image

Vrijspraak voor man die via Shodan-screenshot voor lek waarschuwde

donderdag 15 april 2021, 13:59 door Redactie, 20 reacties

Een 40-jarige man die iemand anders via een screenshot van zoekmachine Shodan voor een beveiligingslek wilde waarschuwen is door de rechtbank Midden-Nederland vrijgesproken van computervredebreuk. Volgens het Openbaar Ministerie had de verdachte op het NAS-systeem van het slachtoffer ingebroken en een screenshot van de inbox van de gebruikte e-mailclient gemaakt.

De verdachte liet tegenover de rechter weten dat hij het screenshot van de inbox via de Shodan-zoekmachine had gevonden. Shodan is een zoekmachine die allerlei via internet toegankelijke apparaten en systemen indexeert. De gevonden afbeelding bewaarde de verdachte op zijn eigen computer en mailde die vervolgens naar de aangever, met daarbij de waarschuwing voor een kwetsbaarheid in zijn systeem.

De rechter stelt dat de gang van zaken zoals de verdachte die schetst niet kan worden uitgesloten. "Uit de stukken in het dossier en het verhandelde ter terechtzitting blijkt niet dat het verhaal van verdachte onaannemelijk is. Nu redelijke twijfel bestaat of verdachte de feiten zoals tenlastegelegd heeft begaan, zal de rechtbank hem hiervan vrijspreken", zo laat het vonnis weten.

De man verstuurde de e-mail in september 2018. De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn. Daarbij wordt gewezen naar artikel 138c van het Wetboek van Stafrecht dat sinds 1 maart 2019 van kracht is. Daarin staat dat wie "opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt" tot een gevangenisstraf van maximaal een jaar kan worden veroordeeld.

Reacties (20)
15-04-2021, 14:25 door Anoniem
Het is eigenlijk best wel zielig als je iemand gaat aanklagen die jou waarschuwt voor een lek.
15-04-2021, 14:26 door Anoniem
ja ja ondertussen word er illegaal software met sleutel verkocht door derde partijen en daar doet men niets mee.
Ook de politie heeft boter op de hoofd zijn doe er ook niets mee.
15-04-2021, 14:26 door Anoniem
Slechte ontwikkeling. Dit hindert het werk van de security professional.

Het gaat hier om een plaatje dat op een openstaande NAS staat. Er is dus geen sprake van inbraak. Waarschuwen wordt kennelijk strafbaar. Wie heeft hier zitten slapen?
15-04-2021, 14:41 door Anoniem
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt.
Lekker duidelijk...
Betekent dit dat ik strafbaar ben als ik "niet-openbare", maar wél door Google geïndexeerde gegevens inzie op hun cache pagina?
15-04-2021, 15:11 door Anoniem
Door Anoniem: Slechte ontwikkeling. Dit hindert het werk van de security professional.

Het gaat hier om een plaatje dat op een openstaande NAS staat. Er is dus geen sprake van inbraak. Waarschuwen wordt kennelijk strafbaar. Wie heeft hier zitten slapen?

Hoezo "wordt kennelijk strafbaar"?.....Hij is toch vrijgesproken?
15-04-2021, 15:28 door Anoniem
Door Anoniem: Slechte ontwikkeling. Dit hindert het werk van de security professional.

Het gaat hier om een plaatje dat op een openstaande NAS staat. Er is dus geen sprake van inbraak. Waarschuwen wordt kennelijk strafbaar. Wie heeft hier zitten slapen?

Computervredebreuk is inderdaad inbreken,
Nou lijkt het als je apperaat 'open' staat dat je niet echt inbreekt, maar 'open' kan ook betekenen dat je de default inloggegevens gebruikt, of de inlog gegevens openlijk bekend zijn.

Inloggegevens gebruiken die niet van jou zijn, (zoals: admin, admin) is ook computervredebreuk.
15-04-2021, 15:33 door Anoniem
Door Anoniem:
Door Anoniem: Slechte ontwikkeling. Dit hindert het werk van de security professional.

Het gaat hier om een plaatje dat op een openstaande NAS staat. Er is dus geen sprake van inbraak. Waarschuwen wordt kennelijk strafbaar. Wie heeft hier zitten slapen?

