Wachtwoord Archives - Ius Mentis

Waarom vragen Wifi hotspots nog zo vaak om akkoord op vage disclaimers?

Geplaatst op 9 januari 202319 december 2022 in Ondernemingsvrijheid, 3 reacties

Een lezer vroeg me:

Zou je eens kunnen uitleggen of uitzoeken waarom zoveel WiFi hotspots een soort van bevestiging, of login vragen? Met daarbij een pagina met allerlei disclaimers of voorwaarden.

Wat een leuke vraag om het nieuwe jaar mee te beginnen, disclaimers én juridisch cargoculten.

Mijn inschatting is dat iedereen het doet omdat iedereen het doet (dat heet cargoculten). Er is inderdaad geen enkele juridische reden, maar het inlogscherm bevat zo’n vakje dus de leverancier vraagt ‘wat zal ik hier zetten’ en de directeur van IT googelt even een standaardtekst. Of iedereen laat het staan want het zal wel prima zijn.

De gedachte er achter is natuurlijk dat iemand iets illegaals kan doen vanaf de aangeboden internettoegang, en dat een derde jou daarvoor aansprakelijk houdt. Maar dat is al sinds grofweg eind jaren negentig geen ding meer, omdat je wettelijk gezien niet aansprakelijk bent voor wat mensen via jouw internetverbinding uithalen. Nee, ook niet als je het weet. Een hoster moet dan optreden, maar een toegangsprovider niet.

Ook zie je wel dat men dit soort teksten publiceert met de gedachte dan toestemming te kunnen eisen voor het monitoren of filteren van internetverkeer. Want ja, toestemming moet je vragen. Maar specifiek bij het kunnen monitoren of filteren van internetverkeer heb je helemaal geen toestemming nodig, nog los van dat men die drie seconden na het inloggen weer kan intrekken zonder gevolgen.

Je kunt je hier prima beroepen op een legitiem belang (netwerkbeveiliging) en dan mag je monitoren, mits je maar informeert dat je dat doet. Dus dat is dan de énige reden om een tussenscherm te doen: je wilt mensen keurig tijdig informeren waar op wordt gemonitord, wat er wordt tegengehouden en wanneer je kunt worden afgeknepen/afgesloten. Maar dat kun je ook doen op het bordje waar je mensen vertelt wat de SSID of het wachtwoord is, met een link naar de privacyverklaring.

Arnoud

Moet je van de AVG een wachtwoordresetoptie bieden?

Geplaatst op 15 september 20226 september 2022 in Security, 20 reacties

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?

De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Microsoft moet van rechter toegang tot Hotmail overledene verschaffen aan erven

Geplaatst op 16 december 202113 december 2021 in Informatiemaatschappij, 27 reacties

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar de rechter zegt nu dat dat gewoon wel moet, en wel op straffe van een stevige dwangsom.

Uit het vonnis blijkt dat het gaat om de ouders en zussen van een man die in juli 2021 overleed. Zij wilden toegang tot zijn Hotmailaccount en zijn OneDrive-account. Kan dat? Een nog niet eerder bij de rechtbank behandelde vraag, maar eentje die deze eisers in keurig juridisch Nederlands inkleden als:

de stelling, daartoe onder verwijzing naar artikel 4:182 BW (saisine), samengevat, dat zij als erfgenamen rechtsopvolgers onder algemene titel van de accounts van hun zoon en broer en de inhoud ervan zijn en dus ook de nieuwe wederpartij van Microsoft met betrekking tot de desbetreffende overeenkomsten.

Saisine is een begrip uit het erfrecht: “de regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)

Microsoft reageert geheel zoals ik zou verwachten, namelijk naar Amerikaans recht met de dooddoener (sorry) dat men maar met een gerechtelijk bevel moet komen. In de VS laat je namelijk de rechter verzinnen wat logisch is, ongeacht de juridische kwestie. In Nederland doen we dat anders. Daar vinden we het logisch dat mensen zélf nazoeken hoe de wet zit en dat dan in alle redelijkheid gaan toepassen. In gewone taal: doe normaal, dat account is nu van deze mensen, reset het wachtwoord.

