De Britse politie heeft door blunders met IP-adressen onterecht huiszoekingen bij onschuldige mensen uitgevoerd, wat in één geval tot een onterechte arrestatie leidde. Ook werden door de fouten mensen van kinderporno verdacht die hier niets mee te maken hadden. In Groot-Brittannië zijn providers verplicht om metadata over gebruikers op te slaan. Overheidsinstanties kunnen deze gegevens bij de providers opvragen, waarna bijvoorbeeld de politie kan worden ingeschakeld.
Vorig jaar werd er bij het opvragen 17 keer een fout gemaakt, zo blijkt uit onderzoek (pdf) van de Interception of Communications Commissioner Sir Anthony May. In negen gevallen ging het om een menselijke fout. De overige acht werden aan technische systeemfouten toegeschreven. Bij één onderzoek wilde een overheidsinstantie het IP-adres achterhalen van de eigenaar van een e-mailadres, die bezig was om een jong meisje te "groomen".
Bij de aanvraag werd echter een underscore vergeten, waardoor de provider het IP-adres van een andere gebruiker teruggaf. Aan de hand van dit IP-adres werd vervolgens het adres van de gebruiker bepaald en vond er een huiszoeking plaats. Daarbij werd computermateriaal in beslag genomen en onderzocht. Tijdens het onderzoek bleek dat de gebruiker in kwestie onschuldig was en er bij het indienen van het dataverzoek een fout met het e-mailadres was gemaakt.
Bij een ander onderzoek werd informatie over 104 IP-adressen gezocht die waren gebruikt om kinderporno te downloaden. Een medewerker van de overheidsinstantie die de adresgegevens die bij IP-adressen hoorden had opgevraagd, had een fout met de tijdszone gemaakt. Voor het opvragen van informatie over de IP-adressen werd de GMT-tijdszone gebruikt, ook al stond in het brondocument dat dit GMT -5 moest zijn. Daardoor zat er een verschil van vijf uur tussen de bedoelde en aangeleverde data. De eerste 14 adresgegevens werden vervolgens naar de politie gestuurd.
Op het moment dat de fout werd ontdekt bleek dat de politie al op 10 plekken huiszoekingen had uitgevoerd. Tijdens deze huiszoekingen werd belastend materiaal aangetroffen. De overheidsinstantie diende vervolgens opnieuw een verzoek in, dit keer met de juist tijdszone. Ten opzichte van het eerste foutieve verzoek bleek dat 91 IP-adressen hetzelfde resultaat teruggaven. Tien IP-adressen gaven echter een ander resultaat terug en in het geval van de drie resterende IP-adressen beschikte de betreffende provider niet meer over de gegevens. Volgens May werd er bij de tien onschuldige IP-adressen "gelukkig" geen huiszoeking uitgevoerd.
Naast de menselijke fouten waren er ook meerdere gevallen van technische fouten. Zo was er bij één provider door een upgrade van het bedrijfssysteem een verkeerde koppeling tussen IP-adressen en klantgegevens ontstaan. Tijdens een onderzoek naar kinderporno werden hierdoor in drie gevallen de verkeerde adresgegevens aan de politie doorgeven. De klanten in kwestie hadden niets met het politieonderzoek te maken. Toch vonden er bij deze mensen huiszoekingen plaats en werd er één iemand ten onrechte gearresteerd.
May waarschuwt in het rapport dat de fouten "desastreuze gevolgen" voor de betrokkenen kunnen hebben. De meeste mensen die van de fouten de dupe werden hadden echter begrip voor de situatie. Een aantal anderen besloot juridische stappen te nemen. In het rapport doet May vijftien aanbevelingen om zowel menselijke als technische fouten te voorkomen. Zo moeten werknemers die met de aanvragen te maken krijgen de gevolgen van menselijke fouten beseffen en moeten providers hun systemen voor en na de uitrol van grote updates en upgrades testen.
Deze posting is gelocked. Reageren is niet meer mogelijk.