image

Juridische vraag: is pincodes onversleuteld opslaan strafbaar?

woensdag 20 januari 2016, 12:32 door Arnoud Engelfriet, 29 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: een collega van me verloor onlangs zijn tankpas. Hij kreeg keurig een nieuwe, maar in een begeleidende brief (wel apart verstuurd) stond de nieuwe pincode: precies dezelfde als van zijn oude pas. Dat vind ik raar, dat is toch hartstikke onveilig? Dan slaan ze dus die pincodes leesbaar op in hun systeem. Is dat strafbaar onder de Wet datalekken?

Antwoord: helaas komen dit soort basale veiligheidsproblemen nog steeds heel vaak voor. De wetswijziging die per 1 januari van kracht is, zou in theorie hier een prikkel tegen moeten bieden, maar ik heb er een hard hoofd in.

Natuurlijk is het enkel hebben van plaintext pincodes geen datalek. Volgens de wet is daarvan pas sprake als er werkelijk persoonlijke informatie gelekt is. Een dreigend datalek valt niet onder de definitie.

Gelukkig kent de nieuwe wet meer dan alleen datalekken. Al jaren staat er in de wet dat de opslag en andere verwerking van persoonsgegevens onder "adequate beveiliging" moet gebeuren, en per 1 januari staat er ook een boete op het niet adequaat beveiligen. Los dus van of dit daadwerkelijk tot een datalek heeft geleid of niet. In theorie kan de Autoriteit Persoonsgegevens dus een boete opleggen wanneer ze deze ongesalte pincodes aantreft.

Jammer is dan natuurlijk weer dat de kans uitermate klein is dat dit wordt bemerkt. Beveiliging is perfect tot het misgaat, en daarna heeft de stagiair een incident veroorzaakt in een voor het overige prima werkend systeem. Dat gaan boetes niet snel oplossen, tenzij je heel vaak en heel hard handhaaft. Of je de boete laat uitbetalen aan de getroffen personen in plaats van aan de overheid, een idee dat ik al vaker opperde (hoewel het ook nadelen heeft, zoals je eigen gegevens hacken en incasseren).

Eigenlijk wil je dat bedrijven een stevige prikkel voelen om hun beveiliging preventief op orde te hebben. Maar hoe krijgen we dát voor elkaar?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (29)
20-01-2016, 12:52 door Anoniem
Uiteraard kan degene die de pincode validatie algorithmes en keys bij de hand heeft altijd de pincode reproduceren en
in een brief afdrukken, zelfs als deze niet leesbaar is opgeslagen op hun systeem.
20-01-2016, 12:54 door Anoniem
"Dan slaan ze dus die pincodes leesbaar op in hun systeem." is meestal iets te kort door de bocht. Geldt ook voor wachtwoorden. Het feit dat het authenticatiesysteem weet dat je wachtwoord klopt wil niet zeggen dat het systeem ook weet WAT je wachtwoord is. Er wordt gewoon een hash opgeslagen (met of zonder salt).
Dat zal ook gelden voor deze pincode. Overigens werkt het bij de bank net zo: bij reguliere vervanging van je bankpas blijft je code ook gelijk.
20-01-2016, 13:08 door Anoniem
Dus het antwoord op de vraag is JA! Waarom zoveel woorden nodig en toch niets zeggen.

Arnoud, het zou fijn zijn als je een conclusie maakt, waarin de vraag beantwoord wordt. Nu zeg je alleen de regels. Is voor een niet jurist dus nog geen antwoord. Sterker nog, je eindigt je verhaal met een vraag ipv een antwoord.

TheYOSH
20-01-2016, 13:16 door User2048
In theorie kan de Autoriteit Persoonsgegevens dus een boete opleggen wanneer ze deze ongesalte pincodes aantreft.
Je gaat er dan van uit dat een pincode een persoonsgegeven is. Is dat wel zo?
20-01-2016, 13:28 door Anoniem
Voor elkaar krijgen is makkelijk: stel de bedrijfsleiding persoonlijk straf- en civielrechtelijk aansprakelijk bij een datalek als er onvoldoende maatregelen genomen zijn. Maar omdat dat vaak ex-politici zijn zal zoiets wel nooit gebeuren.
20-01-2016, 13:30 door Reinder
Is de pincode van een tankpas een persoonsgegeven? Afgezien daarvan lijkt het me ongewenst om die codes op die wijze op te slaan, of uberhaupt om die code op te slaan, maar dat was niet de vraag.
20-01-2016, 13:42 door joep da poope
Met hoeveel salt en encryptie je die pingconde ook opslaat, er zijn maar zo weinig mogelijkheden, dat door ze gewoon allemaal te testen je de code binnen een minuut hebt. De banken kunnen gewoon vaker dan 3x proberen zonder blokkade.
20-01-2016, 13:43 door Anoniem
Door User2048:
In theorie kan de Autoriteit Persoonsgegevens dus een boete opleggen wanneer ze deze ongesalte pincodes aantreft.
Je gaat er dan van uit dat een pincode een persoonsgegeven is. Is dat wel zo?

En dat is de vraag. Een pincode is niet herleidbaar tot een individueel natuurijk persoon, dus nee, een pincode is geen persoonsgegeven. Maar in die brief (en mogelijk ook op de pas) staat natuurlijk ook een naam. Daarmee zou er dus wél sprake kunnen zijn van persoonsgegevens, en daarmee van toepasbaarheid van de Wbp en de Meldplicht Datalekken.

Ik ben het trouwens in de analyse oneens met Arnoud, volgens mij is er wel degelijk sprake van een datalek (als we tenminste uitgaan van persoonsgegevens). Volgens de Autoriteit persoonsgegevens is er sprake van een datalek als


Kenmerkend voor een inbreuk op de beveiliging is verder dat het beveiligingsincident daadwerkelijk gevolgen heeft voor de persoonsgegevens die u verwerkt. Er zijn persoonsgegevens verloren gegaan, of u kunt niet redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt. De repressieve maatregelen en de herstelmaatregelen die u eventueel heeft getroffen waren niet voldoende om deze gevolgen geheel weg te nemen.
Een inbreuk op de beveiliging van persoonsgegevens moet ruim worden geduid. Het is niet van belang of u passende technische of organisatorische maatregelen heeft getroffen of niet. Een datalek kan zich in beide situaties voordoen.

In dit geval kun je niet redelijkerwijs uitsluiten dat een crimineel met de pincode en de pas gaat tanken. En daarme voldoe je aan de definitie.
20-01-2016, 14:05 door SPlid
Door Anoniem: "Dan slaan ze dus die pincodes leesbaar op in hun systeem." is meestal iets te kort door de bocht. Geldt ook voor wachtwoorden. Het feit dat het authenticatiesysteem weet dat je wachtwoord klopt wil niet zeggen dat het systeem ook weet WAT je wachtwoord is. Er wordt gewoon een hash opgeslagen (met of zonder salt).
Dat zal ook gelden voor deze pincode. Overigens werkt het bij de bank net zo: bij reguliere vervanging van je bankpas blijft je code ook gelijk.

Een gehast pw kun je niet unhashen (natuurlijk wel brute forcen) Wachtwoorden worden nooit (.... teminste) leesbaar opgeslagen.
in dit geval krijgt de persoon een brief met zijn oude pincode, de code blijft ongetwijfeld gelijk, deze is wel of niet gehasht opgeslagen. Het bijzondere zit in het feit dat de persoon een brief krijgt met daarin, in plaintext, de pincode. De vraag is hoe de bank daaraan komt, vast niet door brutforcen (alhoewel met 10000 (4 digits) x hashen en de uitkomst te vergelijken met de opgeslagen hash zal toch zeker wel een tiende seconde duren ;-) maar hier zijn er weer risico's op collisions )

Anyway de pincode wordt netjes geprint op een envelope zonder inkt zodat niemand de pincode in de gesloten envelope kan zien.
20-01-2016, 14:08 door SPlid
Ik denk trouwens dat je deze code zeker ongehasht mag opslaan als je er maar zorg voor draagt dat de correlatie tussen de pas en de pincode niet zondermeer te maken is.
20-01-2016, 14:17 door Anoniem
Zoals @SPlid al aangeeft heeft hashen geen zin omdat er maar tienduizend mogelijke combinaties zijn. Dan blijft omkeerbare encryptie over (die je dus weer kunt ontsleutelen) over. Aangezien jij als gebruiker het verschil niet kunt zien tussen een niet versleuteld opgeslagen pincode en een ontsleutelde, kun je helaas niks zeggen over de beveiliging ervan.
20-01-2016, 14:33 door Anoniem
Het feit dat het authenticatiesysteem weet dat je wachtwoord klopt wil niet zeggen dat het systeem ook weet WAT je wachtwoord is. Er wordt gewoon een hash opgeslagen (met of zonder salt). Dat zal ook gelden voor deze pincode.