Computervredebreuk is inderdaad inbreken,
Nou lijkt het als je apperaat 'open' staat dat je niet echt inbreekt, maar 'open' kan ook betekenen dat je de default inloggegevens gebruikt, of de inlog gegevens openlijk bekend zijn.

Inloggegevens gebruiken die niet van jou zijn, (zoals: admin, admin) is ook computervredebreuk.

'Rechter, ik gebruikte mijn eigen inloggegevens 'admin:admin' en kon inloggen.'
15-04-2021, 15:40 door Anoniem
Vind je een kwetsbaarheid, wegklikken en vergeten. Het is niet jouw probleem en als je probeert te helpen loop je alleen maar een risico. Je wordt er zelf nooit beter van. Dus, wegklikken!
15-04-2021, 15:51 door Anoniem
"De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn"

Misschien kan iemand dat even duiden? Als shodon het verzameld en jij het doorstuurt, waarom zou dat dan strafbaar zijn?
15-04-2021, 15:53 door Anoniem
Door Anoniem: Slechte ontwikkeling. Dit hindert het werk van de security professional.

Het gaat hier om een plaatje dat op een openstaande NAS staat. Er is dus geen sprake van inbraak. Waarschuwen wordt kennelijk strafbaar. Wie heeft hier zitten slapen?

Jij?

als je informatie uit een andere computer haalt, en het maakt niet uit of je die computer gevonden hebt met google of shodan of iets anders, of het betere raadwerk. Het maakt dacht ik zelfs niet uit of die gebrekkig beveiligd is, of open is.
Iets uit een openstaande NAS halen is iets anders dan een website bezoeken, en je kunt ook een screenshot maken dat je hem gevonden hebt, zonder er informatie uit te halen....
15-04-2021, 16:21 door Arnoud Engelfriet
Door Anoniem: "De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn"

Misschien kan iemand dat even duiden? Als shodon het verzameld en jij het doorstuurt, waarom zou dat dan strafbaar zijn?
Omdat het sinds kort strafbaar is om gegevens te publiceren of herpubliceren die niet legaal voor het publiek beschikbaar waren. En ja, dat betekent dus dat als een partij als Shodan het verzamelt jij het niet mag hergebruiken. Want Shodan kreeg het niet legaal, dus jij ook niet. Dat iedereen er ondertussen bij kan, doet daar niet aan af.
15-04-2021, 16:32 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: "De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn"

Misschien kan iemand dat even duiden? Als shodon het verzameld en jij het doorstuurt, waarom zou dat dan strafbaar zijn?
Omdat het sinds kort strafbaar is om gegevens te publiceren of herpubliceren die niet legaal voor het publiek beschikbaar waren. En ja, dat betekent dus dat als een partij als Shodan het verzamelt jij het niet mag hergebruiken. Want Shodan kreeg het niet legaal, dus jij ook niet. Dat iedereen er ondertussen bij kan, doet daar niet aan af.

Mooi, kunnen we dan google ook gaan uitzetten?
15-04-2021, 17:07 door Anoniem
Okee, ik heb ook eens een groot lek gemeld, maar dat deed ik wel via de regels van het bedrijf (responsible disclosure) en met een versleutelde PGP-mail.

Aangezien ik mij aan de regels heb gehouden die het bedrijf heeft opgesteld, is er nooit enige vervolging wegens computervredebreuk tegen mij ingesteld. Het kan dus wél, mits je maar precies doet wat een bedrijf vraagt. Daarom maak ik ook op dit forum niet bekend om welk bedrijf dit gaat, en hoe deze kwetsbaarheid werd gevonden.
15-04-2021, 17:11 door Anoniem
Interessante jurisprudentie "Vrijspraak voor man die via Shodan-screenshot voor lek waarschuwde"
Ik zie dat er steeds meer OSINT achtige handelingen (mogelijk) strafbaar worden.
Goed tegen argument dat de Burger meer mag dan de Politie
15-04-2021, 18:05 door karma4
Door Anoniem: Interessante jurisprudentie "Vrijspraak voor man die via Shodan-screenshot voor lek waarschuwde"
Ik zie dat er steeds meer OSINT achtige handelingen (mogelijk) strafbaar worden.
Goed tegen argument dat de Burger meer mag dan de Politie
J kunt net zo goed stellen dat onder het mom van privacy (de klager) de privacy van anderen (gegevens achter de shodan port) geschaad wordt. Waarom is de AP geen vragen gaan stellen aan de rechten wegens die inperking?
15-04-2021, 21:49 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: "De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn"

