De rechtbank Den Haag heeft geen straf opgelegd aan een 45-jarige it’er die een datalek had ontdekt en aan de grote klok had gehangen. Dat las ik bij Tweakers vorige week. De man was met een script binnengedrongen in een databank. De beveiliging daarvan was minimaal, maar dat was genoeg voor de rechtbank om van computervredebreuk te spreken. Het ethisch karakter van de computerkraak was echter reden om geen straf op te leggen.

In 2015 ontdekte de it’er hoe hij toegang kon krijgen tot donateursgegevens van een stichting. In het robots.txt-bestand van de webserver was een script vermeld dat op basis van een ID donateursgegevens teruggaf. Het script kende een gebrekkige beveiliging, waardoor de man simpelweg 80.000 ID’s kon doorlopen en de bijbehorende gegevens kon verkrijgen.

Uit het vonnis blijkt dat de man digitaal was gaan rammelen aan de deur nadat hij in de robots.txt dit script ontdekte. Hij wilde gebreken in de beveiliging van vertrouwelijke persoons- en betalingsgegevens aantonen, en daarvoor achtte hij het nodig om uitgebreid te testen om de omvang van het probleem vast te stellen. Daarna stapte hij naar klokkenluidersite Publeaks, waarna onder meer Tweakers erover berichtte. Opmerkelijk genoeg koos hij er niet voor de stichting zelf in te lichten. En dat wordt hem zwaar aangerekend.

Allereerst kijkt de rechtbank echter naar de vraag of überhaupt sprake is van computervredebreuk. Het script was niet met een wachtwoord beveiligd, maar bij artikel 138ab Strafrecht is dat ook geen vereiste. Enkel willens en wetens binnengaan waar je niet mag zijn, is een strafbaar feit. Analogieën zijn altijd gevaarlijk, maar in dit geval zou de analogie zijn dat je iemands achtertuin betreedt door een per ongeluk opengelaten tuinhekje. Dat is erfvredebreuk, ook als je niets kapotgemaakt hebt.

In dit geval komt de rechtbank tot de conclusie dat sprake is van ‘valse signalen’, een specifieke vorm van computervredebreuk:

De webserver is zo ontworpen, dat een record werd geretourneerd aan wie pictura.php opvroeg en daarna een geldig ID invoerde. De veronderstelling van de beheerder daarbij was dat alleen rechthebbenden dat konden en zouden doen. Door als niet-rechthebbende het pictura.php script op te vragen en een geldig ID in te voeren – en daarmee de webserver “enig teken” te geven –, heeft verdachte een gevolg uitgelokt – het retourneren van een record aan een niet-rechthebbende – waartoe de webserver weliswaar de mogelijkheid bood, maar waarmee de beheerder geen rekening had gehouden. Daarmee is sprake van het geven van valse signalen.

Dit betekent dus inderdaad dat je een strafbaar feit begaat door URL’s te raden. Ik zou wel zeggen, pas vanaf het moment dat je denkt “hé dat is raar, krijg ik echt hiermee gegevens die ik niet behoor te krijgen” en dan gaat doorvragen. Een URL overtypen en dan een typefout maken, waarna je andermans records krijgt, is natuurlijk een heel ander verhaal.

Juridisch is het mogelijk dat je een strafbaar feit begaat zonder zelf strafbaar te zijn. Dat kan bijvoorbeeld wanneer sprake is van ethisch hacken – vanuit een wezenlijk maatschappelijk belang handelen. Dat belang weegt dan zwaarder dan de achterliggende norm die het gedrag strafbaar verklaart. Wel is vereist dat je dan proportioneel en subsidiair handelt.

Proportioneel wil zeggen dat je niet meer doet dan nodig is voor dat belang. In dit geval ging het erom vast te stellen dat er inderdaad persoonsgegevens opvraagbaar waren zonder beveiliging. Daarvoor was het in dit geval niet nodig om 80.000 gegevens te downloaden, met een handjevol kom je ook al een heel eind. Hier ging de man dus veel verder dan nodig.

Subsidiair wil zeggen dat je bij de uitvoering van het feit zo zorgvuldig mogelijk te werk gaat. Dat betekent bij ethisch hacken dat je het ontdekte meldt aan de organisatie. Natuurlijk is het mogelijk dat een organisatie je negeert, maar het is gewoon een verplicht nummer. Het feit dat hij dit niet heeft gedaan, maar direct de publiciteit zocht, wordt hem dan ook zwaar aangerekend.
Omdat de man dus niet aan de eisen van proportionaliteit en subsidiariteit heeft voldaan, wordt zijn handelen strafbaar verklaard. Echter, vanwege zijn nobele doel, het feit dat hij steeds meewerkte en dat hij geen strafblad had, wordt hem uiteindelijk geen straf opgelegd.

Voor mij is de uitspraak vooral van belang omdat hij onderstreept dat ethisch hacken wel degelijk een goede grond kan zijn om computervredebreuk te ‘mogen’ plegen. Je moet daarbij wel héél netjes te werk gaan, én natuurlijk de organisatie altijd inlichten.

Arnoud