Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

Mag je eigen tools gebruiken om gegevens te verkrijgen die normaliter door middel van een app worden aangeboden?

woensdag 13 mei 2020, 15:18 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren, want het http verkeer is ook nog eens onversleuteld. Is dit toegestaan?

Antwoord: Het is in principe de bedoeling dat je aangeboden tools gebruikt zoals ze je aangereikt worden. Dat staat niet letterlijk in de wet maar volgt volgens mij uit wat juristen de redelijkheid en billijkheid noemen. Maar daar staat tegenover dat het dus niet automatisch strafbaar of onrechtmatig is als je iets anders inzet dan de aangeboden tooling.

In het geval van de vraagsteller kun je die app zien als niet meer dan een schil waarmee een server wordt aangeroepen. Ik zie het onrechtmatige niet in het zelf doen van die aanroep. In dit geval wordt er geen account van een ander gebruikt of een achterdeurtje aangeroepen. Alle apps hebben dezelfde sleutel, dus waartegen die sleutel moet beveiligen is me een raadsel.

Ook vraag je op deze manier geen informatie op waar je geen recht op had. Je had exact deze gegevens gekregen als je via de app de informatie op had gevraagd. Van computervredebreuk - ergens binnengaan waar je weet dat je niet mag zijn - kan ik dus niet spreken hier. Wellicht als je de API gaat manipuleren door extra velden te proberen, of counters gaat veranderen buiten de range die de app zelf gebruikt. Dat zou ik dus afraden.

Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.

Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Kan mijn werkgever mij verplichten om bij een online collegiaal overleg de camera aan te zetten?
Ik word gefotografeerd als ik iemands huis fotografeer, mag dat?
Reacties (13)
Reageer met quote
13-05-2020, 16:47 door Anoniem
Wat staat er in de EULA? Soms staat daar dat dit soort "reverse engineering" praktijken niet toegestaan is.
Reageer met quote
13-05-2020, 16:52 door The FOSS
Pas op:

Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.

The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position.
-
https://benbernardblog.com/web-scraping-and-crawling-are-perfectly-legal-right/
Reageer met quote
13-05-2020, 17:26 door Anoniem
Ook lees ik niet dat de vrager hiermee een commerciële dienst wil beginnen. Dus ik kan mij voorstellen dat je zoiets wilt voor je eigen huis-automatisering.

Zolang je er zelf niet beter van wordt, vind ik het kunnen. Echter, zoals hierboven genoemd, kan reverse engineering wel eens niet mogen. En dan houdt het juridisch op ;)

TheYOSH
Reageer met quote
13-05-2020, 18:27 door johanw
Door Anoniem: Wat staat er in de EULA?
Is dat relevant? Sinds wanneer is een EULA bindend?
Reageer met quote
14-05-2020, 08:30 door Anoniem
Door The FOSS: Pas op:

Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.

The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position.
-
https://benbernardblog.com/web-scraping-and-crawling-are-perfectly-legal-right/
Weet je zeker dat een Canadese blogger veel zinnigs te zeggen heeft over hoe de regels in Nederland of de EU zijn?
Reageer met quote
14-05-2020, 10:16 door The FOSS - Bijgewerkt: 14-05-2020, 10:25
Door Anoniem:
Door The FOSS: Pas op:

Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.

The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position.
-
https://benbernardblog.com/web-scraping-and-crawling-are-perfectly-legal-right/
Weet je zeker dat een Canadese blogger veel zinnigs te zeggen heeft over hoe de regels in Nederland of de EU zijn?

Waar staat dat het om een Nederlandse of EU site gaat? En hoe verschillen de regels dan in Nederland en de EU? Hoef je daar niet op te passen? Het is natuurlijk - potentieel (GDPR) - nog illegaler in de EU:

https://blog.scrapinghub.com/web-scraping-gdpr-compliance-guide
Reageer met quote
14-05-2020, 11:12 door Arnoud Engelfriet
Door Anoniem: Wat staat er in de EULA? Soms staat daar dat dit soort "reverse engineering" praktijken niet toegestaan is.
Dan is die clausule niet bindend. Allereerst niet omdat die EULA zeer waarschijnlijk niet zoals wettelijk voorgeschreven ter hand is gesteld, en vaak ook nog eens te laat (na installatie). En ten tweede omdat dit dwingendrechtelijk mag, in een app kijken en/of netwerkverkeer sniffen en dan een hardcoded key vinden.
Reageer met quote
14-05-2020, 11:42 door Anoniem
Deze juridische vraag is reeds lang geleden beantwoord door Della Reese.

https://www.youtube.com/watch?v=UQrmF1Ihy4Q

Wat niet goed voelt moet je natuurlijk dan weer niet doen. Dat is de keerzijde.
Reageer met quote
14-05-2020, 13:42 door Anoniem
Pas op:

Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.

The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position.

Dit gaat over de situatie in Nederland, juridisch gezien ?
Reageer met quote
14-05-2020, 14:32 door Anoniem
Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?

Persoonlijk vind ik dat ook - maar zoals jij als geen ander weet - werkt het niet zo wanneer ik directeur ben, een CD koop , en die op kantoor laat afspelen op de werkvloer. Of als kroegbaas een consumentenabonnement op Fox Sports neem en dat op de bigscreen van de kroeg zet. Zelfs met teveel vrienden blueray kijken - en vooral als we allemaal een beetje lappen voor de film mag officieel niet .

Wellicht dat de informatie aanbieder van de online tool hetzelfde wil . Of dat door dezelfde wetgeving gedekt wordt valt niet te zeggen .

Een 'schade' aspect dat theoretisch zou kunnen is wanneer de consumentenversie op een bepaalde manier gelimiteerd is in de applicatie , en de zakelijke versie wel 'dure' dingen mag zien of doen (meer queries/tijd, meer data ) - gedragen door de duurdere licentie.
Reageer met quote
14-05-2020, 22:46 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: Wat staat er in de EULA? Soms staat daar dat dit soort "reverse engineering" praktijken niet toegestaan is.
Dan is die clausule niet bindend. Allereerst niet omdat die EULA zeer waarschijnlijk niet zoals wettelijk voorgeschreven ter hand is gesteld, en vaak ook nog eens te laat (na installatie). En ten tweede omdat dit dwingendrechtelijk mag, in een app kijken en/of netwerkverkeer sniffen en dan een hardcoded key vinden.
Dank voor de informatieve reactie!
Reageer met quote
15-05-2020, 07:27 door karma4
Door Arnoud Engelfriet: Dan is die clausule niet bindend. Allereerst niet omdat die EULA zeer waarschijnlijk niet zoals wettelijk voorgeschreven ter hand is gesteld, en vaak ook nog eens te laat (na installatie). En ten tweede omdat dit dwingendrechtelijk mag, in een app kijken en/of netwerkverkeer sniffen en dan een hardcoded key vinden.

Als je er nu eens niet met het oog op het hulpmiddel naar kijkt (de software) maar naar het gegeven zelf.
Valt het gegeven dan onder een auteurswet bescherming waarbij je de verzamelde informatie verkoopt?
Bij een fysiek boek heb je het recht om het door te verkopen. Voor een elektronische versie is dat afgewezen.

Een beperkt stukje uit een boek mag voor educatieve doeleinden gekopieerd worden maar weer niet het hele boek.
Voor particulieren wordt voor een beperkte hoeveelheid informatie vaak iets vrijgegeven, voor het geheel met ondersteuning is het afgeschermd. Het vele werk om informatie te koppelen daar zal ergens een vergoeding vandaan moeten komen.
Is het openbare informatie dan mag er weer niets voor gevraagd worden.

Dat je het technisch kan omzeilen (boek kopieren) wil niet zeggen dat het ook mag. Het hangt er van af.
Reageer met quote
15-05-2020, 09:46 door Anoniem
Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.

Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?

Dat is niet "een complicatie" maar het cruciale punt in deze. Je hebt hier 2 dingen:
- hoe kom je aan de informatie (via een app of via een zelfgemaakte tool die net doet of ie de app is)
- wat doe je met de informatie

Dat eerste daar kun je nog wegkomen met dat het voor de aanbieder niets uitmaakt en dat die geen schade ondervindt, maar bij het tweede (zakelijk inzetten van informatie die voor incidenteel consumentengebruik is) natuurlijk niet.
Het doet er dan helemaal niet toe hoe je die informatie verkregen hebt. Het inhuren van een goedkope kracht die de hele dag met de officiele app voor consumenten informatie opvraagt en dit overtypt in een zakelijk systeem dat mag ook niet.

Ik vind het gegeven voorbeeld met muziek wel treffend. Het doet er niet toe of je een CD koopt voor de volle prijs of dat je hetzelfde nummer van youtube haalt of van een illegale downloadsite: het afdraaien als achtergrond muziek in een bedrijf mag in geen van die gevallen. (zonder dat je apart een overeenkomst sluit en rechten betaalt)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer

Welke messaging-app gebruik jij?

27 reacties
Aantal stemmen: 793
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter