image

Juridische vraag: Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

woensdag 12 april 2017, 12:56 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Hoe legaal is het om een verlopen domein van iemand anders te registreren en vervolgens voor het Twitteraccount dat via dit domein is geregistreerd een wachtwoordreset uit te voeren en zo het account te kapen?

Antwoord: Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam, maar stopte er in 2014 mee. De domeinnaam is toen op zeker moment kennelijk verlopen, en nu was er iemand anders die deze naam wel wat leek, de domeinnaam registreerde en daarmee een password reset kon doen op het bijbehorende Twitteraccount.

Het lijkt me niet strafbaar om een verlopen domeinnaam te registreren en daar dan een vergelijkbare dienst bij op te gaan zetten. Als een domeinnaam verlopen is, dan mag een ieder die opnieuw registreren. Dat er dan nog bezoekers voor de oude site komen, of dat men zo meelift op de bekendheid van de oude site, lijkt mij niet onrechtmatig. Dit is volgens mij niet anders dan een oud V&D-pand huren en er een warenhuis in beginnen.

Het Twitteraccount kapen is dubieuzer. Als je heel formeel gaat doen, dan wordt hier met een truc toegang verkregen tot dat account: je krijgt een password reset gemaild naar dat domein dat je net geregistreerd had, en vervolgens kun je inloggen op dat account. Dat is dan naar de letter van de wet computervredebreuk.

Ik aarzel hier wel een tikje over, zeker in situaties waarin het Twitteraccount net zo ongebruikt blijkt als de site. Het zou dan niet uit moeten maken dat dat Twitteraccount formeel nog steeds actief is. Dat Twitter accounts niet opruimt en domeinnaamregistries wel, moet niet het verschil zijn tussen computervredebreuk en legaal ergens gaan zitten.

Maar ik kan niet ontkennen dat het account actief ís en dat je het dus overneemt van de oude eigenaar. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
12-04-2017, 14:01 door Anoniem
"... dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres ..."

Is dat zo? Wat vindt Twitter Inc. daar zelf van?
12-04-2017, 14:39 door Anoniem
Twitteraccount(s) zijn eigendom van het bedrijf Twitter dus niemand kan bezit claimen alleen recht van gebruik als eigenaar Twitter daar toestemming toe geeft. Domeinen zijn trouwens geen bezit je koopt het recht tot gebruik van domein voor een bepaalde periode.

Twitter ruimt op dit moment wel inactieve account althans dat zeggen ze "We encourage users to actively log in and use Twitter when they register an account. To keep your account active, be sure to log in and Tweet every 6 months. Accounts may be permanently removed due to prolonged inactivity. Please use your account once you sign up!"
12-04-2017, 17:39 door Anoniem
Ergens is dit een gebrek aan organisatie. Voor websites waar je iets doet en daar een domeinnaam bij verzint, is het ook bekend. Later komt de klad erin en verdwijnt de site en de domeinnaam wordt geregistreerd door een squatter om van het loze verkeer nog wat dubbeltjes te snoepen totdat ze het domein voor een leuke marge weten te verkopen. Wat best vervelend kan zijn als het om bijvoorbeeld een blog gaat, of een forum, een webcomic, noem maar op, eigenlijk alles met met een archief.

Een betere manier is om goed na te denken en voor bijvoorbeeld een webcomic het archief in z'n geheel als subdomein van je portfolio-site neer te zetten. Voor andere sites net zoiets, zorg dat er iets van een organisatie achter zit met een domein dat ze toch wel onderhouden, en zet je ding daarvan als subdomein neer, en gehost op een manier die ook makkelijk lang onderhouden kan worden. Doe je dat niet, dan krijg je op den duur de gebruikelijke feesten der kapotte links.

En in het geval van een twitteraccount, tsja, nog minder excuus om een emailadres te kiezen dat afhangt van een domein waar je laks mee kunt gaan worden. Het is een indirect verhaal dus iets om apart te documenteren in je site documentatie, die je dus ook moet bijhouden voor je "online presence", niet alleen je fysieke "site".
12-04-2017, 18:24 door Anoniem
Dat het twitteraccount niet meer gebruikt wordt...etc. rechtvaardigt toch niet dat je het dan maar straffeloos mag overnemen?

Dus als jij een woning, schuur, caravan hebt die je al maanden niet gebruikt hebt geeft dat in jouw ogen iemand het recht deze woning, schuur of caravan toe te eigenen?

Rare gedachtengang
12-04-2017, 20:25 door Anoniem
Door Anoniem: Dat het twitteraccount niet meer gebruikt wordt...etc. rechtvaardigt toch niet dat je het dan maar straffeloos mag overnemen?

Dus als jij een woning, schuur, caravan hebt die je al maanden niet gebruikt hebt geeft dat in jouw ogen iemand het recht deze woning, schuur of caravan toe te eigenen?
Als het leegstaat en "krakers" trekken erin, dat is eindeloos gezeik ze er weer uit te krijgen. Het is zelfs pas sinds kort verboden. Dit ondanks dat je (meestal) niet alleen het gebouw maar ook de grond eronder bezit. En als jij je caravan op andermans grond laat staan en je komt nooit opdagen, dan kan de eigenaar danwel beheerder van de grond zeggen, da's leuk maar het ding staat in de weg, en weg ermee.