Dat men WEL weet wat de pincode is moge duidelijk zijn. Anders kunnen ze deze immers niet reproduceren, en in een brief zetten. Staat los van de vraag hoe veilig de opslag is, en wie er bij kunnen.
20-01-2016, 14:52 door Ron625
Nergens wordt aangegeven, dat het opgeslagen was/is op een computer, die aan een netwerkt hangt.
Misschien is het zelfs helemaal niet elektronisch opgeslagen maar staat het gewoon in een logboek o.i.d.
Deze opties maken m.i. toch wel een groot verschil..........
Zo zijn er nog tal van mogelijkheden.
20-01-2016, 20:01 door Anoniem

Ik ben het trouwens in de analyse oneens met Arnoud, volgens mij is er wel degelijk sprake van een datalek (als we tenminste uitgaan van persoonsgegevens).

En waar lees je dan dat iemand de code gelezen heeft? En is de naam en het adres op envelop ook geen datalek dan?....................
20-01-2016, 21:05 door Anoniem
Eigenlijk wil je dat bedrijven een stevige prikkel voelen om hun beveiliging preventief op orde te hebben. Maar hoe krijgen we dát voor elkaar?

Ik vrees dat daar eerst nog iets anders voor nodig is. In de huidige atmosfeer staat het stellen van om het even welke voorwaarde ook aan gebruik van persoonsgegevens voor te veel mensen gelijk aan weigering, en dat op zijn beurt met misdadig gedrag. Te vaak ontaardt het uiten van zelfs de geringste zorg in no-time in een machtsstrijd van de eerste orde. Om tot een atmosfeer te komen waarin we tot verbetering kunnen komen zal er eerst draagvlak moeten komen.

Dat gezegd, als we eenmaal zo ver zijn, denk ik dat we voor inspiratie voor de praktische kant bij de luchtvaartindustrie te rade moeten gaan. Verschillende van de processen voor kwaliteitscontrole, handhaving, onderzoek naar ongevallen etc. zijn niet perfect, maar de veiligheidsmarges tegen ongevallen zijn wel een stuk beter dan bij omgang met persoonsgegevens, en dan druk ik me nog zachtjes uit.
20-01-2016, 21:20 door Anoniem
Dat vind ik raar, dat is toch hartstikke onveilig? Dan slaan ze dus die pincodes leesbaar op in hun systeem. Is dat strafbaar onder de Wet datalekken?
Wat een rare conclusie... Duidelijk geen ter zake kundige persoon.

"Ik had zojuist getankt, en had de pincode van mijn tankpas ingetoetst. En wat denk je? Het werd geaccepteerd!
Dat vind ik raar, dat is toch hartstikke onveilig? De pincode van de tankpas staat dus ergens leesbaar opgeslagen op hun systeem. Want anders kon de door mij ingetoetste pincode niet worden gecontroleerd en goedgekeurd.
Is dat strafbaar onder de Wet datalekken?
"

"Blondie2"
20-01-2016, 22:57 door karma4
Vraag: een collega van me verloor onlangs zijn tankpas. Hij kreeg keurig een nieuwe, maar in een begeleidende brief (wel apart verstuurd) stond de nieuwe pincode: precies dezelfde als van zijn oude pas. Dat vind ik raar, dat is toch hartstikke onveilig? Dan slaan ze dus die pincodes leesbaar op in hun systeem. Is dat strafbaar onder de Wet datalekken?

mag ik deze vraag raar vinden. Of het nou een tankpas of bankpas betreft. Als de bankpas vervangen wordt dan wordt er vanuit gegaan dat de bestaande oude pinpas naar een bankpas aangemaakt kan worden. Niet een kopieren gewoon nieuw aanmaken. Ergens in het systeem moet er een mogelijkheid zijn om dat op the halen en opnieuw te plaatsen. Als je je eigen voorkeur voor een pin opgeeft gaat het ook ergens het systeem in. Ergo het is ergens opgeslagen.

De veiligheid van dat opgeslagen gegeven betreft dan enkel nog de vraag wie er bij zou kunnen. Daar komt de security vraag met risicoanalyse van dat object.
20-01-2016, 23:28 door Briolet
Zoals meerderen hierboven al opmerken kan de vraagsteller niet weten of de pincode echt als plain tekst of in een encrypted bestand opgeslagen was. Zelfs het alleen opslaan van hashes van de code heeft bij een 4 cijferige pincode geen zin. Je zult de database van de hashes, of pincodes, nog eens moeten coderen met een sterker wachtwoord.

Ik heb het erger meegemaakt met een pincode van een tankpas die alleen een lokale garage geldig was. Hij zat in een mooie enveloppe waar je niet doorheen kon kijken, maar inwendig zat carbonpapier en een velletje papier waar de pincode op moest komen. De garage kreeg de blanco enveloppen reeds verzegeld aangeleverd. Hij moest alleen de pincode zonder type-lint op de buitenkant typen en er een adres op schrijven.

