Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rechter legt geen straf op aan it'er die werd vervolgd na melden van datalek

De rechtbank Den Haag heeft geen straf opgelegd aan een 45-jarige it'er tegen wie aangifte was gedaan nadat hij een datalek op de site van het Centraal Bureau voor Genealogie had ontdekt. Hij meldde dit lek via klokkenluidersplatform Publeaks, waarna Tweakers erover publiceerde.

In de uitspraak schrijft de rechter dat er sprake is van computervredebreuk en dat de man zich niet erop kan beroepen dat zijn acties aan te duiden zijn als ethisch hacken. Toch heeft de rechtbank besloten geen straf op te leggen en van een voorziening in de wet gebruik te maken die dit toelaat. Bij de motivatie voor deze beslissing speelt mee dat de man geen kwade bedoelingen had, dat hij de gegevens uit de database niet voor eigen gewin heeft gebruikt en dat hij een maatschappelijk belang heeft gediend, dat de rechter aanduidt als 'de beveiliging van persoonsgegevens'. Ook heeft de it'er vanaf het begin meegewerkt aan het onderzoek.

De rechter schrijft verder: "De rechtbank houdt er verder ten gunste van de verdachte rekening mee dat de behandeling van zijn strafzaak de redelijke termijn heeft overschreden. Dat betekent dat de verdachte te lang in onzekerheid heeft moeten verkeren over de afloop van de zaak. Ter zitting heeft de verdachte verklaard dat hij daarvan in persoonlijk en zakelijk opzicht nadelige gevolgen heeft ondervonden. Ook heeft hij verteld over de grote impact die de doorzoeking van zijn woning en zijn aanhouding op hem en zijn gezin hebben gehad." Daarnaast is de man voor en na het incident niet in aanraking geweest met justitie.

De rechtbank komt in deze uitspraak eerst tot de conclusie dat er sprake is van computervredebreuk. Zo zou de man gebruik hebben gemaakt van 'valse signalen', een van de vereisten voor dit vergrijp, om de server van het Centraal Bureau voor Genealogie binnen te dringen. Daarbij refereert de rechter aan onderzoek dat is uitgevoerd door Fox-IT, waaruit blijkt dat er een bestand op de webserver van het CBG aanwezig was, genaamd pictura.php, dat toegang gaf tot records in de database. Dat bestand was expliciet uitgesloten in het robots.txt-bestand, waaruit echter ook het bestaan ervan bleek. In het robots-bestand stond de zin: disallow: / pictura.php # toegang tot de vriendendatabase.

De rechter ziet het expliciet uitsluiten van het php-bestand als aanduiding dat het CBG niet wilde dat dit bestand gevonden zou worden. "Daaruit kan worden afgeleid dat de beheerder wilde dat pictura.php slechts zou kunnen worden opgevraagd op een door [benadeelde] te bepalen wijze", vermeldt de uitspraak. Verderop schrijft de rechtbank: "De rechtbank ziet in het voorgaande – in juridische zin – een minimale vorm van beveiliging, namelijk een kenbare drempel zodat onbevoegden zich niet zomaar de toegang tot pictura.php en de achterliggende database konden verschaffen. Enerzijds door het afschermen van pictura.php met het commando 'disallow', anderzijds door bij opvraging daarvan de invoer van een geldig id te vereisen."

Door deze id's in te voeren en vervolgens een groot aantal gegevens uit de database te halen, zou de man zich 'wederrechtelijk toegang hebben verschaft' tot de database. Vervolgens komt de rechter terug op het vereiste van 'valse signalen'. Doordat de beheerder van de server er geen rekening mee had gehouden dat ook anderen op deze manier toegang hadden tot de database, maar de it'er die toch had, is sprake van dit soort signalen. "Door als niet-rechthebbende het pictura.php-script op te vragen en een geldig id in te voeren – en daarmee de webserver “enig teken” te geven –, heeft verdachte een gevolg uitgelokt – het retourneren van een record aan een niet-rechthebbende – waartoe de webserver weliswaar de mogelijkheid bood, maar waarmee de beheerder geen rekening had gehouden."

Vervolgens slaagt een beroep op ethisch hacken niet, omdat de man door het binnenhalen van de gehele database niet proportioneel heeft gehandeld, vindt de rechter. Ook had hij het lek bij de organisatie zelf moeten melden in plaats van bij een klokkenluidersplatform, waardoor hij ook niet subsidiair heeft gehandeld. De rechter spreekt zich niet uit over een door het CBG geiste schadevergoeding van ruim 20.000 euro, omdat dit aan de civiele rechter is.

Tweakers publiceerde in 2015 een bericht over het lek, na de informatie via Publeaks te hebben ontvangen en het CBG te hebben ingelicht. Onlangs bleek dat de melder voor zijn actie werd vervolgd voor computervredebreuk en dat het OM 120 uur taakstraf eiste. Daarbij speelde een rol dat de it'er met een script de volledige database van het CBG had binnengehaald. Dat werd in de huidige zaak volgens de rechter niet betwist. De database bevatte gegevens zoals naw-gegevens, bankrekeningnummers en e-mailadressen van 80.000 personen.

Door Sander van Voorst

Nieuwsredacteur

31-08-2018 • 17:45

233 Linkedin Google+

Reacties (233)

Wijzig sortering
Ik kan me best vinden in de uiteindelijke uitspraak maar ik vind de uitspraak dat robots.txt een minimale vorm van beveiliging is toch wel zorgelijk. Het bestand is toch alleen bedoeld voor robots n is slechts een aanwijzing voor die robots. De lat voor het 'omzeilen van een beveiliging' wordt zo wel heel erg laag gelegd.
De lat voor het 'omzeilen van een beveiliging' wordt zo wel heel erg laag gelegd."

Wat is er mis mee dat die lat heel laag ligt? alleen maar mooi toch dat niet iedereen zomaar in andermans gegevens gaat neuzen omdat die ander toevallig geen geld/kennis heeft om een goede beveiliging op te zetten?
Zoals ik al zei, ik kan me vinden in de uitspraak en ben het best met de rechter eens dat door het raden van een ID een minimale beveiliging is doorbroken. De lat mag van mij erg laag liggen.

Het probleem met de robots.txt is dat dat alleen een verzoek is voor bots/spiders en dat je daar wat mij betreft geen enkele juridische status aan kan verlenen.

Ik heb op mijn sites heel veel url's uitgesloten in robots.txt waarvan ik toch wil dat mijn bezoekers daar komen. Het zou raar zijn als ik deze nu toch allemaal kan aanklagen omdat ze niet naar de aanwijzingen voor spiders hebben geluisterd.
De rechter heeft geen uitspraak gedaan dat robots.txt altijd gelezen moet worden en ook niet dat het altijd voldoende is om daarin drempels op te werpen. Het is juist de combinatie dat de verdachte zelf op zoek ging naar de robots.txt om met die informatie verder te kunnen en dat alleen in het eigen voordeel te interpreteren. Daar heeft de rechter nu een grens getrokken: als je bewust die robots.txt gaat opzoeken om er een voordeel uit te willen halen dan moet je ook de nadelen accepteren als je voor moet komen.

[Reactie gewijzigd door kodak op 1 september 2018 00:54]

Waar ik over val is het volgende stuk uit het vonnis:
De beheerder wilde dus niet dat pictura.php via zoekresultaten in een zoekmachine zou kunnen worden gevonden en opgevraagd. Met andere woorden: hij heeft pictura.php onvindbaar willen maken. Daaruit kan worden afgeleid dat de beheerder wilde dat pictura.php slechts zou kunnen worden opgevraagd op een door [benadeelde] te bepalen wijze. Dat en waarom de beheerder dat wilde, moet voor een ieder die kennis nam van de inhoud van het bestand robots.txt – en dus ook voor de verdachte – duidelijk zijn geweest.
Ik vind dat echt te kort door de bocht. Misschien komt dat omdat er delen van de redenering zijn weggelaten maar zoals het er nu staat klopt het gewoon niet.
Het punt van de rechter hierover is 2 ledig, namelijk, hij wist dat hij er niet mocht komen (maar hij ziet de deur open staan), roept dit aan een andere partij dan de eigenaar en eigent zich vervolgens de inhoud toe. Met een paar records om dat als voorbeeld aan de eigenaar te melden had de rechter het onder ethisch hacken gevat en had hij geen enkel probleem gehad, maar hij ging moeite steken in een script om de complete database te dupliceren.

Dus dat de rechter moeilijk doet snap ik heus wel, wanneer je ongevraagd bij iemand binnen loopt (wat eigenlijk al niet mag) kun je je maar beter super netjes gedragen.
In het dagelijks leven is het heel gewoon dat er in bepaalde vormen informatie beschikbaar is over gewenst en ongewenst gedrag. Supermarkten, openbaarvervoer en dus ook websites, we maken er massaal gebruik van maar bijna niemand vraagt zich af welke regels er wel of niet gelden en doet daar vooraf navraag naar. Dat gaat heel vaak goed, waardoor het risico nihil is als je er geen moeite in steekt om te weten wat de regels van de eigenaar zijn. Maar als je ergens gebruik van gaat maken en rotzooi gaat trappen waarvan je het minste vermoeden kan hebben dat de eigenaar dat niet wil, dan kom je er bij de rechter waarschijnlijk niet mee weg door te stellen dat je de regels niet wist of nauwelijks tot geen moeite hebt gedaan om te achterhalen wat de eigenaar wil en de informatie die je kon weten alleen in je eigen voordeel interpreteerde. Het is immers niet jou eigendom waar je controle over wil hebben wat wel en niet moet kunnen, maar het eigendom van de eigenaar. En in het recht heeft de eigenaar begrijpelijk een sterkere positie over zijn eigendommen dan een willekeurig iemand of iemand die meent dat zijn eigen regels maar moeten gelden om later misschien een algemeen belang te ontdekken.

Het argument dat robots.txt niet zou moeten tellen voor het interpreteren van de bedoeling van de eigenaar vind ik in deze zaak een zwak argument. Dat is van het niveau ik bepaal lekker zelf wel wat op mij van toepassing is. Een argument dat robots.txt bedoeld is voor robots en dus niet voor mensen vind ik ook een zwak argument. Er heerst geen exclusiviteit op het bestand, het is leesbaar en begrijpbaar voor personen dus er is geen belemmering om het te kunnen interpreteren. Dat is ook wat de verdachte bewust heeft gedaan, maar ook heel bewust in het eigen voordeel. Dat is te makkelijk als het niet je eigendom is.
Ik las je andere reacties net en ik ben het in grote lijnen met je eens, maar wil toch even inhaken op het ID gedeelte.

Ik ben het er namelijk niet mee eens. En ja, ik kom ook aanzetten met een analogie. Dit is hoe ik het zie: Als de website een openbaar gebouw is, dan is pictura.php een lift. Afhankelijk welke knopje (ID) je indrukt, zie je wat anders. In het echt een andere verdieping, in dit geval een ander record uit de database.

Is een liftknop een vorm van beveiliging? Nee.

Robots.txt is inderdaad een verzoek. Alsof er een briefje op de deur hangt "leveranciers, liever niet de lift gebruiken". Is die lift nog steeds vrij toegankelijk? Ja.

Dat iemand adhv het briefje er achter komt dat er berhaupt een lift bestaat omdat deze genoemd wordt... is vrij logisch.

Mensen die zeggen dat die IT'er nooit had mogen kijken op het briefje begrijp ik niet helemaal (niet helemaal, want het is wel zo dat het wellicht niet netjes was). Hij is een IT'er. Dat briefje voor de leveranciers valt hem op. Een niet IT'er ziet er gewoon overheen.

Iemand die verstand heeft van kozijnen zal sneller naar kozijnen kijken, al is het een snelle blik. Wellicht valt het op dat er iets vreemds is met een kozijn, kijkt hij verder en ziet hij meer dingen die niet kloppen. Had hij niet mogen kijken, moet hij het maar laten?
Zie Robots.txt als een bordje "het is verboden het gazon te betreden. Weliswaar is er geen fysieke barrire, maar je krijgt nog steeds een bon. Als ik mijn voordeur openlaat hebben anderen ook het recht niet mijn huis te betreden.
Zie Robots.txt als een bordje "het is verboden het gazon te betreden. Weliswaar is er geen fysieke barrire, maar je krijgt nog steeds een bon. Als ik mijn voordeur openlaat hebben anderen ook het recht niet mijn huis te betreden.
Nee, zo moet je robots.txt dus absoluut niet zien. Het is echt alleen bedoeld voor bots. Ter vergelijking: Tweakers.net heeft in haar robots.txt aangegeven dat ze niet wil dat bots de zoekpagina opvragen, dat zou volgens jouw analogie betekenen dat niemand de zoekpagina van Tweakers mag bezoeken?

Deze rechter heeft de plank echt volledig misgeslagen door te zeggen dat je uit het enkele feit dat een bepaalde locatie op een website uitgesloten is voor robots af kunt leiden dat de beheerder van die website niet wil dat gewone bezoekers deze pagina bezoeken.
Wl als er op andere wijze op de site geen manier is om erop te komen. Bij Tweakers is dat wel het geval. De zoekmachines zoeken ,(spideren) namelijk voor zoek resultaten voor mensen. Vergelijk het met de telefoongids. Mensen die een geheim telefoonnummer hebben kunnen nog steeds gebeld worden, alleen niet gevonden via de gids. De maker van de gids houdt bewust het telefoonnummer (zoekresultaat) achter. Robots.txt doet dit geautomatiseerd.
Een bordje 'verboden op het gazon te lopen' is niet voldoende voor een bon. Daar dient een APV bij genoemd te worden voor dat daadwerkelijk strafbaar is.

Als jij je voordeur open laat hebben anderen prima het recht jouw huis te betreden. Ze mogen echter nog steeds niets wegnemen, en op jouw verzoek zijn ze verplicht jouw huis te verlaten. Pas wanneer ze dat niet doen is het strafbaar.
"Als jij je voordeur open laat hebben anderen prima het recht jouw huis te betreden."

Ermmm, nee...
Dat heet huisvredebreuk en is een misdrijf.

Overigens IMHO redelijk zorgwekkend dat velen (je bent zeker niet alleen) denken dat dit zo is.
Dan mag half Nederland vervolgd worden. Hoe vaak ik wel niet bij vrienden, kennissen en buren binnen gelopen ben zonder expliciete instemming is vele male meer dan ik op een hand kan tellen.
Je zegt het zelf al:
"vrienden, kennissen en buren"
En ook dan nog is even aankondigen en toestemming krijgen wel zo netjes natuurlijk...

Als je zomaar (zonder nadrukkelijke toestemming) een huis in stapt omdat de deur niet op slot zit / de deur open staat dan heet dat huisvredebreuk d.m.v. insluiping mocht je daarvoor ooit voor een rechter komen.

Dat veel mensen het anders doen gaat de wet niet veranderen, en gelukkig maar!
Als je ooit een lastige verhuurder onaangekondigd en zonder toestemming binnen hebt gehad kan je er over meepraten.
Dus als ik de deur openlaat en bijv. de postbode zijn/haar voet op/nt over de de drempel van mijn huis zet en mijn naam roept (bijv. omdat hij/zij een pakje voor me heeft), dan mag ik de postbode aanklagen voor huisvredebreuk? Dan ligt de lat wel absurd laag. Ik vraag me ook af of dat door de giecheltoets komt...
Je overdrijft nogal, maar dat wist je zelf vast ook al wel ;)

Maar toch heb je wel een goed punt te pakken v.w.b. postbodes/pakketbezorgers.
Wanneer deze namelijk regelmatig met ervaren collega's spreken zijn ze er zeker van op de hoogte dat je nooit "zomaar een huis binnen mag lopen". Dit onderwerp heb ik in de blauwe maandag dat ik post sorteerde op een kleine vestiging namelijk al langs horen komen, in dat vakgebied is het dus algemeen bekend.
Ja, ik wist dat ik overdreef, maar ik wilde heel graag mijn punt maken over hoe absurd laag de lat anders zou komen te liggen. En ja, ik weet ook wel hoe dat zit, mijn vader is jarenlang postbode geweest. Maar dat neemt niet weg dat er wel postbodes/pakketbezorgers zijn die doen wat ik schreef. Is ook niet verwonderlijk, bij elk beroep heb je wel mensen die de regels meer als richtlijnen zien of zich berhaupt niet aan de regels houden. Er zijn bijv. ook agenten die hun wapen te snel grijpen, er zijn buschauffeurs die te hard rijden, taxichauffeurs idem dito, er zijn vrachtwagenchauffeurs die minder rusten dan de wet voorschrijft, er zijn restaurants die een loopje nemen met de hygine, etc. En ja, er zijn dus ook postbodes/pakketbezorgers die wel degelijk een stap naar binnen zetten als je voordeur openstaat.

Maar goed, overdreven of niet: je begrijpt mijn punt hopelijk wel over het t laag leggen van de lat?

