Juridische vraag: Hacker wordt bedreigd na melden lek
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Laatst maakte ik een typefout bij het invullen van een formulier. Ik kreeg toen een zeer cryptische foutmelding, waardoor ik het vermoeden kreeg dat ze hun input niet goed filteren. Ik heb dat vermoeden uitgeprobeerd, en met twee slim gekozen SQL commando's bleek inderdaad dat ze erg kwetsbaar voor allerlei zaken waren. Toen heb ik ze gemaild, maar in plaats van een bedankje kreeg ik een boze brief van de juridische afdeling dat ik me schuldig zou hebben gemaakt aan computervredebreuk. Moet ik me nu zorgen maken?
Antwoord: Het "opzettelijk en wederrechtelijk binnendringen" in een computersysteem of -netwerk is strafbaar, ongeacht of je daar nu een beveiliging bij doorbreekt of een truc uithaalt of welke manier je dan ook gebruikt. Dat blijkt uit de Wet Computercriminaliteit. Maar het moet wel opzettelijk zijn, je moet dus de bedoeling hebben gehad om ook echt in dat systeem binnen te dringen. Leun je tegen een deur die naar binnen toe open valt, dan ben je niet binnengeslopen in dat huis. Net zo goed dring je niet in een computer binnen als je een typefout maakt waardoor je iets anders terugkrijgt van het systeem dan je wilde.
Het lijkt me niet meer dan normaal dat je even verifieert dat echt sprake is van een fout voordat je mensen gaat mailen. Daarbij moet je natuurlijk uitkijken dat je geen schade aanricht; fouten verifieer je niet met een "; DROP DATABASE" commando.
In een rechtszaak van afgelopen januari had iemand ontdekt dat een e-learning systeem een fout had. Hier werd de leverancier zelfs zo kwaad dat hij een rechtszaak aanspande. Maar de rechter wees de eis af: "Om te beginnen is voldoende aannemelijk dat in dit geval sprake is van een goedbedoelde en onschuldige actie van de werknemer van Handyman, juist gericht op het behartigen van het belang van [de eiser] die dit zeer wel zó kon begrijpen en er zó ook profijt van had kunnen hebben."
Als je dus werkelijk per ongeluk iets tegenkomt, dan is er weinig aan de hand als je dat even controleert en vervolgens meldt. Maar opzettelijk op zoek gaan naar fouten, of kijken wat je zoal uit die database kunt krijgen is een heel ander verhaal. Je moet je acties zo beperkt mogelijk houden zodat je precies datgene krijgt wat je nodig hebt om de beheerder te informeren.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
"fouten verifieer je niet met een "; DROP DATABASE" commando. " Die moet ik onthouden! :D
Persoonlijk ben ik juist blij als mensen dat melden, liever dat ze het melden dan misbruiken.
Je had immers niet de intentie in te breken, maar zag de mogelijkheid omdat je iets meer dan de gemiddelde gebruiker schijnt te weten, waarvan je ze ook nog eens op de hoogte stelt. Een pluim (=boekenbon van 50 euro), een griffel en een zoen van de juf had je moeten krijgen.
Zelf zou ik een dergelijk bedrijf aan de internetschadpaal nagelen !
en vervolgens wordt je voor 2 jaar opgesloten omdat je gezien hebt dat er ingebroken is.......
lekker dat nederland....
Als ik ze meld, wil u me dan helpen als het mis gaat hihi haha
Ik heb nog wel een paar grote sites met wat grote problemen
Ik heb meer te verliezen dan te winnen dus denk dat ik het maar laat rusten
De regel is erg jammer.
Wilco
Ten eerste, als het zo'n geval is waarbij de deur wagenweid openstaat, hoef je geen hacker te zijn om te weten dat het een lek is..... Ten tweede is de juridische definitie van een 'hacker' wat minder rooskleurig.... en dat terwijl het hier de vraag juist is of het om hacking gaat...
we zien elkaar wel weer in de rechtzaal..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.