Jurisprudentieoverzicht cybercrime mei-augustus

Zoals ik al vaker heb aangegeven blijf ik het bijzondere interpretatie en principieel onjuist vinden dat het bekijken van foto’s in een smartphone een ‘beperkte inbreuk op het recht op privacy’ zou opleveren. Onderstaand arrest bevestigd dat nog eens. Daarnaast zijn er enkele spraakmakende cybercrimezaken met een veroordeling voor het hacken van iCloud-accounts, een milde veroordeling voor het hacken van computers in de Rotterdamse haven en een veroordeling voor deelname aan een terroristische organisatie (het ‘United Cyber Caliphate’) en de verspreiding van zorgwekkende video’s.

HR: Het bekijken van foto’s is een ‘beperkte inbreuk op de persoonlijke levenssfeer’

Op 10 juli 2018 heeft de Hoge Raad een arrest gewezen ECLI:NL:HR:2018:1121 over de rechtmatigheid van onderzoek in een smartphone. Naar aanleiding van een verkeerscontrole is er verdenking ontstaan van overtreding van de Wegenverkeerswet en Opiumwet, waarna op grond van art. 94 Sv zijn smartphone in beslag is genomen en onderzocht. Daarbij zijn foto’s in de fotogalerij in de smartphone bekeken. De Hoge Raad herhaalt relevante overwegingen uit ECLI:NL:HR:2017:592 m.b.t. onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken. Het onderzoek aan de telefoon is niet alleen noodzakelijk als proportioneel te noemen, volgens het Hof. Dit oordeel acht de Hoge Raad niet onjuist en is niet onbegrijpelijk. Het bericht bekijken van foto’s in de fotogalerij op een smartphone levert niet een meer dan beperkte inbreuk op de persoonlijke levenssfeer in de zin van art. 8 EVRM op.

Veroordeling voor hacken meer dan 500 iCloud-accounts

De rechtbank Amsterdam heeft op 8 augustus een verdachte veroordeeld (ECLI:NL:RBAMS:2018:5745) voor computervredebreuk, afdreiging en het bezit van kinderpornografie.

De verdachte heeft door het raden van antwoorden op beveiligingsvragen binnengedrongen in de iCloud-accounts van 524 slachtoffers. Daarna heeft de verdachte wachtwoorden op de iCloud account gewijzigd, zodat deze tijdelijk ontoegankelijk waren en vervolgens de backups van deze iCloud accounts gedownload. Uit gesprekken op KIK op de inbeslaggenomen computer van de verdachte volgt op welke wijze de verdachte de iCloudbackups heeft gehackt.

De motivatie van de verdachte was gelegen in het vinden “pikante” foto’s en video’s, bij voorkeur meisjes tussen de 12 en 15 jaar, die hij ‘wins’ noemde. In de iCloudbackups van slachtoffers stonden foto’s, Whatsapp historie, inloggegevens van ene e-mailaccount, dropbox-, DigiD- en ING-accounts. In andere back-up bevonden zich ook Snapchat gegevens. Dit laat zien wat voor een rijkdom aan gegevens hackers van iCloudaccount kunnen binnenhalen.

De verdachte is vrijgesproken voor voorhanden hebben van ‘Elcomsoft Phone Breaker’, omdat het programma niet is ontworpen (hoofdzakelijk geschikt is gemaakt) met het oogmerk computervredebreuk te plegen. Het programma kan ook voor legale doeleinden worden gebruikt. Wel is duidelijk dat het programma gebruikt om de iCloud-backups van slachtoffers te downloaden.

Één van de slachtoffers werd gedreigd naaktfoto’s van haar en haar vriend openbaar te maken, als zij niet aan het verzoek van de dader zou voldoen nog meer pikante foto’s en video’s te sturen. Het slachtoffer zag dat de laatste logins op haar e-mail account waren gedaan op het IP-adres in gebruik bij verdachte. In de map op de computer van de verdachte werden de foto’s teruggevonden, waarmee de afdreiging kon worden bewezen. In de woning van verdachte hebben twee doorzoekingen plaatsgevonden. Daarbij zijn op gegevensdragers in totaal 130.000 afbeeldingen met kinderpornografie aangetroffen.

De verdachte is veroordeeld voor 3 jaar gevangenisstraf, waarvan een jaar voorwaardelijk met een proeftijd van drie jaar. Ook moet de verdachte worden opgenomen in een kliniek om voor de duur van maximaal tien weken voor behandeling.

Veroordeling ‘Rotterdamse havenhacker’

De rechtbank Rotterdam heeft op 3 mei 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:5141) voor computervredebreuk. De verdachte hackte zogenoemde ‘containerlijsten’ van de Rotterdamse haven en gaf deze door aan drugscriminelen. Deze lijsten werden gebruikt voor de invoer van verdovende middelen in de haven. De verdachte is veroordeeld voor 176 uur taakstraf. Ik vermoed dat dit nieuwsbericht ook over deze zaak gaat.

