image

Juridische vraag: Wanneer gaat hengelen naar een beloning over in afpersing?

woensdag 23 oktober 2019, 10:46 door Arnoud Engelfriet, 16 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Ik las dat pretpark Walibi in de clinch ligt met een ethisch hacker die een beveiligingslek had gemeld. Ze wilden aangifte doen wegens afpersing omdat hij had gevraagd om kaartjes in ruil voor een tip. Maar hoe strafbaar is dat nu eigenlijk?

Antwoord: Recent was inderdaad in het nieuws dat Pretpark Walibi Holland aangifte zou gaan doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. De aangifte zou zijn vanwege chantage dan wel afdreiging. De ontwikkelaar verwijst echter naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon raar om voor dit niveau ‘afpersing’ naar de politie te stappen, en de PR is bepaald onhandig ingestoken.

Het datalek in kwestie is overigens geen AVG-datalek, maar een financieel lek: je kunt per dag zien hoe veel tickets men verkoopt en wat de prijs per ticket was. Zonder enige rare actie, behalve dan F12 drukken in je browser. In iets meer detail:

Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.

De ontwikkelaar gaf deze technische blunder door aan Walibi, inclusief een stukje van de informatie als bewijs dat het lek er inderdaad zat. Hij gebruikte daarbij het mailonderwerp 'Datalek ruilen voor kaartjes?', kennelijk refererend aan eerder contact waarbij Walibi had aangeven dat kaartjes soms als beloning worden gegeven voor het melden van datalekken. Maar de directeur van Walibi (waarom die directrice genoemd wordt ontgaat me overigens, het is toch geen school) las hierin een strafbaar feit, namelijk afpersing:

Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.

Even los van de bepaald onhandige inschatting hier, is dit nu überhaupt afpersing te noemen? Het flauwe antwoord is nee, want afpersing is (art. 317 Strafrecht) kort gezegd dreigen met geweld om jezelf te bevoordelen. Ze bedoelen dan ook afdreiging (art. 318 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Het stukje 'dwingen' is makkelijk hier, de ontwikkelaar zou die vier kaartjes (kaartjes zijn "enig goed") willen hebben met zijn mail. Maar wat is dan de 'dreiging', het andere essentiële bestanddeel van dit delict? Dat zou dan waarschijnlijk een gang naar de pers zijn, betaal me of ik maak openbaar dat je een datalek hebt.

Dat is wat de ontwikkelaar zou hebben gezegd, aldus het pretpark:

Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?

Dit stukje doet mij ook de wenkbrauwen fronzen. Het hele punt van belonen is voor het mélden van datalekken, je betaalt mensen niet voor hun stilzwijgen maar voor hun speurwerk. En ja, binnen de letter van de wet is het als afdreiging te construeren als je zegt "ik zal een geheim niet publiceren als je me geld geeft" wanneer dat publiceren op zichzelf wederrechtelijk is.

Bij de reacties lees ik dan de ontwikkelaar die stelt dat je de zin moet lezen in de context van eerdere communicatie. Daar was toegezegd dat hij kaartjes zou krijgen voor een eerder datalek, en eerder was ook besproken dat hij de lekken geheim zou houden. Maar ik weet vrij zeker dat de directeur die niet kent en daarom de zin zo heftig oppakt. Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in bedrijfstaal moet communiceren.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
23-10-2019, 11:39 door Anoniem
Hoe "ethisch" ben je als je dit soort reacties los weet te maken en hoe "hacker" ben je als je F12 weet te vinden op je toetsenbord? Op z'n minst een beetje een slordige vraagstelling. Het is ook wel een dingetje in het wereldje om jezelf he-le-maal ge-wel-dig te vinden en dan stomverbaasd te zijn dat anderen, bijvoorbeeld wier bedrijfscritische systemen je net rampzalig defect te zijn hebt gedemonstreerd en ze dus direct in hun voortbestaan hebt bedreigd, dat toch even anders zien. Zelfs de verschillende "responsible disclosure"-"best current industry practice"-verhalen begrijpen dat niet helemaal.

Het antwoord is ook interessant, in het bijzonder: "Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in bedrijfstaal moet communiceren." Ik heb geen flauw benul wat "bedrijfstaal" moet zijn; ik denk dan, het zijn toch ook gewoon mensen?

Toen ik de berichtgeving las had ik ook zoiets van, tsjee, dit is heel erg onhandig geschreven, en hij wilde veel te graag. Refereer minstens expliciet aan de eerdere afspraak. Maar of je dat nu "verzoekt conform antecederend convenant" of "volgens eerdere afspraak vraagt" om die beloning, ik denk dat je als bedrijf toch ook gewone mensentaal aan moet kunnen. Je staat per slot van rekening toch ook middenin de samenleving. Idem dito met ambtenaren. En techneuten, en dus ook dit soort onhandige knutselaars.
23-10-2019, 13:40 door Anoniem
Geweldig natuurlijk als dan gewoon https://www.rtlnieuws.nl/nieuws/nederland/artikel/4892176/walibi-bijna-gratis-tickets-bestellen-fout-website volgt op zo een reactie.

Oproep aan bedrijven: bied een goede https://www.ncsc.nl/documenten/publicaties/2019/mei/01/cvd-leidraad aan. Dat is goed voor jezelf, goed voor de melder en goed voor je klanten.
23-10-2019, 19:37 door Anoniem
Maar dit is toch helemaal geen datalek? Als ik bij een willekeurige webshop iets wil bestellen en er staat daar dan bij
dat er nog 12 exemplaren voorradig zijn dan is dat toch gewoon informatie die de leverancier mij geeft en die hij kennelijk
bereid is om prijs te geven om mij een betere service te verlenen?
Je mag aannemen dat de reden dat die info door de kaartjes shop terug wordt gegeven aan de browser dezelfde is.
(als je 50 kaartjes bestelt en er zijn er nog maar 20 dan krijg je dat te zien nog voor je bestelt)
Als er nou een lijst bij zat van wie er die dag al kaartjes gekocht heeft...

En je kunt het wel onhandige communicatie noemen maar zo'n mailtje sturen is ook niet bepaald handig. Als hij gewoon
de tip met betrekking tot het "probleem" gestuurd had, en niet meteen een "datalek" genoemd had maar gewoon even
had uitgelegd dat ze wellicht iets meer info naar buiten brengen dan ze willen (en dat WEET je niet eens, wellicht kan het
ze niks schelen), dan had ie vast meer kans gehad op een bedankje. En als het inderdaad gebruikelijk is om kaartjes
te geven als bedankje dan had hij die vast wel gehad en anders had hij aan die gewoonte kunnen herrinneren in een
2e reactie. Nu komt het me iets te veel over als "ik mot kaartjes want anders zul je het bezuren!", en mensen die vragen
worden overgeslagen (of erger).
24-10-2019, 00:13 door Anoniem
Door Anoniem: Maar dit is toch helemaal geen datalek? Als ik bij een willekeurige webshop iets wil bestellen en er staat daar dan bij
dat er nog 12 exemplaren voorradig zijn dan is dat toch gewoon informatie die de leverancier mij geeft en die hij kennelijk
..."

er stond meer, niet allemaal super super geheim, maar er stond ook bijvoorbeeld het aantal verkochte kaarten, de prijzen etc, dus de omzet per dag voor bepaalde specifieke evenementen en toegang. Op zich informatie die voor concurrenten wel interresant kan zijn. De wereld zal niet vergaan, en het is ook info die ze met een tikkerteller op de parkeerplaats kunnen achterhalen maargoed, het is op zijn minst knullig en onprofessioneel.
24-10-2019, 00:20 door Anoniem
De laatste zin in dit stuk is werkelijk de allerbeste. Mensen in loondienst kiezen vrijwel altijd voor de baan en de zekerheid van die baan. Elke maand vast loon, en rechten. Je collega's kun je niet kiezen. Daar let je ook niet meteen op, laat staan dat je daar eisen aan stelt voordat je je gouden zekerheid en rechten aanpakt.

Gevolg is dat op veel plekken waarin mensen onder die condities samen (moeten) werken men de onderlinge verhouding vaak oplost door terug naar de kleutertijd te gaan. Onderling worden het een soort van kinderklasjes met kinderregeltjes.

Als je daar, van buitenaf, op een volwassen, of zelfs joviale manier mee gaat communiceren, dan schrikken ze zich rot. Altijd bedrijfstaal gebruiken. Al zeker als je met de juf of de meester mailt, of nog erger, met de directeur van het schooltje.

Wat die laatsten doen, naast het rooster van ziektedagen bijhouden, is vaak enkel emails forwarden. Om te vragen wie hier nu weer verantwoordelijk voor is of was. Goeie vuistregel is om altijd forwardbare emails te sturen, die de kleuterklasrangorde niet versturen. Dat is bedrijfstaal.

Wat dat betreft heeft de directeur uitstekend gefunctioneerd. Want het gaat overal zo.

Wat de case zelf betreft, mij viel meteen het jullie-woord op. Net zo een rode lamp als het wij-woord binnen organisaties. Daarbij genomen, met het huidige strafstelsel, als op zwaar afdreigen vier jaar bak staat, dan is een pietsie afdreigen ook afdreigen. Ook als het om vier gratis kaartjes gaat. Een pietsie met dood of mishandeling dreigen vind ik ook afpersing.
24-10-2019, 10:09 door Anoniem
Door Anoniem: Gevolg is dat op veel plekken waarin mensen onder die condities samen (moeten) werken men de onderlinge verhouding vaak oplost door terug naar de kleutertijd te gaan. Onderling worden het een soort van kinderklasjes met kinderregeltjes.
Dus "bedrijfstaal" is "wollige woorden van volwassenen die zich als kleuters gedragen".

Toch mooi dat er net in het nieuws was dat er wel honderd experts door het land ambtenaren gaan vertellen hoe duidelijk te schrijven, en dat moet dan "de honderd meestgebruikte teksten" verbeteren. Kost drie miljoen euros. Da's toch mooi dertig mille per stukkie tekst. En dat terwijl je dat eigenlijk al op de middelbare school zou hebben moeten leren.

Maarja, als hele organisaties vol met mensen zich collectief op kleuterniveau gaan gedragen is dat gauw vergeten natuurlijk.

Wat dat betreft heeft de directeur uitstekend gefunctioneerd. Want het gaat overal zo.
De directeur heeft zich ook als kleuter gedragen; daar krijg je als volwassene wat mij betreft geen gouden sterretje voor.

Mischien dat management ook maar eens moet opgroeien en mischien dat we dan deze eeuw nog wel voorbij de kleuterklas kunnen in het bedrijfsleven.

Daarbij genomen, met het huidige strafstelsel, als op zwaar afdreigen vier jaar bak staat, dan is een pietsie afdreigen ook afdreigen. Ook als het om vier gratis kaartjes gaat. Een pietsie met dood of mishandeling dreigen vind ik ook afpersing.
Ik begrijp niet helemaal hoe "vier jaar bak" argument is in dezen. Is "vier kaartjes" (en zelfs kennelijk: "... zoals eerder beloofd") net zo hard vier jaar bak waard als "vier miljoen euro"?

Zeker als moord ook regelmatig met wat uurtjes schoffelen wordt afgedaan, en verkrachting met een "FOEI-gesprek". Lijkt me dat er dan toch wat scheef zit in "het huidige strafstelsel".
24-10-2019, 11:56 door Anoniem
Ik begrijp niet helemaal hoe "vier jaar bak" argument is in dezen. Is "vier kaartjes" (en zelfs kennelijk: "... zoals eerder beloofd") net zo hard vier jaar bak waard als "vier miljoen euro"?

Dat is de *maximum* straf. De kans dat die in dit geval bij een veroordeling zou worden opgelegd is niet aanwezig.
24-10-2019, 11:56 door Anoniem
... en het niet publiceren van data dit jaar

Hier gaat de vraagsteller inderdaad een grens over.
24-10-2019, 12:52 door Anoniem
Zeker als moord ook regelmatig met wat uurtjes schoffelen wordt afgedaan

Gemiddelde straf voor moord, in Nederland: 15 jaar anno 2019. Lachwekkend wat voor onzin mensen hier verkondigen. Moord wordt *nooit* afgedaan met een taakstraf.
24-10-2019, 12:52 door Anoniem
Lijkt me dat er dan toch wat scheef zit in "het huidige strafstelsel".

Lijkt me eerder dat je geen benul hebt van de straffen welke daadwerkelijk worden opgelegd, voor de genoemde delicten.
24-10-2019, 14:24 door Anoniem
Door Anoniem:
Zeker als moord ook regelmatig met wat uurtjes schoffelen wordt afgedaan
Gemiddelde straf voor moord, in Nederland: 15 jaar anno 2019. Lachwekkend wat voor onzin mensen hier verkondigen. Moord wordt *nooit* afgedaan met een taakstraf.
Als het moord genoemd wordt. Maar je willens en wetens zo gedragen dat er welhaast mensen dood moeten gaan en dat gebeurt dan ook, schoffelen. Of als je maar met z'n tweetjes op de scooter zit en je blijft maar naar elkaar wijzen zodat de rechter niet kan vaststellen wie er achter het stuur zat. Of meer van dat soort truukerij. Je moet het gewoon een beetje slim aanpakken, uitvluchten genoeg. In Nederland kom je dan vrij makkelijk weg.


