Het mysterieuze geval van de gehackte productwebsite met iframe

hacker-iframeDe eerste keer dat een iframe in een vonnis staat, volgens mij. En een redelijk bizarre context ook: de website van een leverancier wordt gehackt om middels een stiekem iframe productbeschrijvingen toe te voegen die ze op grond van een recent vonnis nu net niet meer mochten verkopen. Wát is hier gebeurd?

Rapoo en Gembird verkopen onder meer toetsenborden. Rapoo had een Gemeenschapsmodelrecht op een aantal modellen, en in een eerder vonnis was geoordeeld dat Gembird daar inbreuk op maakte. (Een modelrecht is een soort van auteursrecht op industriële vormgeving en productuiterlijk.)

Die inbreukmakende toetsenborden mocht Gembird dus niet meer aanbieden. Toch doken er productvermeldingen van die toetsenborden op op de website van Gembird, waarop Rapoo naar de rechter stapte en de dwangsommen eiste die ze op grond van dat eerdere vonnis mocht opeisen.

Gembird was daar een tikje door verrast denk ik, want zij hadden keurig het vinkje “Publiceren op website” van die productinformatie weggehaald in hun CMS. Maar screenshots van Rapoo lieten duidelijk zien dat die informatie wel degelijk gewoon online stond. Buitengewoon raar dus.

Uit twee onafhankelijke onderzoeken bleek echter dat Gembird het slachtoffer is geworden van een hack. De betreffende productpagina’s waren voorzien van een Javascript (dat niet werkte) en een iframe die vanaf een externe locatie informatie ophaalde. En daarmee was precies de productinformatie online die van het eerdere vonnis niet getoond mocht worden.

Een hack door de wederpartij? Je zou het haast denken, maar in de iframes was nog de tekst “Hacked by Dark Knight Sparda – BD Black Hat” terug te vinden, en wie daarop googelt ziet diverse gehackte pagina’s van anderen. Dus kennelijk is er echt zo’n club actief.

In het vonnis wordt nog geruzied over al dan niet vervalste screenshots, omdat er twee verschillende URL’s werden getoond bij dezelfde webpagina. Maar de verrassend cluevolle rechter snapt hoe het zit:

Als de muis op de hoofdpagina van Gembird Europe staat bij het in beeld brengen van de bronweergave, wordt de website van Gembird Europe weergegeven als bron. Als de muis daarentegen in het frame staat waarvan de inhoud is gehackt, wordt een bron weergegeven die verwijst naar de server van de hacker. Het verschil kan volgens de deskundige van Gembird Europe dus verklaard worden door een andere positie van de muis op het moment dat de schermafbeeldingen werden gemaakt.

Op basis hiervan concludeert de rechter dan ook dat het duidelijk is dat Gembird gehackt is en niet zelf die productinformatie online heeft gezet. Maar had Gembird niet de gehele pagina offline moeten halen in plaats van ze slechts op concept te zetten in haar CMS? Dat is toch een stukje slordig, aldus Rapoo: er is dan een kans dat een hacker die pagina terugzet met al dan niet extra iframes. Maar dat overtuigt de rechter niet:

Toen Gembird Europe er na het Vonnis voor zorgde dat de informatie niet langer op haar website te zien was, hoefde zij er niet op bedacht te zijn dat de op de server nog aanwezige informatie door een hacker gebruikt zou worden op de wijze als geschied. Gembird Europe heeft ook gemotiveerd gesteld dat zij beschikt over een voldoende beveiligd automatiseringssysteem, hetgeen Rapoo Shenzen heeft betwist, doch zonder deugdelijke onderbouwing.

Ook de stelling dat Gembird heeft getreuzeld wordt niet gevolgd. Nadat Gembird de hack had ontdekt, heeft ze direct een forensisch onderzoeker ingeschakeld en die had nu eenmaal wat tijd nodig. Plus, het is vrij logisch dat Gembird geen bestellingen zou krijgen op basis van die hackframes. En aangezien het verbod gaat over verkoop, is hiermee dan ook niet het verbod overtreden.

Hoogst merkwaardig. Ik kan uit het vonnis maar half halen wat dat iframe nu precies deed. Ik durf eerlijk gezegd niet goed te zoeken naar andere gehackte pagina’s want ik heb geen zin in een Dark Knight Sparda in mijn blog. Wie helpt?

Arnoud