image

Ministerie van Justitie VS: Zoom-bombing is een misdrijf

zaterdag 4 april 2020, 08:18 door Redactie, 12 reacties

Personen die inbreken op de Zoom-meetings van organisaties, ook bekend als Zoom-bombing, maken zich schuldig aan een misdrijf, zo heeft het Amerikaanse ministerie van Justitie gewaarschuwd. In het geval van Zoom volstaat standaard alleen het vergader-id om toegang tot de vergadering te krijgen.

Er zijn inmiddels allerlei partijen die actief naar Zoom-links en meetings zoeken om die te kunnen verstoren. De FBI waarschuwt organisaties dan ook om deze links niet via social media of andere websites te delen en de meeting met een wachtwoord te beveiligen. De afgelopen weken zijn er meerdere incidenten met Zoom-bombing geweest. Zowel bedrijven als scholen kregen ermee te maken.

Het Amerikaanse ministerie van Justitie heeft nu een waarschuwing afgegeven dat dit een misdrijf is en personen voor verschillende zaken kunnen worden aangeklaagd, zoals het verstoren van een openbare bijeenkomst, computerinbraak, het gebruik van een computer om een misdrijf te plegen, haatmisdrijven, fraude of het versturen van dreigementen. Op al deze aanklachten staan geldboetes en gevangenisstraffen.

"Je denkt dat Zoom-bombing grappig is? Laten we eens zien hoe grappig het is als je gearresteerd wordt", zegt procureur-generaal Matthew Schneider van de Amerikaanse staat Michigan. Organisaties die met Zoom-bombing te maken krijgen worden opgeroepen hier aangifte van te doen. Daarnaast krijgen Zoom-gebruikers wederom het advies om meetings niet openbaar te maken, geen links naar meetings of virtuele klaslokalen te delen en screensharing in Zoom op "host only" te zetten.

Reacties (12)
04-04-2020, 11:24 door Anoniem
Is het ook een misdrijf als een bedrijf als Zoom uit eigen beweging groepen gebruikers bij elkaar gaat pakken als
behorend tot 1 entitieit zonder dat ze daar zelf om gevraagd hebben? Dat is dan toch User-bombing waarvoor de
eigenaar van Zoom gearresteerd zou moeten worden, ipv dat die weg komt met "stuur ons even een berichtje dan
zetten we dat voor jou uit"???
04-04-2020, 11:48 door Anoniem
Wat is er leuk aan Zoom bombing? Misschien als je puber bent. Maar om hier nu als overheid zoveel aandacht aan te geven nogal overtrokken. In de jaren 80 had je ook zogenaamde hijgers. Die belde willekeurige telefoonnummers uit een telefoonboek en als er een vrouw opnam gingen ze hijgen. Tegenwoodig heb je de dick-pics die naar willekeurige telefoonnummers worden gestuurd.
Het is allemaal niets nieuws. Ik vind sowieso dat er de laatste tijd een redelijke anti-zoom campagne gaande lijkt te zijn. Er zijn wel wat verbeterpunten in Zoom te vinden, maar veel zaken die genoemd worden, worden in andere diensten zoals e-mail en telefoon al lang geaccepteerd. E-mail is eigenlijk een heel onveilige dienst, maar omdat het historisch zo is gegroeid accepteren we dat.

Overigens is het hier geschetste 'probleem' geen daadwerkelijk probleem. Je kan heel simpel een waiting room en/of wachtwoord instellen. Verder kan je als host een ongewenst persoon uit de meeting gooien en die kan dan gedurende die gehele meeting niet meer deelnemen. Afgelopen weken heb ik veel verschillende tools gebruikt en zowel qua gebruikersgemak als performance steekt Zoom er met kop en schouders bovenuit. Alleen als je hele vertrouwelijke gesprekken gaat voeren, dan is Zoom misschien niet de beste keuze, maar hetzelfde geldt dan voor veel andere video conference tools. Bij veel bedrijven zie je nu Teams naar binnen gefietst worden, maar als ik dan naar de DPIA van Office kijk heb ik zo ook mijn twijfels bij dit soort producten: https://www.privacycompany.eu/blogpost-nl/dpia-toont-privacyrisicos-zakelijke-microsoft-office-software
04-04-2020, 13:03 door Anoniem
Door Anoniem:
...
Bij veel bedrijven zie je nu Teams naar binnen gefietst worden, maar als ik dan naar de DPIA van Office kijk heb ik zo ook mijn twijfels bij dit soort producten: https://www.privacycompany.eu/blogpost-nl/dpia-toont-privacyrisicos-zakelijke-microsoft-office-software

Privacy-schending door MS software bij J&V is peanuts vergeleken bij de bestuurlijke spelletjes die in de organisatie worden gespeeld. De kranten staan er vol van.
04-04-2020, 15:14 door karma4
Door Anoniem: …. Bij veel bedrijven zie je nu Teams naar binnen gefietst worden, maar als ik dan naar de DPIA van Office kijk heb ik zo ook mijn twijfels bij dit soort producten: https://www.privacycompany.eu/blogpost-nl/dpia-toont-privacyrisicos-zakelijke-microsoft-office-software
Veel bedrijven hebben een gerichte verwerkersovereenkomst afgesloten, dat is een DPIA overweging van de verwerker.
Een product proberen in een technisch verhaal als een dpia te zien kan niet eens, er is geen relatie met een verwerking.
Inderdaad je vergelijk met zoom en al die hijgers is een goede.
04-04-2020, 15:51 door Anoniem
Zoom is toch niet bij overheden in gebruik? Amateurisme ten top. Is de voltallige ICT ziek en kunnen ze niet thuiswerken?
04-04-2020, 17:01 door Anoniem
Gezien de issues die ze daar hebben zou Zoom gebruiken al een misdrijf moeten zijn:-)
05-04-2020, 00:29 door Anoniem
Door karma4:
Veel bedrijven hebben een gerichte verwerkersovereenkomst afgesloten, dat is een DPIA overweging van de verwerker.
Een product proberen in een technisch verhaal als een dpia te zien kan niet eens, er is geen relatie met een verwerking.

De DPIA (PIA in NL) is niet de verwerkersovereenkomst, maar een assessment dat je als onderdeel van een verwerkersovereenkomst moet uitvoeren.
05-04-2020, 10:40 door karma4
Door Anoniem: De DPIA (PIA in NL) is niet de verwerkersovereenkomst, maar een assessment dat je als onderdeel van een verwerkersovereenkomst moet uitvoeren.
Laten we eens kijken wat vanuit de gdpr wp27 over gezegd is.
Guidelines: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
- "The DPIA should be carried out “prior to the processing” (Articles 35(1) and 35(10), recitals 90 and 93)23. This is consistent with data protection by design and by default principles (Article 25 and recital 78). The DPIA should be seen as a tool for helping decision-making concerning the processing."
- "Carrying out a DPIA is a continual process, not a one-time exercise."
- "The controller is responsible for ensuring that the DPIA is carried out (Article 35(2))."
- "The controller must also seek the advice of the Data Protection Officer (DPO)"
- "The controller must “seek the views of data subjects or their representatives” (Article 35(9)), “where appropriate”."

Wat er overal staat is letterlijk het process de informatieverwerking. Je kan geen techniek beoordelen als DPIA, het is net negens in de GDPR zo benoemd. De rollen en verantwoordelijkheden vereist in een DPAI lijken met nu bij uitstek bedoeld om in een verwerkersovereenkomst te hebben staan. Een overeenkomst zonder verantwoordelijkheden en rollen daar kan ik me niets bij voorstellen.
05-04-2020, 15:45 door Anoniem
Door karma4:
Laten we eens kijken wat vanuit de gdpr wp27 over gezegd is.

Wat er overal staat is letterlijk het process de informatieverwerking. Je kan geen techniek beoordelen als DPIA, het is net negens in de GDPR zo benoemd. De rollen en verantwoordelijkheden vereist in een DPAI lijken met nu bij uitstek bedoeld om in een verwerkersovereenkomst te hebben staan. Een overeenkomst zonder verantwoordelijkheden en rollen daar kan ik me niets bij voorstellen.

Volgens mij bedoelen wij allebei hetzelfde. De DPIA staat in de verwerkersovereenkomst, maar is op zichzelf geen verwerkersovereenkomst. Je beoordeeld niet zozeer de techniek, maar de informatie die je wil verwerken en de maatregelen die daarvoor nodig zijn. Daarna moet je zorgen dat de tools (techniek) die je gebruikt passend zijn. Maar de overheid (Justitie in dit geval) kan prima een DPIA voor ambtelijke werkplekken opstellen en daarbij vaststellen dat Office geen passende tool is.
05-04-2020, 16:43 door Anoniem
Jammer dat niemand (en dan bedoel ik de journalisten en media) tegen gas geeft, want welke wet overtreed je als je een url gaat benaderen of manipuleren.

- verstoren van een openbare bijeenkomst: nee want het is een besloten bijeenkomst
- computerinbraak: nee want je omzeilt geen beveiliging, een open deur is geen beveiliging, dus is er geen sprake van braak
- het gebruik van een computer om een misdrijf te plegen: nee, nog geen misdrijf gepleegd
- haatmisdrijven: nee, alleen als je iets zegt of doet, maar gewoon hallo zeggen en vervelend doen valt daar niet onder
- fraude: nee, je fraudeert niet, misschien als je uitgeeft als een legitieme deelnemer
- het versturen van dreigementen: nee, tenzij je dreigt, maar dat is is Alle omstandigheden strafbaar, niet aleen in zoom

Ik ben geen jurist, en zeker niet in USA recht, maar de aanpak is typisch Amerikaans, van alles beschuldigen, zodat je wel instemt met deal voor minder. Ook iets wat meer in NL gebeurt.
05-04-2020, 17:53 door karma4
Door Anoniem: Maar de overheid (Justitie in dit geval) kan prima een DPIA voor ambtelijke werkplekken opstellen en daarbij vaststellen dat Office geen passende tool is.
In dat laatste verschillen we. Dat onderzoek toen doorgenomen.
- Er was geen gerichte samenwerking voor een dpia tussen verwerker en opdrachtgever, integendeel.
- een doel van wat onderzocht zou moeten worden ontbrak,
- men geen vol in omdat het onbekend is wat we zien is het fout.
De latere reactie van meer openheid vanuit MS was natuurlijk wel goed, maar dat heeft niet die aandacht gekregen en had op een andere manier ook we bereikt kunnen worden. Het was niet de werkwijze conform wp27.

Afijn we hebben het hier over zoom als het onderwerp.
Daar heb ik heb op dezelfde wijze mijn bedenkingen hoe er met zwaar geschut alles als bij voorbaat fout weggezet wordt.
Ja er zaten nogal wat ernstige fouten in de clients en in de voorlichting met de service. Die fouten in de clients hadden veel eerder opgemerkt moeten worden. Waarom is dat niet gebeurt? Het is geen nieuwe iets het kwam al vaker langs.
07-04-2020, 13:44 door Anoniem
Door Anoniem: Jammer dat niemand (en dan bedoel ik de journalisten en media) tegen gas geeft, want welke wet overtreed je als je een url gaat benaderen of manipuleren.

- verstoren van een openbare bijeenkomst: nee want het is een besloten bijeenkomst
- computerinbraak: nee want je omzeilt geen beveiliging, een open deur is geen beveiliging, dus is er geen sprake van braak
- het gebruik van een computer om een misdrijf te plegen: nee, nog geen misdrijf gepleegd
- haatmisdrijven: nee, alleen als je iets zegt of doet, maar gewoon hallo zeggen en vervelend doen valt daar niet onder
- fraude: nee, je fraudeert niet, misschien als je uitgeeft als een legitieme deelnemer
- het versturen van dreigementen: nee, tenzij je dreigt, maar dat is is Alle omstandigheden strafbaar, niet aleen in zoom

Ik ben geen jurist, en zeker niet in USA recht, maar de aanpak is typisch Amerikaans, van alles beschuldigen, zodat je wel instemt met deal voor minder. Ook iets wat meer in NL gebeurt.

Kleine kanttekening:

de wet spreekt niet van "COMPUTERINBRAAK"; de wet spreekt van computerVREDEbreuk.

wereld van verschil. Sorry; die vlieger gaat niet op.
computervredebreuk: ‘opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk’.

Er staat niet 'hoe'

Eminus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.