Achtergrond
image

Juridische vraag: Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

woensdag 4 april 2018, 17:22 door Arnoud Engelfriet, 10 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Recent ging de zoekmachine Gotcha.pw online. Hiermee kon je wachtwoorden bij Nederlandse domeinen doorzoeken. Hij ging vrij snel weer offline, dus ik vroeg me af of het niet toch illegaal is, zoiets publiceren?

Antwoord: Nee, het is legaal om met een zoekmachine mensen te laten verifiëren of het wachtwoord bij hun emailadres (accountnaam) gelekt is in een van die vele datalekken of security breaches. Een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf) is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico's zie ik verder niet.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
04-04-2018, 20:29 door spatieman
lool.
Sorry, search is closed for your country.

maar ok,,
04-04-2018, 20:59 door Anoniem
Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.
Hopelijk heeft d0gberry dan die persoonsgegevens weggegooid want zo zonder zoekmachine is er geen algemeen nut meer om het bezit te rechtvaardigen.

De wet uitleggen dat iets wat normaal niet mag onder goede omstandigheden wel zou mogen is aan de rechter om te bepalen en niet aan een jurist. De uitleg van toestaan hangt van veel onconroleerbare factoren af en is niet met iets simplistisch te verklaren. Tegenargumenten zijn bijvoorbeeld dat het onvoldoende is om een algemeen nut te claimen als je al op diverse andere gratis manieren kan controleren of je persoonsgegevens gelekt zijn. Het werkt ook niet in het voordeel van de zelfbenoemde klokkenluider dat die geen moeite heeft genomen om te controleren of zijn/haar ontdekking echt uniek is. Dat je als klokkenluider een punt wil maken is niet voldoende om ethisch genoeg bezig te zijn om de wet naast je neer te leggen. En het is ook aan hem/haar om te bewijzen dat de gegevens voor dat doel zijn opgezocht of dat het achteraf een idee was om de overtreding van de wet toch nog goed te kunnen praten. Eerst datasets gaan verzamelen en daarna pas een domein registreren en een website maken en de media opzoeken klinkt ook niet goed. En dat een journalist moet gaan uitleggen dat het niet handig is om iedereen willekeurige mailadressen te kunnen controleren klinkt ook niet doordacht. Ik denk dat de wetgever de wet gemaakt heeft om persoonsgegevens beter te beschermen, niet om iedere zelfbenoemde klokkenluider het idee te geven dat die een held is door even een dataset te googlen, te downloaden en dan de media te doen geloven dat er een groot nieuw gevaar is.
05-04-2018, 11:15 door Anoniem
Door Anoniem: De wet uitleggen dat iets wat normaal niet mag onder goede omstandigheden wel zou mogen is aan de rechter om te bepalen en niet aan een jurist.
Als alleen een rechter dat mag dan zou juridisch advies alleen nog bij rechters ingewonnen kunnen worden. Die hebben het helaas te druk met rechtspraak om het hele land in dat opzicht te bedienen. En heb je trouwens door dat ook een rechter een jurist is? Mag die volgens jou nou wel (want rechter) of niet (want jurist) de wet uitleggen?
05-04-2018, 13:42 door Anoniem
Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?)

Je hoeft niet bepaald bij ICTRecht binnen te zitten, om te kunnen achterhalen wat de complete account naam is.

Google zoekopdrachtje naar ''engel ictrecht linkedin'' geeft al direkt resultaat -

https://www.google.nl/search?client=firefox-b-ab&dcr=0&ei=UQvGWv-eMYLZwAKpvoq4Bw&q=linkedin+ictrecht+engel&oq=linkedin+ictrecht+engel&gs_l=psy-ab.3..33i160k1l3.6600.8190.0.8600.6.6.0.0.0.0.92.470.6.6.0....0...1c.1.64.psy-ab..0.4.304....0.IeEG2e1E1v8

Eerste hit -

Arnoud Engelfriet - Co Founder - JuriBlox B.V. | LinkedIn
https://nl.linkedin.com/in/arnoudengelfriet
05-04-2018, 14:54 door Anoniem
Door Anoniem:
Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?)

Je hoeft niet bepaald bij ICTRecht binnen te zitten, om te kunnen achterhalen wat de complete account naam is.

Google zoekopdrachtje naar ''engel ictrecht linkedin'' geeft al direkt resultaat -

https://www.google.nl/search?client=firefox-b-ab&dcr=0&ei=UQvGWv-eMYLZwAKpvoq4Bw&q=linkedin+ictrecht+engel&oq=linkedin+ictrecht+engel&gs_l=psy-ab.3..33i160k1l3.6600.8190.0.8600.6.6.0.0.0.0.92.470.6.6.0....0...1c.1.64.psy-ab..0.4.304....0.IeEG2e1E1v8

Eerste hit -

Arnoud Engelfriet - Co Founder - JuriBlox B.V. | LinkedIn
https://nl.linkedin.com/in/arnoudengelfriet

Dat was ook zijn punt, als je goed leest :)
06-04-2018, 08:47 door Anoniem
Wat ik vooral bijzonder vond bij deze zoekmachine is dat wanneer ik op mijn eigen Gmail adres zocht, ik een password breach voor een vriend van me te zien kreeg. Een compleet ander e-mailadres dan ik had ingevoerd. Blijkbaar bevat de gebruikte database dus meer informatie dan slechts e-mailadressen en wachtwoord, maar zijn er ook andere verbindingen in uit te lezen.

Vanuit privacyoogpunt klopt alles dan mogelijk nog steeds wel, gezien de wachtwoorden niet open worden weergegeven, al kunnen de eerste twee tekens wel behoorlijk verhullend zijn. Stel dat de genoemde vriend niet zo van de veilige wachtwoorden is, en zijn geboortedatum had gekozen, dan zouden de eerste twee tekens voor mij in dat geval al wel genoeg zijn om een behoorlijke gok naar zijn wachtwoord te kunnen doen.
06-04-2018, 10:28 door Anoniem
Door Anoniem:
De wet uitleggen dat iets wat normaal niet mag onder goede omstandigheden wel zou mogen is aan de rechter om te bepalen en niet aan een jurist.
Dit is echt de grootste onzin. Iedereen wordt geacht de wet te kennen, dus moet ook zelf de wet (geschreven) interpreteren en vertalen naar zijn/haar gedrag. Als dat een beetje moeilijk of onduidelijk is, kun je juridisch advies inwinnen. Dat doe je natuurlijk niet meteen bij een rechter, maar gewoon bij een jurist. De wet interpreteren, en naar jurisprudentie kijken, is hun werk! Pas bij onenigheid of overtreden van de wet zal de rechter de wet interpreteren, toepassen op een situatie (zaak) en rechtspreken. De rechter heeft (gelukkig) niet het alleenrecht op het uitleggen van de wet, wel (gelukkig) op het uitoefenen van rechtspraak...
06-04-2018, 16:48 door Anoniem
Door Anoniem: Wat ik vooral bijzonder vond bij deze zoekmachine is dat wanneer ik op mijn eigen Gmail adres zocht, ik een password breach voor een vriend van me te zien kreeg. Een compleet ander e-mailadres dan ik had ingevoerd. Blijkbaar bevat de gebruikte database dus meer informatie dan slechts e-mailadressen en wachtwoord, maar zijn er ook andere verbindingen in uit te lezen.

Vanuit privacyoogpunt klopt alles dan mogelijk nog steeds wel, gezien de wachtwoorden niet open worden weergegeven, al kunnen de eerste twee tekens wel behoorlijk verhullend zijn. Stel dat de genoemde vriend niet zo van de veilige wachtwoorden is, en zijn geboortedatum had gekozen, dan zouden de eerste twee tekens voor mij in dat geval al wel genoeg zijn om een behoorlijke gok naar zijn wachtwoord te kunnen doen.

Gelul.
Wat ze zouden kunnen doen is even een bevestigingsstap ertussen, zodat niet anderen jou mailadres kunnen checken.
07-04-2018, 21:26 door Anoniem
Door Anoniem: Iedereen wordt geacht de wet te kennen, dus moet ook zelf de wet (geschreven) interpreteren en vertalen naar zijn/haar gedrag. Als dat een beetje moeilijk of onduidelijk is, kun je juridisch advies inwinnen. Dat doe je natuurlijk niet meteen bij een rechter, maar gewoon bij een jurist.
Dan maak ik je nu wakker: iedereen mag zich jurist noemen. En iedereen kan zijn werk daarvan maken. En juristen staan niet bekend om hun eenduidige antwoorden, vraag 10 juristen onafhankelijk een reactie en je krijgt 10 verschillende antwoorden. Dus als jij denkt dat je met een jurist bent ingedekt, droom dan door. De enige zekerheid die je hebt is als een rechter een uitspraak doet. En tot die tijd ben je aan het gokken.
10-04-2018, 10:30 door Anoniem
Door Anoniem:
Dan maak ik je nu wakker: iedereen mag zich jurist noemen.
Dank, maar hoeft niet hoor... ik stel overigens nergens dat je ingedekt bent als je een jurist inhuurt. Ik geef alleen aan dat niet alleen rechters de wet mogen interpreteren. Dat mag iedereen, inclusief juristen. Dat het verstandig is om een gerenomeerde partij in te huren of op zijn minst te checken of die partij kundig is op het vlak waarop je advies vraagt, dat vind ik bij normale professionaliteit horen... Vaak is het inwinnen van professioneel advies bij een jurist voldoende om de gang naar de rechter te voorkomen. Maar soms kan het niet anders en dan velt de recht een oordeel. Dat mag de rechter dan wel weer als enige.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search