Wachtwoord Archives - Pagina 4 van 5

Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

Geplaatst op 23 oktober 201423 oktober 2014 in Security, 22 reacties

Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?

Het is strafbaar om gebruik te maken van een betaaldienst zonder daarvoor te betalen (art. 326c Strafrecht). Het moet dan wel gaan om een “dienst die via telecommunicatie aan het publiek wordt aangeboden”, zoals betaaltelevisie. Gratis parkeren in een (private) parkeergarage valt hier niet onder.

Eis is dat je een technische ingreep pleegt (‘hacken’) of met behulp van valse signalen je toegang verschaft tot die betaaldienst. De vraag is dus of het gebruik van andermans wachtwoord telt als een vals signaal. Ik twijfel daarover, omdat elders (bij computervredebreuk bijvoorbeeld) altijd “valse signalen of een valse sleutel” wordt gebruikt, waarbij het wachtwoord als ‘sleutel’ wordt aangemerkt. Die term is hier weggelaten, is dat dan opzettelijk of niet?

Uit de wetsgeschiedenis blijkt dat het moet gaan om

enig teken dat bij de ontvanger, ongeacht of dit een natuurlijke persoon of een geautomatiseerd werk is, een gevolg bewerkstelligt dat gebaseerd is op (geprogrammeerde) veronderstellingen die onjuist blijken te zijn, terwijl degene die het teken geeft, weet dat hij met dat teken, gegeven die veronderstellingen, dat gevolg uitlokt.

In dit arrest had het gerechtshof in Arnhem er geen moeite mee het bellen vanaf andermans vaste lijn naar een 09xx-nummer (om credits op te waarderen) onder “vals signaal” te rekenen. De redenering was: het gebruiken van een valse sleutel (een identificatiemiddel) levert het geven van een vals signaal op want daardoor denkt de wederpartij dat hij met een ander te maken heeft, in die zaak de eigenaar van de telefoonlijn (waardoor die de rekening krijgt).

In dit geval is de sleutel echt want het wachtwoord hoort bij een normaal, betalend account. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

Arnoud

Mag ik hacken om mijn klant te migreren naar een nieuwe omgeving?

Geplaatst op 20 maart 201417 maart 2014 in Security, 31 reacties

migration Een lezer vroeg me:

Een nieuwe klant vroeg ons hen te migreren naar een nieuwe omgeving. Echter, er blijkt een geschil te zijn met de huidige ICT-leverancier en mijn klant heeft de benodigde wachtwoorden dan ook niet. De klant heeft me gevraagd de betreffende systemen te hacken omdat dat geschil nog wel even kan duren (er zijn al advocaten losgelaten). Mag ik dit doen?

Helaas komen dit soort situaties vaker voor. De klant heeft een dispuut met zijn ICT-leverancier, die blokkeert de dienst of weigert relevante wachtwoorden of data te verstrekken en dan zit je daar als klant. Of, omgekeerd: je hebt een dispuut met je klant, die wil dan boos weg (terwijl het contract nog gewoon loopt en de klant ongelijk heeft met z’n dispuut) en dan moet jij zeker gratis alles even aan laten staan zodat hij alles kan downloaden en migreren en daarna je facturen vrolijk niet betalen.

Hoe dan ook, als nieuwe leverancier heb je daar niets mee te maken. Laat je daar ook niet toe verleiden, want voor je het weet ben je partij en krijg je een deel van het ongenoegen over je heen.

De klant helpen met een migratie mag, ook als de migratie gebeurt vanaf een omgeving waar iemand anders iets over te zeggen heeft. Net zo goed als jij als verhuisbedrijf spullen mag weghalen bij een gehuurd pand waarvan huurder en verhuurder een dispuut hebben over achterstallige huurbedragen. Wat je echter niet mag, is in zo’n situatie de door de verhuurder afgesloten deur openbreken.

In de ICT-situatie betekent dat dus: je mag geen wachtwoorden kraken van servers die in eigendom zijn bij de verhuurder, pardon de leverancier. Ook mag je niet op zoek naar achterdeurtjes om daar data uit te halen. Ook niet als het gaat om klantdata. Het mag dan “klantdata” heten in het ICT-spraakgebruik, maar juridisch gezien is data niets. Er valt dus niets op te eisen, in tegenstelling tot bv. fysieke spullen die opgeslagen zijn bij de leverancier.