Door Anoniem:
Lijkt me dat er dan toch wat scheef zit in "het huidige strafstelsel".
Lijkt me eerder dat je geen benul hebt van de straffen welke daadwerkelijk worden opgelegd, voor de genoemde delicten.
Lijkt me dat je zo graag tegenspreekt om het tegenspreken dat je zelf iets inhoudelijks te melden hebben niet nodig vindt.
24-10-2019, 18:41 door Anoniem
Door Anoniem:
Door Anoniem: Maar dit is toch helemaal geen datalek? Als ik bij een willekeurige webshop iets wil bestellen en er staat daar dan bij
dat er nog 12 exemplaren voorradig zijn dan is dat toch gewoon informatie die de leverancier mij geeft en die hij kennelijk
..."

er stond meer, niet allemaal super super geheim, maar er stond ook bijvoorbeeld het aantal verkochte kaarten, de prijzen etc, dus de omzet per dag voor bepaalde specifieke evenementen en toegang. Op zich informatie die voor concurrenten wel interresant kan zijn. De wereld zal niet vergaan, en het is ook info die ze met een tikkerteller op de parkeerplaats kunnen achterhalen maargoed, het is op zijn minst knullig en onprofessioneel.

Dat is allemaal naar beoordeling van deze superhacker (was jij dat?) en niet naar wat de feiten zijn. Als ik als bedrijf
mijn dagomzet op een groot scherm bij de poort wil publiceren dan mag ik dat doen, en dat is dan geen datalek. Er
een foto van maken en opsturen met "kijk datalek!" dat maakt het nog geen datalek.

Een datalek is het pas als het data betreft die niet van jezelf zijn. En dat was hier niet het geval. Dus een beetje minder
hoogdravend en veeleisend melden was wel beter geweest.
24-10-2019, 20:05 door Anoniem
Door Anoniem: Een datalek is het pas als het data betreft die niet van jezelf zijn. En dat was hier niet het geval. Dus een beetje minder
hoogdravend en veeleisend melden was wel beter geweest.
Maar dus als de organisatie niets mis ziet in het publiceren van hun eigen dagomzetdata, kan er dan nog sprake zijn van afreiding dmv. publiceren (van hoe erbij te komen)? De data is toch al gepubliceerd en dat vinden ze prima?
25-10-2019, 06:32 door Anoniem
Door Anoniem: Als ik als bedrijf mijn dagomzet op een groot scherm bij de poort wil publiceren dan mag ik dat doen, en dat is dan geen datalek. Er een foto van maken en opsturen met "kijk datalek!" dat maakt het nog geen datalek.
Walibi publiceerde deze gegevens niet op een groot scherm bij de poort. Het was geen onderdeel van het ontwerp van de presentatielaag van de webapplicatie maar blijkt "onder de motorkap" toch in de browser te belanden. Het is heel goed mogelijk dat men zich daar bij Walibi niet van bewust was en ook dat men deze gegevens binnen had willen houden.
Een datalek is het pas als het data betreft die niet van jezelf zijn.
Een datalek is het lekken van gegevens die men binnen had willen houden, ook als het eigen gegevens zijn. In de context van de AVG heeft het woord datalek een specifieke betekenis, maar dat komt omdat die verordening over persoonsgegevens gaat. Dat die specifieke betekenis de laatste jaren voortdurend in het nieuws is betekent niet dat de samenstelling data+lek opeens niet meer voor het lekken van data in algemene zin mag worden gebruikt. Als Walibi deze gegevens voor zich had willen houden (wat de melder van het lek aanneemt, geen idee hoe erg men dit bij Walibi echt vindt) dan is dit een datalek.
15-11-2019, 11:27 door Anoniem
Zo te zien was er iemand kwaad, het Walibi online bestelsysteem is namelijk aangepast nu. Bestellen online gaat niet meer er staat op iedere datum "Gesloten".

Wat een amateurs bij Pretpark Walibi Holland. Ze zouden er blij mee moeten zijn en zijn hele familie gratis naar binnen moeten laten. Stel je voor iemand had het bedrijf financieel aangevallen dan waren ze misschien pas echt dik in de problemen, maar nee sleep de eerlijke jongen voor de rechter. Bij deze de laatste keer dat ik mijn gegevens in vul op de website van Pretpark Walibi Holland, ook de laatste keer dat ik naar dit pretpark toe ga. Zo ga je niet met mensen om maar met stront.. Wie is er tegenwoordig nog eerlijk, waarom denk je dat een bad guy het niet meld?? Die krijgt er niets voor die gaat zelf wel zijn spullen van de toko stelen zodat ie wat heeft om te verkopen op het deepweb voor wat extra centen (trouwens voor meer dan 4 zielige entree kaartjes !).
15-11-2019, 11:32 door Anoniem
Als het echt een dreigement was waarom staat er dat niets van bewijs online en waarom trekt Mascha van Till de keutel dan in? Kinderachtig gedrag ze mogen blij dan dat de aardige man het meld en niet verkoopt op darkweb. Daar kun je namelijk lekke websites gewoon bestellen net zoals je dat doet bij de Kruidvat online met de browser. Ja zo simpel is het eenmal bij de verkeerde en je bedrijf zal ten order gaan. Dus dit slaat echt weer alles.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.