image

Nee, geheimhouding bij ethical bug reporting is niet bindend

woensdag 13 oktober 2021, 11:54 door Arnoud Engelfriet, 14 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Hoe bindend is zo'n eis over geheimhouding?

Antwoord: De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Dus iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.

Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (14)
13-10-2021, 14:54 door Anoniem
Arnoud, je projecteert het Nederlands recht op internationale zaken, of in ieder geval een melder (niet uit Nederland) bij een niet-Nederlands bedrijf, niet heel verstandig.
13-10-2021, 17:34 door Arnoud Engelfriet
Hoe kom je erbij dat ik hier uitsluitend spreek van Nederlands recht? Je hebt ongelijk. Noem mij één jurisdictie waar een ongevraagde melding ertoe leidt dat je gedwongen bent een geheimhoudingscontract te aanvaarden.
13-10-2021, 17:54 door Anoniem
Door Arnoud Engelfriet: Hoe kom je erbij dat ik hier uitsluitend spreek van Nederlands recht? Je hebt ongelijk. Noem mij één jurisdictie waar een ongevraagde melding ertoe leidt dat je gedwongen bent een geheimhoudingscontract te aanvaarden.
Haha Arnoud, dat was exact wat ik dacht toen ik de reactie van Anoniem 14.54 las.
13-10-2021, 19:42 door Anoniem
Is in andere landen niet anders.
13-10-2021, 20:01 door Anoniem
Door Arnoud Engelfriet: Hoe kom je erbij dat ik hier uitsluitend spreek van Nederlands recht? Je hebt ongelijk. Noem mij één jurisdictie waar een ongevraagde melding ertoe leidt dat je gedwongen bent een geheimhoudingscontract te aanvaarden.
Maar dat contract hoef je toch alleen te aanvaarden als je voor je melding 1000 euro terug wilt zien?
Anders stuur je hen gewoon die melding, desnoods zonder contactinformatie te vermelden, en is het daarmee klaar.
14-10-2021, 10:53 door Anoniem
Door Anoniem: Maar dat contract hoef je toch alleen te aanvaarden als je voor je melding 1000 euro terug wilt zien?
Anders stuur je hen gewoon die melding, desnoods zonder contactinformatie te vermelden, en is het daarmee klaar.
Dat klopt toch met wat Arnoud ook zegt? Ik snap je "maar" niet.
14-10-2021, 11:27 door Anoniem
Heb ook wel eens gehad dat bedrijven niet/laks reageren of de impact bagataliseren. Een tip: publiceer dan niet onder eigen naam. Anders heb je de kans post te ontvangen van advocaten. Kost tijd en geld. Grote bedrijven hebben daar altijd meer van dan een simpele onderzoeker.

Meestal is er meer te vinden als je wat dieper graaft.Dus als je dat op de juiste wijze openbaar maakt valt het niet naar jou als privepersoon te herleiden.
14-10-2021, 12:03 door Anoniem
Door Anoniem:
Door Arnoud Engelfriet: Hoe kom je erbij dat ik hier uitsluitend spreek van Nederlands recht? Je hebt ongelijk. Noem mij één jurisdictie waar een ongevraagde melding ertoe leidt dat je gedwongen bent een geheimhoudingscontract te aanvaarden.
Maar dat contract hoef je toch alleen te aanvaarden als je voor je melding 1000 euro terug wilt zien?
Anders stuur je hen gewoon die melding, desnoods zonder contactinformatie te vermelden, en is het daarmee klaar.
Ja, of publiceer je het op de hiervoor gebruikelijke fora, met de mededeling dat je €1000 euro zwijggeld had kunnen krijgen maar in het kader van transparantie dat maar hebt geweigerd
14-10-2021, 14:05 door Anoniem
Door Arnoud Engelfriet: Hoe kom je erbij dat ik hier uitsluitend spreek van Nederlands recht? Je hebt ongelijk. Noem mij één jurisdictie waar een ongevraagde melding ertoe leidt dat je gedwongen bent een geheimhoudingscontract te aanvaarden.

Bedoelde de vragensteller niet hoe bindend de *contractuele eis tot geheimhouding is wanneer je de beloning wilt aanvaarden* ?

Nu kan er iets meer verschil zitten in dingen die contractueel bindend kunnen zijn in verschillende jurisdicties (arbeidsrecht,huurrecht,consumentenrecht - e.d, en wat daarin bepaald mag worden in NL , of in de VS) maar ik denk dat dat in deze situatie je - je in ongeveer alle jurisdicties wel gebonden zult zijn aan de de voorwaarden die gesteld worden voor het uitgekeerd krijgen van de beloning, als je die eerst accepteert.


Bij elkaar komt het (m.i.) neer op :

Als ze contractuele voorwaarden stellen om de beloning uitgekeerd te krijgen, en je aanvaard die ben je ook gebonden aan die voorwaarden .

*Dat* deel is wat mij betreft nogal een "Ja duh, logisch" .

Vandaar dat ik denk dat de vraag iets is als "maar is openhoud niet zo erg belangrijk dat je je daarvoor niet aan een contract hoeft te houden " ?

Ik _denk_ - maar dat is dan een echt juridische vraag - dat in deze situatie een geheimhoudingsclausule geen nietige of onredelijke voorwaarde is , en dat ook niet is in een andere jurisdictie.

Je merkt terecht op dat het gebruikte contract misschien "foutje, verkeerde standaard versie" is, en je kunt proberen iets anders te onderhandelen.
En dat er inderdaad geen verschil moet zitten tussen "publieke voorwaarden" zoals van een bugbounty, en de feitelijke voorwaarden wanneer je wilt claimen.
14-10-2021, 16:08 door spatieman
als iemand mij gaat zeggen dat ik een NDA moet ondertekenen dan bedank ik me, en dan wacht lekker die 60 dagen af.
14-10-2021, 16:10 door Anoniem
Door Arnoud Engelfriet: Hoe kom je erbij dat ik hier uitsluitend spreek van Nederlands recht? Je hebt ongelijk. Noem mij één jurisdictie waar een ongevraagde melding ertoe leidt dat je gedwongen bent een geheimhoudingscontract te aanvaarden.
De gemeente Moerdijk. https://www.moerdijk.nl/responsible-disclosure

Nu kan het zo zijn dat de gemeente Moerdijk het niet helemaal bij het rechte eind heeft. Maar ik verwijs naar officieel gemeentebeleid dus zal ik wel een goed punt hebben en totaal niet bijdehand zijn.
14-10-2021, 17:46 door Anoniem
Waar een contract grenzen overschrijdt kun je het vaak gewoon tekenen en die 1000 euri aanpakken omdat het in je land van domicilie geen enkele betekenis heeft. Null and void.

Er wordt op dit vlak wel nog heel erg veel geklungeld. Met name op internet gebied dat de facto wereldwijd is. Veel broddel kan dus eigenlijk gelijk de prullie in. Zo ook dat ergens OK klikken in Tukulukistan op de klikplek weinig zegt. Op zijn ergst wordt je daar aangeklaagd en mag je Tukulukistan niet meer in. Maar iets halen of aandoen kan eenvoudig niet.

Even een biertje drinken met een jurist die er verstand van heeft wordt nog veels te vaak vergeten. Evenwel kan ik mij bij bovenstaande case voorstellen dat het voor joker zetten van de beloner qua PR waarde waarschijnlijk meer verwacht werd op te leveren dan de beloning zelf. Want het staat hier immers ook gepubliceerd en wel. Dimitri had mogelijk echter gewoon kunnen tekenen, poen aanpakken en alsnog aan de grote klok kunnen trekken. Als ie een jurist had gekend die af en toe niet vies is van een gezellig biertje. Want na slimmigheid en dubbel pakken volgen doorgaans ook voor zo een jurist leukere grotere klussen. Want dat is ook PR, maar van de andere kant.
17-10-2021, 15:12 door Anoniem
Ik ken niet langer genade - meteen alle data open en bloot het net op. Laat ze maar harken!
Beloningen hoef ik niet - en het gehannes met juridische diensten ook niet.
Ze zullen moeten lezen, opvolgen en staalhard zwoegen. En dat hebben ze zelf gezocht de dames en heren van Big Tech!
20-10-2021, 11:22 door Anoniem
Door Anoniem: Ik ken niet langer genade - meteen alle data open en bloot het net op. Laat ze maar harken!
Beloningen hoef ik niet - en het gehannes met juridische diensten ook niet.
Ze zullen moeten lezen, opvolgen en staalhard zwoegen. En dat hebben ze zelf gezocht de dames en heren van Big Tech!

Laten we hopen dat jouw data en je dickpicks ook meteen online gegooid worden.
Daar zal vooral Big Tech de meeste last van hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.