Mag een site je laten zien of je gehackt bent?
05/03
2018
2018
Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit. Is dat heling? Ben ik strafbaar als ik dit gebruik?
Nee, je bent niet strafbaar als je via HaveIBeenPwned.com kijkt of je wachtwoord ergens gelekt is.
Het is natuurlijk strafbaar om met een gestolen of gelekt wachtwoord op andermans account in te breken. Ook als het wachtwoord ondertussen publiekelijk bekend is geworden en ook als men nalatig is met het aanpassen van het wachtwoord. Het is en blijft andermans account, en dus computervredebreuk als je daar willens en wetens op inlogt.
Het is echter ook strafbaar (art. 139d lid 2 Strafrecht) om een “computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan” voorhanden te hebben, beschikbaar te stellen of te verspreiden. Vereist is dan wel dat je dit doet met het oogmerk dat iemand er computervredebreuk mee gaat plegen (of vertrouwelijke communicatie mee gaat afluisteren).
Het is dat oogmerk waardoor Hunts site legaal is. Het doel van die site is zo evident niet om inbreken makkelijker te maken dat ik er geen seconde aan twijfel dat hier niet op vervolgd wordt. De site is opgezet om mensen te informeren en te laten checken of hun account gehackt is. Natuurlijk zou je dat met andermans mailadres of accountnaam kunnen controleren, maar het lijkt onmogelijk om enkel met een mailadres te komen tot een wachtwoord of hash daarvan.
Wie op de homepage een mailadres invult, krijgt een lijst van sites waar een account behorende bij dat mailadres is gecompromitteerd, maar geen hashes of wachtwoorden die daarbij hoorden. Je kunt ook zoeken op wachtwoord, maar dan krijg je geen e-mailadressen te zien of zelfs maar sites waar deze gelekt zijn. Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.
Ik zie dus nergens een manier om misbruik te maken van die gegevens. En daarmee kan er geen sprake zijn van een strafbaar feit.
Arnoud
Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!
Datum: maandag 5 maart 2018, 08:15
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Ben ik strafbaar als ik per ongeluk inlog bij mijn ex? (13/06/19 08:11)
- Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten? (04/04/18 08:19)
- Heling gestolen naaktfoto`s voortaan verboden (11/09/09 09:57)
- Mag je gekraakte wachtwoorden of hashes in je bezit hebben? (03/03/17 08:14)
- Is het strafbaar om je Netflix-wachtwoord te delen? (25/07/16 08:12)
Reacties:
Er zijn nog geen reacties op dit bericht.