Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

| AE 1540 | Informatiemaatschappij, Security | 23 reacties

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

In een virtuele wereld kun je ook stelen

| AE 1274 | Informatiemaatschappij, Security | 39 reacties

runescape-diefstal.jpgEen amulet in een virtuele wereld blijkt een zaak die je kunt stelen, zo vonniste de rechtbank Leeuwarden eergisteren. Twee jongens wisten september vorig jaar van hun slachtoffer enkele virtuele goederen in de online roleplaying game Runescape af te pakken. (Dit is dus niét de Habbo-zaak waarover ik in november vorig jaar berichtte) Het slachtoffer werd met geweld gedwongen om naar het huis van één van de daders te gaan, waar men inlogde op Runescape en het slachtoffer verplicht werd om in te loggen zodat men de controle over zijn account over kon nemen en al zijn virtuele goederen naar hun eigen avatars kon overzetten. Ook dit ging gepaard met het nodige fysieke geweld.

Het is duidelijk dat hier sprake was van bedreiging met en gebruik van geweld, maar het opmerkelijke aan deze zaak was dat men diefstal van de goederen ten laste had gelegd. Het is namelijk geen uitgemaakte zaak dat je dergelijke virtuele zaken kúnt stelen.

Waarom was dit dan wel diefstal? De rechtbank formuleert een aantal eisen. Zo moet de bezitter waarde hechten aan het item, maar dat hoeft geen financiële waarde te zijn. Dat was in deze zaak duidelijk het geval. Ook moet je de feitelijke macht erover kwijt kunnen raken, en dat kan bij dit soort virtuele zaken natuurlijk prima.

De belangrijkste eis is echter dat sprake moet zijn van “voor menselijke beheersing vatbare objecten”. En dat is een lastige als het gaat om dingen die geen pijn doen als ze op je voet vallen. Computergegevens zijn bijvoorbeeld geen zaken die je kunt stelen, en bandbreedte ook niet. Elektriciteit dan weer wel, wat voor de fysici onder u misschien moeilijk te verteren is, maar dat mag u in de comments kwijt. In ieder geval, de rechtbank is daar vrij makkelijk in:

De virtuele amulet en het virtueel masker als bedoeld in de onderhavige zaak zijn geen stoffelijke goederen, alhoewel ze wel waarneembaar zijn. Gelet op de bedoelde jurisprudentie is dat geen beletsel om ze als goed als bedoeld in artikel 310 van het Wetboek van Strafrecht aan te merken.

Daarmee is de strafbaarheid gegeven. Vanwege de jonge leeftijd van de verdachten (14 jaar ten tijde van de diefstal) krijgen ze een werkstraf van 160 uur.

Dit is een baanbrekend vonnis, dat bij mijn weten één van de eerste keren vormt dat in Europa een virtueel item als steelbaar aanmerkt. Wat mij betreft een goede ontwikkeling. Wat offline moet online gelden heet het altijd, en het wegnemen van virtuele goederen is in principe net zo kwalijk als het wegnemen van “echte” goederen.

Natuurlijk betekent dat niet dat elke kopieeractie nu diefstal is. Het uploaden van muziek valt dus niet onder 310 Strafrecht (lees je mee, Tim?), want daarmee raakt de uploader noch de rechthebbende de feitelijke macht kwijt over de muziek. Dit vonnis gaat over situaties waarin één specifiek persoon de macht heeft over een object, en die kan overdragen. Het zal dus vooral voor virtuele werelden zoals Runescape, maar ook Habbo Hotel of World of Warcraft van belang zijn.

Update (12 november 2009): bevestigd in hoger beroep.

Ik twijfel of het ook opgaat voor domeinnamen. Ook die zijn maar door één persoon tegelijk te gebruiken, en je kunt op dezelfde manier als deze jongens deden zorgen voor de overdracht van een domeinnaam. Wat denken jullie? En waar zou dit vonnis nog meer toepassing vinden?

Arnoud

Ingelogd als Arnoud Engelfriet

| AE 965 | Iusmentis | 9 reacties

Natuurlijk bent u er niet ingetrapt, maar mijn logfile toont toch 68 mensen die doorklikten naar het Dashboard waar ze onder mijn naam op ingelogd zouden zijn. Gelukkig bleken maar 5 mensen zo ondeugend dat ze ook echt posts probeerden te bewerken, en maar eentje wilde een nieuw bericht aanmaken. En 23 mensen hebben me gemaild om me op de beveiligingsfout te wijzen.

Eén reactie wil ik u niet onthouden:

hij> volgens mij klopt er iets niet met je inlogsysteem, ik kon zomaar inloggen onder jouw naam op je blog. Kan het zijn dat je ooit bij ons op kantoor was en daar hebt ingelogd en een cookie hebt laten staan?
ik> ik denk niet dat het aan de cookies ligt, maar heb je je datuminstellingen al gecontroleerd?
hij> nou de klok gaat vanzelf over op zomertijd, dus daar kan het niet aan liggen!

Welke 1-aprilgrappen zijn jullie nog meer tegengekomen vandaag?

Arnoud