Misschien kan iemand dat even duiden? Als shodon het verzameld en jij het doorstuurt, waarom zou dat dan strafbaar zijn?
Omdat het sinds kort strafbaar is om gegevens te publiceren of herpubliceren die niet legaal voor het publiek beschikbaar waren. En ja, dat betekent dus dat als een partij als Shodan het verzamelt jij het niet mag hergebruiken. Want Shodan kreeg het niet legaal, dus jij ook niet. Dat iedereen er ondertussen bij kan, doet daar niet aan af.
Biedt dat ook mogelijkheden om achter partijen als Shodan aan te gaan?
16-04-2021, 08:07 door Anoniem
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem: "De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn"

Misschien kan iemand dat even duiden? Als shodon het verzameld en jij het doorstuurt, waarom zou dat dan strafbaar zijn?
Omdat het sinds kort strafbaar is om gegevens te publiceren of herpubliceren die niet legaal voor het publiek beschikbaar waren. En ja, dat betekent dus dat als een partij als Shodan het verzamelt jij het niet mag hergebruiken. Want Shodan kreeg het niet legaal, dus jij ook niet. Dat iedereen er ondertussen bij kan, doet daar niet aan af.
Biedt dat ook mogelijkheden om achter partijen als Shodan aan te gaan?

De implicatie is volgens mij nog breder: is veel van de informatie over datalekken die in de media staat dan niet ineens ook illegaal? Of is een balkje ervoor zetten ineens afdoende?

Stel dat ik het in Google zie staan, is het melden bij de eigenaar van die data ineens een risico?
16-04-2021, 16:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem: "De rechter laat weten dat het handelen van de verdachte in de toekomst mogelijk wel strafbaar zou kunnen zijn"

Misschien kan iemand dat even duiden? Als shodon het verzameld en jij het doorstuurt, waarom zou dat dan strafbaar zijn?
Omdat het sinds kort strafbaar is om gegevens te publiceren of herpubliceren die niet legaal voor het publiek beschikbaar waren. En ja, dat betekent dus dat als een partij als Shodan het verzamelt jij het niet mag hergebruiken. Want Shodan kreeg het niet legaal, dus jij ook niet. Dat iedereen er ondertussen bij kan, doet daar niet aan af.
Biedt dat ook mogelijkheden om achter partijen als Shodan aan te gaan?

De implicatie is volgens mij nog breder: is veel van de informatie over datalekken die in de media staat dan niet ineens ook illegaal? Of is een balkje ervoor zetten ineens afdoende?

Dat is niet waar ik op doel. Wat ik bedoel is: is het mogelijk om een bedrijf aan te klagen wat informatie die ze
vergaren met brede en identificerende scans en deze vervolgens publiceren op internet?
"voor het publiek" is dit soort informatie (zeker reverse-searched, bijv "op welke IP adressen draait software X") niet
beschikbaar, zij vergaren dit en publiceren het wel. Vervolgens maken criminelen en scriptkiddies daar weer gebruik van.

Omdat er steeds meer van dit soort bedrijven komen geeft het ook overlast op je verbinding (steeds meer van dit soort
ruis door voortdurend scannen). Het zou goed zijn als daarop eens een keer juridisch gereageerd kan worden.
17-04-2021, 12:41 door Anoniem
Door Anoniem: Het is eigenlijk best wel zielig als je iemand gaat aanklagen die jou waarschuwt voor een lek.

Tenzij het een verkapte manier is om iemand tot iets te dwingen.
19-04-2021, 09:05 door spatieman
hoe werk je criminaliteit in de hand ,nou , in plaats van mensen te belonen met op zich een dank je wel, gooi je ze in de bak.
om dan vervolgens bij een 2e keer de gegevens aan shady personen te verkopen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.