D9D1E2

Datalekken in Nederland

2013

Persoonsgegevens 15.000 mensen toegankelijk door beveiligingslek in help-systeem online game (2013-06-14)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Sulaka.

Verwerking

Help-systeem Habbo Hotel.

Betrokkenen

"'Je kon bij gegevens van 15.000 mensen komen die helptickets hadden aangemaakt. [...]'" [NUtech.nl, 2013-06-14]

Soort (persoons)gegevens

"'[...] Dan zag je gebruikersnaam, e-mailadres, titel van het bericht en de inhoud', vertelt [de ontdekker] aan NUtech. 'Je kon alle informatie gewoon exporteren. Daar kun je ook behoorlijk misbruik van maken en dat moest worden gemeld.'" [NUtech.nl, 2013-06-14]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"[De ontdekker] en een vriend ontdekten in 2011 een zwakheid in het help-systeem van Habbo Hotel. Wie een account in het hotel aanmaakt, krijgt automatisch een login voor het help-systeem. Maar wie een account in het help-systeem had werd automatisch als medewerker van Habbo Hotel bestempeld en kon bij alle informatie van gebruikers." [NUtech.nl, 2013-06-14]

Respons van de organisatie

"Omdat het benaderen van Habbo Hotel niet soepel verliep zocht [de ontdekker] contactgegevens van een medewerker via LinkedIn en meldde de problemen. Dat ging niet eenvoudig, omdat het bedrijf slecht bereikbaar was. Op een gegeven moment eiste een medewerker dat de jongen niet meer over het probleem zou bellen. Na diverse mails werd de problematiek in behandeling genomen. 'Dat serieus nemen gebeurde pas toen er discussie over de laksheid ontstond', vertelt de ontdekker. Het bedrijf vroeg de jongen de gegevens te downloaden en op te sturen, omdat men niet goed begreep om welke informatie het nou eigenlijk ging. Ook wilde het bedrijf het IP-adres van [de ontdekker] hebben om makkelijker te kunnen zoeken." [NUtech.nl, 2013-06-14]

Nasleep van het incident

"In eerste instantie bedankte Habbo Hotel [de ontdekker] voor het melden, maar deelde later mee aangifte tegen de jongen en de vriend te hebben gedaan voor computervredebreuk. Uit mails die NUtech heeft ingezien blijkt dat zelfs na de aangifte de jongen nog informatie verstrekte aan Habbo Hotel om het probleem te helpen oplossen. Het Openbaar Ministerie beoordeelde de zaak en besloot geen strafrechtelijk onderzoek naar [de ontdekker] en zijn vriend te starten. Habbo Hotel pikte dat niet en stapte naar het Hof in een zogenoemde artikel 12-procedure, om via de rechter alsnog vervolging af te dwingen. Hierop werden [de ontdekker] en de vriend als verdachten verhoord. Vervolgens trok Habbo Hotel zich uit de procedure terug en liet het bedrijf de aanklacht vallen." [NUtech.nl, 2013-06-14]

"Habbo Hotel beschuldigde de jongens van computervredebreuk, oftewel het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (artikel 138ab lid 1 sr). Dit is een misdrijf en hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro. Op basis van de bovengenoemde informatie - die wellicht wat eenzijdig is – is het zeer de vraag of het handelen van de jongens kan worden gekwalificeerd als computervredebreuk. Als de jongens daadwerkelijk automatisch als medewerker van Habbo Hotel werden aangemerkt en zodoende de gegevens konden inzien, lijkt mij dat geen vorm van het opzettelijk en wederrechtelijk binnendringen." [Gamerecht, 2013-06-17]

Bronnen

2013-06-14

2013-06-16

2013-06-17

.