[Reactie gewijzigd door Vistaus op 9 september 2018 13:14]

De rechter heeft uitspraak gedaan in de context dat de bezoeker bewust op zoek gaat naar de robots.txt omdat daar informatie in staat die kan leiden naar content die niet zomaar verder publiek gemaakt moet worden. Dat de content waar naar is verwezen zonder die robots.txt te lezen publiek kan worden betwijfelt de rechter niet. Maar door bewust eerst die robots.txt te raadplegen gaat ook meetellen dat de verdachte daar niet alleen eigen voordeel uit kan halen. Als je bewust op zoek gaat naar bronnen die iets zeggen over wat wel en niet bedoeld is voor publiek dan zegt de rechter hier dat je die kennis niet zomaar kan wegwuiven. En aangezien er nog geen rechter een uitspraak heeft gedaan wat er wel of niet strabaar is als je geen moeite doet om die robots.txt op te zoeken en te lezen blijft dat even duidelijk als voorheen: afwachten tot het een keer voor de rechter komt en niet bewezen kan worden dat robots.txt is gelezen.

Bijzonder is hier dat er niet op in is gegaan op enige voorwaarden van de site zelf. Blijkbaar had de site helemaal geen voorwaarden met restricties over het gebruik of die waren voor geen van de partijen interessant genoeg om op te werpen. De uitspraak had heel anders kunnen zijn als die voorwaarden er wel zouden zijn of meegewogen zouden worden.

[Reactie gewijzigd door kodak op 1 september 2018 02:12]

Als je bewust op zoek gaat naar bronnen die iets zeggen over wat wel en niet bedoeld is voor publiek dan zegt de rechter hier dat je die kennis niet zomaar kan wegwuiven.
Hier ligt de kern van het probleem, de robots.txt is geen bron waarin staat welke informatie wel of niet bedoeld is voor publiek. Die hele intentie, het willen afschermen voor publiek, kun je simpelweg niet halen uit het feit dat de locatie in dat bestand staat. Het is heel normaal, en vaak noodzakelijk, dat er doodnormale locaties opgenomen worden in de robots.txt. Mag je die niet meer bezoeken als je de robots.txt hebt gelezen?
Als een rechter van mening is dat in deze situatis de robots.txt voldoende aanleiding is om eens goed na te gaan denken dan is dat zo. En dan kan je hoog of laag springen dat je een andere mening hebt of wil dat het anders is, maar dat helpt niet. Sterker nog, waarschijnlijk mag de wet van je verlangen dat je overal bij na denkt voor je wat gaat doen en informatie niet zomaar negeert omdat het je niet uit komt dat een bron juridisch iets te betekenen kan hebben. En nee, je kan de uitspraak niet lezen alsof je dan voortaan maar geen locaties mag bezoeken die in robots.txt staan, want er is ook nog van toepassing dat de verdachte hier niet door de website naar die urls werd verwezen voor gebruik en en die locaties op een eigenwijze manier ging raadplegen. En volgens de rechter was hier bewezen dat de verdachte de robots.txt had geraadpleegt en de informatie daaruit gebruikte. Er waren dus diverse omstandigheden.
Als een rechter van mening is dat in deze situatis de robots.txt voldoende aanleiding is om eens goed na te gaan denken dan is dat zo.
De rechter maakt een fout op basis van onkunde, alleen voor een absolute leek volgt dat een locatie die in de robots.txt is opgenomen niet voor openbaar gebruik is. Het n volgt gewoon niet uit het ander. Dit is geen meningsverschil, de logische gevolgtrekking in het argument dat de rechter gebruikt klopt gewoon van geen kant. Ik weet verder ook wel hoe de rechtspraak werkt, maar jij weet net zo goed dat niet iedere uitspraak blijft staan. Deze hoort niet te blijven staan.
Er is geen sprake van onkunde als de rechter een uitleg geeft van de wet. De wet werpt geen belemmering op om robots.txt als persoon te lezen en te interpreteren. Zelfs de standaarden en officiele website werpen geen belemmering op dat de tekst alleen bedoeld is voor crawlers, spiders, robots etc. Hoe je dan een mening wil ombuigen in bewijs is me een raadsel en ook wat je doel dan is. Bedenk wat er zal gebeuren als de rechter een uitspraak doet dat robots.txt niet bedoeld is om door mensen geinterpreteerd te worden of zelfs maar geraadpleegt te worden. Mag je straks wettelijk niet eens meer aan dat bestand komen omdat het door een uitspraak tot verboden bron is verklaart. Dat lijkt me helemaal niet de bedoeling.
Er is geen sprake van onkunde als de rechter een uitleg geeft van de wet. De wet werpt geen belemmering op om robots.txt als persoon te lezen en te interpreteren. Zelfs de standaarden en officiele website werpen geen belemmering op dat de tekst alleen bedoeld is voor crawlers, spiders, robots etc.
De rechter legt de wet uit op basis van een verkeerde conclusie, dr gaat het om. De conclusie dat de instructie aan bots om een bepaalde pagina niet te bezoeken kan worden uitgelegd als "de beheerder wil niet dat deze pagina gevonden word" kun je alleen maar trekken als je niet goed genoeg weet wat het doel van het bestand is.
Hoe je dan een mening wil ombuigen in bewijs is me een raadsel en ook wat je doel dan is.
Welke mening? Mijn "doel" is een rechtspraak die gebaseerd is op kloppende logische gevolgtrekking. De onjuiste conclusie die de rechter trekt is feitelijk onjuist, robots.txt is niet bedoeld om pagina's te verbergen.
Bedenk wat er zal gebeuren als de rechter een uitspraak doet dat robots.txt niet bedoeld is om door mensen geinterpreteerd te worden of zelfs maar geraadpleegt te worden. Mag je straks wettelijk niet eens meer aan dat bestand komen omdat het door een uitspraak tot verboden bron is verklaart. Dat lijkt me helemaal niet de bedoeling.
Wat is de aanleiding geweest om dit te schrijven? Sowieso bereikt een uitspraak dat het niet bedoeld is voor mensen niet tot een verbod, dat zijn namelijk twee heel verschillende zaken.
De rechter legt de wet uit op basis van een verkeerde conclusie, dr gaat het om. De conclusie dat de instructie aan bots om een bepaalde pagina niet te bezoeken kan worden uitgelegd als "de beheerder wil niet dat deze pagina gevonden word" kun je alleen maar trekken als je niet goed genoeg weet wat het doel van het bestand is.
Wettelijk gezien heeft de rechter gewoon de mogelijkheid om ook andere conclusies te trekken door de wet te interpreteren bij de gegeven argumenten. Helaas geef je nog steeds geen argumenten aan waarom die robots.txt niet geinterpreteerd zou hoeven worden door de verdachte.
Welke mening? Mijn "doel" is een rechtspraak die gebaseerd is op kloppende logische gevolgtrekking. De onjuiste conclusie die de rechter trekt is feitelijk onjuist, robots.txt is niet bedoeld om pagina's te verbergen.
Voor logica heb je steekhoudende argumenten nodig. Je argument dat robots.txt niet de intentie heeft om geinterpreteerd te worden door een persoon is slechts een mening tot je met enig bewijs komt van je gelijk. Laat maar zien dat bewijs dat het alleen de intentie heeft om robots te instrueren.

edit:
slash edit

[Reactie gewijzigd door kodak op 2 september 2018 00:00]

Wettelijk gezien heeft de rechter gewoon de mogelijkheid om ook andere conclusies te trekken door de wet te interpreteren bij de gegeven argumenten. Helaas geef je nog steeds geen argumenten aan waarom die robots.txt niet geinterpreteerd zou hoeven worden door de verdachte.
Dus je punt is dat iedereen die de robots.txt van een website leest zich daar vervolgens aan moet houden alsof deze geldt voor hem? Dat wordt voor mij nog lastig, dan mag ik een groot deel van Tweakers niet meer gebruiken.
Je argument dat robots.txt niet de intentie heeft om geinterpreteerd te worden door een persoon is slechts een mening tot je met enig bewijs komt van je gelijk.
Dat zeg ik niet. Ik zeg alleen dat het gericht is aan bots, niet aan mensen. Dat zeg ik omdat het onderdeel uitmaakt van het Robots Exclusion Protocol, een officieuze standaard om het gebruik van robots op het web aan banden te leggen.

P.S. Er gaat iets mis met je eerste quote, de sluitingstag mist zijn /.

edit:
missende komma

[Reactie gewijzigd door Patriot op 2 september 2018 00:14]

Dus je punt is dat iedereen die de robots.txt van een website leest zich daar vervolgens aan moet houden alsof deze geldt voor hem? Dat wordt voor mij nog lastig, dan mag ik een groot deel van Tweakers niet meer gebruiken.
Alleen binnen de omstandigheden die bij de uitspraak zijn gegeven. En dat is niet snel van toepassing. Want de verdachte leek alleen via de robots.txt gewezen te worden op die resource. Een eigenaar die in robots.txt restricties zet maar de gebruikers bij gewoon gebruik wel expliciet gebruik laat maken van die resources door er zelf naar te verwijzen/linken kan moeilijk beweren dat het alleen bedoeld was om te interpreteren volgens robots.txt. Dat de wet twee kanten op werkt gaat ook op voor de eigenaar.
En ik betwijfel of er een veroordeling uit komt als iemand alleen een resource bezoekt die juridisch beschermd zou zijn. Gewoonlijk verwacht een rechter ook dat de eigenaar of het OM maar moet bewijzen dat het dan ook iets uitmaakte.
Dus in beginsel mag ik iedere uri op een website bezoeken, ook als er niet naar die pagina wordt verwezen door de eigenaar. Maar, als de eigenaar dan in een ander bestand, waar over het algemeen ook niet direct naar wordt verwezen, aangeeft dat robots niet op die pagina mogen komen, dan moet ik concluderen dat ik k niet op die pagina mag komen en als ik er dan toch heenga dan is het computervredebreuk.
Mits je eerst dat bestand waar dat in staat weet te vinden en er bewezen kan worden dat je dat hebt gedaan doordat je de informatie daaruit hebt gebruikt.
ik denk dat we het eens zijn hoor, het gaat om de context. De analogie met fysieke locaties gaat hier echt wel goed op. Een winkel magazijn met een bordje geen toegang voor leveranciers met een deur naar de daadwerkelijke winkel is nog steeds een uiting van "uitsluiting van toegang". Dat je op een ander manier in die winkel kan komen doet daar niet aan af..
Lees de uitspraak. Het ID was hier geen sleutel, maar het ID van het record in de database. Dus getallen van 1 tot 110.000. Een oplopend nummertje voor ieder record.
Uit de uitspraak.
“het invoeren van een ID is niet te beschouwen als een vorm van autorisatie of als een manier om in te loggen, maar is slechts een manier om een record op te vragen uit de database. Het invoeren van een ID is dan ook niet te vergelijken met het invoeren van een wachtwoord of een inlognaam.”
Er was dus echt geen beveiliging anders dan de disallow melding in robots.txt
mooi toch dat niet iedereen zomaar in andermans gegevens gaat neuzen omdat die ander toevallig geen geld/kennis heeft om een goede beveiliging op te zetten?
zowat de grootste onzin dat ik hier al gelezen heb. Als je als stichting/bedrijf/instelling een site, webserver en database kan opzetten en deze laten hosten, dan heb je geld genoeg om die ook deftig te beveiligen. Desnoods betaal je geen hosting en zoek je je gegevens maar lokaal op

[Reactie gewijzigd door dasiro op 31 augustus 2018 18:54]

dus als je een huis kan bouwen, dan moet er veiligheidsglas in, want iedereen kan dat raam toch zo ingooien?
Wat maakt toch dat veel techneuten (ik ben er zelf ook een) denken dat als ze achter een computer zitten ze alles kunnen maken.. Computer vrede breuk is verboden! net als een voordeur met een creditcard open maken. Poep simpel, maar verboden!
dit gaat voor zover je de analogie wil doortrekken niet over veiligheidsglas, maar eerder over een deur met een slot op ipv een gapend gat in de muur met een briefje: niet binnen komen.
Sterker nog, op dat briefje staat in het geval van het artikel "verboden voor honden", waaruit je blijkbaar moet af kunnen leiden dat de beheerder van dat gebouw niet wil dat daar mensen door naar binnen gaan.
In je huis gaat het alleen om jouw spullen.

Dit bedrijf heeft ook een verantwoordelijkheid naar hun klanten omdat ze daar informatie van opslaan. Zeker nu met de GDPR zijn ze verplicht om dit goed te beveiligen.
Sorry, maar ik ken geen enkel huishouden waar niet van honderden of zelfs duizenden personen aan persoonsgegevens worden verwerkt en waarom dat van minder belang zou zijn dan deze organisatie. Een van de grootste lekken van persoonsgegevens is nog altijd via slechte beveiliging of zelfs het ongegeneerd toegang geven tot die adresboeken en andere huiselijke bronnen met de gegevens van andere personen om er zelf beter van te worden. Dus wat is precies je argument dat een huis alleen om jouw spullen zou gaan? Omdat een persoon als individue minder verplichtingen heeft maakt nog niet dat we als miljoenen personen bijelkaar plotseling minder recht hebben op bescherming of onzorgvuldig gedrag in huishoudens. En om het dan even door te trekken: ik heb nog nergens gelezen dat die 80.000 personen gerust kunnen gaan slapen omdat de verdachte thuis zijn eigen huisje en zijn machientjes goed had beveiligd en dat downloaden via een server in de USA zo goed beschermd was.

[Reactie gewijzigd door kodak op 1 september 2018 01:46]

Het gaat niet alleen om de wet, kijk hoeveel gezeik dat genalogie bureau zichzelf hiermee heeft bezorgd. Extra werk, rechtszaken, slechte publiciteit. Wie wil er nu dat zijn hele genealogie op straat ligt?

Ze hebben richting hun eigen organisatie een plicht om IT beveiliging goed te regelen. Op de lange termijn bespaart dat werk en geld. Net zo goed als het bespaart om een voordeur en een achterdeur en ramen met een goed slot te hebben, of die zelfs helemaal niet open kunnen, al is inbraak verboden.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:10]

ik ben het 100% met je eens. natuurlijk moet een bedrijf/instelling die belangrijke gegevens beheert zijn spullen/gegevens goed beveiligen!
Dat is alleen geen argument voor de andere kant, behalve als die een journalistieke functie (ethical hacker) vervult.
Ethisch hacken is geen journalistieke functie, het is een maatschappelijke functie. Journalistiek is een journalistieke functie. :+

Als deze man zelf een artikel had gepubliceerd; "hey deze website is lek, zo en zo krijg je de hele db" dan had ie echt wel straf gekregen. Laat dat maar aan de journalisten over als je gaat hacken en zagen.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:29]

wat is het verschil tussen publeaks en een krant volgens jou dan? het is toch beide publiekelijk openbaar maken?
publeaks geeft de informatie anoniem door aan nieuws media, die hebben ook nog een redactie die ernaar kijkt, hoor en wederhoor, das dus wat anders dan het direct zelf publiek online knallen. Maar ja als hij het iet meteen naar publeaks had gestuurd maar eerst met x maanden tijd de organisatie had geinformeerd en daarna als er niks veranderde naar publeaks was gegaan, dan was hij niet veroordeeld.

Probleem daarvan is dat het lek potentieel maanden langer openstaat dan als je wel meteen aan de bel trekt.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:34]

dus dan is journalistiek zorgvuldiger dan publeaks? In dat geval is het toch juist meer verwijtbaar/strafbaar?
Sorry, was mn post aan het editen omdat het een lang verhaal is. Even opnieuw:

Wat deze man had moeten doen:
de genealogie organisatie informeren dat de website lek is, vragen hoeveel tijd ze nodig denken te hebben dit te fixen, als dit een redelijke termijn is, kijk je na die termijn of het is opgelost, zo nee, meld het hele verhaal bij de overheid/media/publeaks, waar het kan, als je maar een redelijke poging hebt gedaan de organisatie te informeren zodat een rechter er vanuit kan gaan dat je geen kwade zin had.

Ten tweede had hij nooit de database moeten downloaden, dat is vragen om een rechtszaak. Een screenshot of een paar regels van een paar kolommen van 1 tabel, geanonimiseerd, is voldoende om te bewijzen dat je toegang had.

wat hij heeft gedaan;
wel de hele db downloaden
niet de organisatie informeren
meteen bij publeaks aanmelden.

Hiermee is niet meer boven twijfel verheven dat hij goede intenties had. Waarom heeft ie de organisatie niet gecontacteerd en ze de kans gegeven het te fixen?

