image

Mag je bedrijf “Robert’); DROP TABLE Companies;–” heten?

woensdag 5 oktober 2022, 11:33 door Arnoud Engelfriet, 12 reacties
Laatst bijgewerkt: 05-10-2022, 14:56

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las op Twitter dat in Engeland het niet meer toegestaan is om "computer code" in je bedrijfsnaam op te nemen. Dit vanwege het risico's van SQL injectie en dergelijke bij de Engelse KVK en datahandelaren. Hoe zit dat in Nederland?

Antwoord: Veel lezers zullen nu denken aan de xkcd-strip (https://www.explainxkcd.com/wiki/index.php/327:_Exploits_of_a_Mom) over het jongetje "Robert'); DROP TABLE Students;--", wiens naam ervoor zorgt dat de school al haar gegevens kwijtraakt. De SQL code in Robert's voornaam is een triviale exploit die verrassend vaak werkt (als alles stupide is ingesteld, wat dus redelijk vaak het geval is.) Zijn roepnaam is Bobby, maar Robert is nu oud genoeg om een bedrijf op te richten. Wat in Engeland dus niet mag.

Afijn. Het punt is dus: dit is computercode, en de software van de Companies House (de Engelse KVK) kan daar niet mee omgaan en/of kan rare dingen doen. Dus dat is nu een weigeringsgrond geworden voor een Engelse bedrijfsnaam. In Nederland bestaat zo'n regel niet. De regels over handelsnamen zijn vrij simpel (https://www.dezaak.nl/marketing-sales/hieraan-moet-een-handelsnaam-voldoen/) en gericht op het doel van handelsnamen: niet misleiden, je niet groter voordoen en geen speciale aanduidingen zoals bv of bank of stichting tenzij je dat bent.

Over gekke tekens zegt de KVK:

Je mag cijfers en de leestekens @ & + en – altijd gebruiken in je bedrijfsnaam, Speciale tekens als () ? ! * # / mag je uitsluitend ter vervanging van een letter of als 'woordgrap' gebruiken.

Ik kan niet direct een juridische basis voor deze uitspraak vinden, behalve dan het argument dat het moet gaan om een 'naam' en dat namen toch vrij evident bestaan uit letters, cijfers en die leestekens, met hooguit een woordgrap. (Van dit standaardwerk (pdf), hoewel grondig, werd ik niet veel wijzer.)

Dat sluit aan bij een indirect gerelateerde zaak uit 2010 bij het Hof van Justitie, waarbij de merknaam "&R&E&I&F&E&N&" werd ingeschreven met als doel voorrang te krijgen bij de .eu domeinnaamopenstelling voor www.reifen.eu. Het Hof bepaalde dat een merkregistratie ongeldig is (kwade trouw) als je niet het oogmerk hebt het merk als zodanig te gebruiken in de markt. Daaruit zou ook voor handelsnamen het argument kunnen volgen dat "Robert'); DROP TABLE Companies;--" niet bedoeld is als handelsnaam maar als truc om de KVK (en data brokers) te pesten.

Engelse slimmeriken ontdekten al een IT-consultant die IFTHENELSE heet, bij de KVK vond ik TRY CATCH, zoeken op // geeft vele resultaten, en toen vond ik ook diverse bedrijven die DROP TABLE heten. Eentje lijkt zelfs van Robert Table te zijn:

Lachi'); DROP TABLE bedrijf;--, Hoofdvestiging KvK 67788106 Vestigingsnr. 000036287172

Hier lijkt dus een filter van de KVK minder streng te zijn dan de folder, of dit bedrijf was goed in het overbrengen van de humor van deze bedrijfsnaam.

Wie vindt er nog een bedrijfsnaam die computercode bevat?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
05-10-2022, 12:36 door Anoniem
https://xkcd.com/327/
05-10-2022, 13:39 door Anoniem
Het zou een mooi naam zijn tegen handelaren van handelsgegevens, zoals de pandjesprins' zijn cm.com, die nog altijd jarenoude entries in zijn bestanden houdt - daar waar de KvK nu eindelijk redactie had toegepast (en je als ZZP slachtoffer dus nog steeds niet van gelul af bent).
05-10-2022, 15:00 door Anoniem
De KVK linkjes geven ondertussen: "The requested URL was rejected. Please consult with your administrator.". Misschien dat de IDS bij de KVK helemaal over de toeren aan het gaan is? :)
05-10-2022, 15:15 door Anoniem
Misschien ook wel een geinig stukje om te lezen wat hier enigzins aan gerelateerd is: https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/
05-10-2022, 15:33 door Anoniem
Als de KvK zonder het zelf door te hebben UTF-8 gebruikt, dan zouden emojis ook moeten kunnen. En Malayalam. Dat is een leuke taal. In die tekens zitten hele spannende perzikjes en meer best wel erotische tekens. Wat als firmanaam natuurlijk erg goed is voor de verkoop.

Daarbij zijn zulke tekens ideaal voor je privacy, want als de KvK betaald lekt, wie zoekt er nou in Malayalam?
06-10-2022, 07:55 door Anoniem
Als dit soort namen enig invloed hebben op de werking dan zegt dit veel over de kwaliteitscontrole op de software.
06-10-2022, 10:56 door Anoniem
Rest me de vraag; wie beoordeelt dan dan een opgegeven bedrijfsnaam computercode bevat? Hoe ziet een gemiddelde beoordelaar dit? Dus hoe ziet de uitvoering van deze regel er uit?
06-10-2022, 12:00 door Anoniem
Dus ook geen PRINT meer in je bedrijfsnaam?
06-10-2022, 17:40 door Anoniem
Je kan het zelfde ook proberen met de kenteken van je auto:

LA-123-ZT'); DROP TABLE kentekens;--


Who knows, misschien werkt het bij de trajectcontrole.
06-10-2022, 18:31 door Anoniem
Er zijn ook bedrijven met het groter en kleiner dan teken in de naam. Het laat zich raden hoe die wel eens terugkomen in zoekresultaten.

Grappiger zijn bedrijfsnamen waarin de voorbeeldnamen die iedereen wel eens gebruikt worden gebruikt, lijkt me vooral frusterend voor de eigenaar die waarschijnlijk veel post krijgt omdat iemand weer eens aan het testen is in productie.
06-10-2022, 22:11 door Anoniem
Door Anoniem:
Grappiger zijn bedrijfsnamen waarin de voorbeeldnamen die iedereen wel eens gebruikt worden gebruikt, lijkt me vooral frusterend voor de eigenaar die waarschijnlijk veel post krijgt omdat iemand weer eens aan het testen is in productie.
Je bedoelt dat je je bedrijf geregistreerd hebt onder de naam Contoso?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.