Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer
De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Daarbij is er geen sprake van het omzeilen van de hackbevoegdheid, zo stelt de rechter-commissaris in een reactie op een vordering van de officier van justitie.
Het slachtoffer is in deze zaak mogelijk door een misdrijf om het leven gekomen. Twee telefoons die het slachtoffer in bezit zou hebben gehad zijn niet teruggevonden. Doorzoekingen, telefoon- en printertaps en het opvragen van telefoongegevens hadden ook geen resultaat. Wel vond de politie een oude telefoon van het slachtoffer die tot 2018 in gebruik bleek te zijn. Berichten tussen de verdachte en het slachtoffer zouden mogelijk kunnen aantonen of de verdachte bij de dood van het slachtoffer betrokken was en wat zijn motieven waren.
De wet voorziet niet in een specifieke bevoegdheid voor een opsporingsambtenaar om zich toegang te verschaffen tot het WhatsApp-account en het Google-account van het slachtoffer en gegevens vast te leggen. In de rechtspraak is echter inmiddels meer dan eens geoordeeld dat het zich verschaffen van toegang tot een account onder bepaalde voorwaarden mogelijk is, aldus de rechter-commissaris. Die voegt toe dat de gegevens in beide accounts niet tijdig op een andere wijze zijn te verkrijgen.
De recente telefoons van het slachtoffer zijn niet beschikbaar. Daarnaast is het ook niet mogelijk om de gegevens binnen afzienbare tijd bij de betreffende communicatiediensten te vorderen. WhatsApp maakt gebruik van end-to-end versleuteling en slaat afgeleverde berichten niet zelf op, laat de rechter-commissaris weten. In het geval van Google zou een rechtshulpverzoek aan de Verenigde Staten mogelijk zijn. Volgens de officier van justitie blijkt dat de Amerikaanse autoriteiten een groot deel van de rechtshulpverzoeken weigeren en dat de procedure minimaal anderhalf à twee jaar in beslag neemt.
Toegang
Volgens de rechter-commissaris is de vordering om toegang tot beide accounts te krijgen dan ook gerechtvaardigd. "Hiervoor is slechts toegang nodig tot het telefoonnummer van het slachtoffer door middel van een duplicaat SIM kaart. Feitelijk wordt de backup van Whatsapp dan teruggezet op een telefoon. Daarvoor moet dus een nieuwe (duplicaat) simkaart worden aangevraagd bij de provider met het nummer van het slachtoffer, welke in een toestel kan worden gedaan waarop Whatsapp opnieuw geïnstalleerd wordt", zo laat officier van justitie weten in de vordering over het verkrijgen van toegang tot het WhatsApp-account van het slachtoffer.
In het geval van het Google-account is dit afhankelijk van de instellingen, zoals het gebruik van tweefactorauthenticatie. "Indien bijvoorbeeld de code naar een email adres wordt gestuurd, en dat email adres komt niet binnen op de genoemde telefoon, stoppen de inlogmogelijkheden. Als de code naar het nummer van de telefoon wordt verzonden dan kan daar wel mee ingelogd worden", aldus de vordering. Daarin staat verder dat als dit niet werkt, er kan worden gekozen om via het invullen van beveiligingsvragen het wachtwoord te resetten.
De rechter-commissaris stelt dat de politie geen rechtstreekse toegang tot de accounts heeft, maar dat er tussenstappen nodig zijn. Welke tussenstappen moeten worden gezet is afhankelijk van de instellingen, waarover op voorhand geen informatie beschikbaar is. Daarbij kijkt de rechter-commissaris ook in hoeverre deze werkwijze zich verhoudt tot het binnendringen van een systeem, zoals de "hackbevoegdheid" mogelijk maakt. De voorwaarden en waarborgen van deze bevoegdheid mag de politie namelijk niet omzeilen, benadrukt de rechter-commissaris.
De officier van justitie stelde dat er geen sprake van de hackbevoegdheid is, omdat er wordt ingelogd op een normale wijze, zonder kunstgrepen, met toestemming van de nabestaande, die doorgaans ook door een provider in staat wordt gesteld om een duplicaat simkaart aan te vragen als iemand overlijdt. Iets waar de rechter-commissaris het mee eens is. "Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account."
Volgens de rechter-commissaris is het terugzetten van een back-up, zoals bij WhatsApp, een gebruikelijke handeling, wat ook geldt voor het invoeren van tweefactorauthenticatiecodes en beantwoorden van beveiligingsvragen om toegang te krijgen tot een account. "Kortom, weliswaar beschikt de politie niet over kant-en-klare inloggegevens, maar de wijze waarop een opsporingsambtenaar toegang tot de accounts verkrijgt, is in de kern niet anders dan de wijze waarop de rechtmatige gebruiker in een vergelijkbare situatie toegang zou verkrijgen. Dat er meerdere stappen moeten worden gezet, maakt dit niet anders", stelt de rechter-commissaris, die toevoegt dat het van belang is dat er geen gebruik wordt gemaakt van een bepaalde techniek om inloggegevens te ontfutselen of van kunstmatige intelligentie. De vordering werd dan ook toegewezen.
Lijkt me wel goed als de politie zo gegegevens over iemand die door een misdrijf is gedood veilig stelt.
Zou U zelf ook willen als het bijv. een familielid(kind,vrouw etc) betreft.
Lijkt me wel goed als de politie zo gegegevens over iemand die door een misdrijf is gedood veilig stelt.
Zou U zelf ook willen als het bijv. een familielid(kind,vrouw etc) betreft.
Ik zou ook graag willen dat de verkrachter/moordenaar van mijn kind/vrouw gevonden kan worden d.m.v. DNA moeten we dan een wereld DNA-bank aan gaan leggen?
Je simkaart kwijt /telefoon kwijt of gestolen en dan proberen in te loggen
via een andere telefoon op je whatsapp via (2FA) lukt dat ?
:-) lol juist ik denk dat je dan spijt heb om 2FA te gebruiken
Een interessante zaak en niet alleen juridisch. Een WhatsApp-account kan worden voorzien van een extra PIN-code voor een twee-staps verificatie. Die tweede code staat los van de PIN of PUK van de gebruikte SIM-kaart van het gebruikte mobiele nummer. De kans bestaat dus dat de politie op een tweede en andere PIN-code stuit, die alleen met hulp van Meta op te lossen valt. WhatsApp heeft die extra bescherming bedacht juist tegen SIM-swapping door criminelen.
Dan neem ik aan dat het ook niet onder computervredebreuk valt als een hackert met jouw wachtwoord op je account inlogt. Vreemde zaak, zou juist onder de hackbevoegdheid moeten vallen. Overigens prima dat ze dat proberen.
Je simkaart kwijt /telefoon kwijt of gestolen en dan proberen in te loggen
via een andere telefoon op je whatsapp via (2FA) lukt dat ?
:-) lol juist ik denk dat je dan spijt heb om 2FA te gebruiken
Jij hebt duidelijk niet gekeken naar hoe die 2FA werkt...
Je simkaart kwijt /telefoon kwijt of gestolen en dan proberen in te loggen
via een andere telefoon op je whatsapp via (2FA) lukt dat ?
:-) lol juist ik denk dat je dan spijt heb om 2FA te gebruiken
2FA bestaat bij whatsapp uit extra pincode (naast de koppeling aan het 06 nummer), dus daar heb je nooit spijt van, om die in te stellen.
Geloof je het zelf?
doe daar maar eens een bron van. want ik kan je vertellen, google account waar al 6 jaar niet op is ingelogd is gewoon nog volledig up en running. laat staan na 1 maand, wat mensen wel vaker als tijdelijke break nemen (al dan niet opzettelijk...)
Het ie gewoon een account kraken op zoek naar een motief.
Een interessante zaak en niet alleen juridisch. Een WhatsApp-account kan worden voorzien van een extra PIN-code voor een twee-staps verificatie. Die tweede code staat los van de PIN of PUK van de gebruikte SIM-kaart van het gebruikte mobiele nummer. De kans bestaat dus dat de politie op een tweede en andere PIN-code stuit, die alleen met hulp van Meta op te lossen valt. WhatsApp heeft die extra bescherming bedacht juist tegen SIM-swapping door criminelen.
Mocht de politie wel rechtens toegang hebben verkregen tot de e-mail account van het overleden slachtoffer, en indien de WhatsApp-account daaraan is gekoppeld, dan kunnen de ze PIN-code daarvan via het web met een formulier op aanvraag automatisch resetten. Zodoende zou de tweede-factor authenticatie dus kunnen worden omzeild, waardoor de SIM-swap slaagt en ze wel toegang tot de WhatsApp account kunnen verkrijgen. De vraag is wel of het nog wat oplevert voor deze zaak, omdat het om een oude telefoon gaat die het slachtoffer na 2018 niet meer zou hebben gebruikt.
Dan neem ik aan dat het ook niet onder computervredebreuk valt als een hackert met jouw wachtwoord op je account inlogt. Vreemde zaak, zou juist onder de hackbevoegdheid moeten vallen. Overigens prima dat ze dat proberen.
Je simkaart kwijt /telefoon kwijt of gestolen en dan proberen in te loggen
via een andere telefoon op je whatsapp via (2FA) lukt dat ?
:-) lol juist ik denk dat je dan spijt heb om 2FA te gebruiken
Jij hebt duidelijk niet gekeken naar hoe die 2FA werkt...
Wellicht :-)
Kun je een email adres invoeren als alternatief,zonder dat je vast zit aan een telefoon?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