Als publeaks het doorgeeft aan nieuws media, horen die eerst na te gaan of de organisatie is gecontacteerd alvorens over het lek te publiceren. Zowel de aanmelder, publeaks, en de betrokken media delen hierin verantwoordelijkheid. Als tweakers publiceert naar aanleiding van publeaks melding, zonder de organisatie te contacteren, loopt tweakers zelf ook een klein risico dat de organisatie schade komt verhalen.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:52]

Maar het AP publiceert niet gemelde lekken, dus hoe kan deze 'hacker' dan zeker zijn dat de website melding bij het AP van het lek?
Voor het aantonen van een veiligheidslek waren enkele records voldoende geweest. En waarom niet naar het CBG gestapt in eerste instantie? Het lijkt erop dat deze It'er vooral zijn eigen ego belangrijk vond. "Kijk eens wat ik kan".
Is dit een serieuze reactie? Men is er nog altijd zelf verantwoordelijk voor om gegevens voldoende te beschermen. Als je daar niet toe in staat bent, moet je het ook niet doen. Het CBG zou voor de rechter gesleept moeten worden voor het ontbreken van enige vorm van beveiliging van deze gegevens.
"Is dit een serieuze reactie?"
Dit is heel serieus en ik ben echt shocked van de reacties hier!
Is het normaal in ander mans gegevens te snuffelen als het evident is dat het niet voor je bedoeld is?
Als je een journalistieke functie vervult/hobbied, dan heb je een punt om aan te tonen dat een kwaadwillende misbruik kan maken van slechte beveiligiging, maar anders heb je er niets te zoeken en ben je gewoon strafbaar en terecht. Het is jammer dat het nodig is, net als al die sloten op de deur, tralies, kluizen.., maar het is toch heel raar dat in een huis/gebouw ramen zitten die je in 3 seconde stuk gooit, maar dat bij een website er ineens stalen deuren van een meter voor moeten zitten omdat anders iedereen vind dat het toch de verantwoordlijkheid van het "CBG" is om het goed te beveiligen (jouw woorden).
Deze gegevens zijn naar mijn mening gewoon op straat gegooid. Iemand heeft alle losse briefjes opgeraapt.
Een website is een publicatie, alles wat publiekelijk te benaderen is, is dus geopenbaard. Als eigenaar van een website dien je ervoor te zorgen dat je alleen die gegevens publiekelijk beschikbaar stelt waarvan je dit wilt. Door de onkunde van het CBG liggen nu de NAW gegevens van 80.000 mensen op straat. Dat mag ze best aangerekend worden.
De man die de briefjes op raapte kan misschien vreemd aangekeken worden dat hij alle briefjes opraapte, maar is mijn ogen niet strafbaar. Hij heeft geen woning betreden of een raam ingegooid, het lag gewoon op straat.
dat mag jij vinden, maar zo zit de wet niet in elkaar.. Computer vrede breuk is strafbaar, ook als er gebrekkige beveiliging was. Persoonlijk vind ik dat niet zo gek, anders krijg je de discussie wat precies "goed beveiligd" is en dat is dan weer vrij subjectief. En dan nog, waarom zou je het toelaten dat iemand in andersmans gegevens gaat zitten neuzen. Ook als het niet goed beveiligd is, waarom is dat nodig!?
Dan mag het dan nog zo strafbaar zijn; als je als bedrijf niet om kan gaan met de gegevens van je gebruikers en het gewoon voor iedereen toegankelijk maakt dan zit je toch echt heel fout.
Iedereen had die gegevens kunnen downloaden en online kunnen zetten. Wees blij dat het dit keer iemand is geweest die het heeft gemeld en goede intenties had. Je bent heel naief om te denken dat mensen niet aan andermans spullen komen alleen maar om het feit dat het niet mag.

Er zijn heel wat richtlijnen van wat "goede" beveiliging is. Ook genoeg security audits te vinden voor bepaalde producten en hoe je dus server veiliger kan inrichten.
Voor je bij grote bedrijven tegenwoordig met bijv. HR gegevens mag werken moet je aan een hele lijst eisen voldoen met je servers, en als persoon ook vaak aan een aantal screenings voldoen. Nu snap ik dat het CBG misschien niet over dezelfde budgetten beschikt; maar enige vorm van beveiliging is al beter dan dit.
Zo zit de wet dus wel in elkaar, dat heet de AVG zoals kodak hieronder mooi aanhaalt.
Als ik je redenatie doortrek dan zou je ook kunnen beargumenteren dat andermans eigendom die via de openbare ruimte bereikbaar is maar beschouwd moet worden als dat de eigenaar geen rechten meer heeft. Die fiets die daar niet op slot staat, die plantjes in je tuin waar ik van de straat bij kan, dat raam op de eerste verdieping dat open staat, je jaszak die open stond en waar je slecht beveiligde mobieltje in zat met de adresgegevens van een paar honderd personen. Het is zo lekker makkelijk om het maar in het eigen voordeel te draaien als je er onder uit wil dat je strafbaar bent en er op uit bent om een ander de schuld te geven.

Hoewel je een webservice inderdaad via een publiek netwerk kan bereiken, dat maakt nog niet dat wat op die webservice staat publiek materiaal is. En als het tegenargument is dat het slot geen slot zou zijn omdat de verdachte er weinig moeite mee had is voor een rechter geen excuus om de rechten van de eigenaar dan maar te negeren. Die gegevens waren niet van de verdachte en ook niet van het CBG. En of je het nu leuk vind of niet, als jij als buitenstaander meent dat wat op het internet staat en waar jij makkelijk bij kan dus ook betekent dat het publiek materiaal is dan heb je een paar wetten niet begrepen of niet willen begrijpen. Dat je de mogelijkheid hebt om ergens bij te kunnen maakt je nog geen eigenaar en ook niet de persoon die mag bepalen wat er verder met het materiaal mag gebeuren. Dat hangt toch echt af van de afspraken en wetten. Ook bij persoonsgegevens.

Als je de uitspraak leest dan kan je daar ook in terug vinden dat de verdachte geen moeite heeft gedaan om niet de hele database van die 80.000 personen maar zonder toestemming te downloaden. En ook geen enkele moeite lijkt te hebben gedaan om het te beperken tot een kleine set persoonsgegevens om het punt te maken dat ze onvoldoende beveiligd waren. Ik vind het werkelijk walgelijk dat iemand die zelf geen enkel respect heeft voor de AVG en de rechten van 80.0000 personen dan ongegeneerd probeert een ander te beschuldigen dat die niet aan de AVG voldoet en fout bezig is. Dan vind ik het niet gek dat die persoon door het OM, mede namens die 80.000 personen en het maatschappelijk belang, als verdachte voor de rechter komt en mag die van geluk spreken dat die er zo mee weg komt.
Goed dat je AVG aanhaalt, dat is dus precies waar het CBG niet aanvoldoet. Dat vind ik een stuk meer kwalijk dan die ene persoon die dit dan op een enigzins merkwaardige wijze aan de kaak stelt.

Eerlijk gezegd snap ik nog steeds niet waarom deze persoon strafbaar bezig is. Hij heeft gebruik gemaakt van de geboden mogelijkheid.
Dat maakt het hem idd geen eigenaar, dat wordt je ook niet als een artikel leest (of kopieert) op t.net.
De rechtbank komt in deze uitspraak eerst tot de conclusie dat er sprake is van computervredebreuk. Zo zou de man gebruik hebben gemaakt van 'valse signalen', een van de vereisten voor dit vergrijp, om de server van het Centraal Bureau voor Genealogie binnen te dringen.
"binnen te dringen"?? Deze gegevens zijn gewoon opgevraagd middels een URL.
Door deze id's in te voeren en vervolgens een groot aantal gegevens uit de database te halen, zou de man zich 'wederrechtelijk toegang hebben verschaft' tot de database. Vervolgens komt de rechter terug op het vereiste van 'valse signalen'.
Ah, dus rechter ziet ook wel in dat het opvragen een URL geen binnen dringen is.
Doordat de beheerder van de server er geen rekening mee had gehouden dat ook anderen op deze manier toegang hadden tot de database, maar de it'er dat toch had gedaan, is er sprake van dit soort signalen. "Door als niet-rechthebbende het pictura.php-script op te vragen en een geldig id in te voeren – en daarmee de webserver “enig teken” te geven –, heeft verdachte een gevolg uitgelokt – het retourneren van een record aan een niet-rechthebbende – waartoe de webserver weliswaar de mogelijkheid bood, maar waarmee de beheerder geen rekening had gehouden."
Juist, de beheerder is hier fout geweest.

Dus waarom wordt de verdachte veroordeelt voor het gebruik maken van andermans fout? Ik snap echt niet dat dit de uitkomst is na 3 jaar procederen. Het lijkt me zo klaar als een klontje. Ik zou in hoger beroep gaan, het is mij totaal niet duidelijk op welke gronden de verdachte is veroordeeld. Hij heeft alleen maar een shitload aan urls opgevraagd.
Het concept van de rechtsstaat is dat we rechten, plichten en verboden niet tegen elkaar afstrepen en een bepaalde plicht niet snel belangrijker is of zelfs maar meegewogen kan worden omdat jij of ik dat graag zouden willen.

De redenatie dat een ander begon en de rest dan maar niet telt gaat niet op. De verdachte werd verdacht van computercriminaliteit, een misdrijf. En voor zover ik weet is het niet voldoen aan de Algemene verordening gegevensbescherming geen misdrijf maar 'slechts' een overtreding. Dat de eigenaar fouten maakt waardoor de verdachte gelegenheid zag staat juridisch los van de vraag of de fout van de eigenaar misschien ook strafbaar is. Daar kan een rechter niet zomaar even wat aan veranderen en vanaf wijken.

Het script wat is gebruikt was inderdaad publiek beschikbaar, maar als je verder leest staat er ook een goede beschijving in de uitspraak van wat de verdachte verder heeft gedaan om resultaten te krijgen. Met daarbij ook de juridische omstandigheden en hoe de rechter daar een oordeel over geeft. Ook hier gaat weer op: dat je ergens bij kan maakt nog niet dat je alles mag doen wat je zelf leuk lijkt.

[Reactie gewijzigd door kodak op 4 september 2018 13:00]

Het is nog erger dan ik dacht. In de Uitspraak lees ik dat bij het opvragen van pictura.php zelfs een invul veld verschijnt om het ID in te voeren! Dit is letterlijk te vergelijken met die welbekende rode knop met "don't push me".

En enkel het feit dat in Robots.txt waar middels het woordje 'disallow' staat aangegeven staat dat zoekmachines deze URL niet mogen opvragen, wordt nu gebruikt als argument dat de verdachte de beveiliging heeft omzeild.

Dit is toch om te lachen!! Dit kan echt geen stand houden in hoger beroep lijkt mij. Deze man moet gewoon vrijgesproken worden van alle klachten en gecompenseerd worden voor 3 jaar lang ellende.
Wederrechtelijk binnendringen?

Van wederrechtelijk binnendringen in een geautomatiseerd werk is sprake als men zich de toegang verschaft tot dat werk tegen de onmiskenbare wil van de rechthebbende. Die wil kan blijken uit woorden en daden, maar in ieder geval moet die blijken uit enige beveiliging van dat werk, ofwel een kenbare drempel zodat onbevoegden zich niet zomaar de toegang daartoe kunnen verschaffen. De beveiliging hoeft niet adequaat te zijn; een minimale beveiliging is voldoende. Het gaat erom dat degene die het werk binnendringt, doelbewust enige inspanning moet hebben gedaan om de beveiliging te doorbreken.

Nadat de verdachte het bestand robots.txt van de webserver van [benadeelde] had opgevraagd, heeft hij in dat bestand de regel “disallow: / pictura.php # toegang tot de vriendendatabase” zien staan. Zoals de verdachte zelf heeft verklaard en ook blijkt uit het rapport van Fox-IT, heeft de beheerder van de webserver van [benadeelde] met die regel een instructie (“disallow”) gegeven aan spiders van zoekmachines om het script pictura.php niet te indexeren. De beheerder wilde dus niet dat pictura.php via zoekresultaten in een zoekmachine zou kunnen worden gevonden en opgevraagd. Met andere woorden: hij heeft pictura.php onvindbaar willen maken. Daaruit kan worden afgeleid dat de beheerder wilde dat pictura.php slechts zou kunnen worden opgevraagd op een door [benadeelde] te bepalen wijze. Dat en waarom de beheerder dat wilde, moet voor een ieder die kennis nam van de inhoud van het bestand robots.txt – en dus ook voor de verdachte – duidelijk zijn geweest. Enerzijds door het commando “disallow”, anderzijds door de toevoeging “toegang tot de vriendendatabase”. Uit die toevoeging blijkt immers dat het gaat om een database met daarin de (persoons)gegevens van de “vrienden” van [benadeelde] , waarvan het voor de hand ligt dat de beheerder die niet met derden wilde delen. Desondanks heeft de verdachte pictura.php opgevraagd, waarna hem door middel van een invulveld werd gevraagd om een ID in te voeren. Eerst heeft de verdachte lukraak woorden ingevoerd, en toen dat geen geldige ID’s bleken te zijn, heeft hij een willekeurig getal ingevoerd, waarna er een record met persoonsgegevens werd geretourneerd. Na het opvragen van pictura.php werden er dus niet metn persoonsgegevens getoond, maar moest eerst een geldig ID worden ingevoerd. Wat een geldig ID was, was niet kenbaar; de verdachte heeft hiernaar kennelijk een paar keer moeten raden, voordat hij – bij toeval – een geldig ID invoerde. Hiermee moet voor de verdachte nogmaals duidelijk zijn geweest dat het niet de bedoeling van de beheerder was dat pictura.php en de achterliggende database door derden werd opgevraagd. Wie immers een ID moet invoeren om gegevens te kunnen raadplegen, terwijl hem dat ID niet door een rechthebbende is verstrekt en hij daarnaar dus moet raden, moet begrijpen dat de raadpleging van die gegevens niet voor hem is bedoeld.

De rechtbank ziet in het voorgaande – in juridische zin – een minimale vorm van beveiliging, namelijk een kenbare drempel zodat onbevoegden zich niet zomaar de toegang tot pictura.php en de achterliggende database konden verschaffen. Enerzijds door het afschermen van pictura.php met het commando “disallow”, anderzijds door bij opvraging daarvan de invoer van een geldig ID te vereisen. Door pictura.php toch op te vragen en vervolgens een willekeurig getal in te voeren als ID, waarna hem een record werd geretourneerd, heeft de verdachte zich toegang verschaft tot een deel van de webserver van [benadeelde] tegen de onmiskenbare wil van de rechthebbende. De verdachte heeft aldus doelbewust enige inspanning gedaan om de beveiliging te doorbreken. Hiermee is sprake van wederrechtelijk binnendringen in een geautomatiseerd werk.
Soms moet men de wet overtreden om juist de wet te lunnen vertigwoordigen.

Denk aan unercover agenten die drugs moeten nemen b.v, een goede journalist zou dit ook moeten doen.

Helaas zijn er weinig echt goede journalisten en is het meer edited copypaste werk
Maar de rechter had op zijn minst kunnen vragen waarom het niet goed beveiligd was. Als ik geen voordeur heb, maar alleen een gapend gat en er wordt een inbraak gepleegd, dan zijn de inbrekers schuldig, MAAR ik weet 200% zeker dat de politie/rechtbank k aan mij zal vragen waarom ik geen voordeur heb.
..alleen maar mooi toch dat niet iedereen zomaar in andermans gegevens gaat neuzen omdat die ander toevallig geen geld/kennis heeft om een goede beveiliging op te zetten?
Dus als ik geen geld heb (uitgeef) om een deugdelijk slot op de voordeur te zetten, dan mag ik er op vertrouwen dat er niemand naar binnen wandelt? Ik denk dat mijn verzekeraar daar anders over denkt.
Dat is dan een zaak tussen jou en je verzekeraar, maar degene die naar binnenloopt is toch gewoon strafbaar (net als deze meneer)..
Dat is dan een zaak tussen jou en je verzekeraar, maar degene die naar binnenloopt is toch gewoon strafbaar (net als deze meneer)..
In deze situatie maakt het natuurlijk inderdaad niet zoveel uit, maar het is wel zo dat je als eigenaar een bepaalde verantwoordelijkheid hebt om mensen ervan bewust te maken dat je niet wilt dat ze zich op een bepaalde plek begeven. Dat is de hele strekking achter Artikel 461.
Hij die, zonder daartoe gerechtigd te zijn, zich op eens anders grond waarvan de toegang op een voor hem blijkbare wijze door de rechthebbende is verboden, bevindt of daar vee laat lopen, wordt gestraft met geldboete van de eerste categorie.
Zodra jij persoonsgegevens van derden gebruikt moet je iets doen om deze te beveiligen, geen geld en of kennis is geen enkel argument om hier niet aan te voldoen.
merk op dat dat persoonsgegevens beveiliging geen norm is, maar wettelijk wordt geist.
Omdat het op deze manier erg subjectief is. Stel je voor dat je een website hebt met daarop een link die zegt "Alleen voor fans" die naar een pagina met belangrijke informatie gaat. Als ik dan de website bezoek als een niet-fan en uit interesse hier naar kijk, dan heb je een super-minimale laag aan beveiliging waarvoor ik dus blijkbaar de cel in moet.

Maar er hangt geen slot op en het is een 'deur' net zoals alle anderen op de website zonder slot er op. Sterker nog, de tekst is subjectief; misschien probeert men juist die deur exclusiever te laten klinken, en willen ze juist dat ik daar binnen wandel!

Hier kun je een zelfde soort logica op los laten. Robots.txt bestaat om bots weg te houden bij delen van de website waar je hen niet wilt hebben. Dit kan een zoekmachine betreffen, maar ook pagina's die de website nadelig belasten als deze door bots worden bezocht. (Misschien een counter van menselijke bezoekers om maar iets te noemen.) Gewone mensen kijken niet naar robots.txt; voor hen is dit bestand even nadrukkelijk aanwezig als het CE logo op een product. Als het al opvalt hebben ze er niks mee te maken; het zegt alleen iets over de manier waarop het product (of de website) functioneert.