Wachtwoorden kunnen ook een rol spelen bij systemen van de klant zelf, zoals laptops of door hen zelf aangeschafte servers. Door de leverancier daarop ingestelde wachtwoorden mag je wél kraken of veranderen. De systemen zijn immers eigendom van de klant, en het is niet strafbaar om in opdracht van de eigenaar een beveiliging onklaar te maken.

Twijfel je over de legaliteit van wat je klant vraagt, dan kun je een garantie en vrijwaring van je klant verlangen dat je dit mag en dat zij alle boetes en schadeclaims die jij krijgt, moeten vergoeden. Dat werkt dan echter weer niet wanneer het evident is dat de klantvraag illegaal is. “Ze draaien een oude versie van PHP, kun jij ergens op zo’n hackersite iets vinden dat je binnen kunt komen en onze database kunt downloaden” is geen legitieme klantvraag. Ook niet als daar de enige plek is waar de klantdata staat.

Hebben jullie wel eens zulke disputen meegemaakt als derde? En hoe ging je daarmee om?

Arnoud

Mijn ex-ex-werkgever blijft mijn e-mailadres gebruiken

Geplaatst op 15 januari 201412 januari 2014 in Ondernemingsvrijheid, Security, 29 reacties

Een lezer vroeg me:

Een tijdje geleden ben ik van baan veranderd. Omdat mijn vervanger op het moment van mijn vertrek nog geen email/werkaccount had, heb ik mijn accountgegevens achtergelaten, zodat mijn email gelezen kon worden en mijn bestanden ingezien. Nu zijn we bijna 10 weken verder en mijn account wordt nog steeds actief gebruikt (ik kan dit zien omdat ik zelf nog toegang heb) Na meerdere mails of mijn identiteit niet meer gebruikt kon worden, is er niks veranderd. Mag mijn ex-werkgever dit nog zo doen?

Dit voelt niet helemaal netjes, maar harde regels over of dit mag of niet zijn er helaas niet.

Als iemand uit dienst gaat, is het logisch (en verstandig, securitywise) dat diens accounts worden opgeheven. Alleen, om het werk goed over te kunnen nemen is het ook weer logisch dat het mailadres niet meteen verdwijnt. Dan komen mails van klanten gewoon aan en kan de opvolger hierop reageren. Natuurlijk kun je ook het account vervangen door een “X werkt hier niet meer, neem contact op met Y”-bericht maar dat is minder klantvriendelijk.

Een ander punt is toegang tot de mailbox. Dit kan nodig zijn om die mails van klanten op te vangen, of om in oude mails te zoeken wat er in het verleden is gezegd. (Natuurlijk, dat kan ook in een centraal CRM-systeem of ticketsysteem zitten maar niet elk bedrijf heeft dat.) Daar moeten dan regels over worden gemaakt in het ICT-reglement, zodat de werknemer weet hoe en wanneer de werkgever toegang mag krijgen tot de mailbox.

Overigens is het niet verstandig na uitdiensttreding nog in te loggen op je werkmail. Formeel gesproken mag je daar niet meer zijn, zodat je kunt spreken van computervredebreuk. Ja, ook als je wachtwoord nog niet gewijzigd is. En als er bij het weggaan toch al iets van een arbeidsconflict speelt, dan geef je de werkgever zo een flinke stok om je te slaan.

Arnoud

Het zwijgrecht van de verdachte versus de vingerafdruksensor in de iPhone

Geplaatst op 16 september 201315 september 2013 in Regulering, 25 reacties

iphone-vingerafdruk Bij dit soort berichten weet ik nou nooit of het écht een relevant juridisch onderwerp is of dat men een haakje zoekt om op #iphone5s mee te kunnen liften. Hoe dan ook, Wired meldde dat gebruikers van de iPhone 5S met vingerafdruksensor nog wel eens raar op kunnen kijken als ze ooit als verdachte worden gehoord: je kunt dan verplicht worden je vinger op je telefoon te leggen om de autoriteiten zo een doorzoeking te laten uitvoeren. Dat is anders wanneer er een wachtwoord op zit, want je bent in de VS wettelijk beschermd tegen self-incrimination. En ja, bij ons werkt dat ook zo.