Een twitteraccount is een account op een systeem dat eigendom is van een ander bedrijf, en ze kunnen in hun voorwaarden best zeggen, zes maanden niet ingelogd is account foetsie.

De vraag hier is ingewikkelder: Volgens twitter is het emailadres wat achter een account zit de toegang tot dat account, dus als iemand het emailadres wat er bijhoort overneemt, dan is de nieuwe eigenaar van dat emailadres (in dit geval via het domein, maar dat hoeft niet!) dus ook in staat zich toegang te verschaffen tot het twitteraccount. Want hoe moet twitter het verschil zien?

Daarom is het dus zaak om goed te zorgen voor de emailaccounts waar je accounts elders aan vast zitten. Zelf het domein in beheer hebben is zekerder dan, bijvoorbeeld, een facebook- of google+account te gebruiken om in te loggen, maar dan moet je dat domein wel beheren, en niet laten schieten.
13-04-2017, 11:27 door Grannd - Bijgewerkt: 13-04-2017, 11:29
Dat twitter een password-reset naar het bij hun bekende email-adres van de gebruiker van de account mailt, betekent toch niet dat wat Twitter betreft het gebruik van de account het recht is van degene met toegang tot het e-mailadres?
Als ik een pand koop in dat pand worden door een verlate/ontbrekende adreswijziging de huissleutels van de vorige eigenaar bezorgd, betekend dat toch ook niet dat ik die sleutels mag gebruiken om toegang te krijgen tot het huis van de vorige eigenaar?
13-04-2017, 17:30 door Anoniem
Waarom is dit niet hetzelfde als post openen geaddresseerd aan de vorige bewoner van het huis waar je net naar toe bent verhuist?
13-04-2017, 18:07 door Anoniem
Door Anoniem: Dat het twitteraccount niet meer gebruikt wordt...etc. rechtvaardigt toch niet dat je het dan maar straffeloos mag overnemen?

Dus als jij een woning, schuur, caravan hebt die je al maanden niet gebruikt hebt geeft dat in jouw ogen iemand het recht deze woning, schuur of caravan toe te eigenen?

Nou ik denk dat als jij een woning huurt met een tuin waar je zelf een schuur in gebouwd hebt, en je verlaat die woning
en komt nooit meer in die schuur, je toch niet gek moet kijken als nieuwe bewoners van die woning gaan proberen die
schuur ook ik gebruik te nemen (bijvoorbeeld door deze open te breken).

Je verhaal van "het is mijn schuur, dat ik er nooit in kwam betekent niet dat je deze niet mag overnemen" gaat dan toch
moeilijk vallen denk ik.
13-04-2017, 20:51 door Anoniem
We kunnen het andersom simpel ook beredeneren: het account was geregistreerd onder een e-mailadres rechtstreeks onder dat domein.

Ieder weldenkend persoon kan de redenerung volgen dat als iemand toegang heeft tot het bijbehorende emailaccount (en net-zogoed emaildomein) daar redelijkerwij toegang tot kan krijgen...

Waarom noemen we het computerbreuk als iemand via dé authenticatieweg op legitieme manier gebruik heeft gemaakt van het herstelproces tot authentocatie? Of beter gezegd; hoe had twitter moeten herkennen dat dit NIET de betreffende gebruiker is? Dat kan niet.
13-04-2017, 22:12 door Anoniem
Stel ik verhuis, maar geef dit niet door aan mijn bank. Vervolgens vragen de nieuwe bewoners een nieuwe bankpas aan om mijn naam.
14-04-2017, 02:23 door Anoniem
Het is een slimme steel een bestaand inactief twitteraccount trukje. Ik voorkom dit door al mijn social accounts te koppelen aan een gratis dienst als: outlook of gmail. Bij laatstgenoemde heb je de optie om een spamproof alias te gebruiken. Via het emailadres+extranaam@gmail..com dit email adres kun je gebruuiken om bij twitter een account aan te maken.
Daarmee voorkom je een boel ellende, bijvoorbeeld via deze steel je domein methode.

Ik heb ooit eens een domeinnaam op het oog gehad die uit quarantaine kwam. De vorige eigenaar had het domein 10+ jaren vast gehouden, deze beschrijvende naam was ook de naam van het twitter en facebook account, beide jaren inactief en via via zag ik dat info@domeinnaam.nl het herstel adres was. Het leek me interessant, maar vond het een te dubieuze handeling dus zag er vanaf.

Destijds niet stil gstaan bij de juridische gevolgen, puur moreel maar ik denk dus dat een oud eigenaar / gebruiker hier een zaak van zou kunnen maken. Dan denk ik dat de kans groot is dat een rechter het zal zien als hacking / inbraak etc. Maar ja, dit soort zaken zullen niet gauw daadwerkelijk voorkomen bij een rechter.
14-04-2017, 09:47 door Grannd - Bijgewerkt: 14-04-2017, 09:48
Door Anoniem: Waarom is dit niet hetzelfde als post openen geaddresseerd aan de vorige bewoner van het huis waar je net naar toe bent verhuist?
Post openen is tot daar aan toe, post openen en met die informatie vervolgens toegang verkrijgen tot een account die aan een ander persoon toebehoorde vind ik een flinke stap verder.
Twitter gebruikt trouwens al een hele tijd ook 06nummers als tweede authenticatie als je account/emailadres gecompromitteerd is, dat zegt al genoeg over het feit hoe Twitter zelf denkt: eigendom van een account hoort niet per sé toe aan degene met toegang tot het e-mailadres.
Ik vind dit computervredebreuk, als je bedenkt dat door toegang te krijgen tot het Twitter-account je ook bijvoorbeeld de privéberichten van de vorige gebruiker van de account kan inzien dan moeten toch de belletjes gaan rinkelen dat het niet logisch is dat Twitter die informatie legaal zou geven aan iedereen met toegang tot een e-mailadres?
14-04-2017, 09:59 door Anoniem
Door Grannd:
Door Anoniem: Waarom is dit niet hetzelfde als post openen geaddresseerd aan de vorige bewoner van het huis waar je net naar toe bent verhuist?
Post openen is tot daar aan toe, post openen en met die informatie vervolgens toegang verkrijgen tot een account die aan een ander persoon toebehoorde vind ik een flinke stap verder.
Twitter gebruikt trouwens al een hele tijd ook 06nummers als tweede authenticatie als je account/emailadres gecompromitteerd is, dat zegt al genoeg over het feit hoe Twitter zelf denkt: eigendom van een account hoort niet per sé toe aan degene met toegang tot het e-mailadres.
Ik vind dit computervredebreuk, als je bedenkt dat door toegang te krijgen tot het Twitter-account je ook bijvoorbeeld de privéberichten van de vorige gebruiker van de account kan inzien dan moeten toch de belletjes gaan rinkelen dat het niet logisch is dat Twitter die informatie legaal zou geven aan iedereen met toegang tot een e-mailadres?

Echter, kunnen we stellen dat er onvoldoende maatregelen genomen zijn om dit een actieve vorm van computervredebreuk te noemen. De 2auth is namelijk NIET ingesteld. Waarmee ik terugval op de ECHTE vraag; Hoe had twitter dit adequaat moeten kunnen herkennen? kanniet!
14-04-2017, 09:59 door Anoniem
Door Anoniem: Dat het twitteraccount niet meer gebruikt wordt...etc. rechtvaardigt toch niet dat je het dan maar straffeloos mag overnemen?

Dus als jij een woning, schuur, caravan hebt die je al maanden niet gebruikt hebt geeft dat in jouw ogen iemand het recht deze woning, schuur of caravan toe te eigenen?

Rare gedachtengang

Ik zie het eerder als een stuk grond dat je koopt met een woning en een schuur erop. Bij de koop van de woning krijg je de sleutel van de woning maar niet van de schuur. De schuur staat echter wel op jouw grond en wanneer je een sleutel opvraagt die op het adres van de schuur wordt bezorgd dan zou je deze dus niet mogen gebruiken om de schuur te openen?

Je zit er ook niet op te wachten dat de oude 'eigenaar' van het twitter account ineens weer zou gaan tweeten omdat dit dan in verband wordt gebracht met jouw website.
De meest slimme wijze was natuurlijk geweest dat de oorspronkelijke eigenaar van het webadres bij het verlopen hiervan ook het twitteraccount had laten verwijderen.
14-04-2017, 10:04 door Anoniem
Door Anoniem: Waarom is dit niet hetzelfde als post openen geaddresseerd aan de vorige bewoner van het huis waar je net naar toe bent verhuist?

Omdat het meer lijkt op post aan: "de bewoners van prinsengracht 23" aannemende dat er niet A.Lubach voor de @ stond in het mailadres maar iets als admin@ of twitter@
14-04-2017, 11:26 door Grannd - Bijgewerkt: 14-04-2017, 11:27
Echter, kunnen we stellen dat er onvoldoende maatregelen genomen zijn om dit een actieve vorm van computervredebreuk te noemen. De 2auth is namelijk NIET ingesteld. Waarmee ik terugval op de ECHTE vraag; Hoe had twitter dit adequaat moeten kunnen herkennen? kanniet!
Twitter had talloze maatregelen kunnen nemen om dit te herkennen, lange tijd van inactiviteit, nieuw IP-adres, etc. Ik stel niet dat Twitter de toegang op basis daarvan had moeten blokkeren.
Ik stel wel dat het niet kunnen herkennen van onrechtmatig gebruik van de account door Twitter géén legaal recht tot toegang van de account impliceert.
De originele eigenaar van de account zou vrij eenvoudig aan moeten kunnen tonen dat er een nieuw persoon gebruik is gaan maken van de account en Twitter zou mijns insziens de toegang tot het account moeten toekennen aan de originele gebruiker van de account.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.