Mag je eigen tools gebruiken om gegevens te verkrijgen die normaliter door middel van een app worden aangeboden?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren, want het http verkeer is ook nog eens onversleuteld. Is dit toegestaan?
Antwoord: Het is in principe de bedoeling dat je aangeboden tools gebruikt zoals ze je aangereikt worden. Dat staat niet letterlijk in de wet maar volgt volgens mij uit wat juristen de redelijkheid en billijkheid noemen. Maar daar staat tegenover dat het dus niet automatisch strafbaar of onrechtmatig is als je iets anders inzet dan de aangeboden tooling.
In het geval van de vraagsteller kun je die app zien als niet meer dan een schil waarmee een server wordt aangeroepen. Ik zie het onrechtmatige niet in het zelf doen van die aanroep. In dit geval wordt er geen account van een ander gebruikt of een achterdeurtje aangeroepen. Alle apps hebben dezelfde sleutel, dus waartegen die sleutel moet beveiligen is me een raadsel.
Ook vraag je op deze manier geen informatie op waar je geen recht op had. Je had exact deze gegevens gekregen als je via de app de informatie op had gevraagd. Van computervredebreuk - ergens binnengaan waar je weet dat je niet mag zijn - kan ik dus niet spreken hier. Wellicht als je de API gaat manipuleren door extra velden te proberen, of counters gaat veranderen buiten de range die de app zelf gebruikt. Dat zou ik dus afraden.
Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.
Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.
The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position. -
https://benbernardblog.com/web-scraping-and-crawling-are-perfectly-legal-right/
Zolang je er zelf niet beter van wordt, vind ik het kunnen. Echter, zoals hierboven genoemd, kan reverse engineering wel eens niet mogen. En dan houdt het juridisch op ;)
TheYOSH
Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.
The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position. -
https://benbernardblog.com/web-scraping-and-crawling-are-perfectly-legal-right/
Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.
The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position. -
https://benbernardblog.com/web-scraping-and-crawling-are-perfectly-legal-right/
Waar staat dat het om een Nederlandse of EU site gaat? En hoe verschillen de regels dan in Nederland en de EU? Hoef je daar niet op te passen? Het is natuurlijk - potentieel (GDPR) - nog illegaler in de EU:
https://blog.scrapinghub.com/web-scraping-gdpr-compliance-guide
https://www.youtube.com/watch?v=UQrmF1Ihy4Q
Wat niet goed voelt moet je natuurlijk dan weer niet doen. Dat is de keerzijde.
Web scraping and crawling aren't illegal by themselves. After all, you could scrape or crawl your own website, without a hitch.
The problem arises when you scrape or crawl the website of somebody else, without obtaining their prior written permission, or in disregard of their Terms of Service (ToS). You're essentially putting yourself in a vulnerable position.
Dit gaat over de situatie in Nederland, juridisch gezien ?
Persoonlijk vind ik dat ook - maar zoals jij als geen ander weet - werkt het niet zo wanneer ik directeur ben, een CD koop , en die op kantoor laat afspelen op de werkvloer. Of als kroegbaas een consumentenabonnement op Fox Sports neem en dat op de bigscreen van de kroeg zet. Zelfs met teveel vrienden blueray kijken - en vooral als we allemaal een beetje lappen voor de film mag officieel niet .
Wellicht dat de informatie aanbieder van de online tool hetzelfde wil . Of dat door dezelfde wetgeving gedekt wordt valt niet te zeggen .
Een 'schade' aspect dat theoretisch zou kunnen is wanneer de consumentenversie op een bepaalde manier gelimiteerd is in de applicatie , en de zakelijke versie wel 'dure' dingen mag zien of doen (meer queries/tijd, meer data ) - gedragen door de duurdere licentie.
Als je er nu eens niet met het oog op het hulpmiddel naar kijkt (de software) maar naar het gegeven zelf.
Valt het gegeven dan onder een auteurswet bescherming waarbij je de verzamelde informatie verkoopt?
Bij een fysiek boek heb je het recht om het door te verkopen. Voor een elektronische versie is dat afgewezen.
Een beperkt stukje uit een boek mag voor educatieve doeleinden gekopieerd worden maar weer niet het hele boek.
Voor particulieren wordt voor een beperkte hoeveelheid informatie vaak iets vrijgegeven, voor het geheel met ondersteuning is het afgeschermd. Het vele werk om informatie te koppelen daar zal ergens een vergoeding vandaan moeten komen.
Is het openbare informatie dan mag er weer niets voor gevraagd worden.
Dat je het technisch kan omzeilen (boek kopieren) wil niet zeggen dat het ook mag. Het hangt er van af.
Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?
Dat is niet "een complicatie" maar het cruciale punt in deze. Je hebt hier 2 dingen:
- hoe kom je aan de informatie (via een app of via een zelfgemaakte tool die net doet of ie de app is)
- wat doe je met de informatie
Dat eerste daar kun je nog wegkomen met dat het voor de aanbieder niets uitmaakt en dat die geen schade ondervindt, maar bij het tweede (zakelijk inzetten van informatie die voor incidenteel consumentengebruik is) natuurlijk niet.
Het doet er dan helemaal niet toe hoe je die informatie verkregen hebt. Het inhuren van een goedkope kracht die de hele dag met de officiele app voor consumenten informatie opvraagt en dit overtypt in een zakelijk systeem dat mag ook niet.
Ik vind het gegeven voorbeeld met muziek wel treffend. Het doet er niet toe of je een CD koopt voor de volle prijs of dat je hetzelfde nummer van youtube haalt of van een illegale downloadsite: het afdraaien als achtergrond muziek in een bedrijf mag in geen van die gevallen. (zonder dat je apart een overeenkomst sluit en rechten betaalt)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.