In dit geval kan dus redelijkerwijs de aanname worden gedaan dat de website niet wil dat deze pagina door bots wordt opgevraagd (omdat zoekmachine?), maar dus absoluut niet dat de dingen die hier in genoemd worden niet voor mensen zijn. De naam van het bestand zelfs zegt alles al!

Maar volgens deze rechter kun je dus, als je mensen buiten de deur wilt houden, een bordje met 'geen auto's in dit huis' neerzetten. Geweldig, dat is veel goedkoper en betrouwbaarder dan een slot!
maar hij heeft ook niet alleen in robots.txt gekeken. Hij zal op een php script gekomen zijn en dan met wat (gok ik) creatief sql injection die database leeg gelepeld hebben. Het was toch duidelijk dat dat niet de bedoeling was. In robots.txt stond dat ook dat het niet de bedoeling was dat een toevallige voorbijganger (iemand die wat op google zoekt) er terecht zou komen.
De rechter redeneert dat daarmee duidelijk is dat het daarmee een "interne"/"huis" pagina was en als je daar gaat lopen kloten is dat huis/computer vrede breukt.
Vind het nog steeds niet zo gek hoor. Dat het poepsimpel is is geen argument.. (ik kan het ook wel hoor, net als een raam ingooien of een breekijzer tussen een deur zetten). Wil niet zeggen dat het mag..
Ik kan op Tweakers verschillende id's invullen voor nieuws artikelen om te kijken wat hier uit komt. Dit houdt nog niet in dat ik geen toegang heb tot deze artikelen, maar in de gevallen dat ik er niet naar mag kijken zegt Tweakers wel netjes 'Geen toegang' of 'dit artikel bestaat niet'.

Creatief nummertjes invullen betekent niets, zeker gezien het al aangegeven doel van deze persoon: het testen van de beveiliging.

Als ik dit geautomatiseerd doe zou je kunnen zeggen dat ik de regels van de website heb verboden door robots.txt niet te volgen, alhoewel ook dat vaag is omdat lang niet alle geprogrammeerde activiteit aan robots.txt wordt getest.

Dat deze persoon te veel persoonlijke gegevens heeft opgevraagd na al succes te hebben gehad met zijn tests is zeker fout, en daar verdient hij op te worden afgerekend. Maar de vraag zelf ('kun je mij nummertje 1234 geven') om uit te vogelen of hij hier antwoord op krijgt is niets mis mee. Maar het misbruik van deze kennis om antwoorden te krijgen die hij niet hoort te krijgen? Dat is fout.
dat de bank een kluis heeft en je buurvrouw niet wil niet zeggen dat je daar de spullen mee mag nemen.. Dat tweakers.net het op orde heeft maakt het niet rechtmatig om het ergens anders te doorzoeken.

Het maakt het voor die ander partij OOK verwijtbaar.. Ze hadden het beter kunnen en moeten beveiligen. Daar zijn we het niet over oneens hoor.

"Creatief nummertjes invullen betekent niets"

Je snapt er niets van: dat betekend alles. Een kluis openbreken doe je ook met "creatief nummertjes". Het mag niet! Niet in de fysieke wereld en niet in de digitale wereld.. Dat jij (en ik) het kunnen is geen argument. Als je het leuk vind kun je gaan werken bij de klpd, defensie of een bedrijf dat pentesten doet zoals bijvoorbeeld foxit.

Zul je je wel moeten verdiepen in de regels, dat je iets kunt wil niet zeggen dat het mag...
Sinds wanneer is een gebrek aan kennis of geld een excuus in dit soort kwesties? De beheerder van de website heeft een wanprestatie geleverd, als dit bij de politie o.i.d. was gebeurd dan was deze hele commentsectie te klein geweest.

Onwetendheid moet niet verward worden met kwaadwillendheid maar mijn sympathie verdampt direct als ik lees dat die club daarna nog 20K eisde. Dit alles neemt trouwens niet weg dat de IT-er ook niet bepaald slim handelde toen hij de hele database downloadde.
het is geen excuus, maar ook niet voor de andere kant..
De claim van 20k..tsja, als ze die schade hebben geleden, dat vind ik lastiger want als het heel verwijtbaar is (en dat vind ik het wel een beetje), dan zou je kunnen zeggen dat het een onterechte claim is..
Maar nu de IT-er is veroordeeld, kan de website via een civiele procedure alsnog een schade vergoeding vragen voor de gemaakte kosten na aanleiding van zijn hack..
Typsisch Amerikaans, de website zou beter dat geld in WEL fatsoenlijke beveiliging steken.

Laat die man met rust
De lat voor het 'omzeilen van een beveiliging' wordt zo wel heel erg laag gelegd."

Wat is er mis mee dat die lat heel laag ligt? alleen maar mooi toch dat niet iedereen zomaar in andermans gegevens gaat neuzen omdat die ander toevallig geen geld/kennis heeft om een goede beveiliging op te zetten?
Ik stel voor dat we de lat voor nalatigheid inzake beveiliging van persoonsgegevens op dezelfde hoogte leggen. Geen geld/kennis is geen excuus voor het rondstrooien met deze gegevens.
Die lat is volgens mij met de nieuwe AVG behoorlijk opgetrokken. (Ben ik het mee eens hoor)
Als ik m'n voordeur wagenwijd open laat staan met vrij zicht op m'n 65" TV en computer hoek, dan noem ik dat gewoon ordinaire uitlokking tot diefstal. Als een vriendelijke buurman dan langskomt en zegt: "hee buurman, ik kan zo naar binnen lopen en je TV en PC jatten" dan moet ik wel echt achterlijk zijn om de beste man te laten oppakken.

Sorry, maar het bedrijf in kwestie heeft gewoon z'n shit niet op orde.. anno 2018 kunnen dit soort lekken echt niet meer... als er een stel Russen of Chinezen weg waren gelopen met de data hadden we weer op ons achterhoofd gekrabt en gedacht "Hmm.. f**k.. en nu?".

[Reactie gewijzigd door cappie op 3 september 2018 10:28]

Wat is er mis mee dat die lat heel laag ligt? alleen maar mooi toch dat niet iedereen zomaar in andermans gegevens gaat neuzen omdat die ander toevallig geen geld/kennis heeft om een goede beveiliging op te zetten?
Robots.txt is ongeveer hetzelfde als een deur die niet op slot kan, met een klink aan de buitenzijde en een borde op de deur "beste reclamejongen: gelieve niet binnen te gaan, dank u wel". Als dat onder de noemer beveiliging valt dan kan ik wel begrijpen dat mensen de lat "te laag" vinden. Te laag om te stellen dat er beveiliging is, niet te laag om niet alsnog buiten te blijven.
Zoals ik het verhaal lees, wordt het opnemen in robots.txt alleen gebruikt als aanwijzing dat de intentie bestond dat php script niet openbaar te maken. Zie het als een 'verboden toegang' bordje. Niet effectief, wel rechtsgeldig.

Het omzeilen van de 'beveiliging' bestond uit het invoeren van een (gespoofed) id in dat script.
Zoals ik het verhaal lees, wordt het opnemen in robots.txt alleen gebruikt als aanwijzing dat de intentie bestond dat php script niet openbaar te maken. Zie het als een 'verboden toegang' bordje. Niet effectief, wel rechtsgeldig.
En die redenering is de grootste fout die deze rechter heeft gemaakt. Je kunt uit het feit dat iets is opgenomen in de robots.txt niet halen dat dat script niet openbaar is. Dit is niet als een 'verboden toegang' bordje, dit is specifiek bedoeld voor bots. Alsof je uit een bordje 'verboden voor honden' moet halen dat je je er zelf ook niet mag bevinden.
In feite zou die ITer hen een proces moeten aanspannen omdat ze door hun onkunde gevoelige gegevens niet goed beveiligd hebben.
Een mooi bewijs dat de macht ligt bij mensen die niet toereikend zijn om hierover te beslissen...
Mensen die het dan nog melden worden weer gestraft door de fouten van een ander terwijl deze eigenlijk deze personen verplicht zouden moeten vergoeden.
Dit is n manier om te zorgen dat datalekken rapper opgelost worden en niet misbruikt worden.
Op deze manier blijven de lekken open...
In feite zouden deze een mooi lesje moeten geleerd worden door eens die database te legen;)-
Die robots.txt zou ik echt nooit gebruiken. Het is alsof je een briefje aan de voordeur hangt: niemand mag langs de achterdeur of keukenraampje omdat daar gevoelige gegevens voor het oprapen liggen.

Beter us het om een http header pf meta tag op de pagina's zelf toe te voegen:

<meta name="robots" content="noindex, nofollow" />
Erg wonderbaarlijk en je zou het zomaar onkunde noemen.

User-agent: *
Disallow: /

Zou dan immers betekenen dat ik de site ook niet mag bezoeken? Het is immers op die manier "beveiligd".

Moet ik dan voortaan de robots.txt door gaan pluizen om te kijken welke delen van de site ik mag bezoeken?
Ik zal alvast met die van Tweakers beginnen...

[Reactie gewijzigd door Edwin op 31 augustus 2018 18:39]

Je moet het zien als een bordje verboden toegang. Je weet daarna dat je er niet mag komen, maar er is niets wat je verder tegenhoudt
In dat geval zou het een bordje "verboden voor vrachtverkeer zijn" en zou ik er met mijn motor dan ook niet in mogen.
Tja dat is het probleem met analogieen. Je zou ook kunnen zeggen dat het verbodsbord niet op alle toegangswegen staat. Wat de rechter eigenlijk zegt, is dat als hij de robots.txt niet had gezien en met bv een ajax call herleiden het bestand had gevonden, het probleem minder groot had geweest.
Wat mij verbaast is dat hij zich blijkbaar iets aan moet trekken van een beperking die ze aan robots/crawlers/etc opleggen. (het doel van robots.txt)

Als op jouw A4'tje staat verboden voor vrouwen mag ik er dan als man ook niet in? Erg bijzonder...

[Reactie gewijzigd door Edwin op 31 augustus 2018 18:50]

Ik vind het best zorgelijk om te lezen dat een rechter het benaderen van een onbeveiligd bestand op een publieke website als computervredebreuk ziet. Ook al worden er bewust verschillende ID's aangeboden. Het is de organisatie die ten eerste na laat om zijn systeem afdoende te beveiligen. Hiermee laten ze de deur wijd open staan. Naar mijn mening treft de organisatie hier het grootste gedeelte van de blaam dat de gegevens gelekt zijn.

Dat ze dan ook nog verdoezelen hoe lang dit lek bestond (in ieder geval vanaf 2011 volgens The Internet Archive) toont aan dat ze vol in de aanval zijn gegaan om hun eigen naam te zuiveren.

[Reactie gewijzigd door dyna18 op 31 augustus 2018 17:59]

Ik vind het best zorgelijk om te lezen dat een rechter het benaderen van een onbeveiligd bestand op een publieke website als computerhuisvredebreuk ziet. Ook al worden er bewust verschillende ID's aangeboden. Het is de organisatie die ten eerste na laat om zijn systeem afdoende te beveiligen. Hiermee laten ze de deur wijd open staan. Naar mijn mening treft de organisatie hier het grootste gedeelte van de blaam.
Dit is toch volkomen analoog aan de fysieke wereld!

Of iets wel of niet beveiligd is maakt niets uit voor inbreuk. Is je auto niet afgesloten, heb ik er altijd nog niets in te zoeken. Staat mijn fiets niet op slot, dien je er alsnog netjes vanaf te blijven. Staat mijn voordeur open: blijf buiten.

Het verschil tussen de voordeur en het handelen van de persoon in dit artikel is dat je ziet dat er een probleem is en dat je zonder inbreuk op de deurbel kan drukken om het probleem te melden. Op het moment dat je een ogenschijnlijke dichte deur gaat proberen of wil testen of het cylinderslot wel van een degelijke kwaliteit is door met een lock pick deze te testen, moet je niet verbaast zijn als je beschuldigt wordt van (poging tot) huisvredebreuk.
Analogien met de fysieke wereld gaan natuurlijk altijd fout maar in dit geval betreft het een deur van een openbaar gebouw waar op staat `niet voor leveranciers`.

Dat is namelijk wat robots.txt doet, die meldt dat je liever niet hebt dat een robot een bepaald bestand opvraagt.

Als een leverancier tch die deur binnen gaat, lijkt het me sterk als dat dat huisvredebreuk is.

Wat de rechter m.i. had moeten zeggen is dat er verschillende signalen waren waardoor de man had kunnen weten dat het niet gewenst was om daar binnen te komen en dat het drom computervredebreuk is. Niet omdat een robots.txt bestand aangaf dat dat bestand liever niet opgevraagd moest worden.

Misschien een subtiel verschil maar wel belangrijk
Robots.txt is voor robots/crawlers/etc bedoeld en niet voor de menselijke bezoeker.

De rechter heeft dus eigenlijk bepaald dat de tekst "niet voor leveranciers" betekent dat een gewone bezoeker er dan ook niet binnen mag. Een erg bijzondere uitspraak dus.
Mwah dat er een stukje commentaar in de robots.txt staat, want een script negeert maar een mens kan lezen blijkt uit dat de file in dit geval misschien toch wel bedoeld is voor de menselijke gebruiker :P. Maarja wie zijn vrienden, wie zegt dat hij geen vriend was.
Het gaat er meer om voor wie het bedoeld is. Als het luchtalarm afgaat omdat er een ramp heeft plaatsgevonden, dan is de bedoeling ervan mensen te waarschuwen. Maar als dieren het alarm ook horen en vervolgens schrikken en vluchten, dan wil dat nog niet zeggen dat het alarm voor dieren bedoeld is ondanks dat ze het horen. In dit geval is "robots.txt" de dieren: het is voor robots bedoeld, maar dat maakt het niet meteen onleesbaar voor mensen, net als dat het luchtalarm voor mensen bedoeld is maar het niet meteen onhoorbaar maakt voor dieren.
Als een leverancier tch die deur binnen gaat, lijkt het me sterk als dat dat huisvredebreuk is.
De analogie is juist dat er staat: ook voor leveranciers geen toegang.. Als een leverancier dan toch naar binnen gaat is ook dat huis/computer vrede breuk..

Bijna bij uitzondering gaat de analogie met de fysieke wereld hier heel goed op..
Ik zou het eerder willen vergelijken met op je voordeur een briefje plakken waarop staat: 'Vertel aub aan niemand dat er iets speciaals onder de deurmat ligt.' Dan verbaasd zijn dat iemand onder de deurmat een sleutel vindt en gaat proberen waar hij op past.

[Reactie gewijzigd door jerrycan92 op 31 augustus 2018 18:14]

Het briefje hangt niet aan de voordeur, een robots.txt bestand is niet iets dat je per ongeluk ziet, dat moet je doelbewust zoeken en een ieder die een website bezoekt met een doel anders dan hacken (even aan de voordeur voelen), zal dat niet tegenkomen..
Aan de voordeur voelen (even robots.txt opvragen) mag, maar als de deur dan open staat, naar binnen lopen, alle dosiers meenemen, dan is dat gewoon fout.. terechte veroordeling dus.
Als je dat met een nobel doel doet, meld bij de krant en er verder niets mee doet, heb je fout gehandeld, maar krijg je geen straf. Precies zoals deze rechter heeft geoordeeld. Excelente uitspraak naar mijn mening.
Het briefje hangt aan de voordeur in een envelopje. Een extra handeling voor exact hetzelfde resultaat.
Robots.txt is, zoals de naam al zegt, voor robots. Het zegt niets over wat mensen wel en niet mogen. Het is een technische maatregel om overlast van bots tegen te gaan.

Een webserver zelf is exact dat: een machine die het web serveert. Jij zegt 'ik wil X' en de server geeft je dat als het het heeft. Oftewel: als iets toegankelijk is via de webserver dan is dit het doel van de eigenaar: een (hopelijk weloverwogen) publicatie. Dat je een bepaald pad nodig hebt om bij bepaalde informatie te komen is een deel van de technische implementatie in dezelfde zin dat een ouderwets telefoonboek op alphabet is gesorteerd: anders kan het de rol niet vervullen.

Er zijn legio manieren om dingen te publiceren op een website waarbij deze gegevens alleen aan de juiste personen worden overlegd. Een van de oudsten (niet beste) is de goede .htaccess om een wachtwoord te verifieren, maar een combinatie van server-side scripting kan een degelijke oplossing aanbieden. Client-side kan evt. ook nog: het is zo lek als een mandje, maar het zou tenminste correct aangeven dat deze informatie niet voor iedereen is.

Deze rechter beslist gewoon dat een bordje 'auto's niet welkom op mijn oprit' voldoende is om een persoon op deze oprit als inbreker te veroordelen. Och die arme huis-aan-huis bezorger.
ik weet heus wel hoe het werkt, dat je robots.txt opvraagt is ook niet strafbaar.
De argumentatie gaat erover dat er in robots.txt staat: verboden toegang voor search machines.. ansich is dat geen verbod voor gewone bezoekers, maar het is ook geen uitnodiging en de rechter vat het op als een indicatie dat je moet kunnen verzinnen dat het niet de bedoeling is dat je daar gaat "rondneuzen".

Een krantenbezorger die op een oprit gaat staan met een bordje: verboden op te rijden mag ook niet hoor!? Daar is verder geen hek voor nodig. Bij een bank lijkt het me wel verstandig, en ook wel verwijtbaar, maar geen argument om het minder strafbaar te maken.
Sorry maar dit is wel een erg slecht analoog. Volgens jou mag ik dan ook niet op de website homepage komen want tsja dat is ook van hen. De robots.txt is alleen voor robots bedoeld zodat het niet geindexeerd wordt, dit is geen beveiliging. Het ontsleutelen of kraken zou ik wel computervredebreuk noemen. Maar het opvragen van wat er in de robots.txt staat vind ik toch echt geen inbreuk.
Opvragen wat er in de robots.txt staat, hier uit een ander adres halen wat niet direct via de website publiek toegankelijk is, en dan willens en wetens de id van een ander invoeren om wel toegang te krijgen tot deze prive maar slecht beveiligde db, dat is dus wel computervredebreuk.

Als die db publiek toegankelijk was zonder id, en dus niet prive, dan was het waarschijnlijk (voor zover ik het snap) geen computervredebreuk geweest.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:15]

... en dan willens en wetens de id van een ander invoeren om wel toegang te krijgen ...
Daar zit nou net een zwak punt in de uitspraak.
Z'n verdediging is dat hij zich helemaal niet voor een ander heeft uitgegeven, hij heeft gewoon wat willekeurige woorden, en daarna alle nummers van 1 tot 110.000 ingevoerd. Helemaal geen rare actie als je beveiliging van sites aan het onderzoeken bent.
Niet raar als je toestemming hebt om dit te onderzoeken. Wel zonder toestemming.

Als ik zonder jouw medeweten jouw slot onderzoek met een loper (immers is dat gewoon wat willekeurige combinaties van groeven en pinnetjes proberen) en toegang krijg, vervolgens documenten kopieer uit jouw archiefkast, dan ben ik aan het inbreken.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 20:23]

Deze uitspraak helpt IT-beveiliging in het algemeen inderdaad zeker niet. Organisaties die dus geen rekening houden met voor de hand liggende problemen worden nu door de rechtbank de hand boven het hoofd gehouden. Ze worden schijnbaar (disclaimer, heb het vonnis zelf niet gelezen) in het gelijk gesteld en leren dus niet van hun fouten.

Waarom is er geen sprake van eigen verantwoordelijkheid voor de organisatie? Je kan de redenatie van de rechtbank m.i. ook omdraaien, als de organisatie wist dat pictura.php enkel op een door hun bepaalde manier mocht worden aangeroepen dan volgt logischerwijs daaruit dat ze ook wisten dat er een potentieel probleem kon ontstaan als het op een andere manier werd aangeroepen.
De verantwoordelijkheid ligt dan in eerste instantie bij de organisatie zelf om bescherming tegen die andere manier aan te bieden. Dat je ergens geen rekening mee houd is dan ook geen excuus, als je die lijn doortrekt kan je niemand meer ooit verantwoordelijk voor iets houden.
Deze uitspraak helpt IT-beveiliging in het algemeen inderdaad zeker niet.
Stellen dat een slecht slot een argument is om wel in te mogen breken helpt de beveiliging van huizen/gebouwen ook niet.. maarja, is een kort rokje een uitnodiging tot verkrachting?
Het was evident dat deze data/database niet bedoeld was voor "publiek" gebruik, was afgeschermd en het argument dat het toch wel heel makkelijk was, is geen argument..
Als dat in de rechtspraak geen argument is, dan wringt de rechtspraak met de praktijk van computerveiligheid.

Misschien dat de rechter er inderdaad in meegaat omdat vredebreuk in principe elke stap is die je binnen zet, ongeacht de maatregelen die dat wel of niet voorkomen (een open deur met een artikel 461 bordje ernaast mag je ook niet zomaar in, zelfs al staan er knipperende pijlen naast). Die knipperende pijlen (verwijzing in robots.txt in dit geval) zal een rechter echter wel meenemen in de omstandigheden van het vergrijp, dus een klungelige beveiliging kan bijvoorbeeld voor een lichtere straf zorgen.

Echter kun je als eventuele gedupeerde van het lek (daarmee bedoel ik iemand wiens gegevens zijn uitgelekt) alsnog een civiele zaak aanspannen of een melding doen bij de autoriteit persoonsgegevens dat de beveiliging belachelijk slecht was gezien de inhoud van de beveiligde gegevens.

[Reactie gewijzigd door mae-t.net op 1 september 2018 06:10]

De organisatie wordt niet gecompenseerd voor de imago schade van dit verhaal. Ook zullen ze ondertussen hopelijk iemand hebben ingehuurd om hun site fatsoenlijk te beveiligen. Ook al stelt de rechter ze in het gelijk, het is hoe dan ook hun verantwoordelijkheid om goed te beveiligen. Dat was het altijd al en zal het voorlopig blijven.
Het is de verantwoordelijkheid van bezoekers op de site om geen gegevens te kopieren waarvan je weet/kunt weten dat je ze niet zou moeten inzien.

Ik zie niet echt een andere optie. Als de rechter zou zeggen: niks aan het handje, dat was publiek toegankelijk, dan geef je heel de wereld een vrijbrief om te gaan lopen hacken wat er los en vast zit in NL.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:19]

Compensatie voor imagoschade is een civiele zaak die ze apart zouden kunnen aanspannen. Ik hoop inderdaad dat die rechter dat weg zal honen.
Deze uitspraak helpt IT-beveiliging in het algemeen inderdaad zeker niet. Organisaties die dus geen rekening houden met voor de hand liggende problemen worden nu door de rechtbank de hand boven het hoofd gehouden. Ze worden schijnbaar (disclaimer, heb het vonnis zelf niet gelezen) in het gelijk gesteld en leren dus niet van hun fouten.
Ho, ho. Het betekent helemaal niet dat ze niet verantwoordelijk kunnen worden gehouden voor de slechte (of hier: non-) beveiliging van gevoelige gegevens.

Wat dat betreft: ik vind de keuze van het OM opvallender dan de uitspraak van de rechter. Ook voor de AVG mocht je niet zo laks met zulke gegevens omgaan. Ze hebben de verkeerde vervolgd.
Het lijkt me dat deze rechter zich in de eerste plaats moest uitspreken over de schuld van de IT-er en niet over de veiligheid en verantwoordelijkheden van CBG. Evengoed ben ik het met je eens dat CBG hier bepaalde steken heeft laten vallen. En dat zullen zijzelf en de rest van de wereld ook wel weten nu.
Maar het was de rechter zelf welke de 'beveiliging' van de server onderdeel maakte van zijn uitspraak. Daardoor gaat het vonnis ook deels over de beveiliging van de webserver..

De rechter maakt hier nu eigenlijk dezelfde fout als de IT-er welke ook met het opvragen van een tiental NAW records het lek had kunnen aantonen, maar door de volledige database op te vragen te ver is gegaan.

De rechter had kunnen volstaan met het argument dat het benaderen van de server zonder toestemming computervrede breuk is. Echter door de beveiliging van de server onderdeel te maken van het vonnis, wordt het een juridisch precedent en kan er bij andere rechtszaken naar verwezen worden..
dat een rechter het benaderen van een onbeveiligd bestand op een publieke website als computervredebreuk ziet
Helemaal mee eens, belachelijk!
dat er een bestand op de webserver van het CBG aanwezig was, genaamd pictura.php, dat toegang gaf tot records in de database. Dat bestand was expliciet uitgesloten in het robots.txt-bestand, waaruit echter ook het bestaan ervan bleek. In het robots-bestand stond de zin: disallow: / pictura.php # toegang tot de vriendendatabase.
Ik verstop mijn sleutel onder de deurmat, maar voor de zekerheid hang ik een briefje op "U mag niet onder de deurmat kijken" 8)7 8)7 8)7 8)7
Dat is dom, en je verzekering zal niks uitbetalen, maar als iemand dan inbreekt, is inbreken nog steeds verboden en krijgt die persoon straf als hij gepakt wordt. Zelfs als je je deur wagenwijd open laat staan en een maand op vakantie gaat is inbreken alsnog verboden.

[Reactie gewijzigd door Origin64 op 31 augustus 2018 19:21]

Ten eerste, het is dan geen inbreken maar insluipen.
Ok, nog steeds strafbaar, maar waarom zou de verzekering niet moeten uitkeren?
Volgens de redenering van deze rechter heb ik door het briefje op te hangen een minimale vorm van beveiliging gebruikt.
Wacht even:
Indexer niet laten indexeren == beveiliging??
Zo'n robots file is daar niet voor bedoelt.
Het stond dus gewoon wagenwijd open?
In de uitspraak moet rekening worden gehouden met de betekenis van wederrechtelijk binnendringen. Om daar aan te voldoen hoeft niet alleen sprake te zijn van het doorbreken van een beveiliging maar ook van een kenbare drempel als minimale beveiliging. De rechter is blijkbaar van mening dat het waarschuwen over restricties en bedoelingen in een robots.txt bestand wat de verdacht ook nog aannemelijk heeft gelezen een minimale drempel is. Het gaat om de combinatie.

In de uitspraak staat uitdrukkelijk dat het om een juridisch vorm van beveiligen zou gaan. In de praktijk valt dat te vergelijken met het plaatsen van een mededeling van een verbod. De eigenaar maakt kenbaar dat er restricties van toepassing zijn, aan diegene die de informatie hebben opgezocht.

In algemene zin zou ik het te makkelijk vinden dat van alle gebruikers wordt verwacht dat die robots.txt gaan lezen voor ze een website gebruiken. Maar er is hier geen sprake van een algemene situatie. De situatie gaat specifiek over een verdachte die eerst bewust robots.txt gelezen zou hebben om kennis over de website op te doen voor verwijzingen naar delen van de website die mogelijk gevoellig zijn en daar vervolgens in eigen voordeel gebruik van heeft gemaakt. Het gaat om de combinatie van bewust het robots.txt bestand raadplegen en vervolgens het handelen met de kennis daarvan.

De uitspraak, zoals ik die lees, is niet dat je robots.txt altijd maar moet lezen of minimale beveiliging is als die niet is gelezen.

Ik kan me wel in die uitspraak vinden. Als je moeite doet om bewust op zoek te gaan naar informatie over mogelijke restricties en informatie over de website moet je niet gaan zeuren dat uit zo'n resource alleen de tekst die in je voordeel werkt zou gelden en niets in het voordeel van de eigenaar. En als je daar niet naar op zoek gaat, het ook niet vind en toch resources weet te vinden die via teksten in robots.txt een bescherming krijgen? Dan lijkt mij dat er geen sprake meer kan zijn van een minimale beveiliging. De uitspraak is immers dat de verdachte de tekst heeft gelezen voor die een conclusie kon trekken. Niet opgezocht, niet gelezen: dan zal de rechter opnieuw moeten afwegen.

[Reactie gewijzigd door kodak op 31 augustus 2018 21:21]

Je vat het probleem verkeerd op. Het maakt niet uit dat een melding dat een bepaalde pagina niet voor openbaar gebruik is genoeg is om te zeggen dat er sprake is van een minimale drempel, en dus beveiliging in juridische zin. Het probleem zit hem in de stelling dat een vermelding van een pagina in de robots.txt zo'n melding is.

De instructies gelden expliciet uitsluitend voor bots, niet voor mensen. De rechter zegt dus eigenlijk "de beheerder van de website heeft aangegeven dat de pagina niet bezocht mocht worden door bots, de gedaagde wist dit en had dus moeten weten dat hij deze pagina zelf ook niet mocht bezoeken".

Dat is toch logica van likmevestje? Hij leest instructies die expliciet voor bepaalde apparaten bedoeld zijn en hij had daaruit moeten concluderen dat hij zich ook aan die instructie moest houden. Te bizar voor woorden.
Er is geen wettelijk kader dat stelt dat robots.txt alleen bedoeld is voor mensen. En dat het bestand beschikbaar is voor robots om instructies te lezen sluit op geen enkele wijze uit dat gebruikers het mogen gebruiken. Sterker nog: het was beschikbaar voor gebruikers, er gold geen beveiliging voor, het was ook gewoon leesbaar, bevatte menselijke taal en het belangrijkste: volgens de rechter kon de verdachte door er kennis van te nemen dus ook conclusies uit trekken over de intentie van de eigenaar. Als de eigenaar had gewild dat mensen het bestand niet zouden lezen dat had die het moeten beveiligen. En om dan in de lijn van de rechter te blijven: minimaal juridisch moeten beveiligen door in het bestand of elders te vermelden wat de bedoeling van de inhoud is.

Interessant is wel om te bedenken wat de gevolgen zouden zijn als de rechter van mening was dat de inhoud alleen bedoeld was voor robots. Want dan had de verdachte de inhoud als mens waarschijnlijk ook niet mogen gebruiken. De regel zou dan immers zijn dat niemand iets te maken heeft met dat bestand tenzij het een robot is. En dan waren we nog verder van huis geweest want dat zou impliceren dat robots.txt voortaan voor Nederlanders verboden terrein is tenzij je toestemming hebt om het te lezen. Gelukkig is die uitspraak er niet.

[Reactie gewijzigd door kodak op 1 september 2018 22:49]

Er is geen wettelijk kader dat stelt dat robots.txt alleen bedoeld is voor mensen. En dat het bestand beschikbaar is voor robots om instructies te lezen sluit op geen enkele wijze uit dat gebruikers het mogen gebruiken. Sterker nog: het was beschikbaar voor gebruikers, er gold geen beveiliging voor, het was ook gewoon leesbaar, bevatte menselijke taal en het belangrijkste: volgens de rechter kon de verdachte door er kennis van te nemen dus ook conclusies uit trekken over de intentie van de eigenaar. Als de eigenaar had gewild dat mensen het bestand niet zouden lezen dat had die het moeten beveiligen. En om dan in de lijn van de rechter te blijven: minimaal juridisch moeten beveiligen door in het bestand of elders te vermelden wat de bedoeling van de inhoud is.
Waar wil je heen met dit verhaal? Er is toch niemand die zegt dat gebruikers robots.txt niet in mogen zien? Het enige waar ik het over heb is de conclusie van de rechter dat je op basis van de aanwezigheid van een instructie voor bots als persoon zou moeten concluderen dat die instructie ook voor jou geldt. Daar zit toch geen enkel logisch verband in?

De rechter trekt uit het uitsluiten van die pagina voor bots de conclusie dat ze blijkbaar niet willen dat die pagina gevonden wordt. Dat slaat gewoon nergens op, dat is totaal niet wat je doet als je aangeeft dat een bot niet op die pagina mag komen. Als je bijvoorbeeld in je robots.txt aangeeft dat de bots niet op een bepaalde uri mogen komen dan sluit je niet eens uit dat die uri in bijvoorbeeld de zoekindex van Google terechtkomt.
Er is gelukkig nog geen rechter die zegt dat gebruikers robots.txt niet mogen inzien. Maar de redenatie van het recht is dat als er geen algemene belemmering is om als mens bij informatie te kunnen je die informatie niet alleen in je eigen voordeel kan gaan interpreteren. De verdachte heeft de informatie alleen willen lezen in het eigen voordeel en geen enkele rekening gehouden met de bedoeling van de eigenaar. En als er wettelijk geen enkele belemmering is, als er geen enkel valide argument is aangedragen en als er geen enkel bezwaar is om die informatie te mogen interpreteren, dan kan de rechter niet anders dan stellen dat er mogelijk intentie is te lezen zijn als er restricties in staan.

Als het argument wordt opgevoerd dat de inhoud niet geinterpreteerd mag worden dan moet daar een grond voor zijn. Die grond is tot nu toe niet gegeven, maar de enige grond die ik momenteel kan bedenken is dat een gebruiker het bestand helemaal niet hoort te lezen. Voortkomend uit de redenatie dat als je bij informatie kan en dat ook doet je ook de verantwoordelijkheid hebt om iets met de informatie te doen of de gevolgen te ondervinden. Andere opties zijn er zonder overtuigende argumenten nog niet.
Ik snap niet waar je heen wilt, er is niemand die zegt dat mensen dat bestand niet mogen lezen. Echter, als je weet waar het bestand voor is weet je ook dat de instructies die erin staan niet aan mensen gericht zijn.
De verdachte heeft de informatie alleen willen lezen in het eigen voordeel en geen enkele rekening gehouden met de bedoeling van de eigenaar.
De bedoeling van de eigenaar was om die pagina niet te laten bezoeken door bots. Dat is het enige wat je daaruit kunt concluderen. Dat de eigenaar niet wilde dat die pagina werd gevonden kun je daar gewoon niet uit halen. Dat is echt totaal onlogisch.
Echter, als je weet waar het bestand voor is weet je ook dat de instructies die erin staan niet aan mensen gericht zijn.
Uit niets blijkt tot nu toe dat een robots.txt alleen bedoeld is om geinterpreteerd te worden door crawlers. De standaard stelt het nergens, er is geen overweldigend bewijs van de intentie dat het alleen voor crawlers zou zijn bedoeld en er is door de eigenaar nergens expliciet aangegeven dat het alleen voor crawlers is bedoeld. Dan gaat het lastig worden.
De bedoeling van de eigenaar was om die pagina niet te laten bezoeken door bots. Dat is het enige wat je daaruit kunt concluderen. Dat de eigenaar niet wilde dat die pagina werd gevonden kun je daar gewoon niet uit halen. Dat is echt totaal onlogisch.
Bewijs het, dan kan de rechter er wat mee. Liever nog, was het maar bewezen voor de rechter tot een uitspraak kwam.
Uit niets blijkt tot nu toe dat een robots.txt alleen bedoeld is om geinterpreteerd te worden door crawlers.
Wat dacht je van de naam 8)7. Het heet letterlijk "Robot Exclusion Protocol", er is geen officile standaard maar de robotstxt.org website geeft zelf letterlijk aan dat het bedoeld is om instructies te geven aan web robots.
Hoe graag ik het gun, ik kan er niet in mee gaan. Er staat geen uitsluiting of exclusiviteit. Als je gaat hacken hanteer je toch ook niet het argument dat een vork alleen bedoeld is om mee te eten? Werkt bij het recht precies het zelfde. Zolang de mogelijkheid er is en de wet verlangt dat je als persoon je best doet om de wensen van een eigenaar te respecteren dan moet er een beter argument komen dan dit om een rechter een andere uitspraak te laten doen.
Hoe graag ik het gun, ik kan er niet in mee gaan. Er staat geen uitsluiting of exclusiviteit.
Wat de neuk, meen je dat serieus? Er wordt niet uitgesloten omdat er expliciet wordt gesteld waar het wel voor bedoeld is. Volgens jou is het dus niet alleen bedoeld voor robots?
Zolang de mogelijkheid er is en de wet verlangt dat je als persoon je best doet om de wensen van een eigenaar te respecteren dan moet er een beter argument komen dan dit om een rechter een andere uitspraak te laten doen.
Uit de aanwezigheid van een disallow-directive in een robots.txt bestand kun je niet concluderen dat iemand niet wil dat die pagina bezocht wordt door gebruikers! Dr gaat het om! Als je van mening bent dat dat wel kan, en dat je je daar dus aan moet houden, ben je dan ook zo consequent om dit zelf toe te passen? Bezoek jij pagina's die uitgesloten zijn in robots.txt ook niet?
[Wat de neuk, meen je dat serieus? Er wordt niet uitgesloten omdat er expliciet wordt gesteld waar het wel voor bedoeld is. Volgens jou is het dus niet alleen bedoeld voor robots?
Het is toch best confronterend als anderen gaan hacken en voorwerpen of teksten creatief (maar volgens de wet) voor andere doeleinden gaan toepassen het niet altijd prettig is wat de gevolgen zijn.
Als je van mening bent dat dat wel kan, en dat je je daar dus aan moet houden, ben je dan ook zo consequent om dit zelf toe te passen? Bezoek jij pagina's die uitgesloten zijn in robots.txt ook niet?
Ik ben van mening dat de context is dat de verdachte die links ook nog ging misbruiken en de eigenaar van de site daardoor schade/hinder had en het ook nog terug te relateren was aan het eerst bezoeken van robots.txt.
Het is toch best confronterend als anderen gaan hacken en voorwerpen of teksten creatief (maar volgens de wet) voor andere doeleinden gaan toepassen het niet altijd prettig is wat de gevolgen zijn.
Waar doel je precies op? Hoe dan ook is de opvatting dat het bedoeld is voor mensen omdat ze niet zijn uitgesloten onwerkbaar. De wet stelt ook eenieder die een feit begaat strafbaar, en niet "eenieder die een feit begaat en dus niet degene die het niet begaat".
Ik ben van mening dat de context is dat de verdachte die links ook nog ging misbruiken en de eigenaar van de site daardoor schade/hinder had en het ook nog terug te relateren was aan het eerst bezoeken van robots.txt.
Ahja. Je mag wel op m'n grasveldje komen, maar niet als je er alleen maar komt om bij me naar binnen te gluren. Nouja, dat mag eigenlijk wel, maar het mag niet als je alleen van het bestaan van het grasveldje af weet omdat je mijn bordje "Het grasveldje naast mijn huis is verboden voor honden" hebt gelezen.
edit:
woord vergeten

[Reactie gewijzigd door Patriot op 2 september 2018 01:01]

Het gaat erom dat de rechter fout is geweest door te zeggen dat het beveiliging is. Als ik geen slot heb maar een briefje ophang "verboden toegang", dan is alsnog naar binnengaan strafbaar, MAAR je kunt niet zonder te lachen zeggen dat ik daarmee mijn deur beveiligd heb. Als dat wel zo is, dan is er iets goed mis met de wet en kunnen inbrekers altijd zwaardere straffen krijgen omdat ik met een briefje i.p.v. slot gezorgd heb voor beveiliging? Ik kan me totaal niet voorstellen dat dat door de giecheltoets komt.
Het stond niet alleen wagenwijd open, de aanwezigheid ervan werd expliciet vermeld.
Het stond niet alleen wagenwijd open, de aanwezigheid ervan werd expliciet vermeld.
Maar dat is hier niet ter sprake. Voor de mogelijke veroordeling van deze wat verwarde man (waarom niet gewoon een mailtje aan de site?) doet het er niet veel toe. Als ik mijn deur open laat staan is dat geen toestemming om alles maar uit mijn huis te sjouwen.
Wel als je huis privegegevens van duizenden mensen bevat. Dan zorg je voor een slot. En laat je het niet 24/7 openstaan.

Bij hacken wordt wel vaker een vegelijking met een huis gemaakt. Maar daar wordt altijd een ding over het hoofd gezien. Je weet niet of je een hele database kan downloaden, totdat je de hele database hebt gedownload. Je kan niet 'zien' dat de deur open staat of iets dergelijks.
Ik ben voor voorbeelden waarbij tweakers die als zzp-er hun mobieltje met een vol adresboek in hun jaszakje hebben terwijl ze over staat lopen. En dan klagen dat iemand even in hun jaszakje zat omdat het kon. En de hacker dan met het argument komt dat het in het algemeen belang was om te testen of het mobieltje kon worden leegtrokken en dat ook deed om te bewijzen dat de tweaker fout bezig was. En dan ook maar gewoon het hele adresboek met alle persoonlijke details van klanten/collegas/mede tweakers kopieerde, omdat het zogenaamd niet anders kon.

Wat betreft die database: de verdachte heeft heel veel moeite gedaan om eerst miniteus uit te zoeken hoe groot de database was, welke records er waren om ze vervolgens allemaal te downloaden. Het punt is niet dat je nooit kan uitsluiten of je de hele database is, maar wanneer de hacker te veel doet om te bewijzen dat er een belangrijk lek is. In een eerdere uitspraak is ook al aangegeven dat er niet veel records nodig zijn om te bewijzen dat het lek groot en belangrijk genoeg is om te dichten. Sterker nog, voor de AVG is zelfs het kleinste lek al te veel.
Ik vind het een raar punt dat er meegewogen wordt hoevl je van een lekke database download. Het belangrijkste voor de rechter lijkt mij toch echt uitzoeken wat het motief van deze man was. Hoeveel die download vind ik dan in mijn optiek triviaal, behalve dan dat extra bewezen wordt ho lek die database dan wel niet was.

Liever dat een etisch hacker mijn gegevens download dan dat ik mezelf weer terugvind als een record op haveibeenpwned.com.

Want als een hacker kwaad in de zin heeft, komt die er mee weg. Deze man werd gepakt omdat hij geen moeite deed zich te verbergen op het web.

In mijn mening: Als je etisch hackers te streng aanpakt, geef je bedrijven te veel vrij spel om niet over hun security te hoeven nadenken.
Je mening kan ik deels volgen. Er is een bepaalde vrijheid gewenst om mogelijke misstanden te onderzoeken. Belemmeringen voor dat soort onderzoek geven personen die beveiliging niet op orde hebben enige bescherming.

Maar we moeten niet vergeten dat iedereen bij wet gelijk is. We moet als maatschappij dus ook meetellen dat er rechten zijn voor de slachtoffers van de hacker en het bedrijf. En dat er plichten zijn voor personen die onderzoek doen.

Ethisch hacken betekent dat je onderzoek doet waarbij de hacker respect heeft voor de geldende normen en waarden. En in onze maatschappij is de wet waar we dat aan toetsen.

Het feit dat iemand met slechte bedoelingen als verdachte er mee weg kan komen door niet vervolgd te worden is niet relevant. Dat je als breker van de wet veroordeeld kan worden wel. Dus is het zaak voor de onderzoeker om te zorgen dat die kan bewijzen ook ethisch bezig te zijn geweest.
wat je nu zegt klopt ook niet,

stel jij hebt die deur open staan, en ik zie daar een archiefkast. mag ik dan gaan kijken wat daarin zit, vooral, als je weet dat er een wet bestaat die zulk handelen (je deur open laten) verboden heeft.

grotendeels ben ik het wel met deze beslissing eens, waar het gaat over procesrecht. alleen op het punt van de materieel recht gaat het een stuk minder.
goed.

de rechter onderkend subsidiariteit niet. ik zou graag in die zaak pleiten bij een beroeps- of cassatiezaak. want: het feit dat hij een conculega zou zijn (volgens het OM) maakt al dat publeaks met de daarbij horende (of te verwachten) anonimiteit gerechtvaardigd zou zijn. ik zou als concurent ook bang zijn voor de rompslom van vervolging door zo'n wan-toko. en dat is dan ook precies wat er is gebeurd.

Ook het feit dat hij de DB in zijn geheel heeft gedownload maar er toch niets voor eigen gewin uit heeft gehaald betekend dat hij wel degelijk ethisch bezig was. misschien niet helemaal correct, en mogelijk zelfs slordig, of onrechtmatig, maar zeker niet on-ethisch. Het probleem bij ethiek bijft echter dat dit erg casus-afhankelijk is en dan ook nog eens gemeten aan tijdsgeest, normen-en-waarden-besef en het professionaliteits-beginsel (hier staat onderandere zijn kennis van het ict-recht centraal).

Als beginnend jurist valt hier genoeg van te vinden vooral als je een it-achtergrond hebt. helemaal mis, slaat deze rechter de plank zeker niet, maar onfeilbaar is zijn conclusie ook zeker niet.
Ook het feit dat hij de DB in zijn geheel heeft gedownload maar er toch niets voor eigen gewin uit heeft gehaald betekend dat hij wel degelijk ethisch bezig was.
Want een punt bewijzen kan alleen als je de gehele database hebt? Honderd records of enkelen zijn niet voldoende voor het punt? ;) Ik vind dat best discutabel, eigenlijk.
Er is bewezen geacht dat hij die niet voor eigen gewin heeft gedaan. Wat is er dus, vanuit een moreel perspectief onjuist aan?

Dat het onhandig, onnodig en waarschijnlijk onrechtmatig is, kunnen we het wel met elkaar eens zijn.
Is er sowieso geen moraliteitsvraag als je data downloadt waarvan je weet dat die niet voor je bestemd is?
Ik vind het lastig om een actie het algemeen als immoreel te bestempelen, dat soort absoluten zijn niet vaak correct.

Er is geoordeeld dat de man niet voor eigen gewin handelde, zijn intenties waren dus goed(ish). Verder is de data niet verder uitgelekt, zijn acties hebben dus geen slechte gevolgen gehad.

Daarmee heb je de meeste stromingen binnen de ethiek (intentie/gevolg gebaseerd), en allen zouden zijn acties niet per se immoreel noemen.

Je zou met Kant's categorisch imperatief kunnen verdedigen dat je niet zou kunnen willen dat dit een algemeen maxime werd, maar dan kom je bij de vraag of incompetentie immoreel is.
Ik zou die laatste vraag sterker willen maken en stellen dat incompetentie strafbaar zou moeten zijn.
Het gaat hier om moraliteit, niet strafbaarheid. De twee vertonen sterke overeenkomsten, maar zijn zeker niet 1:1 uitwisselbaar.
Is het niet iets wat kort door de bocht te stellen dat wanneer je niet voor eigen gewin handelt (althans aantoonbaar). De daad goed bedoelt zou zijn ?
Het punt is dat dat dubbelzinnigheid oproept. Als iemand 3 computers met kinderporno in huis heeft en de politie doet een inval, nemen ze dan maar 1 computer mee omdat eentje voldoende is om het punt te bewijzen? Of nemen ze alledrie mee? Tonutoe nemen ze altijd alles mee.
Ik snap wat je zeggen wilt, maar ben het er niet mee eens. De IT'er had geen huiszoekingsbevel, de politie heeft dat wel. ;) En raad eens? Bij een dergelijk bevel moet de politie alle (mogelijke) bewijzen meenemen die ze vinden voor nader onderzoek. Twee totaal verschillende situaties dus.

Overigens handelde de IT'er proactief en is er bij een huiszoeking er eigenlijk al iemand (sterk) verdacht in de zaak en wordt er dus gericht gezocht.

[Reactie gewijzigd door CH4OS op 5 september 2018 15:11]

Maar goed, dan nog telt omvang altijd wel mee in een uitspraak. Als jij 2 wietplantjes mag hebben volgens de wet, maar je hebt er 5, dan doet de rechter een andere uitspraak dan als jij er 1000 hebt. Dus in die zin zou ik zeggen dat het wel een verschil maakt of er 5 records kunnen uitlekken door nalatigheid van het CBG of 80.000.
Tja, dat kan dan toch altijd nog bekeken worden, how deep the rabbit hole goes? ;) Dat hoeft mij betreft echt niet gelijk. Het is ook maar net wat je het belangrijkste vind; het aantonen dat er een lek is (waar je niet 80.000 records voor nodig hebt om te bewijzen) of hoe groot het lek is, door alle records op te halen die je kan.
Of het mag of niet doet er niet zo veel toe. Inbreken mag ook niet en gebeurt toch. Als jij 24/7 je deur open hebt staan en iemand neemt je spullen mee, krijg je echt geen geld van de verzekering. Nalatigheid heet dat.

Hier stond niet alleen de achterdeur open, maar hebben ze ook een bordje op de voorgevel gehangen met de tekst “de achterdeur staat open, kom maar binnen”. Want de robots.txt is een algemeen bekend bestand waar ook niet-hackers een heleboel informatie over de structuur van een site uit kunnen halen. Dit is gewoon een knap staaltje onkunde geweest van die prutser die zich beheerder noemt. Zo iemand hoop je nooit in je bedrijf in dienst te hebben. Dat ze de hacker dan nog aan durven te klagen ook getuigt van een hele achterbakse mentaliteit van dat CBG. Dat is geen toko waar ik ooit iets mee te maken wil hebben.
Ongeveer net zoiets als een briefje op de deur hangen:
"Sleutel onder deurmat, alleen te gebruiken door bewoners".
Goede vergelijking!
Niet per se, beter zou zijn:
Sleutel onder deurmat, niet te gebruiken door postbodes

Robots.txt is expliciet alleen voor webcrawlers.
robots.txt geeft op zich niet aan dat de db prive is, daarvoor weegt ook mee dat je een geldig id moet invoeren om toegang te krijgen.
De rechtbank ziet in het voorgaande – in juridische zin – een minimale vorm van beveiliging, namelijk een kenbare drempel zodat onbevoegden zich niet zomaar de toegang tot pictura.php en de achterliggende database konden verschaffen. Enerzijds door het afschermen van pictura.php met het commando 'disallow', anderzijds door bij opvraging daarvan de invoer van een geldig id te vereisen.
Het is de combinatie die het wat duidelijker maakt. Als er alleen de robots.txt was en je hoefde geen id te hebben voor toegang, dan was er misschien een andere uitspraak gekomen. Dan was het inderdaad "geen toegang voor postbodes". Nu staat er: "Geen toegang voor postbodes en personen zonder door ons uitgegeven id".

[Reactie gewijzigd door Origin64 op 31 augustus 2018 21:15]

Ja, anders moest het niet opgenomen worden in de robots.txt met een deny. Het is praktisch niet haalbaar om een whitelist te maken, zeker niet voor sites die veel content genereren. Ik begrijp de redenering van de rechter maar verwacht dat het feit dat hij zo een grote hoeveelheid aan data heeft binnengehaald en dit niet met de sitebeheerds zelf heeft gedeeld veel zwaarder meewegen in het oordeel om hem toch schuldig te verklaren aan computervredebreuk.
Ja, anders moest het niet opgenomen worden in de robots.txt met een deny. Het is praktisch niet haalbaar om een whitelist te maken, zeker niet voor sites die veel content genereren. Ik begrijp de redenering van de rechter maar verwacht dat het feit dat hij zo een grote hoeveelheid aan data heeft binnengehaald en dit niet met de sitebeheerds zelf heeft gedeeld veel zwaarder meewegen in het oordeel om hem toch schuldig te verklaren aan computervredebreuk.
het klinkt alsof je niet echt weet waar robots.txt voor is, dus leg ik het even uit.

robots.txt is ervoor om oa google te laten weten dat eventuele links naar die file moeten worden genegeerd in de zoekresultaten. als je bestanden wilt blokkeren van buitenaf dan doe je daar dus niet met robots.txt maar met .htaccess bestanden daarin kun je aangeven - hoe de server op bepaalde requests reageerd en dus ook personen doorsturen naar index.php

[Reactie gewijzigd door i-chat op 31 augustus 2018 19:49]

robots.txt is ervoor om oa google te laten weten dat eventuele links naar die file moeten worden genegeerd in de zoekresultaten.
Dat is het expliciet niet. Sterker nog, Google zelf waarschuwt er ook voor dat het daar niet voor is bedoeld. Het is uitsluitend bedoeld om aan te geven welke pagina's crawlers e.d. niet (of juist wel) mogen bezoeken.
Yep "pictura.php" was gewoon openbaar benaderbaar. Men dacht dat //disallow toevoegen aan de robots.txt voldoende bescherming was.
In de praktijk stond het wagenwijd open, als ik het artikel goed begrijp is er vanuit juridisch oogpunt het absolute gedaan aan "beveiliging" in de zin dat daardoor wel duidelijk was dat het niet de bedoeling is dat mensen er naar toe gaan.

Een beetje vergelijkbaar met het bordje "verboden voor onbevoegden" bij een verder open terrein. Het is geen teken dat er adequate beveiliging is maar meer dat duidelijk is dat het niet de bedoeling is dat mensen daar naar toe gaan.
Disallow staat in deze aangegeven voor zoekmachines als Google.
De doelgroep is niet hetzelfde.

Je kan het dan beter vergelijken met een bordje "Verboden voor auto's" bij een verder open toegang.
Waar jij te voet gewoon bij kan.
En dat er in een donker steegje naast het "terrein" dan een bordje staat met "Daar om de hoek is ook een ingang"
...duidelijk was dat het niet de bedoeling is dat mensen er naar toe gaan.
Dat ben ik niet met je eens. Een robots.txt bestand is bedoeld om aan te geven welke pagina's robots (meestal web crawlers) wel of niet zouden moeten bezoeken. Dat is niet hetzelfde als het wel of niet willen dat mensen een pagina bezoeken.
Een beetje vergelijkbaar met het bordje "verboden voor onbevoegden" bij een verder open terrein.
Als je de vergelijking met een open terrein wil maken, dan zie ik dit eerder als een informatiebord bij de ingang van een park waarop aangegeven staat dat het niet de bedoeling is om met je drone over een specifiek deel van het park heen te vliegen.
Alsof je je fiets niet op slot zet en er een bord met een dikke pijl naast zet met de tekst "Deze fiets mag niet worden gestolen". Hoe dom bezig ben je dan.
Door als niet-rechthebbende het pictura.php-script op te vragen en een geldig id in te voeren – en daarmee de webserver “enig teken” te geven –, heeft verdachte een gevolg uitgelokt – het retourneren van een record aan een niet-rechthebbende – waartoe de webserver weliswaar de mogelijkheid bood, maar waarmee de beheerder geen rekening had gehouden
"Geen rekening mee had gehouden". Je bek valt toch open hier. De rechter had zonder enig omhaal moeten zeggen dat het echte probleem lag bij de beheerder, dat die beheerder een onverantwoordelijke sukkel is en dat hij zich nooit meer met persoonsgegevens zou moeten bezighouden. In plaats daarvan wordt er met de vinger gewezen naar "verdachte". Tenenkrommend. Het wordt tijd dat de rechtspraak in Nederland voor dit soort zaken meer kennis van zaken gaat krijgen.

[Reactie gewijzigd door Anders op 31 augustus 2018 18:19]

Als je zulke botte uitspraken doet dan vraag ik me af of je het er mee eens bent dat er ook nog zoiets is als mijn en dein. Je blijft met je tengels van andermans spullen af tot je toestemming hebt. En als je die toestemming niet hebt en dan denkt, kom laat ik eens maling hebben aan de wil van de eigenaar en lekker doen waar ik zelf zin in heb met de spullen van een ander, in de hoop iets interessants te ontdekken waarmee de eigenaar kan worden betrapt op wat je nog erver vind, dan denk ik dat zulke personen in principe als eerste als dader gezien moeten worden en bij uitzondering de eigenaar. En dat is precies wat de rechter hier gedaan heeft: uitleggen dat je met je tengels van andermans spullen moet afblijven als je geen toestemming hebt, tenzij je heel goed kan uitleggen dat het uiteindelijk voor een beter doel was. Jij of wij zijn niet de personen die bepalen wat voldoende beveiliging is en wat belangrijker is, dat is tussen een eigenaar, de eventuele verdere slachtoffers en de rechter. Beveiliging is niet alleen een kwestie van wie fysiek of technisch de grootste en sterkste is, maar ook een kwestie van regels. En laten we hier heel duidelijk zijn: de dader wist hier vooraf niet of er iets te halen viel en of de eigenaar op andere gebieden mogelijk de wet zelf ook aan het overtreden was. Dat is enkel en alleen gevonden doordat de dader geen zin had om zich aan regels te houden. Ergo, stelde zich hetzelfde op als een persoon die maling heeft aan regels waar die de ander van beschuldigd. De verdacht mag van geluk spreken dat die iets tegen de eigenaar heeft gevonden.
Dat is een leuk concept, werkt alleen niet op het internet.

Als het uberhaupt zou werken zouden we niet eens een politiemacht nodig hebben.

Verboden of niet, leuk op een stukje interactie zonder grenzen. Onze wetten houden op bij onze grenzen. Als je het proben gaat verbieden, ga je de toekomst van het internet op het spel zetten. Dat moet je niet willen. Je moest eens weten hoe onzettend veel crap gevonden wordt door goedgezinde mensen die poken en kijken waar ze niet mogen komen.

Het internet werkt gewoon niet als de echte wereld. Het white hat hacken mag nooit verboden worden voor het voortbestaan van het open en vrije internet wat we nu kennen. Als het internet zichzelf niet reguleert, wat o.a. door het white hacken best goed gaat tot nu toe. De enige alternatieven zijn een soort politie macht op het internet. Of een Chinese firewall waar we onze wetgeving op het internet afdwingen.
Je poging om te argumenteren dat het concept niet werkt omdat er politie bestaat is geen argument. De politie bestaat niet omdat regels er zijn om overtreden te worden. De politie is er om uitvoering te geven aan de wet waar de maatschappij zelf faalt de regels op zichzelf op te leggen. Net zoals de rechtelijke macht bestaat om uitleg te geven hoe de wet in specifieke gevallen gelezen moet worden. Net als in dit geval, wat zeer specifiek is en niet gaat over het goed of fout zijn van een poging tot verdedigen of het mogelijk aantonen van grove nalatigheid door eerst zelf al dan niet nalatig te handelen. Dit gaat dan ook niet om een verbod op white hat hacken, of robin hood, maar om welke situatie er was en hoe de wet in dit geval van toepassing is.

En ja, op het internet (of voor mijn part 99,9% van de tijd in het dagelijks leven) is er geen uitvoerende macht die de crimineel zal stoppen in de daad. En ook zal die overbezorgde buurvrouw er niet zijn om je te helpen de fiets, het huis of het hele archief in de gaten te houden. Dat geeft gelegenheid. En niet zo'n klein beetje ook.

Maar we moeten ook niet doen alsof die gelegenheid dan maar een excuus is om als wannabee nobele robin hood maar alles in het eigen voordeel mag zien omdat die op zoek bent naar hopelijk het bewijs dat de partij waar robin hood het op gemunt heeft fout bezig is en de wannabee nobele robin hood zich kan bewijzen. Net zo min dat we het maar goed hoeven te vinden dat een briefje aan een fiets passende maatregelen zijn om persoonsgegevens te beschermen. Maar dat laatste stond hier niet ter discussie. Niet omdat het niet bestraft zou moeten worden, maar omdat het geen onderdeel was van de aanklacht. Hier stond ter discussie of de wannabee nobele robin hood echt zo nobel was als die zich voor deed en of die uiteindelijk door stom toeval een nobele daad heeft verricht die in zijn voordeel weegt. En dat heeft de rechter hier weer duidelijk gemaakt: je kan nog zo van mening zijn dat je goede intenties hebt, maar dat kan pas blijken als je ook iets weet te vinden wat waardevol genoeg is als excuus voor het negeren van andermans rechten. Want geen rechter kan er om heen dat de persoon waar robin hood zijn pijlen op richt ook rechten heeft.

Ik bespeur een frustratie dat iemand rechten kan hebben als die de rechten van anderen negeert. Maar dat werkt ook twee kanten op, dus ook voor de wanabee white hat hacker die net zo goed zelf wenst te bepalen wat recht en krom is als de persoon mogelijk doet op wie die het gemunt heeft. Heeft de rechter hiermee white hat onderzoek verboden? Nee, hooguit de regels voor een situatie duidelijker gemaakt en nogmaals duidelijk gemaakt dat het recht niet een kant op werkt.

En om wat met die frustratie te doen: een beetje white hat hacker vraagt zich ook af of dat nobele streven ook een beetje bestaat uit egoisme en drang om eigen rechter te spelen. Want zelfs als er maar 10% van de personen uit die database nog zou leven en uit zichzelf of gezamenlijk er geen ene moer om geeft dat er geen stappen tegen de verwerker worden genomen dan bestaat die frustratie om iets te willen vinden en daar een punt van te maken ook uit een eigen fantasie wereldje waar de wil van de verwerker als de personen over wie de gegevens gaan er toch niet zo heel veel toe doen en ergens een excuus zijn om het allemaal maar goed te praten. Tot het moment dat de wanabee nobele robin hood de verkeerde probeert te ontmaskeren waar niets viel te halen behalve de waardevolle gegevens van de eigenaar zelf.
En dan nog vind ik dat het in de echte wereld ook anders kan lopen bij proben. Als jij alleen willekeurig mijn voordeur test om te zien of 'ie goed beveiligd is, maar verder niet naar binnen gaat en tegen mij zegt "je deur is niet goed beveiligd, want dit en dat ...", dan bedank ik je vriendelijk en doe ik geen aangifte.
Onzin. Het draait hier om maatschappelijk belang. Dan mag je best even aan de deur voelen of deze op slot zit. Het ging de IT'er niet om iets te stelen, dus jou opmerking over mijn en dein is helemaal niet van toepassing.

Ethische hackers zouden beschermd en beloond moeten worden i.p.v. vervolgd. Zij maken de wereld een stukje veiliger.
Ethisch hacken heeft een waarde voor de maatschappij als de onderzoeker zich ook ethisch op stelt. Wat is er ethisch aan om te menen een maatschappelijk belang te dienen maar dan de regels van het maatschappelijk belang aan je laars te lappen? Niet alleen de rechten van de eigenaar van de website maar ook de rechten van 80.000 personen van wie de IT'er bewust en zonder zich te bekommeren om de gevolgen of de wil van die 80.000 personen maar alle persoonsgegevens is gaan downloaden, onbeveilig, via een server in de USA. Welk maatschappelijk belang is er van toepassing om een dikke vinger naar die 80.000 personen op te steken en lekker te doen waar je zelf zin in hebt en je totaal niets aan te trekken van de rechten van anderen?

Ethisch hacken en ethisch onderzoeken wil zeggen dat je niet even makkelijk de bewering doet dat het maar in een maatschappelijk belang is en dan alles maar moet kunnen. Helemaal als dat een excuus is wat pas achteraf opgevoerd word en uit niets blijkt dat de hacker of onderzoeker maar een beetje moeite heeft gedaan om belangen af te wegen. De maatschappij heeft niet voor niets wetten en rechten voor iedereen, dus ook voor hackers en onderzoekers.
Alsof je een fiets niet op slot zet en er een bord met een dikke pijl naast zet met de tekst "Deze fiets mag niet worden gestolen".

Ik weet niet hoor, maar als ik aan het surfen bent, dan kom ik over het algemeen geen paragraaf met de inhoud van robots.txt tegen? sterker, ik ken eigenlijk geen website waarbij dat bestand uberhaupt onderdeel is van het standaard zichtbare deel van websites.
Dat iedere tweaker (of timmerman) met een boor/breekijzer/bankpas/toetsenbord weet hier je een voordeur die niet op slot staat open maakt wil niet zeggen dat het ineens mag?

Dat elke fiets beter op slot staat dan deze website is waar, maar geen argument om het ineens wettelijk te maken.. Schade vergoeding lijkt me dan ook wat overdreven, maar ik lees hierboven dat het om een concurent ging en dat maakt het wel een ander verhaal. Dan zou hij misschien toch wel straf mogen krijgen want dat klinkt al wat minder "ethical"..
Ik weet niet hoor, maar als ik aan het surfen bent, dan kom ik over het algemeen geen paragraaf met de inhoud van robots.txt tegen?
Jij steelt denk ik ook geen fiets, al staat die niet op slot. Het is maar een klein deel dat kwaad in de zin heeft. Het is het deel dat bij een deur onder de bloempot kijkt of er een sleutel ligt, en het deel dat online kijkt of er via de robots.txt wat te halen is.

Het getuigt van volstrekte onkunde om te volstaan met zo'n disallow in de robots.txt zonder er authencicatie (tweetraps) op te zetten. Dat is geklooi van de grootste orde en de rechter had daar hele korte metten mee moeten maken. Dat ie dat niet gedaan heeft getuigt van onkunde aan de kant van de rechterlijke macht, en dat is zorgelijk.

Neemt niet weg dat de verdachte zelf ook niet goed bezig was natuurlijk, dus ik heb er geen probleem mee dat ie daarvoor wel is veroordeeld zonder straf. @emnich verwoordde het hierboven goed:
Het is juist wel gek dat je de hele database binnen hengelt en als ethisch hacker (of as IT prof) zou je beter moeten weten. Je kan met 1 of 2 records prima aantonen dat er een lek is en dan hoef je dat allemaal niet eens lokaal bij je zelf op te slaan.
Dat de rechter geen 'korte metten' heeft gemaakt met de partij die zijn beveiliging niet op orde had, komt denk ik niet doordat de rechter het niet heeft begrepen, maar omdat het buiten het rechtsgeschil viel. Het ging hier om een strafzaak. De rechter dient dan te oordelen over het aan de verdachte ten laste gelegde gedrag, niet over het handelen van het slachtoffer.
Ben ik het niet helemaal mee eens, aangezien de rechter de verantwoordelijkheid van de beheerder wel degelijk behandelt in de uitspraak:
Het gedeelte van de server waartoe de verdachte zich toegang heeft verschaft, was beveiligd doordat een hindernis was opgeworpen om toegang te verkrijgen, namelijk het moeten invoeren van een geldig ID. De wet stelt geen eisen aan de deugdelijkheid van een beveiliging. Door een willekeurig ID in te vullen heeft de verdachte een sleutel gebruikt die werkte, maar die niet voor gebruik door hem bestemd was. Dit kan ook bestempeld worden als het aannemen van een valse hoedanigheid, namelijk de hoedanigheid van rechthebbende op dat ID. Verder kan het gebruik van een script gezien worden als technische ingreep, aldus de officier van justitie.
Dat is dus wat de rechter beweert: "De wet stelt geen eisen aan de deugdelijkheid van een beveiliging." Alleen, dat is niet waar. De wet stelt immers nog iets anders, zoals uitgelegd door de Autoriteit Persoonsgegevens:
[U moet] technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.

(...)
Moet ik betrokkenen laten weten wie toegang heeft gehad tot hun gegevens?
Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens.
Met andere woorden: de beheerder was wettelijk verplicht om in ieder geval authenticatie toe te passen bij het script. De rechter had dat moeten melden in zijn uitspraak, en kan dus niet volstaan met schouders ophalen en zeggen dat de beheerder geen blaam treft.
Voor computervredebreuk telt waarschijnlijk 'enige' beveiliging. Voor het beschermen van persoonsgegevens is een deugdelijke beveiliging nodig.
Vergelijk het met: als je geld bewaart is een goede kluis nodig. Maar als iemand een raam intikt en geld van de keukentafel steelt is er nog steeds sprake van braak en diefstal - zelfs al is het laten slingeren van dat geld onzorgvuldig te noemen.
Het gedeelte dat je citeert komt uit het standpunt van de officier, niet uit het oordeel van de rechtbank. Daarnaast staat in het vonnis dat voor veroordeling van de verdachte niet vereist is dat de beveiliging adequaat was. Voldoende is dat er enige vorm van beveiliging ofen een drempel was. In deze zaak hoefde de rechter dus niet te beoordelen of de beveiliging voldeed.
Verder maakt de uitspraak ook duidelijk dat er meerdere (zwakke) minimale belemmeringen waren. Dat iemand daar met weinig moeite omheen kan of ze kan negeren doet er weinig toe.
Niet waar, dat is nou precies waar ik over val in deze uitspraak. Het gaat om persoonsgegevens. Gedegen beveiliging doet er wel degelijk toe, niet alleen sinds de GDPR maar ook al jaren via de WBP en de Telecommunicatiewet. Dat een rechter in de uitspraak doodleuk zegt "De beveiliging hoeft niet adequaat te zijn; een minimale beveiliging is voldoende." is krankzinnig. Leest zo'n man (m/v) de Staatscourant wel? Al 20 jaar geleden stond in een Memorie van Toelichting op de Wet Bescherming Persoonsgegevens het volgende:
. Er moet sprake zijn van een adequate beveiliging. Het voorschrift gaat daarmee verder dan artikel 138a, eerste lid, onderdeel a, van het Wetboek van Strafrecht, waar wordt gesproken van enige beveiliging
Hoe kan een rechter beweren dat de beveiliging niet adequaat hoeft te zijn, terwijl de wetgever expliciet stelt dat adequate beveiliging vereist is? Ik vind dat bizar.

Wat adequaat is, wordt onder meer in dezelfde memorie verder toegelicht:
In het begrip passende [maatregelen] ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek.
Zo lang als internet al bestaat is het de stand van de techniek eenvoudig mogelijk om persoonsgegevens achter een inlog te plaatsen. Anno 2018 is het niet ok om te zeggen dat dat te ver gezocht is.
Je ziet een klein puntje over het hoofd: de rechter is niet gevraagd te oordelen of het CBG de wet heeft overtreden maar of de verdachte de wet heeft overtreden door bij het CBG de persoonsgegevens van duizenden derden te downloaden en welke strafmaat daarbij past.

Niets staat de slachtoffers in de weg om naar de rechter te stappen en daar voor te leggen of het CBG hun rechten uit de AVG heeft geschonden met deze implementatie. En ik kan ook geen enkel argument bedenken waarom de slachtoffers of de Autoriteit Persoonsgegevens hier geen zaak van zouden maken of daarin zouden verliezen. Maar dat staat helaas los van deze zaak.

Of er sprake is van overtreding van de verordeningen van de AVG is niet snel aan het OM. Het is eerder een civiele zaak. Wat dat betreft mag de verdediging al blij zijn dat de rechter heeft kunnen meewegen dat er ook een raakvlak met algemeen belang aan zit via die persoonsgegevens. Want met of zonder het melden waren er blijkbaar voldoende sporen geweest en was er blijkbaar voldoende aanleiding geweest om van minder goede intenties uit te gaan onder het strafrecht. En dan had het er heel anders uit kunnen zien.

Overigens lijkt de verdediging van de verdachte er ook geen enkele moeite mee te hebben gehad om het belang van de slachtoffers in de vorm van de personen van wie de persoonsgegevens gelekt zijn hier voorop te stellen. Die lijken volkomen buiten beschouwing te zijn gelaten, hun mening in deze zaak was voor beide partijen irrelevant. Dit ging voor niemand om de werkelijke slachtoffers en dan is het maar goed ook dat de rechter hier de focus heeft gehouden op de vraag of de verdachte de wet heeft overtreden door hun gegevens massaal te downloaden om een punt te maken.

[Reactie gewijzigd door kodak op 1 september 2018 00:49]

Dat zie ik niet over het hoofd. Het is alleen mijn punt niet.

De rechter doet in zijn uitspraak een uitspraak over welke beveiligingsniveau nodig is, en zit daarbij compleet fout. Hij zegt letterlijk "de beveiliging hoeft niet adequaat te zijn" terwijl de wetgever letterlijk stelt "Er moet sprake zijn van een adequate beveiliging".

Dat is zorgwekkend. Punt. Ik snap best dat de beheerder niet in het beklaagdenbankje zit, maar daar gaat het mij niet om. Er zit hier domweg een rechter die niet weet wat ie aan het doen is, en aangezien het om de veiligheid van persoonsgegevens van ons allemaal gaat, is dat zorgwekkend.

[Reactie gewijzigd door Anders op 1 september 2018 12:00]

De AVG en wet computercriminaliteit zijn twee afzonderlijke zaken. De een gaat wat over nodig is om te bewijzen dat er is ingebroken, de ander gaat er over wat minimale eisen zijn als de bescherming van persoonsgegevens ter discussie staat. Bij de rechtzaak stond de bescherming van de persoonsgegevens niet ter discussie. En dan kan je nog zo graag willen dat die onderwerp van discussie is of een rechter beschuldigen dat die niet weet wat die aan het doen is, maar dan heb je het recht zelf niet begrepen.

De uitspraak kan niet gelezen worden alsof de rechter hier goed keurt dat de eigenaar niet aan de AVG heeft voldaan omdat het geen onderdeel was van de zaak. Voelt het verkeerd dat voor het bepalen van computercriminaliteit er juridisch lage drempels zijn om eigendommen te beschermen? Voelt het verkeerd dat het overtreden van de AVG nog steeds terwijl je aan de andere kant makkelijk recht tegen een verdachte kan opwerpen? Prima, ga dan naar de volksvertegenwoordiging en vraag om de wetten aan te passen. Maar ik denk dat we heel blij mogen zijn dat een verdachte juridisch makkelijk gestraft kan worden en een rechter rekening houd met het gevolg daarmee een zwakke technische beveiliging te verhelpen. Het recht stelt nog altijd dat de persoon die een criminele handeling uit voert eerder de ongewenste partij is dan iemand die een overtreding begaat waardoor het criminele handelen makkelijker is. ieder zijn eigen verantwoordelijkheid. Het is nu dus aan die 80.000 personen en / of de AP om het CBG ter verantwoording te roepen. Dat is ook maatschappelijke verantwoordelijkheid nemen.
Appels en peren.

Voor de computer vrede breuk geldt als grens voor strafbaar zijn een minimale beveiliging door breken. VOOR DE INBREKER.

Als de beheerder van de persoonsgegevens niet strafbaar wil zijn moet hij een adequate beveiliging hebben omdat hij persoonsgegevens beheerd.
we zijn het eens..
Inderdaad, uit het feit dat de beheerder pictura.php lastiger vindbaar heeft proberen te maken (voor de leek) door de disallow in de robots.txt, blijkt naar mijn mening juist dat hij wel degelijk rekening hield met het feit dat de gegevens in onbedoelde handen konden vallen.
Wat ik uit de eerdere artikelen en comments probeer te halen is hoe ze bij deze IT’er zijn gekomen? Ik dacht dat Publeaks zo ‘anoniem’ was.
Zijn ip is gevonden in de logs van CBG. Publeaks is inderdaad anoniem, dat is ook niet hoe deze man is gepakt.

Bron: https://www.ad.nl/den-haa...-slechts-helpen~afaa7145/
Via het IP-adres waarmee de vriendendatabase is bekeken, achterhaalde de politie in een mum van tijd de identiteit van de anonieme tipgever. ,,Ik had niets kwaads in de zin, heb me niet verborgen gehouden.''
Ik mag aannemen dat het IP Adress niet het enige bewijs was? Anders probeer maar te bewijzen dat het inderdaad deze man was. Voor het zelfde zat hij in een starbucks..

Ik neem aan dat zijn bekentenis als bewijs diende?
Een bekentenis is inderdaad het meest waardevolle bewijs. De man jeeft nooit ontkent de "dader" te zijn.
In NL ben je onschuldig tot het tegendeel is bewezen, je hoeft niet perse iets te ontkennen, als je niets zegt kan je er nog mee wegkomen ook.

Daarom ook altijd het advies om niet aan je eigen vervolging mee te werken, het beste is zo min mogelijk te zeggen, alles wat je zegt kan tegen je gebruikt worden.

Waarschijnlijk was dit gewoon een dealtje, als je bekent, dan krijg je geen straf.
In dit geval was de bekentenis waardevol, maar in het algemeen is hij net zoveel waard als het papier waarop hij staat, net als trouwens een ontkennende verklaring.
Ah op die fiets. Niet slim. :) Tnx voor de achtergrond info!
Maar wel ethisch van hem. Ethische hackers kijken wel 2x uit nu voor ze een lek bij CBG melden.
Echt slim van CBG. :z
Het probleem is nou juist dat hij dit lek niet bij het CBG heeft gemeld. Daardoor, en doordat hij de hele database heeft opgehaald, is zijn beroep op ethisch hacken afgewezen.
Okay. Ik heb het nog eens gelezen.

"Tweakers publiceerde in 2015 een bericht over het lek, na de informatie via Publeaks te hebben ontvangen en het CBG te hebben ingelicht."

Ik heb daar abuis van gemaakt dat de veroordeelde hacker dit deed.
Ik zal het aanpassen in mijn post.
Loose lips sink ships.. everytime! all the time!

Maar hij had ook het CBG ingelicht.
Dus misschien zo.

Beetje min van het CBG, moet je je zaken maar op orde hebben.


edit: Fout, wat ik hierboven zij is niet zo. Zie ook hieronder: @TheekAzzaBreek :X

[Reactie gewijzigd door MrMonkE op 31 augustus 2018 19:55]

Beetje min? Gewoon laag om iemand zo te "bedanken".
Gelukkig heeft de rechter dat ook beseft en de man, terecht in mijn ogen, geen verdere straf opgelegd.

Ik hoop dat-ie zijn computer snel terug heeft... ;)
Maar hij is wel schuldig bevonden, dus een strafblad. Succes met je carrire...
Da's wel waar. De man heeft echter genoeg verhalen uit de media om tijdens een sollicitatie mee te nemen!
O-)
Maar een VOG zal hij niet krijgen. Waarmee ineens een hoop sollicitaties kansloos zijn.
Wel een beetje raar hoe ze zijn acties als computer vrede breuk aanstempelen terwijl de "bescherming" niet eens die naam zou mogen hebben. Dat die man de hele database zou hebben binnen gehaald vind ik nou ook niet zo gek, als IT-er was dat waarschijnlijk een half bash scriptje waar hij toch al mee bezig was. Hij had het wel iets beter kunnen aanpakken qua melding, ik vraag me af wat zijn reden was om het niet direct aan de instantie te melden.

Gelukkig dat de rechtbank de man geen straf oplegt.
Het is juist wel gek dat je de hele database binnen hengelt en als ethisch hacker (of as IT prof) zou je beter moeten weten. Je kan met 1 of 2 records prima aantonen dat er een lek is en dan hoef je dat allemaal niet eens lokaal bij je zelf op te slaan.
Je wilt de omvang van het lek in beeld krijgen. Misschien zit er na 3 records wel een time out of een IP-ban op. Dat weet je niet als je er 1 of 2 ophaalt. Dan heb je nog steeds een lek gevonden natuurlijk en als je het zekere voor het onzekere wilt nemen dan stop je inderdaad na een arbitrair aantal records...

Maar los van of ik dat in een ver verleden misschien zelf eens wel of niet gedaan heb op een intern netwerk, kan ik me goed voorstellen dat je kijkt hoe ver je komt ongeacht hoe ver dat is. Dan test je meteen de aanwezigheid van aanvullende maatregelen en de alertheid van de betreffende beheerders (ook een onderdeel van de beveiliging).

Nou zal er in dit geval misschien wel nieuwsgierigheid meegespeeld hebben naar het klantenbestand, niet zo ethisch, maar het binnenhalen van een hele database is in principe eerder dom dan onethisch.
Je hoeft de omvang van het lek helemaal niet te weten. Dat is leuk voor je eigen glorie maar verder compleet oninteressant. Ook of er een na 2 records maatregelen genomen zijn is niet van belang. Je hebt een lek gevonden en dt meldt je.

Als jij een deur van een huis open ziet staan ga je niet ook eerst even naar binnen en kijken in het nachtkastje van de bewoner hoeveel sieraden er liggen om de omvang vast te stellen. Je loopt ook niet het hele huis door om te zien of er misschien toch een camera of PIR hangt.

Kortom hoe groot het lek is en hoe diep hoef je niet te weten en bij elke stap die je na de eerste bevindingen neemt, neem je een risico dat je motieven minder nobel uitgelegd kunnen worden.
Dat risico neem je, ik zeg dan ook dat het niet verstandig is om het te doen. Ik denk alleen niet dat het per definitie on-ethisch of onnodig is om verder te testen. 1 of 2 records kan nog steeds een toevalstreffer zijn. Informatietechnisch is een hele database een beter bruikbaar bewijs, zelfs als dat juridisch juist niet zo is.

De waarheid ligt waarschijnlijk ergens in het midden. Als beveiliger zou ik met 10 of 100 records misschien ook wel overtuigd zijn en als rechter zou ik dat niet buitenproportioneel vinden.

[Reactie gewijzigd door mae-t.net op 1 september 2018 13:42]

De politie kan ook met 1 computer met kinderporno aantonen dat de verdachte kinderporno in het bezit had, maar om n of andere reden nemen ze lle computers mee. Waarom mag dat dan wel (even los van het feit dat ze een doorzoekingsbevel hebben, maar even alleen redenerend vanuit wat jij zegt wat dus neerkomt op "1 computer zou voldoende moeten zijn voor bewijsvoering"?).
Omdat het voor de strafmaat en bewijsvoering nogal uitmaakt of iemand 1 plaatje in bezit had of 30.000. Met 1 plaatje kan het nog per ongeluk zijn, met 30k niet. Daarbij wil je ook graag dat dat allemaal vernietigd wordt en dat je de verdachte niet weer naar huis stuurt zodat hij verder kan gaan met verspreiden.

Maar het doel is ook anders. Hierbij hoef je alleen maar aan te tonen dt er een lek is. Vervolgens kan een toezichthouder gaan onderzoeken hoe groot dat lek is en of er boetes moeten volgen.
Let wel even op het puntje dat het om een concurrent ging van de man, dus ik begrijp de uitspraak van de rechter niet, het is IMHO duidelijk dat de man de data voor zijn eigen doel wilde gebruiken en dat DAT ook de reden is geweest dat hij is gaan zoeken naar een ingang op die website.
Sorry, maar de rechter is hier gewoon weer compleet incompetent geweest.
Dus een competente rechter straft volgens jou iemand op basis van een vaag vermoeden dat niet daadwerkelijk waar blijkt te zijn of op zijn minst niet bewezen is of kan worden? Ik mag toch hopen van niet!

Dan zouden de gevangenissen in no-time vol zitten met een extra groep van laten we zeggen 95% onschuldigen en 5% mensen die het ondanks het ontbreken van bewijs ook echt gedaan hebben. Wil je die onschuldigen opofferen om die laatste paar daders te pakken? Zo ja, wil je dat nog steeds als blijkt dat jij een van die onschuldigen bent?

[Reactie gewijzigd door mae-t.net op 1 september 2018 05:59]

Op zich prima uitspraak. Kerel had geen kwade zin, maar had het niet goed aangepakt.
Het is niet bewezen dat hij geen kwade zin had. OvJ gaf volgens het vorige bericht op tweakers wel aan dat "Uit het dossier blijkt dat verdachte en de getroffen website in dezelfde markt opereren en dus concurrenten zijn".
Interessante vondst. Daar komt toch wel een aap uit de mouw wat mij betreft...

De man had er in dat geval ook commercieel belang bij de beveiliging van zijn concurrent in een kwaad daglicht te stellen (waar of niet). Dat zou een rol gespeeld kunnen hebben bij het meteen bekend maken hiervan, en het downloaden van de complete database.

Dat maakt het toch een stukje minder zwart-wit "ethical hacking" verhaal.
Intenties zijn lastig te bewijzen als de man ze effectief niet uitgevoerd heeft. Als ik van plan ben om iemand de nek om te draaien maar ik doe het nooit, dan krijg ik ook geen straf.
Bij de motivatie voor deze beslissing speelt mee dat de man geen kwade bedoelingen had, dat hij de gegevens uit de database niet voor eigen gewin heeft gebruikt en dat hij een maatschappelijk belang heeft gediend, dat de rechter aanduidt als 'de beveiliging van persoonsgegevens'.
OVJ is geen rechter. De rechter beslist wat bewezen waar is, niet de OVJ.

[Reactie gewijzigd door Razwer op 31 augustus 2018 18:33]

Spijtig dat er altijd naar feiten gekeken wordt en intentie altijd op de laatste plek komt, buiten als het negatief is natuurlijk want dan is de intentie het belangrijkste ;)
Helemaal mee eens dat hij hier netjes mee wegkomt. Zolang hij de fout maar niet herhaalt, want goede intentie of niet, het had in verkeerde handen kunnen vallen.
Netjes mee wegkomt? Hij is gewoon schuldig verklaard hoor. Dat hij geen straf heeft gekregen is een ander verhaal.
Dat is gezien wat de mogelijke uitkomst had kunnen zijn toch netjes mee wegkomen?
Gezien hij schuldig is verklaart, staat dan de deur voor een schadeclaim niet alsnog open? (Civiele procedure)
Ja, maar dat maakt nu wel minder kans dan als er een straf was gegeven.
Interessante casus, misschien authoriteit persoonsgegevens even langs sturen, kunnen ze meteen een boete geven vanwege het niet goed beveiligen van persoonsgegevens. }>
Het maakt de kans op het toewijzen van een claim groter, maar ook als hij vrijgesproken was had een claim kans van slagen. Strafrechtelijk onschuldig staat los van het vaststellen van een onrechtmatige daad door een civiele rechter.

Het volgende is natuurlijk dat CBG probeert om alle kosten van het verhelpen van het lek te verhalen. Dat is natuurlijk onterecht, een goede rechter zal alleen de meerkosten toewijzen die ze hebben moeten maken voor eventuele noodmaatregelen.

[Reactie gewijzigd door mae-t.net op 1 september 2018 05:44]

Lol @ in je robots bestand de locatie aangeven waar niemand een willekeurig nummer in mag vullen beveiligen noemen. En een willekeurig nummer invullen uitlokken noemen.
De rechter spreekt zich niet uit over een door het CBG geiste schadevergoeding van ruim 20.000 euro, omdat dit aan de civiele rechter is.
IK hoop voor die beste man dat de civiele rechter ook inziet dat er geen kwade bedoelingen waren en die 20K niet gaat toekennen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True