Wanneer gaat hengelen naar een beloning over in afpersing?

| AE 11556 | Regulering | 6 reacties

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Dat meldde Tweakers vorige week. De aangifte zou zijn vanwege chantage dan wel afpersing. De ontwikkelaar verwijst naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon raar om voor dit niveau ‘afpersing’ naar de politie te stappen, en de PR is bepaald onhandig ingestoken. Al snel werd de keutel ingetrokken. Maar zit er juridisch een punt achter?

Het datalek in kwestie is overigens geen AVG-datalek, maar een financieel lek: je kunt per dag zien hoe veel tickets men verkoopt en wat de prijs per ticket was. Zonder enige rare actie, behalve dan F12 drukken in je browser. (Geen paniek, nog een keer F12 en deze blog is weer normaal.) In iets meer detail:

Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.

De ontwikkelaar gaf deze technische blunder door aan Walibi, inclusief een stukje van de informatie als bewijs dat het lek er inderdaad zat. Hij gebruikte daarbij het mailonderwerp ‘Datalek ruilen voor kaartjes?’, kennelijk refererend aan eerder contact waarbij Walibi had aangeven dat kaartjes soms als beloning worden gegeven voor het melden van datalekken. Maar de directeur van Walibi (waarom die directrice genoemd wordt ontgaat me overigens, het is toch geen school) las hierin een strafbaar feit, namelijk afpersing:

Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.

Even los van de bepaald onhandige inschatting hier, is dit nu überhaupt afpersing te noemen? Het flauwe antwoord is nee, want afpersing is (art. 317 Strafrecht) kort gezegd dreigen met geweld om jezelf te bevoordelen. Ze bedoelen dan ook afdreiging (art. 318 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Het stukje ‘dwingen’ is makkelijk hier, de ontwikkelaar zou die vier kaartjes (kaartjes zijn “enig goed”) willen hebben met zijn mail. Maar wat is dan de ‘dreiging’, het andere essentiële bestanddeel van dit delict? Dat zou dan waarschijnlijk een gang naar de pers zijn, betaal me of ik maak openbaar dat je een datalek hebt.

Dat is wat de ontwikkelaar zou hebben gezegd, aldus het pretpark:

Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?

Dit stukje doet mij ook de wenkbrauwen fronzen. Het hele punt van belonen is voor het mélden van datalekken, je betaalt mensen niet voor hun stilzwijgen maar voor hun speurwerk. En ja, binnen de letter van de wet is het als afdreiging te construeren als je zegt “ik zal een geheim niet publiceren als je me geld geeft” wanneer dat publiceren op zichzelf wederrechtelijk is.

Bij de reacties lees ik dan de ontwikkelaar die stelt dat je de zin moet lezen in de context van eerdere communicatie. Dat snap ik gezien de voorgeschiedenis, en ik weet vrij zeker dat de directeur die niet kent en daarom de zin zo heftig oppakt. Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in het bedrijfs moet communiceren.

Arnoud

Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

| AE 11169 | Privacy, Security, Uitingsvrijheid | 8 reacties

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

Natuurlijk is het in principe computervredebreuk om in te loggen met publiek aangetroffen accountgegevens, zoals een boardingkaartnummer en een achternaam. Je dringt dan binnen in een systeem onder de hoedanigheid van de luchtpassagier, en je weet dat je daar niet mag zijn in die hoedanigheid. Dat de gegevens publiek te vinden waren, maakt daarbij niet uit. (Als je ooit denkt “de informatie is publiek dus ik mag X”, dan heb je -als vuistregel- juridisch geen gelijk.)

Punt is natuurlijk dat Verlaan werkt als journalist, en daarbij technologie en met name security als aandachtspunt voor zichzelf geclaimd heeft. Hij bouwde onder meer de site Laat je niet hack maken, die mensen in gewone taal uitlegt wat wel en niet verstandig is bij online security. En als zo’n journalist ziet dat iemand met een profiel als Peter Verhaar publiekelijk oproept om zoiets doms te doen, dan snap ik meteen dat hij dat publiceert. Zoals een twitteraar het vergeleek: “ik ben tegen de bankmaffia, u ook, post dan uw creditcard voor en achter”.

Een journalist mág zoiets ook, in het kader van het aan de kaak stellen van een misstand. Ook als daarbij een strafbaar feit nodig was. Als journalist mag je soms net een klein stapje verder gaan, als dat in het belang is van je publicatie en je geen andere manier hebt om je punt te maken.

