Geplaatst op in Security, 21 reacties

just-eat-hack-screenshot.pngHonderden studenten hebben maandenlang bijna gratis pizza’s kunnen bestellen via de website Justeat.nl, meldde Nu.nl vrijdag. Er bleek een fout in de website te zitten waardoor je eenvoudig de prijs kon manipuleren net voordat de betaalprocedure bij een externe partij in gang werd gezet. Tweakers meldt:

De kwetsbaarheid bleek ontstellend simpel te misbruiken, blijkt uit een test van Tweakers.net: het aanpassen van de html-code bleek genoeg om goedkoop pizza of shoarma te bestellen. Het lek zat bij Just-Eat op de pagina, waar de bestellingsmethode gekozen kon worden. Daar werden in verborgen input-velden de parameters voor de betaling doorgegeven, waaronder het bedrag in centen.

De reacties die ik her en der lees, zijn allemaal in de trant van “dom bedrijf, hadden ze dat lek maar moeten fiksen”. Zeker nu bekend is dat het lek al een jaar open ligt. Maar ligt dat nu aan mij of is dit gewoon crimineel?

Als je zo’n fout ontdekt en het dan meldt, dan ben je keurig bezig. Wil je het een keertje testen om zeker te weten dat die fout er (nog) in zit, nou vooruit. Maar voor 30.000 euro aan pizza’s bestellen, dat heeft toch niets meer met white-hat hacken te maken? Dat is gewoon profiteren van een domme fout.

Ik begrijp dit echt niet. Stel de supermarkt laat een prijstang onbeheerd liggen in het schap. Dan zullen er heus mensen proberen om wat goedkope prijsjes op dure producten te plakken en die te gaan afrekenen? Maar het lijkt me evident dat dat gewoon oplichting is. Waarom zou het voor hidden input fields anders zijn dan voor prijsstickers?

(Overigens heb ik nul komma nul sympathie voor directeur Laurens Groenendijk van Just-Eat die meende laatdunkend te moeten spreken van “slimste jongetjes van de klas”, terwijl het een fout die ie zelf een jaar lang heeft laten liggen. Ik hoop dat z’n rechtsbijstandsverzekeraar niet uitkeert.)

Arnoud

Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

Geplaatst op in Informatiemaatschappij, Security, 24 reacties

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud