Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit achterhaalde door te snuffelen op het KPN intranet, waar men toegang toe had via een laptop die een monteur was vergeten bij een klant – en die ook geen wachtwoord had. Eh, wacht, wat. En vooral, mag dat dan, journalistiek snuffelen?

De laptop gaf met enkele muiskliks toegang tot gevoelige ­documenten van het Nederlandse ­telecombedrijf, aldus Trouw. Vooral vanaf het begin val je ICT-securitytechnisch van je stoel: er zat geen wachtwoord op de laptop. Vervolgens kon men zo bij het intranet TeamKPN, waar geen extra login of tweefactorauthenticatie nodig is. En dan lees je bijvoorbeeld dat een KPN manager over de samenwerking met Tencent zegt dat KPN in zijn ogen ‘een hofleverancier van persoons­data voor de Chinese overheid is’. Oeh, schandaal, manager roddelt over eigen bedrijf met collega’s, nog nooit gehoord.

Nou ja, het zal wel nieuws zijn op een of andere manier. En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.

Voor mij staat wel voorop dat áls je tegen het illegale aan gaat schuren, dat je dat pas doet als je weet dat je een mooie scoop gaat ontdekken. En helemaal als je gewoon keihard computervredebreuk gaat plegen. Want ja, dat doe je als je een laptop opentrekt waarvan je weet dat ‘ie niet jouw eigendom is. En oké, die laptop is achtergelaten dus een bijdehante jurist zegt dan res derelicta dus 5:18 BW geen eigenaar dus mag je erin kijken. Oké, wat jij wilt.

Maar dan mag je nog steeds niet het KPN intranet op, want daarvan weet iedereen dat dat een vertrouwelijk netwerk is. En zonder vooraf ook maar iets van een misstand te vermoeden en dat op te willen lossen dan gaan snuffelen, nee dat lijkt mij gewoon strafbaar. Dan blijft alleen nog over “maar ik héb me toch een schandaal gevonden”, het excuus achteraf. Dat vind ik een hele spannende, het zou dus betekenen dat als je zomaar gaat snuffelen je strafbaar bent afhankelijk van wat je uiteindelijk vindt.

Arnoud

Is een maximale wachtwoordlengte in strijd met de AVG?

Een lezer vroeg me:

Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen. Twaalf karakters is tegenwoordige echt niet meer adequaat. Handelen de instanties die wachtwoorden van maximaal 12 karakters accepteren in strijd met de AVG?

Daar lijkt het wel op. Een goed wachtwoord is een van de belangrijkste technische beveiligingsmaatregelen die je kunt nemen. In de praktijk wordt vaak binnengedrongen met een geraden wachtwoord, dus hoe sterker je dat wachtwoord tegen gokken kunt maken, hoe beter.

De AVG zegt zelf niet precies aan welke eisen een wachtwoord moet voldoen, alleen dus dat de maatregelen die je neemt “passend” moeten zijn gezien de risico’s, de stand der techniek en andere relevante factoren. Kort gezegd: je moet kunnen verantwoorden waarom je de keuzes maakte die je maakte, en waarom het niet sterker hoefde dan het was.

In mijn ervaring wordt zelden echt nagedacht over wachtwoordbeleid, met name als het gaat om de lengte van wachtwoorden. Er is het nodige onderzoek gedaan naar bijvoorbeeld hoe vaak een wachtwoord gewijzigd moet worden (nooit, als het maar sterk is) of hoe sterk ze moeten zijn (12 karakters is wel het minimum inderdaad) maar je ziet dat niet snel terug in bestaande implementaties van password-based access control. En dat is jammer.

Ik zou dus zelf geneigd zijn om te zeggen, wie een maximale lengte op wachtwoorden afdwingt zit fout onder de AVG, tenzij hij een heel goed verhaal heeft waarom het nódig is dat het wachtwoord niet langer is. Ik kan me dat verhaal niet voorstellen, maar goed, ik probeer een open mind te houden hierbij. “Onze software werkt nu eenmaal zo” of “Wij zijn nog nooit gehackt” is natuurlijk géén goed verhaal.

Arnoud

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox, Playstation en eBay publiceren, dat kan toch niet legaal zijn? Nou ja, zoals ik het bij Gotcha zie wel.

In maart blogde ik over de dienst HaveIBeenPwned.com van de Amerikaan Troy Hunt. Die biedt een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf). Dat is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Ga je wachtwoorden als zodanig bekend maken, dan wordt het spannender. Dat kan ik nog net billijken als je dit alleen aan de eigenaar zelf bekend maakt, al dan niet tegen betaling, maar dan moet er wel enige fatsoenlijke identiteitscontrole op zitten.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

Arnoud

Mag een site je laten zien of je gehackt bent?

Een lezer vroeg me:

Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit. Is dat heling? Ben ik strafbaar als ik dit gebruik?

Nee, je bent niet strafbaar als je via HaveIBeenPwned.com kijkt of je wachtwoord ergens gelekt is.

Het is natuurlijk strafbaar om met een gestolen of gelekt wachtwoord op andermans account in te breken. Ook als het wachtwoord ondertussen publiekelijk bekend is geworden en ook als men nalatig is met het aanpassen van het wachtwoord. Het is en blijft andermans account, en dus computervredebreuk als je daar willens en wetens op inlogt.

Het is echter ook strafbaar (art. 139d lid 2 Strafrecht) om een “computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan” voorhanden te hebben, beschikbaar te stellen of te verspreiden. Vereist is dan wel dat je dit doet met het oogmerk dat iemand er computervredebreuk mee gaat plegen (of vertrouwelijke communicatie mee gaat afluisteren).

Het is dat oogmerk waardoor Hunts site legaal is. Het doel van die site is zo evident niet om inbreken makkelijker te maken dat ik er geen seconde aan twijfel dat hier niet op vervolgd wordt. De site is opgezet om mensen te informeren en te laten checken of hun account gehackt is. Natuurlijk zou je dat met andermans mailadres of accountnaam kunnen controleren, maar het lijkt onmogelijk om enkel met een mailadres te komen tot een wachtwoord of hash daarvan.

Wie op de homepage een mailadres invult, krijgt een lijst van sites waar een account behorende bij dat mailadres is gecompromitteerd, maar geen hashes of wachtwoorden die daarbij hoorden. Je kunt ook zoeken op wachtwoord, maar dan krijg je geen e-mailadressen te zien of zelfs maar sites waar deze gelekt zijn. Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.

Ik zie dus nergens een manier om misbruik te maken van die gegevens. En daarmee kan er geen sprake zijn van een strafbaar feit.

Arnoud

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op een andere manier de laptop te kunnen resetten. In hoger beroep bevestigt het Gerechtshof Amsterdam dat het wachtwoord moet worden afgegeven plus een schadevergoeding. Een ICT-faal, zoals men zegt in de reacties?

De vrouw was een goed half jaar in dienst bij het kdv, en had voor haar werk onder meer een bedrijfslaptop gekregen. Bij einde dienstverband leverde ze deze weer in, maar vervolgens bleek dat het gebruikersaccount voorzien was van een wachtwoord. Daardoor kon het kdv er geen nieuw account op zetten.

Navraag bij de vrouw gaf de op zich terechte reactie:

De administrator kan simpelweg een nieuwe account voor (…) aanmaken. Het afgeven van het wachtwoord zou betekenen dat anderen kunnen werken op mijn account. Dit zou betekenen dat men allerlei (ongewenste) activiteiten zou kunnen uitvoeren op mijn account zonder mijn in- en toestemming. (…)

Het kdv beschouwde daarop de laptop als onbruikbaar en hield de kosten van een nieuwe(!) in op haar laatste loonbetaling. Mede daarom kwam het voor de rechter. In eerste instantie oordeelde de kantonrechter dat een nieuwe laptop een tikje overdreven was, maar dat er wel schade was en die werd geschat op 500 euro.

In hoger beroep wordt dat bevestigd, met name omdat er geen inhoudelijk verweer was gevoerd tegen het verzoek. Enkel zeggen dat een administrator dat zou moeten kunnen oplossen is namelijk niet genoeg. Zeker als daar aantoonbaar tegenover staat dat er veel uren zijn gestoken in het proberen te ontgrendelen van de laptop. En ja, dan ga je nat als werknemer.

Natuurlijk, met een goede ict-infrastructuur was dit geen issue: laptop terug, standaard image erop en klaar. Of het schaduwaccount oproepen dat administrator-rechten heeft, het gebruikersaccount met data wissen en een nieuwe gebruiker aanmaken voor de opvolger. Of een van de vele andere oplossingen die een professioneel bedrijf zou kunnen inzetten om laptops te hergebruiken.

Alleen: dit is geen professioneel bedrijf met ict-afdeling of zelfs maar een fulltime ict’er. We hebben het hier over een kinderdagverblijf, waar professionele kinderverzorgenden rondlopen maar de ict-beheerskennis geen kerncompetentie is (of hoeft te zijn). Dan wordt er in de praktijk dus op een andere manier gewerkt met de ict-middelen, en het is die praktijk vanuit waar de rechtbank moet kijken hoe het geschil moet worden opgelost.

Ik kan me heel goed voorstellen dat een organisatie zoals een kdv niet in staat is een account op een laptop te wissen en dan een nieuw account in te richten. Met name als die laptop in een winkel gekocht is en bij de installatie alleen de standaardprocedure is doorlopen waarbij er één account wordt aangemaakt. Dan heb je als ict-leek best wel weinig opties behalve vanuit dat account inloggen en een nieuw account aanmaken of anderszins de boel resetten.

In die situatie snap ik best dat er weinig anders opzit. Dus zelfs als mevrouw een steviger verweer had gevoerd, had ik deze uitkomst wel verwacht. Ik zie dus niets in de argumentatie dat de rechters ict-prutsers zijn – dat zijn ze tegenwoordig zelden meer. Het is vooral dat er een knoop moet worden doorgehakt, hoe lelijk die oplossing ook is. Dus dan is alle mooie theorie over hoe het ook had gekund niet meer relevant.

Arnoud

Mag een site me tegen betaling zeggen of ik gehackt ben?

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens het gaat, dan moet je even € 4,95 afrekenen alvorens je een rapportje ontvangt. Ik heb het geprobeerd maar niets gekregen, dus in de tussentijd maar even een blogje: eh, mag dat?

Zoals ik het begrijp, zoekt men in openbare bronnen naar gelekte bestanden met logingegevens zoals emailadressen en wachtwoorden. Deze combineert men dan om zo gegeven een e-mailadres te kunnen melden welke sites er gehackt zijn, en welke informatie op straat ligt (e-mailadres, wachtwoordhash, wachtwoord, beveiligingsvragen, et cetera). Dat bundelen en ter informatie verstrekken aan de slachtoffers lijkt me een prima idee.

Het doet ahem wat raar aan dat je moet betalen om die informatie te krijgen. Je zou zeggen dat als je weet dat iemand slachtoffer is van een misdrijf, je die persoon gratis helpt. Maar goed, dat is een ethische discussie. Een slotenmaker vraagt ook geld als hij een door inbraak vernield voordeurslot gaat vervangen, en je gestolen fiets wordt ook niet gratis vervangen. Ik kan in ieder geval geen juridische grond bedenken waarom je géén geld mag vragen om die informatie te delen.

Waar het wel mis mee gaat, is dat er nul identiteitsverificatie plaatsvindt. Je moet een vinkje aanvinken met “Ja, ik ben de eigenaar van dit e-mailadres” maar dat doorstaat natuurlijk de giecheltoets niet: geen redelijk mens zal denken dat dát identiteitsfraude tegenhoudt. En vervolgens krijg je dus – althans, dat zegt men – de gegevens toegemaild naar een willekeurige e-mailadres. Dus de bekende gelekte wachtwoorden, beveiligingsvragen et cetera van een willekeurig gekozen e-mailadres.

En ja daar weet ik wel wat juridisch op, dat noemen we volgens mij een datalek. Een inbreuk op de organisatorische beveiliging (namelijk de check, spreken we hier met de eigenaar) die leidt tot een onrechtmatige verstrekking van persoonsgegevens waardoor de betrokkene nadeel kan ondervinden (namelijk het misbruiken van zijn account). Dus nee, dit mag niet.

(Ik weet het, die informatie staat allemaal al in openbare bronnen dus kwaadwillenden kunnen het toch al vinden. Maar dat boeit onder de Wbp of de AVG werkelijk helemaal niets: als jij informatie bijeen brengt en herpubliceert dan ben jij daar verantwoordelijk voor. En nee, niks notice/takedown of beperkte aansprakelijkheid.)

Arnoud

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

Een lezer vroeg me:

Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons toegang zou geven tot haar mailbox.

Ook op het werk heb je recht op privacy – en ja, zelfs als je met vakantie bent. Collega’s mogen dan ook niet ineens in je bureaulades kijken of de achtergelaten broodtrommel eens inspecteren.

Niet ineens – er moet een goede werkgerelateerde reden voor zijn die deze privacyinbreuk kan rechtvaardigen. Die broodtrommel stinkt, dat is een gevaar voor de gezondheid. Dus openmaken en leeggooien dat ding. Dat ene dossier dat nú nodig is, dat mag je zoeken in die bureaulade maar die portemonnee die daar ligt, daar blijf je natuurlijk af. (Om een of andere reden vindt iedereen dit heel logisch, maar wordt het meteen heel ingewikkeld bij ICT-equivalenten.)

Bij het doorzoeken van mailboxen moet er dus ook een goede reden zijn. Het werk moet worden overgenomen, er is een specifieke mail nodig om afspraken na te kijken of een ruzie te voorkomen. Dan is het in principe oké om in die mailbox te kijken. Je moet dan rekening houden met de privacy van de werknemer, bijvoorbeeld door het doorzoeken op basis van trefwoorden (zoals afzender) te doen. Dan verklein je de kans dat je per abuis privézaken ziet.

Bij het aanzetten van een out-of-officebericht zie ik eerlijk gezegd die privacyzorg eigenlijk niet. Ja, je krijgt met het wachtwoord toegang tot de mailbox, maar je gáát er niet in. Je opent de mailbox, negeert de map Inbox die dan getoond wordt en zet in Instellingen een en ander aan. Daarna de browser sluiten.

Als je je écht zorgen maakt, dan moet je een vierogenprincipe toepassen: een IT-er en een manager (of iemand van HR) gaan samen die mailbox in en navigeren naar dat menu om het bericht aan te zetten. Voor het nazoeken van werkmails zou ik dat een redelijke stap vinden, maar voor een out of office lijkt mij dat nogal overdreven.

Natuurlijk moet de werknemer na haar vakantie tekst en uitleg krijgen van deze actie, maar dat terzijde.

Arnoud