Oké, MS had ook wel juridische argumenten. Allereerst dat saisine niet zou gelden, waar de rechter niet in meegaat – alleen voor “hoogstpersoonlijke” overeenkomsten zoals huur of arbeid is het voortzetten door erfgenamen uitgesloten. En ten tweede zorgen over rechten van derden, namelijk de correspondenten van deze meneer wiens persoonsgegevens dus in de mailbox zitten. Ook dat gaat niet op: alle plichten uit de EULA gelden natuurlijk net zo goed voor de erfgenamen, inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.

(Dan was er nog een verhaal dat Microsoft succesvolle inlogpogingen had gedetecteerd en daaruit concludeerde dat er iets raars aan de hand was. Snap ik niet helemaal, maar de rechter schuift het meteen terzijde.)

De conclusie van de rechter is dan ook rechttoe rechtaan: Microsoft moet toegang verlenen en wel zo snel mogelijk. Niet moeilijk doen, deze mensen zijn juridisch gezien gewoon de eigenaren na het overlijden van de eigenlijke eigenaar. MS krijgt twintig dagen en verbeurt daarna dwangsommen van tienduizend euro per dag. Dat is een fors bedrag, wat voor mij dus de indicatie is dat de rechtbank het handelen van MS als onnodig moeilijk doen zag.)

In de comments zie ik diverse mensen opmerken dat hiermee je ouders dus bijvoorbeeld de liefdesbrieven naar je partner (of je minnaar m/v/x) zouden kunnen zien, of discussie met je therapeut of wat maar zeer privé is en je niet wil dat je erfgenamen zien. Die snap ik, maar is dat anders dan die doos op zolder met je pikante ondergoed en zweepjes of de VHS band met privéopnames? Juridisch gezien niet volgens mij.

Het vonnis is een mooie bevestiging dat het erfrecht gewoon werkt in de digitale omgeving. Wie niet wil dat bepaalde erfgenamen toegang krijgen tot accounts, kan dat regelen bij testament. Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan en dingen kan wissen of opheffen, als dat is wat je wil.

Arnoud

Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

Geplaatst op 11 oktober 20216 oktober 2021 in Security, 19 reacties

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.

Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Man die wifi-wachtwoord voor ander doel gebruikte schuldig aan computervredebreuk

Geplaatst op 6 september 202131 augustus 2021 in Privacy, Security, 12 reacties

Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor deze computervredebreuk, gekoppeld aan het maken van stiekeme intieme beelden in de slaapkamer van zijn opdrachtgever. Het is in zoverre opmerkelijk dat enkel “gebruik voor ander doel” niet snel computervredebreuk is.

De zaak kwam aan het licht toen de vrouw een verborgen ip-camera had ontdekt, die was vastgeplakt met hetzelfde dubbelzijdige tape dat de schoonmaker eerder voor klusjes in haar huis had gebruikt. De verdachte was daarnaast één van de weinige personen die een sleutel van het huis van de vrouw had. De camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. En dat ziet de rechtbank als een probleem:

Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

Enige tijd geleden hadden we in Amerika de uitspraak dat je bevoegdheid misbruiken geen computervredebreuk meer was, dankzij de Supreme Court. In Nederland ligt dat iets subtieler: in 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en computervredebreuk opleverde. Hier zou ik het ook zeker wel “vér te buiten” vinden gaan, de sprong van “mag ik muziek luisteren via je netwerk” naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.

Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.

Naast de computervredebreuk wordt de man ook veroordeeld tot het afluisteren van gesprekken in die slaapkamer, en specifiek het vervaardigen en bezitten van “een afbeelding van seksuele aard” (art. 139h Strafrecht). Dit artikel is deel van het verbod op wraakporno, wat hier niet echt het geval is (“gewoon voyeurisme”) maar het artikel past bij het feit. Hij krijgt alles bij elkaar 10 maanden cel waarvan 4 voorwaardelijk, en moet bijna 1200 euro schadevergoeding betalen.

Arnoud

Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!