De verdachte is vrijgesproken van een technisch hulpmiddel (de programma’s ‘Metasploit’ en ‘Zenmap’) met het oogmerk computervredebreuk te plegen. Deze software worden als ‘penetration testing’ tools gebruikt. Naar het oordeel van de rechtbank biedt het dossier ‘slechts aanwijzingen’ dat de software is gebruikt bij het plegen van de misdrijven. Niet kan worden vastgesteld dat zij voor dit doeleinde ‘hoofdzakelijk geschikt zijn gemaakt of ontworpen’, zoals art. 139d lid 2 sub a Sr vereist. Wel is hij veroordeelt voor het voorhanden hebben van het programma Medusa, Hydra en RWW Attack, waarmee hij het netwerkverkeer van het draadloze toegangspunt heeft afgeluisterd en opgenomen, waardoor een beveiligingswachtwoord kon worden achterhaald.

De inbeslaggenomen Macbook Pro van de verdachte was versleuteld, maar kon met behulp van ‘recovery key’ op de iPhone van de verdachte worden ontsleuteld. Gegevens op de Macbook en weinig verhullende Whatsapp gesprekken (zoals “Heb de login server van [naam bedrijf 3] gevonden” en “Nu nog gebruikersnamen en wachtwoorden vinden”) leverden het benodigde bewijs op voor computervredebreuk (art. 138ab Sr).

Veroordeling voor maken en verspreiden van terroristische video’s

De Rechtbank Rotterdam heeft op 13 maart 2018 een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2018:5367) voor deelname aan een terroristische organisatie en het maken en verspreiden van ernstige opruiende video’s. Het onderzoek ‘26Brookhaven’ ving aan met (i) informatie uit de opsporingsautoriteiten in de Verenigde Staten, (ii) een ambtsbericht van de AIVD van 9 juni 2017 en (iii) een digitale melding bij de politie Midden Nederland op 8 mei 2017. De verdachte is op 15 juni 2017 aangehouden, waarbij het bewijs van bovenstaande video’s op zijn laptop werd gevonden, alsmede contact met een hoge leidinggevende bij IS en het ‘United Cyber Caliphate’.

De video’s bestonden uit gewelddadige IS films, maar ook ander materiaal zoals een videoclip over een aanslag op Utrecht Centraal en een brandende Domtoren ‘met begeleidende onheilspellende teksten’. Ook heeft de verdachte een video gemaakt, waarin executies te zien zijn en waarin een zogenaamde kill-list wordt gedeeld: het betreft een lijst van 8000 mensen, met daarbij een oproep mensen te doden. De verdachte heeft deze video via Telegram gedeeld met United Cyber Caliphate, maar ook op YouTube geplaatst. De verdachte heeft verder samen met een persoon in Zweden een video gemaakt waarin de ‘Counter Terrorism’-directeur werd bedreigd, ook in deze video was een executie te zien, welke video op de computer van verdachte werd aangetroffen.

Op de verdachte is het jeugdstrafrecht toegepast. Hij is veroordeeld voor 181 dagen jeugddetentie en een voorwaardelijke gevangenisstraf van zes maanden met bijzondere voorwaarden.

Voorhanden hebben van software met het oogmerk computervredebreuk te plegen

De Rotterdamse hackerzaak en iCloudaccount hacks laten zien dat ook het voorhanden hebben van programma’s met het oogmerk computervredebreuk te plegen strafbaar kan zijn. IT-beveiligingsonderzoekers zijn soms bezorgd over de vraag of hun normale pentest-tools zoals Metasploit ook illegaal zijn, maar die worden gebruikt om volgens afspraak (waardoor de strafbaarheid (‘wederrechtelijkheid’) vervalt) computers binnen te dringen. Er is dan geen oogmerk computervredebreuk te plegen en dus niet strafbaar.

Art. 139d lid 2 sub a Sr schrijft ook voor het moet gaan om software dat ‘hoofdzakelijk geschikt is gemaakt’ om (o.a.) computervredebreuk te plegen. Op dit punt waren de rechtbanken er niet van overtuigd, voor zover de software (in deze zaken Metasploit, Zenmap en Elcomsoft Phone Breaker) ook voor legale doeleinden kan worden gebruikt. Wel is de Rotterdamse havenhacker veroordeeld voor het bezit (‘voorhanden hebben’) van de programma’s Medusa, Hydra en RWW Attack, waarbij de rechtbank de overtuiging had dat die wel hoofdzakelijk geschikt zijn gemaakt om strafbare feiten te plegen (namelijk het aftappen van netwerkverkeer teneinde een beveiligingswachtwoord te achterhalen).

Er is niet zoveel jurisprudentie over dit delict en deze zaken zijn alleen daarom al interessant. Ik vraag mij ook af hoe het zich verhoudt (en of dat er überhaupt een relatie heeft) met bijvoorbeeld het voorhanden hebben van versnijdingsmiddelen bij drugs die ook voor legale doeleinden kunnen worden gebruikt. Suggesties of gedachtes hierover per e-mail zijn uiteraard welkom!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.