Nee, geheimhouding bij ethical bug reporting is niet bindend
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Hoe bindend is zo'n eis over geheimhouding?
Antwoord: De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Dus iets om te melden natuurlijk, maar makkelijk ging dat niet:
But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.
Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.
De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.
Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Anders stuur je hen gewoon die melding, desnoods zonder contactinformatie te vermelden, en is het daarmee klaar.
Anders stuur je hen gewoon die melding, desnoods zonder contactinformatie te vermelden, en is het daarmee klaar.
Meestal is er meer te vinden als je wat dieper graaft.Dus als je dat op de juiste wijze openbaar maakt valt het niet naar jou als privepersoon te herleiden.
Anders stuur je hen gewoon die melding, desnoods zonder contactinformatie te vermelden, en is het daarmee klaar.
Bedoelde de vragensteller niet hoe bindend de *contractuele eis tot geheimhouding is wanneer je de beloning wilt aanvaarden* ?
Nu kan er iets meer verschil zitten in dingen die contractueel bindend kunnen zijn in verschillende jurisdicties (arbeidsrecht,huurrecht,consumentenrecht - e.d, en wat daarin bepaald mag worden in NL , of in de VS) maar ik denk dat dat in deze situatie je - je in ongeveer alle jurisdicties wel gebonden zult zijn aan de de voorwaarden die gesteld worden voor het uitgekeerd krijgen van de beloning, als je die eerst accepteert.
Bij elkaar komt het (m.i.) neer op :
Als ze contractuele voorwaarden stellen om de beloning uitgekeerd te krijgen, en je aanvaard die ben je ook gebonden aan die voorwaarden .
*Dat* deel is wat mij betreft nogal een "Ja duh, logisch" .
Vandaar dat ik denk dat de vraag iets is als "maar is openhoud niet zo erg belangrijk dat je je daarvoor niet aan een contract hoeft te houden " ?
Ik _denk_ - maar dat is dan een echt juridische vraag - dat in deze situatie een geheimhoudingsclausule geen nietige of onredelijke voorwaarde is , en dat ook niet is in een andere jurisdictie.
Je merkt terecht op dat het gebruikte contract misschien "foutje, verkeerde standaard versie" is, en je kunt proberen iets anders te onderhandelen.
En dat er inderdaad geen verschil moet zitten tussen "publieke voorwaarden" zoals van een bugbounty, en de feitelijke voorwaarden wanneer je wilt claimen.
Nu kan het zo zijn dat de gemeente Moerdijk het niet helemaal bij het rechte eind heeft. Maar ik verwijs naar officieel gemeentebeleid dus zal ik wel een goed punt hebben en totaal niet bijdehand zijn.
Er wordt op dit vlak wel nog heel erg veel geklungeld. Met name op internet gebied dat de facto wereldwijd is. Veel broddel kan dus eigenlijk gelijk de prullie in. Zo ook dat ergens OK klikken in Tukulukistan op de klikplek weinig zegt. Op zijn ergst wordt je daar aangeklaagd en mag je Tukulukistan niet meer in. Maar iets halen of aandoen kan eenvoudig niet.
Even een biertje drinken met een jurist die er verstand van heeft wordt nog veels te vaak vergeten. Evenwel kan ik mij bij bovenstaande case voorstellen dat het voor joker zetten van de beloner qua PR waarde waarschijnlijk meer verwacht werd op te leveren dan de beloning zelf. Want het staat hier immers ook gepubliceerd en wel. Dimitri had mogelijk echter gewoon kunnen tekenen, poen aanpakken en alsnog aan de grote klok kunnen trekken. Als ie een jurist had gekend die af en toe niet vies is van een gezellig biertje. Want na slimmigheid en dubbel pakken volgen doorgaans ook voor zo een jurist leukere grotere klussen. Want dat is ook PR, maar van de andere kant.
Beloningen hoef ik niet - en het gehannes met juridische diensten ook niet.
Ze zullen moeten lezen, opvolgen en staalhard zwoegen. En dat hebben ze zelf gezocht de dames en heren van Big Tech!
Beloningen hoef ik niet - en het gehannes met juridische diensten ook niet.
Ze zullen moeten lezen, opvolgen en staalhard zwoegen. En dat hebben ze zelf gezocht de dames en heren van Big Tech!
Laten we hopen dat jouw data en je dickpicks ook meteen online gegooid worden.
Daar zal vooral Big Tech de meeste last van hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
