image

Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?

woensdag 15 mei 2024, 09:54 door Arnoud Engelfriet, 12 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?

Antwoord: Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.

Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.

Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.

Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.

Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.

(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
15-05-2024, 12:26 door Anoniem
Mij lijkt het melden van datalekken altijd wel mag. Mits je zelf natuurlijk geen gegevens zelf buit maakt op het apparaat waar je het lek hebt ontdekt als hacker.
15-05-2024, 12:56 door Anoniem
Door Anoniem: Mij lijkt het melden van datalekken altijd wel mag. Mits je zelf natuurlijk geen gegevens zelf buit maakt op het apparaat waar je het lek hebt ontdekt als hacker.

Juridisch niet dus. Wanneer je een geheimhoudingsverklaring hebt ondertekend dien je je daar aan te houden.
15-05-2024, 15:32 door johanw
Je kunt het altijd anoniem publiceren met prove of concept code erbij, dan wordt de opdrachtgever wel gedwongen het op te lossen. Probeer die code wel zo te formuleren dat de programmeerstijl niet naar jou wijst en het niet letterlijk het voorbeeld is dat je aan de opdrachtgever gestuurd hebt want dan hebben ze je gauw te pakken.
15-05-2024, 15:49 door Anoniem
Doet me denken aan de opleiding van een advocaat die ik kende. Die kreeg voor zijn examen de opdracht om in een civile zaak de allerbeste aanval te te schrijven. En hij kreeg een tien met griffel. Volgende examen was om de allerbeste verdediging tegen zijn eigen aanval te schrijven.

Ethisch hacken zie ik als net zo iets. Je geweten komt eraan te pas. Of je nou een NDA hebt getekend of niet, je geweten gaat boven alles. En zeer belangrijk, boven je eigen ego.

Als je dan uiteindelijk moet besluiten om te publiceren, deels of alles, moet uit de bodem van je ziel komen. Dan zul je meestal ook de rechter aan je kant vinden. Want die heeft ook ooit van die examens moeten doen.
15-05-2024, 19:07 door Anoniem
"Ethisch hacken" als in ongevraagd gewoon niet doen.

Zelfs al meld je het ter goeder trouw bij de fabrikant of bedrijf is er altijd nog een kans dat er een aangifte komt en de officier van justitie probeert er een zaak van maakt.

Ook bij een bekende Nederlandse webshop een melding gemaakt, dat producten/items de prijs op nul stond netjes vermeld wie ik was, wanneer, welke items en wat en de oplossing, als dank account vergrendeld en een brief van de Politie om mij te melden.
Koste mij en de overheid alleen maar tijd en geld zaak is uiteindelijk geseponeerd wegens gebrek aan bewijs.

Bij de meeste bug bounty platforms form van big Tech bedrijven kan je goede afspraken maken over publicatie met de stakeholders. Zo vraag ik om de bounty te lokaal te doneerden, mijn ING stelt toch alleen maar rare vragen over bedragen die iets met 1337 of meervoud daarvan zijn de enige harde eis die ik heb is dat ik recht behoud om als het opgelost is als eerste er over te mogen schrijven, presenteren. Dit werk heel goed.
16-05-2024, 10:47 door Anoniem
aldus de advocaat:
Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.
...ondanks danwel dankzij die https://www.wetbeschermingklokkenluiders.nl/...
16-05-2024, 11:41 door Anoniem
Waarom deze geheimzinnigheid (meestal rond gesloten bedrijven)en hoezo een geheimhoudingsplicht? Er hangt een raar sfeertje rond software waar straffen ook erg hoog zijn voor een delict. Ik heb ooit een keer een probleem gemeld, niet 1 bedankje wel dat het niet de bedoeling was dat ik de servers van andere bedrijven kon zien.
Ik vind dat je een onveilige situatie gewoon in het openbaar moet kunnen melden, moeten ze maar minder onveilige software gebruiken. Gebeurd in de open source wereld ook via git issue openen etc.

Als er een stoeptegel ontbreekt op een fietspad naar school meld je het toch ook gewoon bij de gemeente. Dit wordt dan hopelijk snel gerepareerd of anders afgezet. Dan ga je toch ook niet niks zeggen en die kleuters hun benen laten breken.
16-05-2024, 15:05 door User2048
Door Anoniem: [...]

Als er een stoeptegel ontbreekt op een fietspad naar school meld je het toch ook gewoon bij de gemeente. Dit wordt dan hopelijk snel gerepareerd of anders afgezet. Dan ga je toch ook niet niks zeggen en die kleuters hun benen laten breken.
Een betere vergelijking is dat jij weet dat het slot van de achterdeur van de school kapot is. Ga je dat in de openbaarheid brengen, zodat jan en alleman daar 's nacht de boel kunnen leegroven? Of geef je de school eerst de gelegenheid om het slot te repareren?
16-05-2024, 19:37 door Anoniem
Gaat de school je dan ook aanklagen? Of krijg je een beloning?

Is toch wel heel wat anders dan dat je het aan een bedrijf meld en de politie op je dak krijgt!
16-05-2024, 19:39 door Anoniem
Door johanw: Je kunt het altijd anoniem publiceren met prove of concept code erbij, dan wordt de opdrachtgever wel gedwongen het op te lossen. Probeer die code wel zo te formuleren dat de programmeerstijl niet naar jou wijst en het niet letterlijk het voorbeeld is dat je aan de opdrachtgever gestuurd hebt want dan hebben ze je gauw te pakken.
Met die mentaliteit ben je voor mij al geen ethisch hacker meer.
16-05-2024, 20:58 door Anoniem
Door Anoniem:
Door Anoniem: Mij lijkt het melden van datalekken altijd wel mag. Mits je zelf natuurlijk geen gegevens zelf buit maakt op het apparaat waar je het lek hebt ontdekt als hacker.

Juridisch niet dus. Wanneer je een geheimhoudingsverklaring hebt ondertekend dien je je daar aan te houden.

Nee, niet als er groter algemeen belang of (wettelijke) verplichting bestaat om te melden. Overeenkomsten gaan niet boven de wet.
16-05-2024, 23:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mij lijkt het melden van datalekken altijd wel mag. Mits je zelf natuurlijk geen gegevens zelf buit maakt op het apparaat waar je het lek hebt ontdekt als hacker.

Juridisch niet dus. Wanneer je een geheimhoudingsverklaring hebt ondertekend dien je je daar aan te houden.

Nee, niet als er groter algemeen belang of (wettelijke) verplichting bestaat om te melden. Overeenkomsten gaan niet boven de wet.
Volgens mij staat daar niets over in de wet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.