Man die wifi-wachtwoord voor ander doel gebruikte schuldig aan computervredebreuk

| AE 12888 | Privacy, Security | 12 reacties

Rollstein / Pixabay

Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor deze computervredebreuk, gekoppeld aan het maken van stiekeme intieme beelden in de slaapkamer van zijn opdrachtgever. Het is in zoverre opmerkelijk dat enkel “gebruik voor ander doel” niet snel computervredebreuk is.

De zaak kwam aan het licht toen de vrouw een verborgen ip-camera had ontdekt, die was vastgeplakt met hetzelfde dubbelzijdige tape dat de schoonmaker eerder voor klusjes in haar huis had gebruikt. De verdachte was daarnaast één van de weinige personen die een sleutel van het huis van de vrouw had. De camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. En dat ziet de rechtbank als een probleem:

Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.
Enige tijd geleden hadden we in Amerika de uitspraak dat je bevoegdheid misbruiken geen computervredebreuk meer was, dankzij de Supreme Court. In Nederland ligt dat iets subtieler: in 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en computervredebreuk opleverde. Hier zou ik het ook zeker wel “vér te buiten” vinden gaan, de sprong van “mag ik muziek luisteren via je netwerk” naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.

Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.

Naast de computervredebreuk wordt de man ook veroordeeld tot het afluisteren van gesprekken in die slaapkamer, en specifiek het vervaardigen en bezitten van “een afbeelding van seksuele aard” (art. 139h Strafrecht). Dit artikel is deel van het verbod op wraakporno, wat hier niet echt het geval is (“gewoon voyeurisme”) maar het artikel past bij het feit. Hij krijgt alles bij elkaar 10 maanden cel waarvan 4 voorwaardelijk, en moet bijna 1200 euro schadevergoeding betalen.

Arnoud

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

| AE 12244 | Ondernemingsvrijheid | 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De Franse wet blijkt al sinds 2006 te bestaan maar heeft nooit echt aandacht gekregen, getuige de verbijstering bij de café-eigenaren.

Heel Frans vind ik dan de klacht dat “de informatie zou ook niet aan bod zijn gekomen bij trainingen van de UMIH, de Franse horecavakbond.” Ik weet niet of je in Nederland ver zou komen met het verweer dat je het niet gehad hebt bij je horecadiploma of de inschrijving bij de Kamer van Koophandel. Maar dat terzijde.

De complicatie zit hem er vooral in dat je dus actief data moet vergaren en vastleggen. Wat de meeste ondernemers doen, is gewoon een wifi access point neerzetten op een al dan niet forse internetverbinding, want zo zou iedereen dat doen. Mais non:

Or, les forfaits professionnels des opérateurs fournissent des outils qui permettent d’identifier les clients finaux, de collecter les IP, les historiques… et d’être conformes avec la loi de 2006. C’est d’ailleurs ce qui est fait dans les hôtels, les centres de congrès… Mais ces abonnements sont évidemment bien plus chers que les forfaits grand public.
Bezorgde horecaondernemers in Nederland: dit is een specifieke Franse wet, die geen Nederlands equivalent kent. Er is geen eis bij ons dat je weet wie je wifi gebruikt, laat staan dat je de logs een jaar bewaart zodat Justitie dit kan opvragen. (Je bent ook niet aansprakelijk als mensen je wifi gebruiken, maakt niet uit wat ze ermee uitvreten. En nu ik je toch spreek, kap met die “ik accepteer de voorwaarden”-startpagina’s. Nergens voor nodig.)

Een mogelijke nuance hierbij is dat het Hof van Justitie in 2016 heeft gezegd dat je in staat moet zijn je bezoekers te identificeren wanneer blijkt dat zij auteursrechten hebben geschonden. Daar is sindsdien niets meer over gehoord, en ik heb zelf ook niet het idee dat er nou heel massaal illegaal wordt geüp- dan wel -download via openbare wifi. Dus ik denk dat dit praktisch niet heel relevant is.

Arnoud

Starbucks gaat porno blokkeren op zijn gratis wifi

| AE 10997 | Ondernemingsvrijheid | 30 reacties

Na jaren van protestacties heeft Starbucks in de VS besloten om porno te blokkeren op de gratis wifi-netwerken in zijn koffiezaken. Dat las ik bij RTL Nieuws vorige week. De koffieketen staat al jaren onder druk van de bezorgde burgers van ‘Enough Is Enough’, die fel tegen porno is en bedacht heeft dat Starbucks wezenlijke invloed daarop kan uitoefenen. Starbucks gaat nu overstag, waarschijnlijk vanuit bezorgdheid om haar reputatie – ik zag het argument “veroordeelde zedendelinquenten gaan dan ook in de Starbucks porno kijken” en dan wordt het ongezellig. Wel vooralsnog alleen in de VS, maar het riep toch de vraag op hoe dit bij ons zou uitpakken. Is dat niet in strijd met netneutraliteit?

Netneutraliteit is het beginsel dat alle internetverkeer gelijk moet worden behandeld. Er mag geen onderscheid op afkomst of inhoud worden gemaakt, behalve in een beperkte set situaties zoals netwerkbeveiliging of een wettelijke plicht. Een internetprovider mag dus geen toeslag vragen voor bijvoorbeeld internetbellen, maar mag ook geen blokkades opwerpen tegen ongepast (maar legaal) internetverkeer zoals pornografie.

In Nederland hadden we als tweede land ter wereld een wet die netneutraliteit regelde. Daarbij was lange tijd onduidelijk of dit nu gold voor iedereen die een ander op internet liet, of alleen voor ‘echte’ internetproviders die het algemene publiek toelieten.

De Europese Verordening op dit gebied die tegenwoordig geldt, lijkt duidelijk genoeg:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.

Echter, een ‘aanbieder’ wordt in het vorige artikel gedefinieerd als een “onderneming die openbare communicatienetwerken of openbare elektronische communicatiediensten aanbiedt”. Een koffieketen zoals Starbucks voldoet niet aan die omschrijving, omdat hun netwerk en dienst alleen toegankelijk is voor het beperkte publiek dat haar cafés bezoekt. Dus ja, dit zou mogen.

Wel denk ik dat Starbucks dit expliciet moet melden, omdat anders een essentieel aspect van de geboden dienst (koffie met internet) ontbreekt. Dit vanuit de algemene informatieplichten die je als winkelier hebt. Ik weet alleen niet goed hoe je dát bordje zou moeten formuleren.

Arnoud

Is wifi op de camping standaard of een aparte dienst?

| AE 10511 | Ondernemingsvrijheid | 17 reacties

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de… Lees verder

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Ondernemingsvrijheid, Security | 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd. Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper? De recente attack van Mathy Vanhoef van de KU Leuven en… Lees verder

Amazon-patent moet prijsvergelijken via wifi van winkel tegenhouden

| AE 9493 | Intellectuele rechten | 10 reacties

Amazon heeft onlangs goedkeuring ontvangen voor een patent, waarin een methode is beschreven om het vergelijken van prijzen via de wifi-verbinding van fysieke winkels tegen te gaan. Dat meldde Tweakers vorige week. Doel van die methode is te zorgen dat je niet snel online bestelt wat je zojuist in de winkel hebt gezien. Maar het… Lees verder

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Security | 15 reacties

Een lezer vroeg me: Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk? Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt,… Lees verder