Geplaatst op 5 juli 20212 juli 2021 in Ondernemingsvrijheid, 21 reacties

Een lezer vroeg me:

Bij ons bedrijf wordt de ICT door één persoon gerund. Vanwege een arbeidsconflict zit deze nu ziek thuis, en wij komen erachter dat allerlei wachtwoorden niet centraal bekend zijn zodat we steeds meer problemen krijgen met beheer en continuïteit. We hebben de wachtwoorden gevraagd aan onze zieke medewerker, maar die wil dat onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst. Wat moeten wij nu doen?

Helaas krijg ik berichten als deze met enige regelmaat, soms gaat het om langdurige ziekte, soms om thuiszitten vanwege pesterijen, soms om een ernstig ongeval. Maar er zijn dus heel veel bedrijven met één iemand die de ICT doet en die als enige de wachtwoorden heeft.

Zoals een wijs HR-adviseur eens tegen me zei, onmisbare mensen moet je meteen ontslaan. Dat is hier denk ik vrij simpel: “ik wil graag de beheer-wachtwoorden en wel nu” is volgens mij een redelijk en normaal dienstbevel om als directeur te geven. Dat weigeren is een grond voor ontslag op staande voet, art. 7:678 lid 2 sub j BW (werkweigering):

Dringende redenen zullen onder andere aanwezig geacht kunnen worden … (j) wanneer hij hardnekkig weigert te voldoen aan redelijke bevelen of opdrachten, hem door of namens de werkgever verstrekt;

Ik houd daarbij wel de slag om de arm dat bij ontslagzaken de rechter altijd alle omstandigheden laat meewegen, en dat je dus altijd op zijn minst discussie krijgt over wat een “redelijk bevel” is. Maar gezien deze context (het bedrijf komt piepend en krakend tot stilstand nu) zie ik wel hoe de werknemer mee moet werken.

Natuurlijk zit je met het praktische probleem dat de werknemer kan blijven weigeren (“jullie ontslaan me toch wel”) en eventuele dwangsommen voor lief neemt. Of bij wijze van spreken het vliegtuig naar China neemt en niet meer terugkomt. Dit is waarom ik altijd zeg dat je bij digitale data liever een praktische dan een juridische oplossing wilt. Want als die werknemer niet met een geschil ziek thuis zat, maar onder de tram was gekomen, wat had je dán gedaan om de wachtwoorden terug te krijgen?

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

Geplaatst op 7 juni 20212 juni 2021 in Security, 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.

De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

Geplaatst op 1 juni 202128 mei 2021 in Innovatie, Security, 13 reacties

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in plain text heeft. Wat de interessante vraag opriep: mag dat van de AVG?

De eerste vraag is dan natuurlijk, verwerkt HIBP dan persoonsgegevens? Want een wachtwoord is weliswaar persoonlijk maar zegt op zich niets over de persoon. Klopt, maar dat is natuurlijk gekoppeld aan een e-mailadres en dat is wél een persoonsgegeven (uitgaande van wim.tenbrink@example.com-achtige mailadressen, over info@ heb ik het even niet).

Emailadressen worden verwerkt: als je in de dienst je mailadres opgeeft, meldt deze in welke breaches je opgenomen bent. Natuurlijk wordt het wachtwoord niet getoond. Zoals de site het uitlegt:

When email addresses from a data breach are loaded into the site, no corresponding passwords are loaded with them. Separately to the pwned address search feature, the Pwned Passwords service allows you to check if an individual password has previously been seen in a data breach. No password is stored next to any personally identifiable data (such as an email address) and every password is SHA-1 hashed.

Desondanks: ja, HIBT verwerkt dus persoonsgegevens want ze hebben een lijst met mailadressen met daaraan gekoppeld de informatie waar deze slachtoffer van datalekken zijn geworden. En dan krijg je dus de vraag of de AVG van toepassing is, omdat dat Hunt in Australië gevestigd is met zijn site.

