Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox, Playstation en eBay publiceren, dat kan toch niet legaal zijn? Nou ja, zoals ik het bij Gotcha zie wel.

In maart blogde ik over de dienst HaveIBeenPwned.com van de Amerikaan Troy Hunt. Die biedt een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf). Dat is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Ga je wachtwoorden als zodanig bekend maken, dan wordt het spannender. Dat kan ik nog net billijken als je dit alleen aan de eigenaar zelf bekend maakt, al dan niet tegen betaling, maar dan moet er wel enige fatsoenlijke identiteitscontrole op zitten.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

Arnoud

Mag een site je laten zien of je gehackt bent?

Een lezer vroeg me:

Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit. Is dat heling? Ben ik strafbaar als ik dit gebruik?

Nee, je bent niet strafbaar als je via HaveIBeenPwned.com kijkt of je wachtwoord ergens gelekt is.

Het is natuurlijk strafbaar om met een gestolen of gelekt wachtwoord op andermans account in te breken. Ook als het wachtwoord ondertussen publiekelijk bekend is geworden en ook als men nalatig is met het aanpassen van het wachtwoord. Het is en blijft andermans account, en dus computervredebreuk als je daar willens en wetens op inlogt.

Het is echter ook strafbaar (art. 139d lid 2 Strafrecht) om een “computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan” voorhanden te hebben, beschikbaar te stellen of te verspreiden. Vereist is dan wel dat je dit doet met het oogmerk dat iemand er computervredebreuk mee gaat plegen (of vertrouwelijke communicatie mee gaat afluisteren).

Het is dat oogmerk waardoor Hunts site legaal is. Het doel van die site is zo evident niet om inbreken makkelijker te maken dat ik er geen seconde aan twijfel dat hier niet op vervolgd wordt. De site is opgezet om mensen te informeren en te laten checken of hun account gehackt is. Natuurlijk zou je dat met andermans mailadres of accountnaam kunnen controleren, maar het lijkt onmogelijk om enkel met een mailadres te komen tot een wachtwoord of hash daarvan.

Wie op de homepage een mailadres invult, krijgt een lijst van sites waar een account behorende bij dat mailadres is gecompromitteerd, maar geen hashes of wachtwoorden die daarbij hoorden. Je kunt ook zoeken op wachtwoord, maar dan krijg je geen e-mailadressen te zien of zelfs maar sites waar deze gelekt zijn. Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.

Ik zie dus nergens een manier om misbruik te maken van die gegevens. En daarmee kan er geen sprake zijn van een strafbaar feit.

Arnoud