Achtergrond

Juridische vraag: Hacker wordt bedreigd na melden lek

woensdag 13 mei 2009, 12:50 door Arnoud Engelfriet, 12 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Laatst maakte ik een typefout bij het invullen van een formulier. Ik kreeg toen een zeer cryptische foutmelding, waardoor ik het vermoeden kreeg dat ze hun input niet goed filteren. Ik heb dat vermoeden uitgeprobeerd, en met twee slim gekozen SQL commando's bleek inderdaad dat ze erg kwetsbaar voor allerlei zaken waren. Toen heb ik ze gemaild, maar in plaats van een bedankje kreeg ik een boze brief van de juridische afdeling dat ik me schuldig zou hebben gemaakt aan computervredebreuk. Moet ik me nu zorgen maken?

Antwoord: Het "opzettelijk en wederrechtelijk binnendringen" in een computersysteem of -netwerk is strafbaar, ongeacht of je daar nu een beveiliging bij doorbreekt of een truc uithaalt of welke manier je dan ook gebruikt. Dat blijkt uit de Wet Computercriminaliteit. Maar het moet wel opzettelijk zijn, je moet dus de bedoeling hebben gehad om ook echt in dat systeem binnen te dringen. Leun je tegen een deur die naar binnen toe open valt, dan ben je niet binnengeslopen in dat huis. Net zo goed dring je niet in een computer binnen als je een typefout maakt waardoor je iets anders terugkrijgt van het systeem dan je wilde.

Het lijkt me niet meer dan normaal dat je even verifieert dat echt sprake is van een fout voordat je mensen gaat mailen. Daarbij moet je natuurlijk uitkijken dat je geen schade aanricht; fouten verifieer je niet met een "; DROP DATABASE" commando.

In een rechtszaak van afgelopen januari had iemand ontdekt dat een e-learning systeem een fout had. Hier werd de leverancier zelfs zo kwaad dat hij een rechtszaak aanspande. Maar de rechter wees de eis af: "Om te beginnen is voldoende aannemelijk dat in dit geval sprake is van een goedbedoelde en onschuldige actie van de werknemer van Handyman, juist gericht op het behartigen van het belang van [de eiser] die dit zeer wel zó kon begrijpen en er zó ook profijt van had kunnen hebben."

Als je dus werkelijk per ongeluk iets tegenkomt, dan is er weinig aan de hand als je dat even controleert en vervolgens meldt. Maar opzettelijk op zoek gaan naar fouten, of kijken wat je zoal uit die database kunt krijgen is een heel ander verhaal. Je moet je acties zo beperkt mogelijk houden zodat je precies datgene krijgt wat je nodig hebt om de beheerder te informeren.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Column: Het gaat ook zo snel

Juridische vraag: Via mijn Tor exit-node wordt kinderporno bekeken

Reacties (12)

13-05-2009, 13:45 door Anoniem

Een simpele SELECT die je kan uitvoeren is al voldoende om kunnen constateren dat er iets fout zit.
"fouten verifieer je niet met een "; DROP DATABASE" commando. " Die moet ik onthouden! :D

Persoonlijk ben ik juist blij als mensen dat melden, liever dat ze het melden dan misbruiken.

13-05-2009, 14:29 door Eerde

Stelliger, ik zou zo'n bedrijf uitnodigen om vooral rap met die juridische stappen te komen. Falende PR !

Je had immers niet de intentie in te breken, maar zag de mogelijkheid omdat je iets meer dan de gemiddelde gebruiker schijnt te weten, waarvan je ze ook nog eens op de hoogte stelt. Een pluim (=boekenbon van 50 euro), een griffel en een zoen van de juf had je moeten krijgen.

Zelf zou ik een dergelijk bedrijf aan de internetschadpaal nagelen !

13-05-2009, 16:41 door Anoniem

Walgelijk hoe sommige bedrijven kunnen reageren zeg, het is echt de omgekeerde wereld!

13-05-2009, 16:56 door Anoniem

Laatst een lek gevonden in een grote nederlandse site. Had ze gemailt en heb een bedank mail terug gekregen :) .

13-05-2009, 18:34 door Anoniem

Helaas zijn er nog steeds van die personen die niet wensen te accepteren dat ze fouten maken. Het gevolg is dan vaak dat die personen van zich af gaan bijten en gaan dreigen. Zelfkennis is er dan vaak vreemd, men schiet in de verdediging in de hoop dat het probleem wel weg gaat of dat ze niet teveel aandacht krijgen dat ze foutjes of blunders begaan. Wanneer ik zulke personen tegenkom dan weet ik meteen wat ik aan ze heb en dan kunnen ze weinig respect meer van me verwachten. Daarmee bedoel ik dat ik het niet zal nalaten om iedereen die het maar wil horen (dus ik ga niet zelf rondbazuinen) mijn heldere mening geef met een goede onderbouwing. Dat iemand je juridisch achterna komt jaren is hun goed recht, maar er is ook nog zoiets als een sociaal vlak waar je behoorlijk met elkaar hoort om te gaan.

13-05-2009, 19:40 door Jeremy

Laats een lek gevonden in de site van de AIVD. Even gemaild en een beloning van 2.000.000 euro gekregen. :P

13-05-2009, 19:52 door Eerde

Door Jeremy: Laats een lek gevonden in de site van de AIVD. Even gemaild en een beloning van 2.000.000 euro gekregen. :P

Schrijf je dit nu vanuit 'de bak' ? ;)

13-05-2009, 22:29 door spatieman

je meld een inbraak bij de buren,
en vervolgens wordt je voor 2 jaar opgesloten omdat je gezien hebt dat er ingebroken is.......
lekker dat nederland....

13-05-2009, 23:07 door Softlink

Arnoud,

Als ik ze meld, wil u me dan helpen als het mis gaat hihi haha

Ik heb nog wel een paar grote sites met wat grote problemen

Ik heb meer te verliezen dan te winnen dus denk dat ik het maar laat rusten

De regel is erg jammer.

Wilco

15-05-2009, 18:24 door Anoniem

Dus, de vraag of de reactie terecht is hangt er dus van af wat die 'slim gekozen SQL commando's' zijn. Dat lijkt me vrij logisch. Was het niet voldoende geweest de fout te melden die je kreeg als gevolg van de eerste typo..??

16-05-2009, 03:08 door rob

De titel klopt dan niet helemaal he... "Hacker wordt bedreigd na melden lek"....
Ten eerste, als het zo'n geval is waarbij de deur wagenweid openstaat, hoef je geen hacker te zijn om te weten dat het een lek is..... Ten tweede is de juridische definitie van een 'hacker' wat minder rooskleurig.... en dat terwijl het hier de vraag juist is of het om hacking gaat...

20-05-2009, 11:53 door spatieman

oh, u hebt perongeluk een lek gevonden.
we zien elkaar wel weer in de rechtzaal..

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer