Wanneer ben je een crimineel met een gelektewachtwoordensite?

20/04
De zoekmachine We Leak Info is volgens het Openbaar Ministerie (OM) opgezet om criminelen eenvoudig toegang te geven tot e-mailadressen en wachtwoorden, maar de betrokken Nederlandse verdachte beweert dat de website goede bedoelingen had. Dat las ik bij Nu.nl vorige week. Met deze website kon je – inclusief premiumabonnement – zoeken in de vele gelekte datadumps die er tegenwoordig zijn. Het verweer luidde natuurlijk dat er ook vele andere sites zijn, met name Have I Been Pwned van de bekende researcher Troy Hunt, waar je dat in kunt doen. Hoe zie je nou het verschil?

Even beginnen bij de wet. Artikel 139d Wetboek van Strafrecht zegt dat het een strafbaar feit is als je

een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden hebt

De beperking is dat je dat doet “met het oogmerk dat daarmee [computervredebreuk of gegevensdiefstal] wordt gepleegd”. En daar zit hem dus de crux: mensen adviseren “ja je wachtwoord is gelekt” is natuurlijk heel wat anders dan “het wachtwoord van Wim is BruineHoed123” verkopen aan criminelen.

Eh, wacht, verkopen? Ja, aldus het OM: meneer adverteerde op bekende criminelenforums dus kennelijk wil je dan misdadigers die gegevens verkopen, precies wat we hier strafbaar stellen. Maar nee:
Hen proberen te bereiken zou ook de reden zijn geweest dat We Leak Info op hackforums adverteerde, al leverde dat volgens de Nederlander ook “verkeerde klanten” op.
Mij lijkt dat als je in zo’n situatie weet dat een klant “verkeerd” is, dat je dan niet moet gaan handelen want dan val je – via voorwaardelijke opzet – onder dat oogmerk.

Verder vergeten heel veel mensen die deze vergelijking maken, dat Hunt buitengewoon veel moeite steekt in het niet daadwerkelijk lekken van wachtwoorden. Standaard kun je alleen zoeken op emailadres of telefoonnummer en dan zegt hij welke dienst het datalek had waar dat adres of nummer in zat. Het wachtwoord krijg je niet te zien. Daarmee is er hoe dan ook geen sprake van een strafbaar feit. Ik kan me omgekeerd eigenlijk ook niet voorstellen wat wél een legitieme use case is van het publiceren van login én wachtwoord.

Arnoud

Het bericht Wanneer ben je een crimineel met een gelektewachtwoordensite? verscheen eerst op Ius Mentis.

Datum: dinsdag 20 april 2021, 08:12
Bron: Iusmentis Blog
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry