Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

| AE 9350 | Intellectuele rechten | 38 reacties

Via Twitter kreeg ik de vraag:

[V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht?

Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam, maar stopte er in 2014 mee. De domeinnaam is toen op zeker moment kennelijk verlopen, en nu was er iemand anders die deze naam wel wat leek, de domeinnaam registreerde en daarmee een password reset kon doen op het bijbehorende Twitteraccount.

Het lijkt me niet strafbaar om een verlopen domeinnaam te registreren en daar dan een vergelijkbare dienst bij op te gaan zetten. Als een domeinnaam verlopen is, dan mag een ieder die opnieuw registreren. Dat er dan nog bezoekers voor de oude site komen, of dat men zo meelift op de bekendheid van de oude site, lijkt mij niet onrechtmatig. Dit is volgens mij niet anders dan een oud V&D-pand huren en er een warenhuis in beginnen.

Het Twitteraccount kapen is dubieuzer. Als je heel formeel gaat doen, dan wordt hier met een truc toegang verkregen tot dat account: je krijgt een password reset gemaild naar dat domein dat je net geregistreerd had, en vervolgens kun je inloggen op dat account. Dat is dan naar de letter van de wet computervredebreuk.

Ik aarzel hier wel een tikje over, zeker in situaties waarin het Twitteraccount net zo ongebruikt blijkt als de site. Het zou dan niet uit moeten maken dat dat Twitteraccount formeel nog steeds actief is. Dat Twitter accounts niet opruimt en domeinnaamregistries wel, moet niet het verschil zijn tussen computervredebreuk en legaal ergens gaan zitten.

Maar ik kan niet ontkennen dat het account actief ís en dat je het dus overneemt van de oude eigenaar. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

Arnoud

Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Security | 17 reacties

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Intellectuele rechten, Ondernemingsvrijheid | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder

Is het strafbaar om je Netflix-wachtwoord te delen?

| AE 8804 | Regulering, Security | 9 reacties

Wanneer is het strafbaar om je wachtwoord te delen? Recent werd er in de VS weer een arrest gewezen hierover, wat eigenlijk meer vragen opriep dan het beantwoordde. Maar de wachtwoorddeler werd wel veroordeeld, dus paniek in de tent: is wachtwoorden delen dan altijd strafbaar? Computervredebreuk is kort gezegd een computer binnendringen. In de Amerikaanse… Lees verder

Mag een werkgever wachtwoorden kraken?

| AE 8653 | Ondernemingsvrijheid, Security | 28 reacties

Een lezer vroeg me: Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat… Lees verder

“Google kan op afstand beveiliging smartphones uitzetten”

| AE 8199 | Regulering | 13 reacties

Google kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc. Het is op zich niet… Lees verder

Politie mag smartphone niet doorzoeken van Gerechtshof

| AE 7648 | Regulering | 15 reacties

Het Hof Leeuwarden trekt een streep door de bevoegdheid van de politie om smartphones na inbeslagname te doorzoeken, las ik bij Computerworld. Deze doorzoekingsbevoegdheid kent te weinig waarborgen voor de privacy van de burger en is daarom niet geschikt voor informatiedragers zoals smartphones. Alle voorwerpen “die kunnen dienen om de waarheid aan de dag te… Lees verder

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Security | 41 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling: Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon… Lees verder