image

EFF: delen van wachtwoorden is geen misdrijf

vrijdag 12 december 2014, 17:06 door Redactie, 13 reacties

Het inloggen op een computer met andermans wachtwoord, zolang die daar zelf toestemming voor heeft gegeven, is geen misdrijf. Dat liet de Electronic Fontier Foundation (EFF) deze week tijdens een hoger beroep in de VS weten. Het gaat om de zaak van David Nosal, die voor het rekruteringsbedrijf Korn/Ferry had gewerkt. Werknemers mochten volgens het bedrijfsbeleid de bedrijfsdatabase alleen voor officiële werkgerelateerde taken benaderen.

Nadat Nosal bij het bedrijf vertrok om zijn eigen rekruteringsbedrijf te starten, vroeg hij andere ex-medewerkers van Korn/Ferry om op de database van het bedrijf in te loggen met de inloggegevens van iemand die nog steeds bij het rekruteringsbedrijf werkte. Deze werkneemster had echter wel toestemming gegeven dat haar ex-collega's haar inloggegevens zouden gebruiken. Volgens de Amerikaanse overheid had Nosal op deze manier de computermisbruikwetgeving overtreden.

Veroordeling

Ook de rechtbank stelde dat het niet uitmaakte dat Nosal toestemming had om de inloggegevens te gebruiken. Een jury veroordeelde hem tot een gevangenisstraf van een jaar, een geldboete van 60.000 dollar. Daarnaast moet hij Korn/Ferry een schadevergoeding van 830.000 dollar betalen. Nosal ging in beroep en krijgt nu steun van de EFF. Volgens de Amerikaanse burgerrechtenbeweging moet de wet vooral gericht zijn op het buiten houden van ongewenste en ongeautoriseerde personen in computersystemen.

De rechtbank die oordeelde dat Nosal schuldig was stelde dat de wet niet vereist dat de overheid moet aantonen dat er sprake van "hacking" is of dat er een technologische beveiligingsmaatregel is omzeild om toegang te krijgen. Op deze manier blijft de wet breed en vaag, zo stelt de EFF. Daarnaast wordt er met het gebruik van iemands wachtwoord met zijn of haar toestemming geen beveiliging omzeild.

Volgens de burgerrechtenbeweging handelt een persoon die het wachtwoord van een ander gebruikt in principe in opdracht van die persoon. Dat de werkneemster van Korn/Ferry haar wachtwoord niet mocht delen is alleen een schending van het bedrijfsbeleid en geen overtreding van de wet, zo claimt de EFF. De interpretatie van de computermisbruikwetgeving door de rechtbank zou er echter nu voor zorgen dat normaal en onschuldig gedrag, zoals het inloggen op het Facebookaccount van een partner met zijn of haar toestemming, strafbaar wordt gesteld.

Reacties (13)
12-12-2014, 17:43 door maboc
Begrijp ik het nu goed?
1 - Nosal verlaat bedrijf X
2 - Nosal is goede vriendjes met mevr. Y
3 - Y geeft toestemming aan iedereen (?) om van haar account gebruik te maken
4 - Nosal gaat samen met anderen (ik gok dat deze lieden nu in zijn bedrijfje werken) inloggen middels de credentials van Y

hmmmm...ik ben juridisch niet zo goed onderlegd.
Wellicht is dit juridisch wel koosjer, maar in mijn beleving is het dat niet.

Mevrouw Y zit in mijn optiek nogal fout, want ze faciliteert bedrijfsspionage.
Nosal cum suis zit ook nogal fout want, pleegt in mijn beleving bedrijfsspionage.

Nuja, het addertje zit 'm er natuurlijk in dat het hier over het gebruik van de credentials gaat.

Anyway..niet zo fris allemaal
12-12-2014, 17:58 door Eric-Jan H te D
Spijtig dat EFF zich inzet voor wat in mijn ogen "misbruik van vertrouwen by proxy is".
EFF strijdt op ICT gebied veelal op basis van argumenten die niet direct een wettelijke
basis maar wel een geaccepteerde morele basis hebben. Als zodanig hadden zij moeten
beseffen dat wat zij hier verdedigen het verdedigen niet verdient.
12-12-2014, 18:24 door Briolet
Door maboc: Wellicht is dit juridisch wel koosjer, maar in mijn beleving is het dat niet.

De eerste rechter was het blijkbaar eens met jouw rechtsgevoel. Waarschijnlijk is hij alleen vrijgesproken in hoger beroep omdat hij op grond van een wet veroordeeld was die niet op zijn specifieke situatie van toepassing was. En tijdens het hoger beroep plots de aanklacht aanpassen om hem op andere gronden schuldig te verklaren zal ook niet gekund hebben.

Die wet gaat blijkbaar alleen over hacking. Dus iemand die telefonisch een slachtoffer overhaalt om zijn pincode door te geven om zijn rekening te kunnen plunderen zal volgens die wet ook niet strafbaar zijn. Inderdaad, mooie boel daar. Als ze consequent zijn, staat EFF ook achter het niet strafbaar stellen van dit soort oplichting.
13-12-2014, 01:13 door Anoniem
Hoe was het ookalweer? Dat er bedrijven zijn die je verplichten je facebookinlog met wachtwoord te overhandigen zodat ze kunnen zien wat jij allemaal uitvreet in je priveleven? Lijkt me aardige vraag hoe zich dat met deze argumentatie verhoudt, met zowel die van de EFF als die van de rechtbank.

Verder is het wel heel erg handig als je vanalles niet hoeft aan te tonen om toch tot een veroordeling te komen. Wetten die zulks toestaan zijn inderdaad te breed en te vaag om nog van "recht" te kunnen spreken. Immers, je hoeft maar te beschuldigen en niets hard te maken, die veroordeling krijg je er toch wel door.
13-12-2014, 10:09 door maboc
Door Eric-Jan H te A: ...
...
"misbruik van vertrouwen by proxy is".
...
...

Dat is denk ik precies wat mijn bezwaar is. tnx.
13-12-2014, 10:22 door maboc
Door Briolet:
Door maboc: Wellicht is dit juridisch wel koosjer, maar in mijn beleving is het dat niet.

De eerste rechter was het blijkbaar eens met jouw rechtsgevoel. Waarschijnlijk is hij alleen vrijgesproken in hoger beroep omdat hij op grond van een wet veroordeeld was die niet op zijn specifieke situatie van toepassing was. En tijdens het hoger beroep plots de aanklacht aanpassen om hem op andere gronden schuldig te verklaren zal ook niet gekund hebben.

Die wet gaat blijkbaar alleen over hacking. Dus iemand die telefonisch een slachtoffer overhaalt om zijn pincode door te geven om zijn rekening te kunnen plunderen zal volgens die wet ook niet strafbaar zijn. Inderdaad, mooie boel daar. Als ze consequent zijn, staat EFF ook achter het niet strafbaar stellen van dit soort oplichting.

Ik snap inderdaad niet dat de EFF hier een zaak van maakt. Wellicht maken ze zich wat zorgen over vrienden/familie/gezinsleden die elkaars facebook account kennen. Maar de huidige uitleg is ook bijzonder ongunstig.

Over het algemeen denk ik dat heel veel zaken baat hebben bij S.M.A.R.T. Ook juridische zaken (dat maakt de rechtspraak mooi transaparant). HIer had wat minder S.M.A.R.T. toch handiger geweest.

In de scheepvaart is de eerste regel "Goed zeemanschap"
Daar kun je altijd aan opgehangen worden, als je iets stoms doet, wat buiten alle andere regels valt.
Nu snap ik ook wel dat dat niet kan in de cyber wereld, maar dat zou toch een fraai beginsel zijn.
(jaja..ik snap ook wel dat er allemaal haken en ogen aan kleven)
13-12-2014, 10:54 door Anoniem
Door Eric-Jan H te A: Spijtig dat EFF zich inzet voor wat in mijn ogen "misbruik van vertrouwen by proxy is".
EFF strijdt op ICT gebied veelal op basis van argumenten die niet direct een wettelijke
basis maar wel een geaccepteerde morele basis hebben. Als zodanig hadden zij moeten
beseffen dat wat zij hier verdedigen het verdedigen niet verdient.
Het gaat ze er helemaal niet om dit datakapen te verdedigen, het gaat ze erom dat het vervolgen met de verkeerde argumenten tot heel nare neveneffecten kan leiden. Hier wordt de "Computer Fraud and Abuse Act" gebruikt om het wangedrag te vervolgen. Wat daar mis mee is is dat iedereen die met toestemming het account en wachtwoord van een ander even leent (inclusief je echtgenoot) opeens computerfraude pleegt en een jaar gevangenisstraf kan krijgen. Ze kiezen geen partij voor een misdadiger, ze kiezen partij tegen een manier van vervolgen die tot heel schadelijke jurisprudentie leidt.
13-12-2014, 11:29 door [Account Verwijderd]
[Verwijderd]
13-12-2014, 12:11 door Anoniem
Ik denk dat er hier een paar mensen niet helemaal gevat hebben waar de EFF nu precies zo tegen is: Er wordt hier een wet ingezet om iemand crimineel veroordeeld te krijgen voor iets wat helemaal niet expliciet in die wet strafbaar gesteld is. Het is een overbrede, overvage wet.

Stel je een tv-programma voor, "de smurfende rechter", waar een rechtersmurf iedere aflevering een andere smurf wegens andere daden veroordeelt voor "smurfen". Is dat rechtspraak?

De zo ontstane jurisprudentie laten bestaan is een veel groter probleem dan de relatief mineure vergrijpen waar nu met deze wet in de hand een criminele veroordeling van gesmeed is.
13-12-2014, 14:08 door Eric-Jan H te D
Door Anoniem: Wat daar mis mee is is dat iedereen die met toestemming het account en wachtwoord van een ander even leent (inclusief je echtgenoot) opeens computerfraude pleegt

Het uitlenen van wachtwoorden is onwenselijke. Ondanks dat, is het door jou genoemde scenario net zoiets als seks met je vrouw hebben en achteraf van verkrachting beschuldigd worden, Een kwestie van vertrouwen dus. De door jou geschetste praktijk hoort niet voor de rechter te komen. En als dat wel gebeurt, dan heeft de rechter een lastige klus.
13-12-2014, 20:51 door Anoniem
Door Eric-Jan H te A: Het uitlenen van wachtwoorden is onwenselijke.
Weet ik niet. Even in het algemeen: Vergelijk je pinpas. Die "mag" je ook niet uitlenen. Dus wat te doen als je junior om een pak melk wil sturen? Geld overmaken naar zijn rekening dat'ie zelf kan pinnen? Dan is het sneller zelf maar even te gaan, maar dat was toch net het punt niet, dus geef je dan maar de pinpas mee. Ook al mag dat dus gewoon niet, en zal je bank --als ze er hoe dan ook achterkomen-- je ervoor spreekwoordelijk laten hangen. Zo zijn ze dus ook weer: Niet echt goed van vertrouwen jegens hun eigen klantjes.

Om vergelijkbare redenen (naast vele, vele andere redenen) is biometrie als toegangscontrole ook niet ideaal. Soms is het gewoon handig om even je sleutels te kunnen uitlenen. Ook dat is dan een kwestie van vertrouwen.

Als de techniek zoiets niet toelaat, dan is dat uiterst restrictief op de gebruiker. Dit is dus een gebrek in het systeem.

En voor je roept dat het "uitlenen" helemaal niet mag om deze of gene reden*, vergeet niet dat dit uitlenen schering en inslag is voor legitieme doelen ook al mag het helemaal niet en is het om administratieve(!) redenen helemaal niet handig of zelfs onwenselijk. Dat maakt het veel makkelijker om met smoesjes bij je oud-collegae toch de gegevens los te peuteren.

Wat dat betreft dus een veel beter idee om aan toegangscodes een delegatiemechanisme toe te voegen, zodat je zeg maar electronisch je sleutels kan "uitlenen", zodat er duidelijk zichtbaar is wat er gebeurt en er veel eerder ingegrepen kan worden als er misbruik van wordt gemaakt. Het verandert ook de houding van de werknemers: Even delegeren kan best en is zelfs makkelijk op de officieele manier, en dus is er veel minder reden om het op de onofficieele manier te doen.

Er kan dus best het een en ander op systeemgebied gedaan worden.


* Volgens het (civielrechtelijke!) bedrijfsreglement niet, hopelijk voor de werkgever in dit geval, maar daar gaat deze veroordeling niet over. Die gaat over (mis)bruik van die "geleende" toegangscodes voor eigen gewin, iets waar de gebruikte wet niet over hoort te gaan, en dus is een veroordeling daarvoor op grond van deze wet misbruik van de (overbrede, slechte) wet. En daarmee een gerechtelijke dwaling. Wat de misdragingen niet minder misdraging maakt, maar zoals de Amerikanen zelf zeggen, "two wrongs don't make a right".
14-12-2014, 11:33 door Anoniem
Daar we volledige verhaal niet kennen blijft een reactie moeilijk.

Echter ik ben vanuit Principe dat alles vanuit vrijheid, en vertrouwen mogelijk moet zijn, het dan ook met de EFF eens.
15-12-2014, 16:21 door Anoniem
In het algemeen:
Het delegeren van bevoegdheden is dagelijkse praktijk. Wat je wilt bereiken is dat het delegeren vastgelegd wordt en beperkt in tijd (mag uur, week, maand, jaar zijn).
Dan is het van belang dat elke handeling altijd te traceren is naar de natuurlijke persoon die het uitvoert. Dat is wat lastiger met het uitlenen van je bankpasje en de sleutels van je huis of zoals hier je credentials.

Voorbeeld:
Het zou gebruikersvriendelijk zijn van de bank om een optie van delegeren in te bouwen zodat je bijvoorbeeld je kind jouw geld kunt laten uitgeven (ook weer beperkt in hoeveelheid in tijd). Maar dan wordt het systeem complexer, en complexiteit levert weer beveiligingsrisico's op.
Nu hebben voor dit probleem een oplossing: contactloos betalen. Geef gerust je pas mee als je weet dat het bedrag onder de 25 euro blijft :-))

Het delen van het wachtwoord is niet het probleem, het misbruik wel.
Om misbruik vast te stellen moet je alle informatie hebben over dit 'incident'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.