Dat je als verdachte niet tegen jezelf hoeft te getuigen, is een basisprincipe uit het strafrecht. De belangrijkste gedachte erachter is om oneigenlijke dwanguitoefening – wat klinkt als een eufemisme voor marteling maar dat terzijde – op de verdachte te voorkomen. Dat principe is niet absoluut – zie de recente discussie over ontsleutelplichten. Maar het gaat alleen over gegevens in je hoofd, dingen die je weet en die Justitie graag ook zou willen weten.

Dingen die je hébt, mag Justitie zelf in beslag nemen en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt.

Ook je telefoon mag in beslag worden genomen en onderzocht als bewijs. Daar is speciale apparatuur voor, die veelal in staat is je telefoonwachtwoord te passeren en gewoon de ruwe data te klonen van de interne opslagmedia. Zo kan de daar genoemde XRV media in een “Physical mode” gewoon een telefoon uitlezen:

A physical extraction is separated out into two distinct stages, the initial ‘dump’ whereby the raw data is recovered from the device and then the second stage ‘decode’ – where XRY can automatically reconstruct the data into something meaningful; such as a deleted SMS without the need for manual carving of data.

Maar goed, dat kost tijd en een specialist in het lab. En die tijd kun je je nu als agent besparen door te zeggen, leg even je vinger op die sensor en dan kijk ik zélf in je adresboek of verzondensmssenmapje in het belang van het onderzoek. Dat is geen strijd met dat “tegen jezelf getuigen” want je verklaart niets, je zegt niets. Je doet alleen maar iets, je legt je vinger neer. Maar wat nu als je dat niet wil, kan de opsporingsambtenaar dan je hand pakken en fysiek de vinger op de sensor forceren?

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Een héél bijdehante agent kan misschien nog een vingerafdruk van het glaasje water halen, daar een latexvinger mee construeren en zo zelf bij de telefoon. Dáár zou ik dan wel eens een strafrechter over willen horen.

Arnoud

Moet ik de curator toegang geven tot persoonsgebonden mailboxen van ons bedrijf?

Geplaatst op 19 juni 201318 juni 2013 in Ondernemingsvrijheid, 22 reacties

Een lezer vroeg me:

In mei is het bedrijf failliet verklaard waar ik werkte als systeembeheerder. Nu kreeg ik een brief van de curator dat hij alle wachtwoorden wil hebben van mij, inclusief van persoonsgebonden accounts en mailboxen van werknemers. Ik heb daar morele bezwaren tegen, omdat die werknemers erop mochten vertrouwen dat ik hun wachtwoorden geheim zou houden en niet zou gaan snuffelen in mailboxen. Ik weet niet wat de curator met die gegevens gaat doen en ben bang dat ik erop aangekeken wordt. Wat kan ik doen?

Juridisch gezien is hier heel erg weinig tegen te doen, ben ik bang. Punt is namelijk, eigenlijk zijn het gegevens van de werkgever. Doe eens alsof het geen login/password is maar een sleutel van een kluis die op kantoor staat. Zou je het dan ook ‘jouw’ sleutel vinden, omdat er een labeltje aan zit met je naam erop of omdat je werkgever die aan jou gaf en zei “met niemand anders delen”?

De curator heeft het recht om alle bedrijfseigendommen in te zien en de volledige administratie door te lopen, sterker nog dat is zijn plicht want hij moet nu redden wat er te redden valt. Hem dus toegang tot dingen ontzeggen is eigenlijk niet de bedoeling. De wet bepaalt zelfs expliciet (art. 99 Faillissementswet) dat hij alle post mag openen die voor de gefailleerde binnenkomt, ondanks het briefgeheim.

Je kunt je afvragen wat de curator nu precies in die mailboxen moet. Maar is het jouw taak om daarover te waken? De rechtbank heeft de curator benoemd als onafhankelijk persoon. Bij twijfel kan hij de rechtbank vragen of iets mag, en hij kan altijd door diezelfde rechtbank worden aangesproken als iemand een klacht heeft.

Dat collega’s je erop aankijken, is mogelijk maar juridisch kan dat geen consequenties hebben. Dat je geheimhouding beloofde, deed je als werknemer. Je bent als werknemer niet privé aansprakelijk voor zakelijke beloftes. Een claim wegens schending van de geheimhouding moet dus tegen het bedrijf (tegen de boedel) worden gemaakt.

Arnoud

Moet je van de wet wachtwoorden salten?

Geplaatst op 18 juni 20128 september 2012 in Security, 39 reacties

Ik neem aan dat julie je LinkedIn-wachtwoorden ook hebben veranderd ondertussen? Wat een pijnlijke fout was dat zeg, lekken van hashes van 6,5 miljoen wachtwoorden van gebruikers. Vooral omdat die hashes niet “gesalt” waren, waardoor eenvoudig te raden was wat de werkelijke wachtwoorden waren. Maar, zo vroegen vele lezers me, is hashen dan niet wettelijk verplicht?

Het flauwe antwoord op die vraag is dat wat verplicht is vaak totaal losstaat van wat bedrijven doen. Maar een iets minder flauw antwoord is dat de wet eigenlijk helemaal niets specifiek voorschrijft omtrent beveiliging. Zo ongeveer de enige relevante wet hier is de Wet bescherming persoonsgegevens, en die bepaalt dat je “adequate” beveiliging moet hanteren voor persoonsgegevens. Een LinkedIn-profiel is een verzameling persoonsgegevens, dus daar geldt die eis zonder meer op.

Maar wat is nu adequaat? Dat staat niet in de wet. Er zijn allerlei aanbevelingen van allerlei partijen (zoals de paper van het Cbp zelf) maar die zijn formeel niet bindend. Je moet dus zelf bepalen wat adequaat is, gezien het soort gegevens en hoe kwetsbaar of aantrekkelijk die zijn. LinkedIn zou dus kunnen zeggen “ongesalte wachtwoordhashes zijn goed genoeg voor onze profielen”, maar dan ben ik héél benieuwd naar de onderbouwing daarvan.

Sterker nog, ik kan me bijna niet voorstellen dat daar een onderbouwing voor te bedenken is. Het is ondertussen algemeen bekend dat gehashte wachtwoorden eenvoudig te kraken zijn. Hoewel ze in theorie niet omkeerbaar zijn, is het ondertussen praktisch goed te doen om met brute force uit te proberen welke wachtwoorden tot welke hashes leiden. Zo goed zelfs dat ik wel durf te zeggen dat ongesalte wachtwoordhashes bewaren net zo veilig is als gewoon de wachtwoorden zelf opslaan. Bijna niet dus.

Wettelijk gezien is er dus geen harde eis en geen vast toetsingskader. Maar van concrete maatregelen is wel te zeggen of ze wel of niet verstandig zijn. Weten jullie nog meer veel gemaakte fouten omtrent beveiliging?

Arnoud<br/> Foto: Cardinal Path

Tweakers test wachtwoorden gebruikers, mag dat?

Geplaatst op 14 september 20118 september 2012 in Security, 39 reacties

Uit onderzoek van Tweakers.net blijkt dat veel geregistreerde gebruikers in de praktijk een relatief zwak wachtwoord hebben ingesteld, rapporteerde de techsite gisteren. In minder dan een half uur bleek de helft van de versleutelde wachtwoorden eenvoudig te kraken met standaardtools. Leuk, alleen vroegen diverse mensen zich per mail af of dit eigenlijk wel mag, wachtwoorden gaan kraken van je gebruikers.

De analyse van Tweakers lijkt me in alle oprechtheid opgezet, maar dat is natuurlijk geen argument dat je dús binnen de wettelijke grenzen zit. Maar als je alleen intern test of wachtwoorden wel veilig zijn, en er voor zorgt dat niemand (ook de redactie die erover gaat schrijven niet) toegang krijgt tot de wachtwoorden zelf, dan zie ik eerlijk gezegd het probleem niet.

Het testen van wachtwoorden is een volstrekt gebruikelijke handeling, hoewel deze normaal alleen gebeurt bij het inschrijven. De bekende rood/geel/groene indicatoren zijn het bekendste voorbeeld, maar periodieke controles op wachtwoorden zijn niet ongebruikelijk. Verstandig ook, want kwaadwillenden kunnen óók zulke kraaksoftware draaien en zo proberen binnen te komen. Je kunt dus zelfs betogen dat Tweakers verplicht is sterke wachtwoorden af te dwingen omdat zij (de persoonsgegevens van) haar gebruikers moet beschermen.

Natuurlijk áls het misgaat en een derde bij het wachtwoord kan, dan is Tweakers de pineut. De voorwaarden met hun aansprakelijkheidsbeperking helpen dan niets: wie zelf wachtwoorden gaat kraken en dan deze lekt of laat misbruiken, handelt “grof nalatig” en is hoe dan ook aansprakelijk voor alle schade die mensen lijden.

Journalistiek heel interessant maar juridisch echt problematisch zou zijn om te kijken of diezelfde gebruikersnamen en wachtwoorden ook werken bij andere forums.

Meelezende sysadmins: hoe testen jullie wachtwoorden van gebruikers?

Arnoud<br/> Afbeelding: Strongpasswordgenerator.com

Wie is verantwoordelijk voor je logincodes?

Geplaatst op 24 juni 201118 september 2012 in Ondernemingsvrijheid, Security, 3 reacties

Internetbank Bizner stopt ermee, maar op de valreep leveren ze nog een leuk vonnis over de aansprakelijkheid van een bedrijf voor misbruik van de inlogcodes rond internetbankieren.

Bizner had een bedrijf voor een kleine 40.000 euro aangeklaagd. Er waren leningen aangevraagd vanuit het bedrijf via de internetbankierapplicatie van Bizner. Voor een deel werd dit erkend, maar voor één lening van ” 10.000,- stelde het bedrijf dat dit zonder toestemming aangevraagd was door een werknemer met wie ze in een conflict lagen.

De werknemer had toegang tot de BizKey, het apparaatje waarmee je inlogt op de internetbankierapplicatie. Volgens de directeur was hij echter niet geautoriseerd de lening te sluiten zonder overleg. In de voorwaarden van Bizner stond niet expliciet wat er in zo’n situatie zou moeten gebeuren. De rechtbank valt dan ook terug op de algemene rechtsregel of het te verwijten is aan het bedrijf dat deze medewerker de BizKey kon gebruiken:

Indien dit misbruik te wijten is aan gebrek aan zorg van [gedaagde], dan wordt dat in beginsel aan hem toegerekend, tenzij [gedaagde] omstandigheden stelt en bewijst die een zodanig gebrek aan zorg uitsluiten.

In dit geval bleek de werknemer in te wonen bij de directeur. De betaalrekening van Bizner werd door hen gezamenlijk op een vaste computer beheerd, waarbij de werknemer ook de beschikking had over de BizKey en daarbij behorende codes. Waarom de directeur dit toestond, wordt niet duidelijk uit het vonnis. Je gaat je dan wel achter je oren krabben als je leest dat de directeur wist dat deze werknemer een fraudeverleden had.

De rechtbank oordeelt dan ook dat het bedrijf aan te spreken is op de lening, en dat deze dus gewoon moet worden terugbetaald.

Door [persoon1] niet te betrekken in de rechtsverhoudingen met Bizner en hem daarentegen wel in de gelegenheid te stellen te beschikken over en gebruik te laten maken van de BizKey en de codes, heeft [gedaagde] het risico genomen dat jegens Bizner misbruik van zijn identiteit kon worden gemaakt en kan hem dat worden toegerekend.

Wel had men nog betwist dat Bizner een vertragingsrente in rekening mocht brengen. Deze claim was op de algemene voorwaarden gebaseerd (en was dus hoger dan de wettelijke rente). Volgens het bedrijf waren de algemene voorwaarden niet van toepassing, maar daar gaat de rechter niet in mee.

Namens Bizner is immers op de comparitie onweersproken verklaard dat het onmogelijk is om via internet een aanvraag van haar producten te voltooien zonder het aanvaarden van de algemene voorwaarden.

Helaas werd niet nader ingegaan op de vraag of die voorwaarden wel correct werden aangeboden, iets dat verbazingwekkend vaak fout gaat bij grote bedrijven. Maar ja, wie bewaart er screenshots van het algemenevoorwaardenscherm?

Dat het de werknemer was die hier de voorwaarden aanvaardde, maakt niet uit. Het bedrijf is vanwege het wanbeheer van de Bizkey en code aansprakelijk voor de gevolgen, en is dus gebonden aan die algemene voorwaarden. Bizner mag dus het bedrijf houden aan het artikel over de vertragingsrente.

Arnoud

Mag de ledenlijst van onze vereniging online?

Geplaatst op 15 april 20108 september 2012 in Privacy, 24 reacties

Een lezer vroeg me:

Onze vereniging publiceert elk jaar voor de leden een handig boekje met zaken als de statuten, het huishoudelijk reglement, besluiten uit het afgelopen jaar en handige tips voor de leden. Ook zetten we hier altijd een lijst met contactgegevens van alle leden in. Dit doen we al jaren, maar het aantal leden groeit gestaag dus nu is voorgesteld om dit boekje voortaan via de website te verspreiden. Maar hebben we dan geen privacyprobleem?

