Een NDA in je bug bounty stoppen is een heel slecht idee, ook voor Uber

| AE 13554 | Ondernemingsvrijheid, Uitingsvrijheid | 7 reacties

Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees naar het lek als een “geplande securitytest”. En dat is dan net nadat ik twee bedrijven (zakelijk) heb moeten overtuigen dat je ethical hackers géén NDA moet voorleggen als ze je ongevraagd een potentieel datalek komen melden.

In 2016 liet Uber een fors datalek gebeuren, met kort daarna nog eentje. (Ik vind “was hit by a data breach” geen gepaste tekst, het is geen meteoor maar nalatigheid, kom nou.) Bij die laatste wilden de hackers een ton aan losgeld, anders zouden ze de data op internet zetten. “Information is extremely sensitive and we need to keep this tightly controlled,” zo besloot men intern. Toenmalig Uber security chief Joe Sullivan handelde ook daarnaar: hij onderhandelde met de hackers en liet ze een bug bounty contract tekenen, in ruil voor een ton die in bitcoin werd betaald.

Dat was in zoverre onhandig dat de FTC na dat eerste datalek een onderzoek had ingesteld en van plan was Uber met een schikking weg te laten komen. Toen dat tweede datalek een jaar later alsnog uitkwam, kwam daar natuurlijk weinig meer van terecht.

Nu kan het natuurlijk gebeuren dat iemand een datalek ontdekt en dat meldt, om aanspraak te maken op de financiële beloning – bug bounties – die een bedrijf uitlooft. Ook Uber doet dat: tot tienduizend dollar kun je verdienen met je tip over een datalek. Maar daar is een aparte website en procedure voor, en je krijgt het geld dan ook gewoon overgemaakt. Deze manier van afhandelen riekt dan dus ook niet naar een gewone bountyclaim.

Het blijkt echter wel staande praktijk om tipgevers aan een dikke geheimhouding te binden, en ik vind dat dus raar. Ja, als je iemand inhuurt dan kun je voorwaarden onderhandelen en geheimhouding is dan een prima onderhandelpunt. Maar wanneer iemand van buitenaf komt aanwaaien, dan moet dat zeker geen voorwaarde zijn. (Een tijdelijke, redelijke periode zodat je het lek kunt dichten is natuurlijk wél prima.) Het schrikt mensen af, ondanks dat het niet bindend is, en het laatste wat je zou moeten willen als organisatie is dat een tipgever liever de pers belt dan jouw organisatie.

Arnoud

Nee, geheimhouding bij ethical bug reporting is niet bindend

| AE 12954 | Security, Uitingsvrijheid | 13 reacties

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Ja, ook juristen hebben die neiging nieuwe standaarden te maken om oude te vervangen (en ik ken de xkcd, dank je)

| AE 12920 | Ondernemingsvrijheid | 12 reacties

Consultancybedrijf PwC is de eerste grote firma in het VK die de oneNDA standaard-geheimhoudingsovereenkomst gaat voeren, meldde Artificial Lawyer onlangs. Een verrassing is dat niet, omdat PwC een van de drijvende krachten achter dit project is. OneNDA is een recent initiatief dat een universeel geheimhoudingscontract wil promoten ter vervanging van al die zelfgebrouwen misbaksels die iedere organisatie heeft. Als reviewer van 14.000 NDA’s voor mijn NDA-robot zeg ik: goed idee, heb ‘m gelijk toegevoegd. Maar of het werkelijk de juridische wereld gaat redden?

OneNDA heeft vooral in de Angelsaksische landen aandacht gekregen. In de kern is het een loffelijk initiatief: ieder bedrijf krijgt vele, vele NDA’s toegezonden en moet daar elke keer juridische tijd en energie aan verspillen. Of de inkoper/sales/CEO leest het zelf en denkt “het zal wel” met alle risico’s van dien. Dit was de reden voor mij om die robot te ontwikkelen, en die doet het best goed. Duizenden NDA’s gereviewd, inclusief aanpassingen en commentaar zodat je direct verder kunt.

Toevallig zag ik vanochtend iemand die een NDA die was aangepast door Lynn er nog een keer doorheen gehaald had, maar dan natuurlijk vanuit het andere perspectief (de informatieverstrekker). Toen ging Lynn dus ruzie met zichzelf maken, wat je altijd krijgt als je een jurist vertelt “en nu vanuit het perspectief van de wederpartij”. Maar dat is dus een feature. Desondanks blijf je zitten met een enorme berg NDA’s en elke keer tijd en moeite om ze te reviewen.

Zoals ze toen bij oneNDA zeiden: “In fact, in 2020, we discovered that reviewing NDAs for our clients represented 63% of our workload but only 7% of our revenue.” Dus dat moest anders. (Bedenk even hoe dat voelt als je 63% van je tijd, dus drie werkdagen, alléén maar NDA’s reviewt.) Men maakt één NDA, en iedereen gebruikt die. Niet eens met opties (zoals bijvoorbeeld Creative Commons) maar gewoon één tekst, je vult alleen partijnamen in en dat was het dan. Oh en doel, vertrouwelijkheidsperiode en toepasselijk recht. Maar van de inhoudelijke tekst (scope, need to know, notificatie, security, opzegging, notices, blabla) blijf je in het geheel af. Anders krijgen we straks wéér tig standaarden.

Toch ben ik een tikje sceptisch of dit er werkelijk van gaat komen. Ik denk dat iedere bedrijfsjurist of advocaat dit zo in het algemeen een goed idee vindt, maar op het moment zelf toch ergens een zinnetje vindt dat nét wat mooier kan of een favoriete clausule voor de zekerheid toe wil voegen. Om er eentje te noemen, er staat geen boetebeding in (wat in Angelsaksische landen eigenlijk ook niet kan), en continentale juristen gaan daar natuurlijk een punt van maken. Ik ben erg benieuwd hoe we over die weerstand heen gaan komen.

(ObXKCD)

Arnoud

Verklap je iets over Koningsdag in Amersfoort? 25.000 euro boete

| AE 11213 | Informatiemaatschappij | 16 reacties

Mensen die op wat voor manier dan ook betrokken zijn bij de voorbereiding van Koningsdag hebben van de gemeente moeten tekenen voor geheimhouding. Als ze toch iets vertellen over de voorbereidingen, kan dat een boete opleveren van 25.000 euro. Dat las ik en als contractsjurist viel ik van mijn stoel. Zo’n dwangsom mag helemaal niet,… Lees verder

Hoe een Tweet een voorgenomen overname ongeldig maakte

| AE 9443 | Informatiemaatschappij | 6 reacties

Een deal van energiebedrijf Eneco met Nigeria ketste af vanwege een tweet, las ik in het Financieele Dagblad. De onderhandelingen over de verkoop mislukten doordat het kopende bedrijf, 3D Hi Tech Systems, een tweet stuurde over de deal voordat deze was beklonken. Eneco wilde haar Enecogen-energiecentrale verkopen. Uit het vonnis blijkt dat 3D Hi Tech… Lees verder

Als werknemer op persoonlijke titel een geheimhoudingsovereenkomst tekenen, kan dat?

| AE 6200 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me: Ik ben gedetacheerd bij een opdrachtgever (A) die me een geheimhoudingsverklaring liet tekenen. Mijn formele werkgever (B) heeft sinds kort een algemene back-upoplossing, waarmee ook data van opdrachtgever A wordt geback-upt omdat die nu eenmaal op mijn laptop staat. Ben ik nu in overtreding van die geheimhoudingsverklaring? Het gebeurt vaak dat… Lees verder

Nieuw op Iusmentis: Legal protection of trade secrets and know-how (in Innovation @ iusmentis.com)

Eindelijk weer eens iets in het Engels: Trade secret law protects information or know-how that is valuable because of its secrecy. The owner of a trade secret must take reasonable steps to keep it a secret. Misappropriation of trade secrets, including violation of a non-disclosure agreement (NDA) is a tort and sometimes even a criminal… Lees verder