Stijlvolle actie of privacycriminaliteit?

| AE 1284 | Privacy | 8 reacties

bluf-openbaren-geencommentaar.pngWeet u nog, GC versus GS? Na publicatie van de “Geenstijlchecker” door weblog Geencommentaar kwam Geenstijl geheel in eigen stijl met een stukje Javascript-malware om de site van GC plat te leggen. Dat kon bepaald niet door de beugel, maar aan de actie van GC hing ook een luchtje. Een privacyluchtje om precies te zijn. GC vroeg het na bij het College Bescherming Persoonsgegevens, en kreeg te horen dat ze fout bezig waren.

Wat GC namelijk deed, was een zwarte lijst aanleggen van mensen die je maar beter niet op je blog moet laten reageren. En zwarte lijsten aanleggen ligt gevoelig onder de privacywet. Die stelt strenge eisen aan alle lijsten, filters en andere systemen waarmee je mensen kunt weren uit je winkel, site of andere dienst.

De belangrijkste eis die GC schond, was dat je mensen vooraf moet informeren over hoe ze op de zwarte lijst terecht kunnen komen. Ook moet je beleid hebben en toelichten over de criteria. Je kunt met andere woorden niet zomaar iemands IP-adres nemen en dat op een lijst zetten die je dan als grote verrassing publiceert als zijnde “roze randdebielen”.

Ook zegt het CBP dat de beheerders hun naam en adresgegevens op de site moeten publiceren. Dat is wat raar. Kennelijk heeft het CBP niet goed opgelet om wat voor site het ging. Bij een site als GC gelden de privacyrichtsnoeren gewoon. En daar staat in dat een website als deze kan volstaan met een in Nederland gehost e-mailadres (zodat bij problemen de provider kan worden aangesproken om de gebruiker te identificeren).

Benieuwd of dit nog een juridisch staartje krijgt.

Arnoud

Stijlloze tegenactie of computercriminaliteit?

| AE 1231 | Security | 26 reacties

bluf-openbaren-geencommentaar.pngDe ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een “roze randdebiel” cq. “huftert” te maken had.

GS kwam daarop met een “oldskool weblog incrowdcookie van eigen deeg”. Een slim stukje Javascript in de pagina’s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo’n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo’n overbelasting leiden.

Art. 138b Strafrecht stelt strafbaar het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk te belemmeren door daaraan gegevens aan te bieden of toe te zenden. Eens kijken hoe ver we komen.

De actie was duidelijk opzet, want die Javascript-code komt niet zomaar in een webpagina terecht. Wederrechtelijk? Ik zou zeggen van wel. Op zich mocht iedere GS-bezoeker zijn eigen IP-adres opzoeken in de database van GC. Maar dit was geen vrijwillig opvragen uit interesse van de bezoeker, maar een min of meer gedwongen opvraging door een programmeertruc van de site. Ik twijfel, omdat er ook nog zoiets bestaat als het Slashdot-effect (in Nederland het Nu.nl effect?): te veel bezoeken vanaf een populaire site kunnen een site ook plattrekken. Dat is niet wederrechtelijk van die populaire site. Maar ik denk dat dat toch waarschijnlijk niet opgaat hier.

De grote vraag is dus of Geenstijl zorgde voor het “aanbieden of toezenden” van de gegevens. Het zijn feitelijk de computers van de bezoekers die het doen. Maar die bezoekers zijn niet bij de actie betrokken. Het is het stukje Javascript van Geenstijl dat het toezenden van de opvraging in werking zet. Dat zou je kunnen zien als een handeling van Geenstijl. Andermans computer op afstand besturen is juridisch hetzelfde als achter het toetsenbord kruipen en de commando’s daar intypen. Ik zeg daar wel gelijk bij dat dit nog nergens in de literatuur of rechtspraak getest is. GC, probeer het eens uit! šŸ™‚

Overigens was die actie van GC ook niet bepaald netjes. Het verzamelen van IP-adressen en aanbieden van een zoekmogelijkheid om te zien of iemand een “roze randdebiel” is (of zelfs maar, neutraal gezegd, een Geenstijl-lezer) is een verwerking van persoonsgegevens. Daarvoor moeten de bezoekers wel toestemming hebben gegeven. Ik heb geen privacystatement gezien bij die petitie, laat staan een uitdrukkelijk verzoek om toestemming.

Weet iemand trouwens waarom GC er nu uitligt?

Arnoud