Juridische vraag: Wanneer gaat hengelen naar een beloning over in afpersing?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Vraag: Ik las dat pretpark Walibi in de clinch ligt met een ethisch hacker die een beveiligingslek had gemeld. Ze wilden aangifte doen wegens afpersing omdat hij had gevraagd om kaartjes in ruil voor een tip. Maar hoe strafbaar is dat nu eigenlijk?
Antwoord: Recent was inderdaad in het nieuws dat Pretpark Walibi Holland aangifte zou gaan doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. De aangifte zou zijn vanwege chantage dan wel afdreiging. De ontwikkelaar verwijst echter naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon raar om voor dit niveau ‘afpersing’ naar de politie te stappen, en de PR is bepaald onhandig ingestoken.
Het datalek in kwestie is overigens geen AVG-datalek, maar een financieel lek: je kunt per dag zien hoe veel tickets men verkoopt en wat de prijs per ticket was. Zonder enige rare actie, behalve dan F12 drukken in je browser. In iets meer detail:
Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.
De ontwikkelaar gaf deze technische blunder door aan Walibi, inclusief een stukje van de informatie als bewijs dat het lek er inderdaad zat. Hij gebruikte daarbij het mailonderwerp 'Datalek ruilen voor kaartjes?', kennelijk refererend aan eerder contact waarbij Walibi had aangeven dat kaartjes soms als beloning worden gegeven voor het melden van datalekken. Maar de directeur van Walibi (waarom die directrice genoemd wordt ontgaat me overigens, het is toch geen school) las hierin een strafbaar feit, namelijk afpersing:
Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.
Even los van de bepaald onhandige inschatting hier, is dit nu überhaupt afpersing te noemen? Het flauwe antwoord is nee, want afpersing is (art. 317 Strafrecht) kort gezegd dreigen met geweld om jezelf te bevoordelen. Ze bedoelen dan ook afdreiging (art. 318 Strafrecht):
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
Het stukje 'dwingen' is makkelijk hier, de ontwikkelaar zou die vier kaartjes (kaartjes zijn "enig goed") willen hebben met zijn mail. Maar wat is dan de 'dreiging', het andere essentiële bestanddeel van dit delict? Dat zou dan waarschijnlijk een gang naar de pers zijn, betaal me of ik maak openbaar dat je een datalek hebt.
Dat is wat de ontwikkelaar zou hebben gezegd, aldus het pretpark:
Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?
Dit stukje doet mij ook de wenkbrauwen fronzen. Het hele punt van belonen is voor het mélden van datalekken, je betaalt mensen niet voor hun stilzwijgen maar voor hun speurwerk. En ja, binnen de letter van de wet is het als afdreiging te construeren als je zegt "ik zal een geheim niet publiceren als je me geld geeft" wanneer dat publiceren op zichzelf wederrechtelijk is.
Bij de reacties lees ik dan de ontwikkelaar die stelt dat je de zin moet lezen in de context van eerdere communicatie. Daar was toegezegd dat hij kaartjes zou krijgen voor een eerder datalek, en eerder was ook besproken dat hij de lekken geheim zou houden. Maar ik weet vrij zeker dat de directeur die niet kent en daarom de zin zo heftig oppakt. Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in bedrijfstaal moet communiceren.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Het antwoord is ook interessant, in het bijzonder: "Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in bedrijfstaal moet communiceren." Ik heb geen flauw benul wat "bedrijfstaal" moet zijn; ik denk dan, het zijn toch ook gewoon mensen?
Toen ik de berichtgeving las had ik ook zoiets van, tsjee, dit is heel erg onhandig geschreven, en hij wilde veel te graag. Refereer minstens expliciet aan de eerdere afspraak. Maar of je dat nu "verzoekt conform antecederend convenant" of "volgens eerdere afspraak vraagt" om die beloning, ik denk dat je als bedrijf toch ook gewone mensentaal aan moet kunnen. Je staat per slot van rekening toch ook middenin de samenleving. Idem dito met ambtenaren. En techneuten, en dus ook dit soort onhandige knutselaars.
Oproep aan bedrijven: bied een goede https://www.ncsc.nl/documenten/publicaties/2019/mei/01/cvd-leidraad aan. Dat is goed voor jezelf, goed voor de melder en goed voor je klanten.
dat er nog 12 exemplaren voorradig zijn dan is dat toch gewoon informatie die de leverancier mij geeft en die hij kennelijk
bereid is om prijs te geven om mij een betere service te verlenen?
Je mag aannemen dat de reden dat die info door de kaartjes shop terug wordt gegeven aan de browser dezelfde is.
(als je 50 kaartjes bestelt en er zijn er nog maar 20 dan krijg je dat te zien nog voor je bestelt)
Als er nou een lijst bij zat van wie er die dag al kaartjes gekocht heeft...
En je kunt het wel onhandige communicatie noemen maar zo'n mailtje sturen is ook niet bepaald handig. Als hij gewoon
de tip met betrekking tot het "probleem" gestuurd had, en niet meteen een "datalek" genoemd had maar gewoon even
had uitgelegd dat ze wellicht iets meer info naar buiten brengen dan ze willen (en dat WEET je niet eens, wellicht kan het
ze niks schelen), dan had ie vast meer kans gehad op een bedankje. En als het inderdaad gebruikelijk is om kaartjes
te geven als bedankje dan had hij die vast wel gehad en anders had hij aan die gewoonte kunnen herrinneren in een
2e reactie. Nu komt het me iets te veel over als "ik mot kaartjes want anders zul je het bezuren!", en mensen die vragen
worden overgeslagen (of erger).
dat er nog 12 exemplaren voorradig zijn dan is dat toch gewoon informatie die de leverancier mij geeft en die hij kennelijk
..."
er stond meer, niet allemaal super super geheim, maar er stond ook bijvoorbeeld het aantal verkochte kaarten, de prijzen etc, dus de omzet per dag voor bepaalde specifieke evenementen en toegang. Op zich informatie die voor concurrenten wel interresant kan zijn. De wereld zal niet vergaan, en het is ook info die ze met een tikkerteller op de parkeerplaats kunnen achterhalen maargoed, het is op zijn minst knullig en onprofessioneel.
Gevolg is dat op veel plekken waarin mensen onder die condities samen (moeten) werken men de onderlinge verhouding vaak oplost door terug naar de kleutertijd te gaan. Onderling worden het een soort van kinderklasjes met kinderregeltjes.
Als je daar, van buitenaf, op een volwassen, of zelfs joviale manier mee gaat communiceren, dan schrikken ze zich rot. Altijd bedrijfstaal gebruiken. Al zeker als je met de juf of de meester mailt, of nog erger, met de directeur van het schooltje.
Wat die laatsten doen, naast het rooster van ziektedagen bijhouden, is vaak enkel emails forwarden. Om te vragen wie hier nu weer verantwoordelijk voor is of was. Goeie vuistregel is om altijd forwardbare emails te sturen, die de kleuterklasrangorde niet versturen. Dat is bedrijfstaal.
Wat dat betreft heeft de directeur uitstekend gefunctioneerd. Want het gaat overal zo.
Wat de case zelf betreft, mij viel meteen het jullie-woord op. Net zo een rode lamp als het wij-woord binnen organisaties. Daarbij genomen, met het huidige strafstelsel, als op zwaar afdreigen vier jaar bak staat, dan is een pietsie afdreigen ook afdreigen. Ook als het om vier gratis kaartjes gaat. Een pietsie met dood of mishandeling dreigen vind ik ook afpersing.
Toch mooi dat er net in het nieuws was dat er wel honderd experts door het land ambtenaren gaan vertellen hoe duidelijk te schrijven, en dat moet dan "de honderd meestgebruikte teksten" verbeteren. Kost drie miljoen euros. Da's toch mooi dertig mille per stukkie tekst. En dat terwijl je dat eigenlijk al op de middelbare school zou hebben moeten leren.
Maarja, als hele organisaties vol met mensen zich collectief op kleuterniveau gaan gedragen is dat gauw vergeten natuurlijk.
Mischien dat management ook maar eens moet opgroeien en mischien dat we dan deze eeuw nog wel voorbij de kleuterklas kunnen in het bedrijfsleven.
Zeker als moord ook regelmatig met wat uurtjes schoffelen wordt afgedaan, en verkrachting met een "FOEI-gesprek". Lijkt me dat er dan toch wat scheef zit in "het huidige strafstelsel".
Dat is de *maximum* straf. De kans dat die in dit geval bij een veroordeling zou worden opgelegd is niet aanwezig.
Hier gaat de vraagsteller inderdaad een grens over.
Gemiddelde straf voor moord, in Nederland: 15 jaar anno 2019. Lachwekkend wat voor onzin mensen hier verkondigen. Moord wordt *nooit* afgedaan met een taakstraf.
Lijkt me eerder dat je geen benul hebt van de straffen welke daadwerkelijk worden opgelegd, voor de genoemde delicten.
dat er nog 12 exemplaren voorradig zijn dan is dat toch gewoon informatie die de leverancier mij geeft en die hij kennelijk
..."
er stond meer, niet allemaal super super geheim, maar er stond ook bijvoorbeeld het aantal verkochte kaarten, de prijzen etc, dus de omzet per dag voor bepaalde specifieke evenementen en toegang. Op zich informatie die voor concurrenten wel interresant kan zijn. De wereld zal niet vergaan, en het is ook info die ze met een tikkerteller op de parkeerplaats kunnen achterhalen maargoed, het is op zijn minst knullig en onprofessioneel.
Dat is allemaal naar beoordeling van deze superhacker (was jij dat?) en niet naar wat de feiten zijn. Als ik als bedrijf
mijn dagomzet op een groot scherm bij de poort wil publiceren dan mag ik dat doen, en dat is dan geen datalek. Er
een foto van maken en opsturen met "kijk datalek!" dat maakt het nog geen datalek.
Een datalek is het pas als het data betreft die niet van jezelf zijn. En dat was hier niet het geval. Dus een beetje minder
hoogdravend en veeleisend melden was wel beter geweest.
hoogdravend en veeleisend melden was wel beter geweest.
Wat een amateurs bij Pretpark Walibi Holland. Ze zouden er blij mee moeten zijn en zijn hele familie gratis naar binnen moeten laten. Stel je voor iemand had het bedrijf financieel aangevallen dan waren ze misschien pas echt dik in de problemen, maar nee sleep de eerlijke jongen voor de rechter. Bij deze de laatste keer dat ik mijn gegevens in vul op de website van Pretpark Walibi Holland, ook de laatste keer dat ik naar dit pretpark toe ga. Zo ga je niet met mensen om maar met stront.. Wie is er tegenwoordig nog eerlijk, waarom denk je dat een bad guy het niet meld?? Die krijgt er niets voor die gaat zelf wel zijn spullen van de toko stelen zodat ie wat heeft om te verkopen op het deepweb voor wat extra centen (trouwens voor meer dan 4 zielige entree kaartjes !).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
