EFF: delen van wachtwoorden is geen misdrijf
Het inloggen op een computer met andermans wachtwoord, zolang die daar zelf toestemming voor heeft gegeven, is geen misdrijf. Dat liet de Electronic Fontier Foundation (EFF) deze week tijdens een hoger beroep in de VS weten. Het gaat om de zaak van David Nosal, die voor het rekruteringsbedrijf Korn/Ferry had gewerkt. Werknemers mochten volgens het bedrijfsbeleid de bedrijfsdatabase alleen voor officiële werkgerelateerde taken benaderen.
Nadat Nosal bij het bedrijf vertrok om zijn eigen rekruteringsbedrijf te starten, vroeg hij andere ex-medewerkers van Korn/Ferry om op de database van het bedrijf in te loggen met de inloggegevens van iemand die nog steeds bij het rekruteringsbedrijf werkte. Deze werkneemster had echter wel toestemming gegeven dat haar ex-collega's haar inloggegevens zouden gebruiken. Volgens de Amerikaanse overheid had Nosal op deze manier de computermisbruikwetgeving overtreden.
Veroordeling
Ook de rechtbank stelde dat het niet uitmaakte dat Nosal toestemming had om de inloggegevens te gebruiken. Een jury veroordeelde hem tot een gevangenisstraf van een jaar, een geldboete van 60.000 dollar. Daarnaast moet hij Korn/Ferry een schadevergoeding van 830.000 dollar betalen. Nosal ging in beroep en krijgt nu steun van de EFF. Volgens de Amerikaanse burgerrechtenbeweging moet de wet vooral gericht zijn op het buiten houden van ongewenste en ongeautoriseerde personen in computersystemen.
De rechtbank die oordeelde dat Nosal schuldig was stelde dat de wet niet vereist dat de overheid moet aantonen dat er sprake van "hacking" is of dat er een technologische beveiligingsmaatregel is omzeild om toegang te krijgen. Op deze manier blijft de wet breed en vaag, zo stelt de EFF. Daarnaast wordt er met het gebruik van iemands wachtwoord met zijn of haar toestemming geen beveiliging omzeild.
Volgens de burgerrechtenbeweging handelt een persoon die het wachtwoord van een ander gebruikt in principe in opdracht van die persoon. Dat de werkneemster van Korn/Ferry haar wachtwoord niet mocht delen is alleen een schending van het bedrijfsbeleid en geen overtreding van de wet, zo claimt de EFF. De interpretatie van de computermisbruikwetgeving door de rechtbank zou er echter nu voor zorgen dat normaal en onschuldig gedrag, zoals het inloggen op het Facebookaccount van een partner met zijn of haar toestemming, strafbaar wordt gesteld.
1 - Nosal verlaat bedrijf X
2 - Nosal is goede vriendjes met mevr. Y
3 - Y geeft toestemming aan iedereen (?) om van haar account gebruik te maken
4 - Nosal gaat samen met anderen (ik gok dat deze lieden nu in zijn bedrijfje werken) inloggen middels de credentials van Y
hmmmm...ik ben juridisch niet zo goed onderlegd.
Wellicht is dit juridisch wel koosjer, maar in mijn beleving is het dat niet.
Mevrouw Y zit in mijn optiek nogal fout, want ze faciliteert bedrijfsspionage.
Nosal cum suis zit ook nogal fout want, pleegt in mijn beleving bedrijfsspionage.
Nuja, het addertje zit 'm er natuurlijk in dat het hier over het gebruik van de credentials gaat.
Anyway..niet zo fris allemaal
EFF strijdt op ICT gebied veelal op basis van argumenten die niet direct een wettelijke
basis maar wel een geaccepteerde morele basis hebben. Als zodanig hadden zij moeten
beseffen dat wat zij hier verdedigen het verdedigen niet verdient.
De eerste rechter was het blijkbaar eens met jouw rechtsgevoel. Waarschijnlijk is hij alleen vrijgesproken in hoger beroep omdat hij op grond van een wet veroordeeld was die niet op zijn specifieke situatie van toepassing was. En tijdens het hoger beroep plots de aanklacht aanpassen om hem op andere gronden schuldig te verklaren zal ook niet gekund hebben.
Die wet gaat blijkbaar alleen over hacking. Dus iemand die telefonisch een slachtoffer overhaalt om zijn pincode door te geven om zijn rekening te kunnen plunderen zal volgens die wet ook niet strafbaar zijn. Inderdaad, mooie boel daar. Als ze consequent zijn, staat EFF ook achter het niet strafbaar stellen van dit soort oplichting.
Verder is het wel heel erg handig als je vanalles niet hoeft aan te tonen om toch tot een veroordeling te komen. Wetten die zulks toestaan zijn inderdaad te breed en te vaag om nog van "recht" te kunnen spreken. Immers, je hoeft maar te beschuldigen en niets hard te maken, die veroordeling krijg je er toch wel door.
...
"misbruik van vertrouwen by proxy is".
...
...
Dat is denk ik precies wat mijn bezwaar is. tnx.
De eerste rechter was het blijkbaar eens met jouw rechtsgevoel. Waarschijnlijk is hij alleen vrijgesproken in hoger beroep omdat hij op grond van een wet veroordeeld was die niet op zijn specifieke situatie van toepassing was. En tijdens het hoger beroep plots de aanklacht aanpassen om hem op andere gronden schuldig te verklaren zal ook niet gekund hebben.
