OM eist twee maanden cel voor vinden lek en aanbod dat voor geld te dichten

29 May 2020, 09:26 by Olaf van Miltenburg

Het Openbaar Ministerie eist twee maanden cel tegen een 29-jarige verdachte uit Tiel die een kwetsbaarheid in de website van een huisartsenpraktijk vond en aanbood deze voor maximaal 23.000 euro te verhelpen.

De officier van justitie vond dat er bij het feit waar de Tielenaar van verdacht wordt, geen sprake is van ethisch hacken. De man beschouwde zichzelf wel als een zogenoemde white hat hacker. Voor ethisch hacken gelden strikte voorwaarden en die waren niet aanwezig volgens het OM, onder andere omdat de man niet voorafgaand overlegd had met de huisartsenpost; hij bracht het lek op eigen initiatief aan het licht. Bovendien haalde de man gevoelige informatie binnen, luidt de claim. Ook rekent het OM de man aan dat hij vervolgens geld vroeg om het lek te dichten.

De 29-jarige man wordt ervan verdacht in augustus 2017 ingebroken te hebben in de site van een huisartsenpraktijk in Den Haag. De man nam contact op met de praktijk en meldde dat een kwetsbaarheid toegang bood tot de persoonlijke gegevens van artsen, waaronder e-mailadressen, gebruikersnamen, wachtwoorden en bankrekeningnummers. Vervolgens stuurde hij een offerte met het aanbod om voor 16.500 tot 23.000 euro de kwetsbaarheid te verhelpen. In die offerte stond volgens het OM een 'dreigende mededeling': "Er zal waarschijnlijk een boete betaald moeten worden wanneer dit openbaar is en er zal een flinke reputatieschade plaatsvinden."

Het OM schrijft dat de politie na onderzoek constateerde dat op de laptop van de man de gevoelige persoonsgegevens stonden en dat zijn ip-adres te relateren was aan de inbraak. Op zijn telefoon zouden screenshots van de gebruikte inbraakmethode aangetroffen zijn. De uitspraak is over twee weken.

Het OM hanteert strikte regels over wat wel en niet mag bij het zoeken naar bugs, lekken en andere kwetsbaarheden in ict-systemen. Voor ethisch hacken is vereist dat de eigenaar van het systeem uitdrukkelijk toestemming heeft gegeven. Voor het op eigen gelegenheid zoeken naar lekken geldt dat geen juridische stappen te verwachten zijn als een hacker zich aan een geldend beleid voor coordinated vulnerability disclosure van organisaties houdt.