Ik heb me zwaar verbaasd over dit systeem, omdat ik in strijklicht, direct de pincode als relièf kon zien zonder de enveloppe te openen. Volgens mij heb ik die enveloppe nog steeds ergens in ongeopende staat liggen.
20-01-2016, 23:35 door karma4
In theorie kan de Autoriteit Persoonsgegevens dus een boete opleggen
Oeps klopt dat wel? http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_20-01-2016
Hfdtst 1 Artikel 2 een hele lijst van uitlsuitingen
een opvallende is de WBP article 2 a,d
Hfdtst 5 Artikel34a 9 en 10 telcom en financials vallen buiten het toezicht van de AP. Daarvoor is de ACM/AFM/DNB


De toelichting http://wetten.overheid.nl/BWBR0033572/geldigheidsdatum_01-01-2016#3 verwijst naar NEN 7510 ISO27002 en meer van die richtlijnen. In al die richtlijnen staan te bereiken doelen waarbij nergens expliciete technieken genoemd zijn. Voor de overheid heb je het zelfde met KING en http://www.noraonline.nl/wiki/Beveiliging/Inleiding
Eigenlijk wil je dat bedrijven een stevige prikkel voelen om hun beveiliging preventief op orde te hebben. Maar hoe krijgen we dát voor elkaar?
Goede vraag. Mijn idee:
--> Stop nu eerst met je blind te staren op technische details. Die zijn nutteloos als je de visie en het doel mist.
--> Pak die visie met handreikingen op en ga daarmee kijken wat en hoever je moet gaan met ...?

Heel frustrerend dit soort security richtlijnen zijn al heel oud, ooit BS7799. Ze worden tegengewerkt door:
a/ nerds die de visie en inzicht missen en
b/ worden genegeerd door controlerend instanties Zelfregulering utidragen is veel goedkoper. (audits)
c/ worden uit besparingsideeen en het uit de weg gaan door managers
d/ wordt als te lastig gezien door managers om te doen.

De openingen:
d/ is er een opeming via de WBP om druk te gaan geven (vanuit advocaten)
c/ kan dat onderbouwd worden (boetes) moeten er wel een paar voorbeeldboetes gaan komen
b/ vanuit idealisten die aparte rechtzaken voeren (eg: Mac Schrems)
a/ tja .... mensen zien te veranderen in hun geloof, dat is lastig.
21-01-2016, 11:57 door PietdeVries
Ok - kennelijk vinden we dat het heel erg onveilig is om een pin-code ter versturen per post. Wat zou een alternatief zijn? Iets met e-mail, of zelf via een webpagina?

Gezien de discussie over het "verdwijnen van de blauwe envelop" waar iedereen tegen is lijken we hier in een spagaat te komen: enerzijds vinden we de blauwe envelop makkelijk tegen fraude, en anderzijds vinden we de post dan weer niks als er een pin code verstuurd moet worden.

Iemand een suggestie?
21-01-2016, 12:27 door Anoniem
Dan slaan ze dus die pincodes leesbaar op in hun systeem. Is dat strafbaar onder de Wet datalekken?

Heeft de vrager dit ter plekke geconstateerd, of is dit (waarschijnlijker) een aanname?

Kan het misschien zo zijn dat er een algoritme op los gelaten wordt (combinatie naam, adres etc.)?
Zolang het system niet 'verteld' wordt dat er een ander nummer gegenereerd moet worden zal het resultaat hetzelfde zijn.

Zo'n algoritme valt niet onder een lek en was tot een paar jaar geleden ook gangbaar binnen banken, wanneer de algoritme aangepast wordt krijg je pas een ander wachtwoord.
21-01-2016, 12:38 door cjkos
Door PietdeVries: Ok - kennelijk vinden we dat het heel erg onveilig is om een pin-code ter versturen per post. Wat zou een alternatief zijn? Iets met e-mail, of zelf via een webpagina?

Gezien de discussie over het "verdwijnen van de blauwe envelop" waar iedereen tegen is lijken we hier in een spagaat te komen: enerzijds vinden we de blauwe envelop makkelijk tegen fraude, en anderzijds vinden we de post dan weer niks als er een pin code verstuurd moet worden.

Iemand een suggestie?

Generaliseren (kennelijk vinden we) en al dan niet terechte aannames (dit hele artikel) zijn niet echt goede raadgevers.
21-01-2016, 14:50 door Anoniem
Door Anoniem: Zoals @SPlid al aangeeft heeft hashen geen zin omdat er maar tienduizend mogelijke combinaties zijn.
IMHO kun je wel degelijk hashen met meer dan tienduizend mogelijke combinaties: voor elke hash een unieke SALT gebruiken.
Bijvoorbeeld (een deel van) klant- of rekeningnummer.

b.
22-01-2016, 09:39 door Anoniem
Door Anoniem: Zoals @SPlid al aangeeft heeft hashen geen zin omdat er maar tienduizend mogelijke combinaties zijn. Dan blijft omkeerbare encryptie over (die je dus weer kunt ontsleutelen) over. Aangezien jij als gebruiker het verschil niet kunt zien tussen een niet versleuteld opgeslagen pincode en een ontsleutelde, kun je helaas niks zeggen over de beveiliging ervan.

En zo is het ! Verder is de analyse van Arnoud gebaseerd op assumpties en assumptions are the mother of all ....
Een aanname als "basale veiligheidsproblemen" is wel heel kort door de bocht.
22-01-2016, 09:55 door SPlid
Door Anoniem:
Door Anoniem: Zoals @SPlid al aangeeft heeft hashen geen zin omdat er maar tienduizend mogelijke combinaties zijn.
IMHO kun je wel degelijk hashen met meer dan tienduizend mogelijke combinaties: voor elke hash een unieke SALT gebruiken.
Bijvoorbeeld (een deel van) klant- of rekeningnummer.

b.
Is waar, maar vaak is een salt een bekend iets wat bijvoorbeeld afgeleid is zoals je beschrijft. Salts zijn vaak niet geheim dus en zelfs al verrijk je het nummer met het unieke salt, geldt er in dit geval nog steeds dat de 10000 combinaties met dat ene salt makkelijk te hashen en tegen de opgeslagen hash te checken zijn .

Salts zijn voornamelijk bedoeld om te voorkomen dat een hele reeks van pincodes kan worden gebroken (begin bij 0000 en sla dan elke hash op, zodat je in een korte tijd een tabel hebt met 10000 geldige hashes hebt, het salt verhinderd dat).


Ergo de lengte van de pincode is zowel een voordeel als een nadeel ;-)
25-01-2016, 18:14 door Anoniem
PIN codes worden nooit opgeslagen. Ze worden berekend uit een aantal factoren. Als die factoren gelijk blijven, dan is de PIN ook gelijk. Het berekenen van de PIN gebeurd in een sterk beveiligde hardware omgeving en de werkelijke PIN komt er alleen uit voor het printen van een PIN mailer (als de bank die nog gebruikt). Voor het checken of de ingegeven PIN juist is, wordt binnen die sterk beveiligde hardware omgeving de ingegeven PIN vergeleken met een berekende PIN. Uit de hardware komt alleen een bericht of de PIN juist was of niet.
26-01-2016, 16:53 door Anoniem
Ergo de lengte van de pincode is zowel een voordeel als een nadeel ;-)

Je kunt toch een hele lange salt+pepper nemen? Indien deze uniek is per gebruiker dan is het nog steeds erg moeilijk om de originele code te achterhalen
28-01-2016, 13:21 door Te4sheeh
Door Anoniem:
Ergo de lengte van de pincode is zowel een voordeel als een nadeel ;-)

Je kunt toch een hele lange salt+pepper nemen? Indien deze uniek is per gebruiker dan is het nog steeds erg moeilijk om de originele code te achterhalen

Onzin, de salt zorgt er alleen voor dat je de PIN codes een voor een moet bruteforcen. Aangezien je alleen de code voor deze gebruiker wil ben je toch snel klaar.
03-02-2016, 16:58 door Naik
Door Anoniem: Uiteraard kan degene die de pincode validatie algorithmes en keys bij de hand heeft altijd de pincode reproduceren en
in een brief afdrukken, zelfs als deze niet leesbaar is opgeslagen op hun systeem.
Door Anoniem: Uiteraard kan degene die de pincode validatie algorithmes en keys bij de hand heeft altijd de pincode reproduceren en
in een brief afdrukken, zelfs als deze niet leesbaar is opgeslagen op hun systeem.
De oude picode'; Aangezien je weet dat je card nog gewoon bestaat en ,nog steeds niemand, je pincode weet Is het veilig om juist die ,en daarna een niieuwe pin in te voeren. Die oude is alleen nog maar voor jou te gebruiken als middel om je een nieuwe te verstrekken.
Dus het is een stuk veiliger dan gewoon lukraak een nieuwe en herhaling op te geven. Want als je na je invoering nog steeds niet inloggen weten jij en de bank dat er iets mis is. En dan nog, Er bestaat geen enkele pin of sleutel die niet te kraken is,dus als je weet dat je saldo ook nog ok is hoef je je direct geen zorgen meer te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.