24 augustus 2003
Het verhaal van de aanhouding is een soort spannend elektronisch detectiveverhaal. Na een waarschuwing van de afperser wist Albert Heijn door middel van aankoopregistraties met de Bonuskaart mensen te achterhalen die een mogelijk besmet product hadden gekocht. Met een van de bij de klanten teruggehaalde producten bleek inderdaad te zijn geknoeid. De afperser dacht volledig anoniem zijn geld te kunnen incasseren. Op basis van zijn instructies had Campina een foto van een rode tweedehands Volkswagen op de Autotelegraaf gezet. Met behulp van een programma, op een per post naar Campina gestuurde floppy, moesten de gegevens van een bankpas worden gecodeerd. De afperser downloadde vervolgens het plaatje, decodeerde de gegevens, en kon met een apparaat een kopie van de pinpas maken. Toen hij voor het eerst met de pas geld probeerde te pinnen werd hij echter direct gearresteerd door de politie. Die bleken hem al een tijdje te schaduwen.
De politie had van de Telegraaf de logfiles van hun site gekregen, met alle internetverkeersgegevens. Na analyse kwamen ze erachter vanaf welke IP adressen het plaatje gedownload was. Enkele bezoekers bleken van Surfola afkomstig, een Amerikaanse dienst waarmee anoniem via het internet gesurft kon worden. De politie schakelde de FBI in, en die wist van het bedrijf het echte emailadres van de man te krijgen, ondanks de volgende eerste regel uit hun privacy policy:
SURFOLA.com will not give out your name, residence address, or e-mail address to any third parties without your permission, for any reason, at any time, ever.
Het scrijnt dat het bedrijf de informatie aan de FBI afgaf, zelfs zonder een rechterlijk dwangbevel. Vervolgens kreeg de politie de identiteit en adres van de man van Planet internet, de provider die bij het @wxs.nl-emailadres hoorde.
Op dezelfde dag dat dit bericht verscheen, verscheen hier het bericht dat de populaire Duitse anonieme surfdienst JAP ook de anonimiteit van haar bezoekers gecompromitteerd had. Op basis van een rechterlijk bevel had de dienst haar bezoekers misleid om een nieuwe versie van haar software te downloaden en te installeren. De sofware bevatte een zogenaamde Trojan horse waarmee stiekem bezoekers van een specifieke, niet genoemde, website werden gelogd in verband met een crimineel onderzoek.
Dit zijn alle twee duidelijk gevallen van fraude. Het zijn zelfs ernstige gevallen, omdat de essentie van het geadverteerde product in beide gevallen nou juist anonimiteit is. In beide gevallen werd die anonimiteit weggenomen en werd de gebruiker daar bewust en expliciet over voorgelogen. Het is uiteraard geen enkel probleem als mensen meewerken aan het opsporen van criminelen, dat is op zich zelfs lovenswaardig. Maar dan moet je daar wel eerlijk over zijn. Surfola had nooit de belofte mogen doen dat ze nooit gegevens aan derden zullen geven als ze zich daar niet aan kunnen of willen houden. En het is zeker absurd om dat te doen zelfs zonder gerechtelijk bevel. Als ze in het laatste geval wel gegevens willen vrijgeven, omdat ze niet in problemen willen komen met de wet, dan is het enige dat ze hadden hoeven doen in hun privacy voorwaarden "...behalve in gevallen van een gerechtelijk bevel", of iets dergelijks toe te voegen.
Evenzo had JAP haar gebruikers op de hoogte moeten stellen van de toegevoegde spyware, omdat die in strijd was met de geadverteerde productomschrijving. In een soort slappe excuusbrief werd de suggestie gedaan dat het vertellen hiervan wellicht strafbaar zou zijn, omdat het geïnterpreteerd zou kunnen worden als het bemoeilijken van een politieonderzoek. Dat is zeer ironisch, want hoewel dat twijfelachtig is staat het wel buiten kijf dat het niet vertellen ervan volgens normale rechtsregels sowieso strafbaar is als een vorm van fraude. Maar als ze het vertellen ervan niet aandurfden hadden ze eenvoudigweg hun service moeten afsluiten met de mededeling dat de service is beëindigd omdat het niet meer mogelijk is de geadverteerde anonimiteit te waarborgen. Gelukkig leven we in het westen nog niet in een zodanige politiestaat dat het stoppen van een service een misdrijf is.
Het lijkt in eerste instantie toch nog zinnig dat dit soort anonieme diensten meewerken met de politie om criminaliteit tegen te gaan, zolang zij hun klanten maar niet voorliegen over het feit dat ze dat doen. Toch kan dit ook schadelijk zijn. Natuurlijk is het in het geval van Campina prettig dat de betreffende misdadiger is opgepakt. Maar er zijn altijd gevallen waar het minder duidelijk is dat de overheid gelijk heeft. Als iemand wordt opgepakt vanwege politiek incorrecte opmerkingen op het internet, zullen vrijheidslievende personen minder blij zijn. Bovendien zullen dit soort positieve resultaten toch van korte duur zijn. Criminelen zullen voortaan wel beter oppassen hoe ze te werk gaan. En anonieme diensten op het internet staan nog in hun kinderschoenen. Het zal waarschijnlijk niet lang meer duren voordat er diensten zijn waarmee je echt gegarandeerd anoniem kunt surfen. Eenvoudigweg omdat het technisch onmogelijk is gemaakt, zelfs door de provider van de dienst, om iemands identiteit te achterhalen.
Henry Sturman
Gerelateerde links:
- Afperser Campina werkte anoniem via het internet
- Bonuskaart bleek van onschatbare waarde
- Afpersing Campina meest vergaande misdaad met internet
- Net anonymity service back-doored
- Subversieve technologie voor huis, tuin en keukengebruik
- Privacy en anonimiteit tijdens het surfen
- Freenet
Henry Sturman studeerde technische natuurkunde in Delft. Hij is freelance auteur voor o.a. HP/De Tijd en is actief binnen de Nederlandse libertarische beweging.
Sturman is eigenaar van Sturman Enterprises, een Haags bedrijf dat diensten verleent op het gebied van automatisering en internet.
Op zijn homepage kunt u meer over hem lezen.