IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

| AE 12021 | Regulering | 41 reacties

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van 7.500 euro de man:het bedrag dat de vervoersmaatschappijen misliepen door hun acties. En daar zag ik wat vragen over, want hoe is die berekening tot stand gekomen en is het niet stiekem een verkapte boete die TLS hier probeert te innen?

Hoewel het om een strafzaak gaat, is de claim van Trans Link Systems gewoon een burgerlijke schadeclaim. Dat kan, je kunt je voegen in de strafzaak als je benadeeld bent door het strafbare feit. Zo hoef je niet een aparte rechtszaak op te starten om je schade te claimen, want als vaststaat dat iemand strafbaar handelde dan kan in principe jouw daardoor geleden schade zo worden toegewezen.

Je moet natuurlijk nog wel bewijzen dát je schade hebt geleden, dat de dader die behoort te vergoeden en hoe veel schade het dan precies is. Dat TLS schade lijdt door zwartrijden, lijkt me niet zo moeilijk. De bedoeling is dat mensen betalen voor hun reis, wie dat niet doet die a) ontzegt TLS geld voor dienstverlening en b) ondermijnt het systeem van openbaar vervoer. Dus dat je moet gaan betalen, spreekt voor zich.

Alleen: hoe groot is de schade dan precies? Omdat het zo’n fors en afgerond bedrag lijkt, voelt het als een verkapte straf: betaal maar een flink bedrag, dat zal je leren. Maar zo werkt dat niet in het schadevergoedingsrecht, schade moet worden onderbouwd. Precies dezelfde discussie inderdaad als bij illegaal downloaden, waar Dutch Filmworks tegenaan loopt. Wat kost een download? Of, wat we ook vaak zien: wat kost een foto?

Bij het OV is dat iets makkelijker: we wéten wat een treinritje kost, meer specifiek wat de reis Alkmaar-Utrecht destijds kostte die de twee heren namen met hun vervalste kaart. Bepaal het aantal keer dat men zwart reed (heen en terug, het was woon-werkverkeer), vermenigvuldig dat met de prijs van een kaartje (enkeltje Alkmaar-Utrecht: 28 euro, in de relevante periode) en je hebt de schade.

Maar ho, zo lees ik dan: het is toch veel goedkoper om bij zulk frequent reisverkeer een trajectkaart te nemen of misschien zelfs een Dal Vrij of Altijd Vrij-abonnement? En ja, dat is zo natuurlijk. Als je netjes kaartjes koopt, dan kun je doorrekenen wat het goedkoopste abonnement of traject is en daar de prijs op afstemmen.

Bij een onrechtmatige daad worden dat soort argumenten echter buiten beschouwing gelaten. De veroorzaker van de schade kan zich niet op voordeel beroepen dat in een onderhandeling verkregen zou zijn. Stel je kopieert iemands foto zonder toestemming, en de normale licentieprijs was 250 euro. Dan wil ik graag geloven dat jij er de helft vanaf had gekregen, of zelfs dat de fotograaf bijna altijd mensen 50% korting geeft. Maar feit blijft dat de prijs van die foto dan 250 euro was, en dan gaan we niet je 50% korting geven omdat dat gebruikelijk is of voor de hand ligt of zo.

Voor dat zwartrijden zeggen we dus ook: de schade is de prijs van het kaartje enkele reis, zonder kortingen, abonnementen of vrij reizen op welke wijze dan ook. Dat kun je regelen als je kaartjes koopt. Of, iets anders bekeken: je hebt 330 dagen twee maal per dag zwart gereden, dat zijn dus 660 zwartritjes – 660 onrechtmatige daden die je apart van elkaar afrekent. Je krijgt geen korting op de schadevergoeding omdat je váák iemand schade berokkent.

Arnoud

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Wanneer gaat hengelen naar een beloning over in afpersing?

| AE 11556 | Regulering | 6 reacties

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Dat meldde Tweakers vorige week. De aangifte zou zijn vanwege chantage dan wel afpersing. De ontwikkelaar verwijst naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon raar om voor dit niveau ‘afpersing’ naar de politie te stappen, en de PR is bepaald onhandig ingestoken. Al snel werd de keutel ingetrokken. Maar zit er juridisch een punt achter?

Het datalek in kwestie is overigens geen AVG-datalek, maar een financieel lek: je kunt per dag zien hoe veel tickets men verkoopt en wat de prijs per ticket was. Zonder enige rare actie, behalve dan F12 drukken in je browser. (Geen paniek, nog een keer F12 en deze blog is weer normaal.) In iets meer detail:

Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.

De ontwikkelaar gaf deze technische blunder door aan Walibi, inclusief een stukje van de informatie als bewijs dat het lek er inderdaad zat. Hij gebruikte daarbij het mailonderwerp ‘Datalek ruilen voor kaartjes?’, kennelijk refererend aan eerder contact waarbij Walibi had aangeven dat kaartjes soms als beloning worden gegeven voor het melden van datalekken. Maar de directeur van Walibi (waarom die directrice genoemd wordt ontgaat me overigens, het is toch geen school) las hierin een strafbaar feit, namelijk afpersing:

Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.

Even los van de bepaald onhandige inschatting hier, is dit nu überhaupt afpersing te noemen? Het flauwe antwoord is nee, want afpersing is (art. 317 Strafrecht) kort gezegd dreigen met geweld om jezelf te bevoordelen. Ze bedoelen dan ook afdreiging (art. 318 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Het stukje ‘dwingen’ is makkelijk hier, de ontwikkelaar zou die vier kaartjes (kaartjes zijn “enig goed”) willen hebben met zijn mail. Maar wat is dan de ‘dreiging’, het andere essentiële bestanddeel van dit delict? Dat zou dan waarschijnlijk een gang naar de pers zijn, betaal me of ik maak openbaar dat je een datalek hebt.

Dat is wat de ontwikkelaar zou hebben gezegd, aldus het pretpark:

Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?

Dit stukje doet mij ook de wenkbrauwen fronzen. Het hele punt van belonen is voor het mélden van datalekken, je betaalt mensen niet voor hun stilzwijgen maar voor hun speurwerk. En ja, binnen de letter van de wet is het als afdreiging te construeren als je zegt “ik zal een geheim niet publiceren als je me geld geeft” wanneer dat publiceren op zichzelf wederrechtelijk is.

Bij de reacties lees ik dan de ontwikkelaar die stelt dat je de zin moet lezen in de context van eerdere communicatie. Dat snap ik gezien de voorgeschiedenis, en ik weet vrij zeker dat de directeur die niet kent en daarom de zin zo heftig oppakt. Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in het bedrijfs moet communiceren.

Arnoud

Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

| AE 11169 | Privacy, Security, Uitingsvrijheid | 8 reacties

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering… Lees verder

Ambtenaar Lopik krijgt 240 uur taakstraf voor hacken rioolinstallatie

| AE 10852 | Regulering | 8 reacties

Een voormalig ambtenaar van de gemeente Lopik heeft een taakstraf van 240 uur gekregen voor het hacken van de gemeentelijke rioolinstallatie, las ik bij Nu.nl. Eind 2017 had hij na een ontslag diverse keren ingelogd op de server van de rioolwatervoorziening van de gemeente, en daar bestanden gewist maar ook bedieningssystemen van de riolering geprobeerd… Lees verder

Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

| AE 10463 | Regulering | 21 reacties

Een lezer vroeg me: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime… Lees verder

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Regulering | 31 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om… Lees verder

Mag je de muziek hacken bij je ex-werkgever?

| AE 9730 | Security | 6 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus,… Lees verder