Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 23 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

| AE 10501 | Security | 23 reacties

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox, Playstation en eBay publiceren, dat kan toch niet legaal zijn? Nou ja, zoals ik het bij Gotcha zie wel.

In maart blogde ik over de dienst HaveIBeenPwned.com van de Amerikaan Troy Hunt. Die biedt een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf). Dat is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Ga je wachtwoorden als zodanig bekend maken, dan wordt het spannender. Dat kan ik nog net billijken als je dit alleen aan de eigenaar zelf bekend maakt, al dan niet tegen betaling, maar dan moet er wel enige fatsoenlijke identiteitscontrole op zitten.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

Arnoud

Mag een site je laten zien of je gehackt bent?

| AE 10428 | Regulering | 7 reacties

Een lezer vroeg me:

Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit. Is dat heling? Ben ik strafbaar als ik dit gebruik?

Nee, je bent niet strafbaar als je via HaveIBeenPwned.com kijkt of je wachtwoord ergens gelekt is.

Het is natuurlijk strafbaar om met een gestolen of gelekt wachtwoord op andermans account in te breken. Ook als het wachtwoord ondertussen publiekelijk bekend is geworden en ook als men nalatig is met het aanpassen van het wachtwoord. Het is en blijft andermans account, en dus computervredebreuk als je daar willens en wetens op inlogt.

Het is echter ook strafbaar (art. 139d lid 2 Strafrecht) om een “computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan” voorhanden te hebben, beschikbaar te stellen of te verspreiden. Vereist is dan wel dat je dit doet met het oogmerk dat iemand er computervredebreuk mee gaat plegen (of vertrouwelijke communicatie mee gaat afluisteren).

Het is dat oogmerk waardoor Hunts site legaal is. Het doel van die site is zo evident niet om inbreken makkelijker te maken dat ik er geen seconde aan twijfel dat hier niet op vervolgd wordt. De site is opgezet om mensen te informeren en te laten checken of hun account gehackt is. Natuurlijk zou je dat met andermans mailadres of accountnaam kunnen controleren, maar het lijkt onmogelijk om enkel met een mailadres te komen tot een wachtwoord of hash daarvan.

Wie op de homepage een mailadres invult, krijgt een lijst van sites waar een account behorende bij dat mailadres is gecompromitteerd, maar geen hashes of wachtwoorden die daarbij hoorden. Je kunt ook zoeken op wachtwoord, maar dan krijg je geen e-mailadressen te zien of zelfs maar sites waar deze gelekt zijn. Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.

Ik zie dus nergens een manier om misbruik te maken van die gegevens. En daarmee kan er geen sprake zijn van een strafbaar feit.

Arnoud

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Mag een site me tegen betaling zeggen of ik gehackt ben?

| AE 10352 | Security | 31 reacties

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens… Lees verder

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Informatiemaatschappij, Security | 8 reacties

Een lezer vroeg me: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder… Lees verder

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Ondernemingsvrijheid, Security | 24 reacties

Een lezer vroeg me: Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons… Lees verder

Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

| AE 9350 | Intellectuele rechten | 38 reacties

Via Twitter kreeg ik de vraag: [V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht? Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam,… Lees verder

Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Security | 17 reacties

Een lezer vroeg me: Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je… Lees verder

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder