Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij
Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Dat blijkt uit een vandaag gepubliceerd vonnis.
De man werd verdacht van het inbreken op de website van een Haagse huisartsenpost en zou vervolgens hebben aangeboden om het gevonden beveiligingslek tegen betaling te verhelpen. Het incident vond plaats in augustus 2017. De directeur van een Haagse huisartsenpost ontvangt een telefoontje dat zijn website lek is en er toegang is verkregen tot de persoonlijke gegevens van zijn artsen.
Het gaat om e-mailadressen, gebruikersnamen, wachtwoorden en bankrekeningnummers. Niet veel later ontvangt de directeur een offerte om het beveiligingslek voor een bedrag tussen de 16.500 en 23.000 euro te verhelpen. De offerte is voorzien van de opmerking dat er waarschijnlijk een boete betaald zal moeten worden wanneer het beveiligingslek openbaar wordt en er flinke reputatieschade zal plaatsvinden.
De directeur stapt naar de politie en het ingestelde onderzoek leidt naar de Tielenaar. De man wordt aangehouden en uiteindelijk aangeklaagd voor het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk door het doorbreken van een beveiliging. Hij zou daarbij het programma SQLmap hebben gebruikt, waarmee websites op SQL-injection zijn te testen. De Tielenaar wordt schuldig bevonden en veroordeeld tot een gevangenisstraf van twee maanden, waarvan een maand voorwaardelijk.
De man gaat in beroep tegen de uitspraak en is nu door het gerechtshof vrijgesproken. Een website is namelijk geen geautomatiseerd werk zoals in artikel 80sexies van het Wetboek van Strafrecht staat vermeld, zo oordeelt het hof, dat verklaart dat onder een geautomatiseerd werk een fysiek apparaat wordt verstaan. "Nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, bestaat op grond van het voorgaande voldoende aanleiding om een website niet aan te merken als geautomatiseerd werk", zo stelt het gerechtshof, dat het vonnis van de rechter vernietigt en de Tielenaar vrijspreekt.
TheYOSH
Op die manier is een moderne televisie, magnetron of auto ook geen geautomatiseerd werk, want tussen hardware en gebruik liggen lagen en nog eens lagen software. Dus niet direct het fysieke apparaat.
Art. 312 lid 3 Sr.: diefstal of afpersing
Welke straf kan worden opgelegd? De maximale straf die op afpersing staat, is negen jaar gevangenisstraf of een geldboete van 82.000 euro.
Zou deze uitspraak betekenen dat als de bewuste site op een colocated eigendom server had gestaan het ineens weer wèl strafbaar was geweest?
Is er hier niet iets fout gegaan bij de aanklacht? Het gaat tenslotte om afpersing. Althans, naar mijn smaak. Is er hier een strafvordering gedaan op een bijzaak omdat de hoofdzaak mogelijk niet te bewijzen was?
Wat die vent geflikt heeft is met zo een uitspraak natuurlijk enorm slecht voor het rechtszekerheidsgevoel over afgeschermde data in het algemeen. Het geeft vrijbrieven voor hacken tot aan ransomewaren. Reden genoeg denk ik voor de hoge raad om de hele procedure nog eens met grotere wijsheid te bekijken.
Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).
PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.
Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)
TheYOSH
Maar daar is hij niet voor aangeklaagd, en de rechter mag dat er niet uit zichzelf zomaar bijhalen. Als ik voor moord aangeklaagd wordt omdat ik iets gestolen heb ga ik gewoon vrijuit als het OM de aanklacht niet heel gauw bijstelt.
Iemand twee keer aanklagen voor hetzelfde feit mag niet, tenzij er nieuwe feiten aan het licht komen.
TheYOSH
Maar daar is hij niet voor aangeklaagd, en de rechter mag dat er niet uit zichzelf zomaar bijhalen. Als ik voor moord aangeklaagd wordt omdat ik iets gestolen heb ga ik gewoon vrijuit als het OM de aanklacht niet heel gauw bijstelt.
Iemand twee keer aanklagen voor hetzelfde feit mag niet, tenzij er nieuwe feiten aan het licht komen.
De eerste aanklacht ging toch niet over afpersing? Dus gewoon alsnog aangifte indienen. Wat een misselijkmakende script kiddie. Tooltje runnen dat hij zelf hoogstwaarschijnlijk niet eens kan programmeren, om vervolgens zwaar suggestieve opmerkingen te sturen over betalingen en reputatieschade? Wat lopen er toch vervelende, onethische mensen rond.
Maar misschien is het dit wetsartikel dat aan herformuleren toe is.
Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.
Als afpersen niet daarin opgenomen was kan hij daar ook niet voor veroordeeld worden.
Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).
PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.
Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)
Zeggen dat openbaarmaking voor schade kan zorgen om je werkzaamheden het te verhelpen kracht bij te zetten.
Afpersing dus.
Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).
PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.
Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)
Als meneer de hacker de bug vind en deze achterhoud omdat hij vind dat hij er geld voor moet krijgen lijkt het op afpersing. Als hij de bug uitlegt, maar tegelijkertijd ook zijn vaardigheden aanbied om deze te verhelpen, is het een ander verhaal.
Het artikel is niet duidelijk of het afpersen is of niet.
En het is een rare uitspraak omdat computervredebreuk in deze tijd gedefinieerd lijkt te worden naar gelang de intentie. En de intentie hier is zeer onduidelijk.
Als de Officier van Justitie, de openbare aanklager, delictsomschrijving in het Wetboek van Strafrecht niet eens goed kan toepassen, dan kan deze Officier maar beter voor een andere job gaan solliciteren.
Inderdaad, ze hadden hem van mij mogen opsluiten. 16k om een security issue in een website te fixen sure.
Hey ik heb een bug gevonden in jouw website, hierdoor kan een kwaadwillende hacker persoonsgegevens stelen.
Ik kan deze bug voor jou oplossen, dit kost dan ongeveer X bedrag (arbeidskosten).
PS. Een lek in een systeem kan tot verlies in vertrouwen of reputatie schade leiden.
Mvg een NIET kwaadwillende Hacker (Meneer uit Tiel) ;)
Je had ook eerst kunnen vragen of je een offerte mag uitbrengen. ;) Daarnaast lijkt 20k voor het fixen van een security issue in een website wat veel en niet markt conform => afpersing.
#1 de huisartsenpost hangt medische informatie aan internet
#2 de huisartsenpost heeft beveiliging nog niet eens op niveau van een kleuter
#3 de huisartsenpost wordt er op gewezen
#4 de huisartsenpost doet er niets mee
#5 de huisartsenpost gaat vervolgens de politie inschakelen ipv hun huis-it-er om de boel de fixen
#6 de politie heeft iets teveel amerikaanse tv series gekeken en gaat uit van een inbraak en afpersing
#7 het OM neemt dit over en maakt een boeboe in hun formulering
#8 verdachte wordt vrijgesproken...
Het enige probleem wat ik zie is 1 tot en met 7....
Let wel, dit is 2 jaar voor WCIII actief werd.
#1 de huisartsenpost hangt medische informatie aan internet
#2 de huisartsenpost heeft beveiliging nog niet eens op niveau van een kleuter
#3 de huisartsenpost wordt er op gewezen
#4 de huisartsenpost doet er niets mee
#5 de huisartsenpost gaat vervolgens de politie inschakelen ipv hun huis-it-er om de boel de fixen
#6 de politie heeft iets teveel amerikaanse tv series gekeken en gaat uit van een inbraak en afpersing
#7 het OM neemt dit over en maakt een boeboe in hun formulering
#8 verdachte wordt vrijgesproken...
Het enige probleem wat ik zie is 1 tot en met 7....
Let wel, dit is 2 jaar voor WCIII actief werd.
Gefeliciteerd, met deze opmerking kom je in aanmerking voor een woning in Tiel. Schijnt daar normaal te zijn om zwakke plekken te zoeken en dan met mes op de keel een oplossing aan te bieden. Er staat helemaal niet dat de huisartsenpost geen maatregelen heeft getroffen na ontdekking, maar het gaat hier om de (be)dreiging die tot uiting komt.
Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.
Knullige opleiding voor de Officieren van Justitie dat ze dit soort fijnheden niet onder een short-cut toets voor zich hebben.
Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.
https://blog.iusmentis.com/2022/08/24/hof-vindt-website-geen-geautomatiseerd-werk-en-spreekt-verdachte-vrij/
Hij haalt een arrest van de Hoge Raad aan over DDoS-aanvallen waarin de onderliggende serverhardware en netwerkinfrastructuur bij het begrip "website" inbegrepen zijn zonder dat ze expliciet genoemd worden.
Er kan dus verschillend over gedacht worden en de Hoge Raad heeft er al eens anders over gedacht. Zo vanzelfsprekend is het dus niet dat dit een fout in de tenlastelegging is.
Bedenk dat een website onmogelijk operationeel kan zijn zonder de serverhardware waarop de webserver en de eigen code van de website draaien. Het feit dat er iets draait impliceert dat de hardware aanwezig is. Van een operationele website is de hardware waarop die draait een onderdeel dat onmogelijk kan ontbreken. Dat je in een andere context alleen de betreffende code en instellingen tot de website rekent doet daar niets aan af, dat is namelijk een andere context.
Ok, dus volgens het hof is een website geen fysiek apparaat...
(Dat de software en/of 'een samenstel van gegevens' uiteindelijk wel ergens op een fysiek apparaat draait/verblijft, dat boeit blijkbaar niet.)
Dat geldt dan ook voor bankrekeningen, databases, wachtwoorden, etc. : zijn allemaal geen apparaten
Volgens deze redenering kun je als hacker nooit iets fout doen want alles waar een hacker mee aan de haal gaat is software....
(immers nog nooit gehoord van een hacker die op afstand de waarde van een weerstandje op een PCB heeft veranderd of de karakteristiek van een PN overgang in een halfgeleider heeft aangepast ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