Er zitten bergen mailadressen van Europeanen in die gelekte databases, waardoor je kunt gaan kijken naar artikel 3 lid 2 AVG. Want dat regelt situaties waarin de AVG van toepassing is ondanks dat de verwerkingsverantwoordelijke niet in de EU is gevestigd. Eis is dan dat

de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Optie b (monitoren van gedrag) lijkt me vrij evident niet van toepassing, Hunt monitort helemaal niemand. Dus dan is de vraag of Hunt diensten aanbiedt aan deze betrokkenen (want goederen zijn er natuurlijk niet). Is die dienst dan de website, waarin je je mailadres invult en “ja” te horen krijgt, of de achterliggende dienst waarbij hij data verzamelt en koppelt ten behoeve van die website-dienst?

In het eerste geval geldt de AVG zonder twijfel, maar dan gaat het meteen goed met de grondslag en dergelijke: jij vraagt dan om die dienst (“Have I been pwned? :O”) en je krijgt die geleverd (“yes :(“) waarbij de verwerking best wel noodzakelijk is en bovendien voldoet aan dataminimalisatie.

In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

Arnoud

Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

Geplaatst op 28 mei 202125 mei 2021 in Ondernemingsvrijheid, 13 reacties

Een lezer vroeg me:

Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat. Kunnen wij de wachtwoorden opeisen?

Dat zal echt 100% afhangen van wat in je contract met die leverancier staat. Als er niets staat, dan heb je een enorm probleem als je de wachtwoorden niet hebt en de diensten kritisch zijn voor je bedrijfsvoering.

Er is in de wet niets bijzonders geregeld over toegang tot diensten. Die worden geen eigendom van de klant bijvoorbeeld, in tegenstelling tot zeg de producten die voor je worden gemaakt. Zulke producten zou je nog kunnen opeisen (hoewel eigendomsvoorbehoud et cetera daar het ingewikkeld kan maken) maar het wachtwoord voor een dienst die beheerd wordt door de dienstverlener, dat valt daar zeker niet onder.

Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd. Die zou jou dan een nieuw wachtwoord moeten geven. Of die dat doet, is de vraag; vaak werken die met resellers of dit soort ICT-partners omdat ze niet zelf met de eindklant bezig willen zijn.

Dit is dus waarom je het contractueel moet regelen met die leverancier. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten. Dan hoeven ze niets te doen, dus ook niet de afspraak nakomen dat ze je wachtwoord moeten geven. Natuurlijk moet de reden voor die ruzie dan wel kloppen, maar hoe dan ook ben je vele weken verder totdat de rechter in kort geding oordeelt dat de wachtwoorden toch moeten worden gegeven.

Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Arnoud

Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

Geplaatst op 28 oktober 202028 oktober 2020 in Security, Uitingsvrijheid, 7 reacties

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de nodige discussie over ethisch hacken, dingen mogen veranderen en hoe publiek je mag gaan met zo’n ontdekking.

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid. Twitter zelf zegt geen rare inlog te hebben gezien, en bij een screenshot van Gevers dat het interne profiel van Trump toont, ontbreekt het Amerikaanse vlaggetje in de biografie-regel. (Mogelijk kwam dat door de gebruikte browser/OS combinatie.)

Maar dat even terzijde. Stel inderdaad, je weet het wachtwoord van zo’n prominent account te raden en je ziet dat ook alle beweerdelijke extra maatregelen (zoals 2FA) er niet zijn. Wat mag je dan doen? Nou ja, het slachtoffer en/of de dienstverlener informeren natuurlijk, dat past volledig binnen de heersende spelregels voor ethische hackers.

Ermee naar buiten treden is een ander verhaal. Natuurlijk, bij responsible disclosure hoort ook een melding op zeker moment zodat het publiek ook weet wat er mis is. Maar dat is omdat het publiek getroffen kan zijn door het lek dat jij als ethisch hacker had ontdekt. Of omdat ze moeten weten dat die dienstverlener zat te prutsen. Bij een probleem als dit zie ik geen reden om met (responsible) disclosure te dreigen.

Wel is het natuurlijk zo dat het zeer groot nieuws is dat dit oppermachtige Twitteraccount zó slecht beveiligd is. Dan kun je prima naar de pers stappen en melden dat je dit nieuws ontdekt hebt. Ook als je het zelf hebt gemaakt, dat nieuws. Een journalistieke hack is niet hetzelfde als een ethische hack.

Arnoud