image

Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij

dinsdag 23 augustus 2022, 13:13 door Redactie, 28 reacties
Laatst bijgewerkt: 23-08-2022, 16:57

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Dat blijkt uit een vandaag gepubliceerd vonnis.

De man werd verdacht van het inbreken op de website van een Haagse huisartsenpost en zou vervolgens hebben aangeboden om het gevonden beveiligingslek tegen betaling te verhelpen. Het incident vond plaats in augustus 2017. De directeur van een Haagse huisartsenpost ontvangt een telefoontje dat zijn website lek is en er toegang is verkregen tot de persoonlijke gegevens van zijn artsen.

Het gaat om e-mailadressen, gebruikersnamen, wachtwoorden en bankrekeningnummers. Niet veel later ontvangt de directeur een offerte om het beveiligingslek voor een bedrag tussen de 16.500 en 23.000 euro te verhelpen. De offerte is voorzien van de opmerking dat er waarschijnlijk een boete betaald zal moeten worden wanneer het beveiligingslek openbaar wordt en er flinke reputatieschade zal plaatsvinden.

De directeur stapt naar de politie en het ingestelde onderzoek leidt naar de Tielenaar. De man wordt aangehouden en uiteindelijk aangeklaagd voor het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk door het doorbreken van een beveiliging. Hij zou daarbij het programma SQLmap hebben gebruikt, waarmee websites op SQL-injection zijn te testen. De Tielenaar wordt schuldig bevonden en veroordeeld tot een gevangenisstraf van twee maanden, waarvan een maand voorwaardelijk.

De man gaat in beroep tegen de uitspraak en is nu door het gerechtshof vrijgesproken. Een website is namelijk geen geautomatiseerd werk zoals in artikel 80sexies van het Wetboek van Strafrecht staat vermeld, zo oordeelt het hof, dat verklaart dat onder een geautomatiseerd werk een fysiek apparaat wordt verstaan. "Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk", zo stelt het gerechtshof, dat het vonnis van de rechter vernietigt en de Tielenaar vrijspreekt.

Reacties (28)
23-08-2022, 13:19 door Anoniem
Dus bij deze is websites hacken niet meer illegaal in nederland? Vreemd verhaal.
23-08-2022, 13:19 door Anoniem
Blijft natuurlijk wel de chantage/afpersing over...
23-08-2022, 13:25 door Anoniem
Dan gewoon een nieuwe claim voor afpersing. Wat een mafkees.
23-08-2022, 13:27 door Anoniem
Maar dan ga je toch voor afpersen? Dat mag ook niet, en daar klinkt het wel naar zo. Dus die Tielenaar mag wat mij betreft gewoon ff brommen.

TheYOSH
23-08-2022, 13:34 door Anoniem
Absurde uitspraak.
Op die manier is een moderne televisie, magnetron of auto ook geen geautomatiseerd werk, want tussen hardware en gebruik liggen lagen en nog eens lagen software. Dus niet direct het fysieke apparaat.
23-08-2022, 13:52 door Anoniem
Ja, en APERSEN hoeft dus niet te worden bestraft??

Art. 312 lid 3 Sr.: diefstal of afpersing

Welke straf kan worden opgelegd? De maximale straf die op afpersing staat, is negen jaar gevangenisstraf of een geldboete van 82.000 euro.
23-08-2022, 14:02 door Anoniem
Wie gaat de rechters uitleg wat het verschil is tussen gemechaniseerd en geautomatiseerd?
23-08-2022, 14:10 door Anoniem
Interessant.

Zou deze uitspraak betekenen dat als de bewuste site op een colocated eigendom server had gestaan het ineens weer wèl strafbaar was geweest?

Is er hier niet iets fout gegaan bij de aanklacht? Het gaat tenslotte om afpersing. Althans, naar mijn smaak. Is er hier een strafvordering gedaan op een bijzaak omdat de hoofdzaak mogelijk niet te bewijzen was?

Wat die vent geflikt heeft is met zo een uitspraak natuurlijk enorm slecht voor het rechtszekerheidsgevoel over afgeschermde data in het algemeen. Het geeft vrijbrieven voor hacken tot aan ransomewaren. Reden genoeg denk ik voor de hoge raad om de hele procedure nog eens met grotere wijsheid te bekijken.
23-08-2022, 14:32 door Anoniem
Kan iemand mij het stukje "afpersing" uitleggen?


Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).

PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.

Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)
23-08-2022, 14:43 door johanw - Bijgewerkt: 23-08-2022, 14:47
Door Anoniem: Maar dan ga je toch voor afpersen? Dat mag ook niet, en daar klinkt het wel naar zo. Dus die Tielenaar mag wat mij betreft gewoon ff brommen.

TheYOSH

Maar daar is hij niet voor aangeklaagd, en de rechter mag dat er niet uit zichzelf zomaar bijhalen. Als ik voor moord aangeklaagd wordt omdat ik iets gestolen heb ga ik gewoon vrijuit als het OM de aanklacht niet heel gauw bijstelt.

Door Anoniem: Dan gewoon een nieuwe claim voor afpersing. Wat een mafkees.

Iemand twee keer aanklagen voor hetzelfde feit mag niet, tenzij er nieuwe feiten aan het licht komen.
23-08-2022, 15:18 door Anoniem
Door johanw:
Door Anoniem: Maar dan ga je toch voor afpersen? Dat mag ook niet, en daar klinkt het wel naar zo. Dus die Tielenaar mag wat mij betreft gewoon ff brommen.

TheYOSH

Maar daar is hij niet voor aangeklaagd, en de rechter mag dat er niet uit zichzelf zomaar bijhalen. Als ik voor moord aangeklaagd wordt omdat ik iets gestolen heb ga ik gewoon vrijuit als het OM de aanklacht niet heel gauw bijstelt.

Door Anoniem: Dan gewoon een nieuwe claim voor afpersing. Wat een mafkees.

Iemand twee keer aanklagen voor hetzelfde feit mag niet, tenzij er nieuwe feiten aan het licht komen.

De eerste aanklacht ging toch niet over afpersing? Dus gewoon alsnog aangifte indienen. Wat een misselijkmakende script kiddie. Tooltje runnen dat hij zelf hoogstwaarschijnlijk niet eens kan programmeren, om vervolgens zwaar suggestieve opmerkingen te sturen over betalingen en reputatieschade? Wat lopen er toch vervelende, onethische mensen rond.
23-08-2022, 15:39 door Anoniem
Bizarre uitspraak. Die website draait uiteindelijk op een fysiek apparaat, zelfs als je door alle wolkenlagen geen idee meer hebt op welke fysieke infrastructuur de website eigenlijk draait. Het is volstrekt onmogelijk om in een website of welke applicatie dan ook in te breken zonder dat je ergens op een fysieke machine aanlandt waar het gebeurt. Die fysieke machine is er per definitie.

Maar misschien is het dit wetsartikel dat aan herformuleren toe is.
23-08-2022, 15:58 door Anoniem
Veel ophef terwijl het een fout in de tenlastelegging betreft. Volgens de Wet is een 'geautomatiseerd werk' namelijk een apparaat. In de tenlastelegging werd gesteld dat er wederrechtelijk was binnengedrongen op een website. Het Hof stelt nu dat een website geen geautomatiseerd werk is (want een website is geen apparaat) en volgt er dus vrijspraak.

Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.
23-08-2022, 16:23 door Anoniem
Eindelijk iemand die het snapt!
23-08-2022, 16:28 door _R0N_
Het ligt er maar net aan wat de aanklacht was.
Als afpersen niet daarin opgenomen was kan hij daar ook niet voor veroordeeld worden.
23-08-2022, 16:30 door _R0N_
Door Anoniem: Kan iemand mij het stukje "afpersing" uitleggen?


Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).

PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.

Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)

Zeggen dat openbaarmaking voor schade kan zorgen om je werkzaamheden het te verhelpen kracht bij te zetten.
Afpersing dus.
23-08-2022, 16:33 door Anoniem
Volgens de uitspraak was alleen het binnendringen in de website tenlastegelegd.
23-08-2022, 18:13 door Anoniem
Door Anoniem: Kan iemand mij het stukje "afpersing" uitleggen?


Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).

PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.

Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)

Als meneer de hacker de bug vind en deze achterhoud omdat hij vind dat hij er geld voor moet krijgen lijkt het op afpersing. Als hij de bug uitlegt, maar tegelijkertijd ook zijn vaardigheden aanbied om deze te verhelpen, is het een ander verhaal.

Het artikel is niet duidelijk of het afpersen is of niet.

En het is een rare uitspraak omdat computervredebreuk in deze tijd gedefinieerd lijkt te worden naar gelang de intentie. En de intentie hier is zeer onduidelijk.
24-08-2022, 10:13 door Anoniem
Vraagje: Is een virtuele server een apparaat in de zin van de wet?
24-08-2022, 10:40 door Anoniem
De fout ligt bij het OM die de verdachte voor het gerechtshof heeft gesleept.
Als de Officier van Justitie, de openbare aanklager, delictsomschrijving in het Wetboek van Strafrecht niet eens goed kan toepassen, dan kan deze Officier maar beter voor een andere job gaan solliciteren.
24-08-2022, 11:15 door Anoniem
Dit artikel vraagt gewoon om een toelichting van Arnoud Engelfriet.
24-08-2022, 11:15 door Anoniem
Door Anoniem: Dan gewoon een nieuwe claim voor afpersing. Wat een mafkees.

Inderdaad, ze hadden hem van mij mogen opsluiten. 16k om een security issue in een website te fixen sure.
24-08-2022, 11:21 door Anoniem
Door Anoniem: Kan iemand mij het stukje "afpersing" uitleggen?


Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).

PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.

Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)

Je had ook eerst kunnen vragen of je een offerte mag uitbrengen. ;) Daarnaast lijkt 20k voor het fixen van een security issue in een website wat veel en niet markt conform => afpersing.
24-08-2022, 11:24 door Anoniem
Even wat feiten op een rijtje:

#1 de huisartsenpost hangt medische informatie aan internet
#2 de huisartsenpost heeft beveiliging nog niet eens op niveau van een kleuter
#3 de huisartsenpost wordt er op gewezen
#4 de huisartsenpost doet er niets mee
#5 de huisartsenpost gaat vervolgens de politie inschakelen ipv hun huis-it-er om de boel de fixen
#6 de politie heeft iets teveel amerikaanse tv series gekeken en gaat uit van een inbraak en afpersing
#7 het OM neemt dit over en maakt een boeboe in hun formulering
#8 verdachte wordt vrijgesproken...

Het enige probleem wat ik zie is 1 tot en met 7....
Let wel, dit is 2 jaar voor WCIII actief werd.
24-08-2022, 13:19 door Anoniem
Door Anoniem: Even wat feiten op een rijtje:

#1 de huisartsenpost hangt medische informatie aan internet
#2 de huisartsenpost heeft beveiliging nog niet eens op niveau van een kleuter
#3 de huisartsenpost wordt er op gewezen
#4 de huisartsenpost doet er niets mee
#5 de huisartsenpost gaat vervolgens de politie inschakelen ipv hun huis-it-er om de boel de fixen
#6 de politie heeft iets teveel amerikaanse tv series gekeken en gaat uit van een inbraak en afpersing
#7 het OM neemt dit over en maakt een boeboe in hun formulering
#8 verdachte wordt vrijgesproken...

Het enige probleem wat ik zie is 1 tot en met 7....
Let wel, dit is 2 jaar voor WCIII actief werd.

Gefeliciteerd, met deze opmerking kom je in aanmerking voor een woning in Tiel. Schijnt daar normaal te zijn om zwakke plekken te zoeken en dan met mes op de keel een oplossing aan te bieden. Er staat helemaal niet dat de huisartsenpost geen maatregelen heeft getroffen na ontdekking, maar het gaat hier om de (be)dreiging die tot uiting komt.
25-08-2022, 00:09 door Anoniem
Door Anoniem: Veel ophef terwijl het een fout in de tenlastelegging betreft. Volgens de Wet is een 'geautomatiseerd werk' namelijk een apparaat. In de tenlastelegging werd gesteld dat er wederrechtelijk was binnengedrongen op een website. Het Hof stelt nu dat een website geen geautomatiseerd werk is (want een website is geen apparaat) en volgt er dus vrijspraak.

Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.

Knullige opleiding voor de Officieren van Justitie dat ze dit soort fijnheden niet onder een short-cut toets voor zich hebben.
25-08-2022, 13:38 door Anoniem
Door Anoniem: Veel ophef terwijl het een fout in de tenlastelegging betreft. Volgens de Wet is een 'geautomatiseerd werk' namelijk een apparaat. In de tenlastelegging werd gesteld dat er wederrechtelijk was binnengedrongen op een website. Het Hof stelt nu dat een website geen geautomatiseerd werk is (want een website is geen apparaat) en volgt er dus vrijspraak.

Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.
Arnoud Engelfriet heeft er een blog aan gewijd:
https://blog.iusmentis.com/2022/08/24/hof-vindt-website-geen-geautomatiseerd-werk-en-spreekt-verdachte-vrij/
Hij haalt een arrest van de Hoge Raad aan over DDoS-aanvallen waarin de onderliggende serverhardware en netwerkinfrastructuur bij het begrip "website" inbegrepen zijn zonder dat ze expliciet genoemd worden.

Er kan dus verschillend over gedacht worden en de Hoge Raad heeft er al eens anders over gedacht. Zo vanzelfsprekend is het dus niet dat dit een fout in de tenlastelegging is.

Bedenk dat een website onmogelijk operationeel kan zijn zonder de serverhardware waarop de webserver en de eigen code van de website draaien. Het feit dat er iets draait impliceert dat de hardware aanwezig is. Van een operationele website is de hardware waarop die draait een onderdeel dat onmogelijk kan ontbreken. Dat je in een andere context alleen de betreffende code en instellingen tot de website rekent doet daar niets aan af, dat is namelijk een andere context.
29-08-2022, 16:25 door Anoniem
Als een website niet kan worden aangemerkt als een geautomatiseerd werk, wat is het dan wel?


Ok, dus volgens het hof is een website geen fysiek apparaat...
(Dat de software en/of 'een samenstel van gegevens' uiteindelijk wel ergens op een fysiek apparaat draait/verblijft, dat boeit blijkbaar niet.)

Dat geldt dan ook voor bankrekeningen, databases, wachtwoorden, etc. : zijn allemaal geen apparaten

Volgens deze redenering kun je als hacker nooit iets fout doen want alles waar een hacker mee aan de haal gaat is software....

(immers nog nooit gehoord van een hacker die op afstand de waarde van een weerstandje op een PCB heeft veranderd of de karakteristiek van een PN overgang in een halfgeleider heeft aangepast ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.