Die wet gaat blijkbaar alleen over hacking. Dus iemand die telefonisch een slachtoffer overhaalt om zijn pincode door te geven om zijn rekening te kunnen plunderen zal volgens die wet ook niet strafbaar zijn. Inderdaad, mooie boel daar. Als ze consequent zijn, staat EFF ook achter het niet strafbaar stellen van dit soort oplichting.
Ik snap inderdaad niet dat de EFF hier een zaak van maakt. Wellicht maken ze zich wat zorgen over vrienden/familie/gezinsleden die elkaars facebook account kennen. Maar de huidige uitleg is ook bijzonder ongunstig.
Over het algemeen denk ik dat heel veel zaken baat hebben bij S.M.A.R.T. Ook juridische zaken (dat maakt de rechtspraak mooi transaparant). HIer had wat minder S.M.A.R.T. toch handiger geweest.
In de scheepvaart is de eerste regel "Goed zeemanschap"
Daar kun je altijd aan opgehangen worden, als je iets stoms doet, wat buiten alle andere regels valt.
Nu snap ik ook wel dat dat niet kan in de cyber wereld, maar dat zou toch een fraai beginsel zijn.
(jaja..ik snap ook wel dat er allemaal haken en ogen aan kleven)
EFF strijdt op ICT gebied veelal op basis van argumenten die niet direct een wettelijke
basis maar wel een geaccepteerde morele basis hebben. Als zodanig hadden zij moeten
beseffen dat wat zij hier verdedigen het verdedigen niet verdient.
Stel je een tv-programma voor, "de smurfende rechter", waar een rechtersmurf iedere aflevering een andere smurf wegens andere daden veroordeelt voor "smurfen". Is dat rechtspraak?
De zo ontstane jurisprudentie laten bestaan is een veel groter probleem dan de relatief mineure vergrijpen waar nu met deze wet in de hand een criminele veroordeling van gesmeed is.
Het uitlenen van wachtwoorden is onwenselijke. Ondanks dat, is het door jou genoemde scenario net zoiets als seks met je vrouw hebben en achteraf van verkrachting beschuldigd worden, Een kwestie van vertrouwen dus. De door jou geschetste praktijk hoort niet voor de rechter te komen. En als dat wel gebeurt, dan heeft de rechter een lastige klus.
Om vergelijkbare redenen (naast vele, vele andere redenen) is biometrie als toegangscontrole ook niet ideaal. Soms is het gewoon handig om even je sleutels te kunnen uitlenen. Ook dat is dan een kwestie van vertrouwen.
Als de techniek zoiets niet toelaat, dan is dat uiterst restrictief op de gebruiker. Dit is dus een gebrek in het systeem.
En voor je roept dat het "uitlenen" helemaal niet mag om deze of gene reden*, vergeet niet dat dit uitlenen schering en inslag is voor legitieme doelen ook al mag het helemaal niet en is het om administratieve(!) redenen helemaal niet handig of zelfs onwenselijk. Dat maakt het veel makkelijker om met smoesjes bij je oud-collegae toch de gegevens los te peuteren.
Wat dat betreft dus een veel beter idee om aan toegangscodes een delegatiemechanisme toe te voegen, zodat je zeg maar electronisch je sleutels kan "uitlenen", zodat er duidelijk zichtbaar is wat er gebeurt en er veel eerder ingegrepen kan worden als er misbruik van wordt gemaakt. Het verandert ook de houding van de werknemers: Even delegeren kan best en is zelfs makkelijk op de officieele manier, en dus is er veel minder reden om het op de onofficieele manier te doen.
Er kan dus best het een en ander op systeemgebied gedaan worden.
* Volgens het (civielrechtelijke!) bedrijfsreglement niet, hopelijk voor de werkgever in dit geval, maar daar gaat deze veroordeling niet over. Die gaat over (mis)bruik van die "geleende" toegangscodes voor eigen gewin, iets waar de gebruikte wet niet over hoort te gaan, en dus is een veroordeling daarvoor op grond van deze wet misbruik van de (overbrede, slechte) wet. En daarmee een gerechtelijke dwaling. Wat de misdragingen niet minder misdraging maakt, maar zoals de Amerikanen zelf zeggen, "two wrongs don't make a right".
Echter ik ben vanuit Principe dat alles vanuit vrijheid, en vertrouwen mogelijk moet zijn, het dan ook met de EFF eens.
Het delegeren van bevoegdheden is dagelijkse praktijk. Wat je wilt bereiken is dat het delegeren vastgelegd wordt en beperkt in tijd (mag uur, week, maand, jaar zijn).
Dan is het van belang dat elke handeling altijd te traceren is naar de natuurlijke persoon die het uitvoert. Dat is wat lastiger met het uitlenen van je bankpasje en de sleutels van je huis of zoals hier je credentials.
Voorbeeld:
Het zou gebruikersvriendelijk zijn van de bank om een optie van delegeren in te bouwen zodat je bijvoorbeeld je kind jouw geld kunt laten uitgeven (ook weer beperkt in hoeveelheid in tijd). Maar dan wordt het systeem complexer, en complexiteit levert weer beveiligingsrisico's op.
Nu hebben voor dit probleem een oplossing: contactloos betalen. Geef gerust je pas mee als je weet dat het bedrag onder de 25 euro blijft :-))
Het delen van het wachtwoord is niet het probleem, het misbruik wel.
Om misbruik vast te stellen moet je alle informatie hebben over dit 'incident'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
