Man krijgt taakstraf voor inloggen met gevonden wachtwoorden
Een 22-jarige persfotograaf is door de rechtbank Oost-Brabant veroordeeld tot een taakstraf van 80 uur, waarvan 40 uur voorwaardelijk, wegens het inloggen met gevonden inloggegevens op een beveiligd systeem. De man had op internet gebruikersnamen en wachtwoorden gevonden van het Landelijk Crisis Management Systeem (LCMS). Dat systeem coördineert de inzet van overheidsdiensten bij rampen en andere incidenten.
Met de gegevens logde hij meerdere keren in op het systeem en maakte hij een screenshot van een pagina met informatie over een incident in de Penitentiaire Inrichting in Vught in 2014. Hij deelde deze schermafbeelding in een WhatsApp-groep. Volgens de advocaat van de verdachte is het LCMS geen beveiligd systeem, omdat de inloggegevens te vinden waren op openbare websites met daarbij instructies over de wijze van inloggen.
Ook kan volgens de verdediging niet gesproken worden van "binnendringen", omdat de man op reglementaire wijze verbinding maakte met de server en hem de toegang niet is geweigerd. Volgens de rechtbank moest de man, die in zijn vrije tijd 112-fotograaf is en niet werkt voor de overheidsdiensten waarvoor het LCMS bestemd is, hebben geweten dat hij de aangetroffen gebruikersnamen en wachtwoorden niet mocht gebruiken.
De rechtbank stelde verder dat er wel degelijk sprake is van een beveiligd systeem omdat het alleen toegankelijk was na het inloggen met een gebruikersnaam en een bijbehorend wachtwoord. "Dat anderen fouten maken of slordig zijn bij de beveiliging van een systeem, is geen vrijbrief om zich vervolgens zonder autorisatie toegang te verschaffen tot dat systeem", zo oordeelde de rechtbank. "Dat de man zich toegang verschafte met gevonden inlognamen en wachtwoorden levert "binnendringen" in de zin van de wet op."
Strafbepaling
Bij het bepalen van de straf woog de rechtbank onder meer mee dat de man de verkregen data met anderen deelde via WhatsApp. Daardoor was er een reëel risico op verdere verspreiding. De rechtbank hield er rekening mee dat de verdachte niet eerder is veroordeeld wegens een misdrijf en dat hij als gevolg van de zaak zijn baan heeft verloren.
Volgens de rechtbank zou de man de gevolgen van zijn handelen echter niet beseffen. Gelet op zijn hobby als 112-fotograaf en als beheerder van een nieuwssite wordt niet uitgesloten dat hij opnieuw in de verleiding komt om op illegale wijze informatie te verkrijgen. Om hem daarvan te weerhouden legde de rechtbank hem bovenop de geëiste onvoorwaardelijke taakstraf, ook een voorwaardelijke taakstraf op.
En dus alle hackers en onderzoekers afschrikken om nog maar lekken aan te tonen.
De persoon die deze gegevens online gezet heeft, wordt die ook nog vervolgd? Voor het in gevaar brengen van Nederland BV omdat login gegevens verspreid zijn?..... Alsof criminelen deze login gegevens eventjes willen negeren.... Yeah RIGHT!
Ik zeg, pak de persoon op die deze gegevens online heeft gezet. Die is schuldig.... Oh ja, dat is natuurlijk veel te lastig voor de Nederlandse politie...
Als ik hier nu mijn login van mijn bank geef, en iemand logt daarmee in, kan ik die persoon dan ook gaan aanklagen? Dat heet in mijn ogen uitlokking... Zoals het hier staat, klinkt het toch best raar.
Ik geef iemand mijn sleutel van mijn gesloten voordeur. En zeg dat hij niet naar binnen mag.... drie keer raden wat er gebeurd.. Kan ik die persoon dan ook aanklagen...?
TheYOSH
Aan de andere kant zouden die sukkels, die de login gegevens incl. inloginstructie online hebben gezet, ook een taakstraf moeten krijgen want die snappen blijkbaar ook niet wat ze aan het doen zijn. Een foutje kan gebeuren maar deze is niet uit te leggen. Hoppa, 20 uur in het park met een oranje hesje aan papier prikken.
Het kan zelfs zo zijn dat die persoon wel naar binnen mag op bepaalde tijdstippen voor bepaalde zaken. Als ik mijn sleutel aan de schilder of schoonmaakster geef, dan wil dat niet zeggen dat ze binnen mogen komen en kopien maken van mijn foto's o.i.d.
Peter
En wat doen we met mensen die zo stom zijn inloggegevens te lekken , radbraken en daarna opsluiten en de sleutels weggooien .....
Waar blijft het met responsible disclosure , ook 6 maanden cel ?
Het zou verboden moeten worden, laten we het voortaan eerst maar eens een hobby gaan noemen.
Wat niet helder is is zijn beroepsstatus ook al wordt gesuggereerd van wel
Er wordt hier gesproken van een hobby maar is dat wel zo?
Hij is immers persfotograaf en beheert een nieuwssite, wanneer die nieuwssite op één of andere manier geld genereert zou je denken dat het dan geen hobby meer is maar dat je journalist van professie bent omwille van het verdienmodel dat eraan vast zit.
In hoeverre de aanpak zich laat beoordelen als professioneel is weer iets anders en op een andere manier ter zake doende.
Het verspreiden van het nieuws had hij dan via zijn eigen of andere nieuwssite moeten doen met wat begeleidende content en niet via whatsapp onder vrienden.
Voor dat laatste lijkt hij me wel aanspreekbaar, niet als hij onder de noemer van zijn professie als journalist ergens inlogde.
Moeten we voortaan alle journalisten maar preventief verbieden onderzoek te doen onder dreiging van een taakstraf danwel niet beroepshalve de binnenkant van een inrichting gaan inspecteren?
Het jeukt een beetje, of heb ik iets over het hoofd gezien
(jaaa?)
;)
Dit is beter te vergelijken met iemand die de reservesleutel vind die jij buiten verstopt hebt. En vervolgens naar binnen gaat om daar rond te kijken.
En dus alle hackers en onderzoekers afschrikken om nog maar lekken aan te tonen.
De persoon die deze gegevens online gezet heeft, wordt die ook nog vervolgd? Voor het in gevaar brengen van Nederland BV omdat login gegevens verspreid zijn?..... Alsof criminelen deze login gegevens eventjes willen negeren.... Yeah RIGHT!
Ik zeg, pak de persoon op die deze gegevens online heeft gezet. Die is schuldig.... Oh ja, dat is natuurlijk veel te lastig voor de Nederlandse politie...
TheYOSH
Gelukkig is dit iemand die alleen een screenshot maakte, maar wat als het iemand is die wel gaat lopen klooien met het systeem. Zou een paar strafuurtjes dan ook genoeg zijn?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