Ja, dan heb je een privacyprobleem. Het publiceren via internet van namen, adressen en dergelijke contactgegevens van je leden kan echt alleen met een expliciete toestemming van de leden. En die moet vooraf worden gevraagd.

Je zou voor nieuwe leden die toestemming in het inschrijvingsformulier kunnen vragen, maar je bestaande leden zul je toch apart om deze toestemming moeten vragen.

Verder vraag ik me af of het echt wel nodig is om deze informatie zo online te zetten. De kans op misbruik van zulke gegevens is aanwezig, en ik zie weinig redenen waarom de hele wereld moet weten wat het telefoonnummer van verenigingslid X is. Je zou volgens mij kunnen volstaan met de gegevens op een wachtwoordbeveiligd deel van de site te zetten, waarbij alleen leden het wachtwoord weten.

Of je dan kunt volstaan met één wachtwoord of dat elk lid zijn eigen wachtwoord moet hebben, is een andere vraag. Bij een kleine vereniging is één wachtwoord nog wel beheersbaar (“volgend jaar is ons wachtwoord ‘zebrapad’ “) maar met enkele honderden leden lijkt me een wachtwoord per lid wel echt verplicht.

Arnoud

Journalistieke hack van Revu legaal

Geplaatst op 24 november 20098 september 2012 in Security, 27 reacties

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De auteur van het artikel werd ook vrijgesproken, omdat hij niet betrokken was bij het daadwerkelijke inbreken. Hij kreeg de informatie achteraf en maakte daar een artikel van.

Ik heb hier grote moeite mee. Journalisten staan niet boven de wet en hebben niet het recht om 14.000 pc’s te infecteren om daarmee aan te tonen dat een wachtwoord te raden is door die pc’s er lekker veel te laten proberen. Ik heb sterk het vermoeden dat de politierechter onvoldoende rekenschap heeft gegeven van wat er nu feitelijk is gedaan. Als het nieuwsfeit was geweest “Voordeur huis staatssecretaris blijkt met bulldozer te forceren”, dan was het vonnis volgens mij heel anders uitgevallen.

De overwegingen uit het vonnis wijzen er namelijk sterk op dat de rechter zich heeft laten overtuigen door het beveiligingsaspect van de zaak. Immers, zo staat in het vonnis:

Hierbij wordt voorop gesteld dat de vraag of de privé emailboxen van bewindslieden voldoende beveiligd zijn tegen inbraken van buitenaf, op zichzelf een zaak is die het algemeen belang raakt. … Verdachte heeft betoogd dat het plegen van de onderhavige strafbare feiten noodzakelijk was voor de onderbouwing van de stelling in het artikel dat het schortte aan die beveiliging.

Nu wil ik best geloven dat beveiliging van zulke mailboxen op zich een belangwekkend iets is voor journalisten, maar dat betekent nog niet dat elk hackje daarmee nieuwswaardig is. Zeker niet als het hackje gewoon een lompe brute force aanval is. Iedereen weet dat je met genoeg proberen elk wachtwoord weet te raden.

Bovendien -en dit is een juridische blog- lijkt het vonnis me in strijd met wat de Hoge Raad tot nu toe steeds zegt over dit soort “nieuwsmaak”-acties. Zoals ik vorig jaar december blogde, in 1995 luidde het oordeel nog dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso.

In die laatste zaak citeerde men instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

Bij de incassozaak had de journalist een groot aantal incasso-opdrachten verstuurd voor soms substantiële bedragen van rekeningen van volslagen onbekenden. Hij had ook kunnen volstaan, aldus het Hof, met 1 grote incasso van een betrokken partij (bv. de directeur van de betrokken bank). En die analogie kun je zonder moeite doortrekken naar hier: was het nu echt nodig om 14.000 pc’s te infecteren om aan te tonen dat je met genoeg pc’s een wachtwoord kunt kraken?

En feit blijft (zoals Brenno de Winter al schreef) dat Revu het echte nieuws gemist heeft.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

Waar ik nu heel bang voor ben, is dat al die scriptkiddies die eerst riepen “ik bewijs mensen een dienst door de beveiliging te checken” nu gaan roepen “oh ik ben journalist want ik onderzoek maatschappelijke misstanden door onvoldoende beveiliging”.

Arnoud<br/> Afbeelding afkomstig van Revu.