image

Kun je in Nederland strafrechtelijk worden vervolgd als je de gebruiksvoorwaarden van een website schendt?

woensdag 15 april 2020, 13:19 door Arnoud Engelfriet, 9 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Is dat een sterk precedent voor security-onderzoekers?

Antwoord: De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk "intentionally accessing a computer without authorization or in excess of authorization", waarbij onduidelijk is wat "authorization" dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA's prohibition on "access[ing] a computer without authorization," even though phrased "in the form of a general prohibition" that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service "is a law unto itself," Emp't Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
15-04-2020, 14:49 door Anoniem
Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar.

Eerder werd iets anders gesteld. Betekent dit het bijstellen van dat standpunt?

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. [...] het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.


https://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
16-04-2020, 09:15 door The FOSS
Door Anoniem:
Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar.

Eerder werd iets anders gesteld. Betekent dit het bijstellen van dat standpunt?

Iets erboven staat In Nederland zou ...
16-04-2020, 16:01 door Anoniem
Door The FOSS:
Door Anoniem:
Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar.

Eerder werd iets anders gesteld. Betekent dit het bijstellen van dat standpunt?

Iets erboven staat In Nederland zou ...

Beide standpunten gaan over Nederland en lijken niet verenigbaar.
16-04-2020, 17:03 door Anoniem
Door Anoniem:
Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar.

Eerder werd iets anders gesteld. Betekent dit het bijstellen van dat standpunt?

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. [...] het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.


https://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het manipuleren van een URL is niet "gewoon" er bij kunnen. Gewoon er bij kunnen is als men er op de website naar linkt.
16-04-2020, 18:07 door Anoniem
Door Anoniem:
Door Anoniem:
Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar.

Eerder werd iets anders gesteld. Betekent dit het bijstellen van dat standpunt?

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. [...] het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.


https://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het manipuleren van een URL is niet "gewoon" er bij kunnen. Gewoon er bij kunnen is als men er op de website naar linkt.
Dat lijkt niet wat Arnoud stelt:

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld.

Een valide URL zonder enige vorm van authenticatie gebruiken is geen exploit.

Bovendien, hoe weet jij of je überhaupt wel op een website mag komen en wat een legitieme URL is en wat een 'gemanipuleerde'? Als je een TLD via Google bezoekt weet jij niet of de eigenaar het daar mee eens is en of jouw bezoek gewenst is. Dat neem je aan. Binnenkomen via een willekeurige URL of het TLD maakt op dat vlak niet uit.
16-04-2020, 20:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar.

Eerder werd iets anders gesteld. Betekent dit het bijstellen van dat standpunt?

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. [...] het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.


https://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het manipuleren van een URL is niet "gewoon" er bij kunnen. Gewoon er bij kunnen is als men er op de website naar linkt.
Dat lijkt niet wat Arnoud stelt:

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er 'gewoon' bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld.

Een valide URL zonder enige vorm van authenticatie gebruiken is geen exploit.

Bovendien, hoe weet jij of je überhaupt wel op een website mag komen en wat een legitieme URL is en wat een 'gemanipuleerde'? Als je een TLD via Google bezoekt weet jij niet of de eigenaar het daar mee eens is en of jouw bezoek gewenst is. Dat neem je aan. Binnenkomen via een willekeurige URL of het TLD maakt op dat vlak niet uit.
Google vind de link alleen als hij elders gelinked is. Als hij nergens gelinked is en jij gaat gokken doorbreek je "een" beveiliging. Kan je het mee eens zijn of niet, maar zo is de jurisprudentie. Dat is niet er gewoon bij komen.
17-04-2020, 10:51 door Anoniem
Kun je in Nederland strafrechtelijk worden vervolgd als je de gebruiksvoorwaarden van een website schendt?

Indien je daarbij de wet overtreedt wel. Logisch ?
17-04-2020, 11:37 door Arnoud Engelfriet


Een valide URL zonder enige vorm van authenticatie gebruiken is geen exploit.

Bovendien, hoe weet jij of je überhaupt wel op een website mag komen en wat een legitieme URL is en wat een 'gemanipuleerde'? Als je een TLD via Google bezoekt weet jij niet of de eigenaar het daar mee eens is en of jouw bezoek gewenst is. Dat neem je aan. Binnenkomen via een willekeurige URL of het TLD maakt op dat vlak niet uit.

Ik vind dat een zelf geraden valide URL heel wat anders is dan 'gewoon'. Gewoon is grofweg dat je klikt op een link die de aanbieder van de site heeft ingevuld in een pagina. Ongewoon is dat je die copypaste en tekens daaruit aanpast in de hoop of verwachting dat er wat anders uit komt. Ik blijf er dus bij dat het computervredebreuk is als je een URL manipuleert om informatie te krijgen die niet door de aanbieder zelf gelinkt en daarmee ontsloten is.
17-04-2020, 12:04 door Anoniem
Door Arnoud Engelfriet:
Ik vind dat een zelf geraden valide URL heel wat anders is dan 'gewoon'. Gewoon is grofweg dat je klikt op een link die de aanbieder van de site heeft ingevuld in een pagina. Ongewoon is dat je die copypaste en tekens daaruit aanpast in de hoop of verwachting dat er wat anders uit komt. Ik blijf er dus bij dat het computervredebreuk is als je een URL manipuleert om informatie te krijgen die niet door de aanbieder zelf gelinkt en daarmee ontsloten is.

Inderdaad, dat ben ik met je eens. Vaak zie je dat als je ingelogd bent op een website en je leest pagina's je URL's
ziet als bijv http://site.domain/a/b/c/90f78ea0-998c-43b8-b35a-3eb877acf947
Als je nou zelf ipv die 90f78ea0-998c-43b8-b35a-3eb877acf947 allerlei andere strings gaat proberen van hetzelfde
format en je krijgt dan iets te zien, dan is dat gewoon computervredebreuk. Je kunt roepen "ja maar er zit helemaal
geen authenticatie op" maar dat is niet zo, je krijgt de geldige waarden voor die 90f78ea0-998c-43b8-b35a-3eb877acf947
alleen van de site door als je je op de juiste manier aangemeld hebt, en andere waarden passen wellicht bij andermans
aanmelding. Dat is de manier waarop aanmeldingen verwerkt (kunnen) worden in een stateless omgeving, en als
je daarmee gaat rommelen dan ben je computervredebreuk aan het plegen.

Je kunt natuurlijk wel zeggen dat als er een url is van de vorm http://site.domain/a/b/c/user1234 en je gaat dan zelf
daar user1235 van maken en je krijgt ineens info van iemand anders te zien, de beveiliging niet best geregeld is en
beter gemaakt zou moeten worden. Maar dan nog is dat iets wat je bij de eigenaar van de site of bij AP kunt melden,
niet een vrijbrief om dan meteen maar even alles van user1 t/m user9999999 te downloaden en te dreigen het te
publiceren (of dat zelfs te doen).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.