De vraag is dus, had Verlaan die noodzaak om in te loggen en die gegevens van vrouw en kind te noteren en (geanonimiseerd) te publiceren? Ik zou zeggen van wel: Verhaar begaat zo’n ernstige en onverantwoorde fout dat daar onmiddellijk een signaal tegen gegeven moet komen. En iemand die zo oliedom is, zal van enkel “dat is niet handig!!1!” van een nerdjournalist (sorry Daniel) niet onder de indruk zijn. Die persoonlijke informatie is dan nodig om direct het signaal te geven, doe dit niet, houd ermee op. Dus ja, dit mocht.

Arnoud

Ambtenaar Lopik krijgt 240 uur taakstraf voor hacken rioolinstallatie

| AE 10852 | Regulering | 8 reacties

Een voormalig ambtenaar van de gemeente Lopik heeft een taakstraf van 240 uur gekregen voor het hacken van de gemeentelijke rioolinstallatie, las ik bij Nu.nl. Eind 2017 had hij na een ontslag diverse keren ingelogd op de server van de rioolwatervoorziening van de gemeente, en daar bestanden gewist maar ook bedieningssystemen van de riolering geprobeerd te saboteren. Dat is niet zomaar een beetje boos afreageren op een ex-werkgever, dat is sabotage van de publieke werken. Maar hoe bewijs je dat hij het is geweest?

Uit het vonnis is lastig te halen wat nu precies de beweegredenen van de man waren om dit te doen. Het speelde allemaal maanden na zijn uitdiensttreding. Vanaf zijn eigen IP-adres en dat van zijn ouders werd eind 2017 ingelogd op systemen van de gemeente waarna bestanden werden vernietigd. En in 2018 ging het nog een stap verder, toen werden de pompen van de riolering op afstand uitgeschakeld.

Volgens een monteur die als getuige optrad:

Omdat de pompen op afstand waren aangezet en de aanvoer dicht was gezet kon de vacuümleiding teveel vacuüm trekken waardoor de pompen oververhit raken en stuk gaan of brand vatten. Een eventuele mogelijkheid is dat de leiding als gevolg daarvan implodeert. Gevolg daarvan is weer dat de pompen vervangen moeten worden. Bij brand zouden de aansturing en hardware vervangen moeten worden en bij het imploderen van leidingen moeten deze opnieuw worden aangelegd. Tot die tijd moeten alle putten handmatig worden langsgelopen met een zuigwagen om de leidingen van de bewoners te kunnen afvoeren. De leidingen lopen vol en bewoners en bedrijven kunnen hiervan overlast ondervinden.

Dit kan dus behoorlijk zwaar uitpakken, vandaar dat het OM “vernieling met gemeen gevaar” ten laste had gelegd. Het vernielen of veroorzaken van storingen in de infrastructuur is apart strafbaar gesteld, en wanneer daar gevaar voor openbare dienstverlening (of nog erger, voor mensen) in ontstaat kan de gevangenisstraf in theorie tot 15 jaar oplopen. In dit geval had het gevaar zich op zich nog niet verwezenlijkt, de gemeente was er snel bij. Maar voor de strafbaarheid maakt dat niet uit.

Discussie ontstond toen nog over de vraag of wel bewezen was dat de verdachte dit had gedaan. De handelingen vereisten specifieke kennis en kunde, die maar weinig mensen bezitten. Daar komt bij dat de gebruikte IP-adressen aan de man te herleiden waren (hemzelf en zijn ouders), waarbij ook nog eens een laptop werd gebruikt die overeen kwam met het type laptop dat de gemeente kwijt was na het ontslag van de man. Verbindingen vanaf deze laptop werden gemaakt in het tijdsbestek dat de inbraak en sabotage plaatsvonden. Deze omstandigheden bij elkaar maken dat voor de rechtbank vaststaat dat de man de dader is.

Het was echter de eerste wetsovertreding van de man, en een gevangenisstraf zou hem zwaar duperen omdat zijn gezin met jonge kinderen dan in de problemen komt. Daarom legt de rechtbank een werkstraf van 240 uur op.

Arnoud

Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

| AE 10463 | Regulering | 21 reacties

Een lezer vroeg me: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime… Lees verder

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Regulering | 31 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om… Lees verder

Mag je de muziek hacken bij je ex-werkgever?

| AE 9730 | Security | 6 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus,… Lees verder

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Regulering | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan,… Lees verder

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder