Informatieportal voor IT-recht

Donderdag 5 juli 2012

Wie is verantwoordelijk voor mijn gehackte site?

Ook websites die wel voorzien zijn van de laatste software zijn soms te makkelijk te hacken, omdat zij bijvoorbeeld gevoelig zijn voor sql-injecties. MySQL is een veelgebruikt databaseprogramma voor o.a. websites. MySQL werkt met zijn eigen taal (SQL), en dus eigen commando’s. Veel websites gebruiken MySQL om een klantenbestand of productlijst te beheren. Soms blijkt het door een foutieve instellingen mogelijk SQL-commando’s in te voeren op de website en daardoor toegang te krijgen tot de MySQL-database, met alle gevolgen van dien. In dit artikel wil ik kort ingaan op de vraag wie er in deze genoemde en meest voorkomende gevallen verantwoordelijk, en dus uiteindelijk aansprakelijk is, bij het gehackt worden van een website. Ik zal me vooral richten op websites van particulieren en kleine, meestal door één of enkele personen gerunde, webwinkels.

Verouderde software
Een website ‘op het internet plaatsen’ kan op verschillende manieren. Voor de particulier die graag voor zijn hobby een site heeft en beheert is de makkelijkste en goedkoopste manier om gebruik te maken van één van de vele aanwezige hostingproviders. Voor een bedrag per jaar regelen zij de domeinnaamregistratie voor je, en bieden ze je bepaalde ruimte en bandbreedte op hun servers, waarop jouw site geplaatst kan worden. Het voordeel van deze manier is dat je zelf relatief weinig hoeft te regelen en ook niet handig hoeft te zijn met computers en de software die benodigd is om een website in de lucht te krijgen, of verstand hoeft te hebben van ip- en dns-addressen. Via een gebruikersnaam en wachtwoord krijg je toegang tot je eigen stukje op de server van de hostingprovider. Meestal heb je een bepaald menu tot je beschikking, waarmee je via een makkelijk te begrijpen grafische interface de voor jou belangrijkste instellingen kunt wijzigen.

Het grote nadeel van deze methode is dat je beperkt bent in de software die je wilt laten draaien op de server, om bijvoorbeeld de functionaliteit van de website te vergroten. Bovendien kun je zelf, en dat is in het kader van dit artikel het grootste nadeel, vaak geen updates en/of upgrades van de software uitvoeren.

Je zou nu op twee manieren kunnen proberen de hostingprovider verantwoordelijk te houden, en vervolgensa aansprakelijk te stellen. Via de weg van wanprestatie, of door middel van een onrechtmatige daadsactie. Als je stelt dat er sprake is van wanprestatie aan de kant van de hostingprovider, zul je moeten kunnen aantonen dat je bij het aangaan van de overeenkomst kon verwachten dat de provider er zorg voor zou dragen dat op tijd de juiste updates geinstalleerd zouden worden. Bovendien zul je er op bedacht moeten zijn dat veel hostingproviders dergelijke aansprakelijkheid in hun algemene voorwaarden uit zullen sluiten.

Bij de onrechtmatige daadsactie zul je duidelijk moeten kunnen maken dat er voldaan is aan de vier criteria van de onrechtmatige daad.

Er bestaan ook hostingproviders waar je wel de vrijheid hebt zelf te beschikken over de software die je gebruikt voor je website. In deze gevallen kun je dus zelf bepalen welke webserver software je gebruikt, en bijvoorbeeld ook wel content management systeem (CMS). Tegenover deze vrijheid staat dan wel de verantwoordelijkheid voor het gebruik van deze software.

De hostingproviders die op deze manier opereren zullen de aansprakelijkheid voor de gebruikte software, en voor het up-to-date houden van deze software bij de klant leggen.

SQL-injecties
Zelfs als alle software benodigd voor de website helemaal up-to-date is, kunnen hackers in sommige gevallen de website en het systeem erachter manipuleren om gegevens te ontfutselen. Dit gebeurt dan door middel van MySQL-injecties. MySQL is een zeer populair database-management systeem, en word veel gebruikt. Websites die een ledenbestand bijhouden, of die bepaalde producten aanbieden, gebruiken MySQL voor deze databases. Het kan voorkomen dat bij een niet goed geprogrammeerde website, de website vatbaar is voor MySQL-injecties. Het is voor de hacker dan mogelijk bepaalde SQL-commando’s in te voeren, waardoor hij klantgegevens kan achterhalen of bestellingen kan manipuleren. Deze gevoeligheden voor SQL-injecties zijn vaak bij het programmeren of bouwen van een website uit te sluiten danwel te beveiligen. Als je een programmeur inhuurt om een website naar jouw wens te maken, dan is het zeker niet onverstandig om goed over deze risico’s en de beveiligingsmogelijkheden te praten. Je doet er het beste aan om hier meteen afspraken over te maken in het kader van de verantwoordelijkheid en aansprakelijkheid. Mocht je slachtoffer zijn geworden van een dergelijke SQL-injectie, kun je proberen de programmeur van de website hiervoor aan te spraken. Als je over de veiligheid van de website niks afgesproken hebt met de programmeur, dan zul je moeten kunnen aantonen dat hij begreep, of had moeten weten dat dergelijke veiligheidsmaatregelen genomen hadden moeten worden. Mocht dit niet lukken, dat zul je de programmeur niet aansprakelijk kunnen stellen voor de door jou geleden schade en zul je dus zelf hiervoor op moeten draaien.

Conclusie
Als ondernemer kan het erg aantrekkelijk zijn een website voor reclamedoeleinden bij te houden, of ook producten via het internet te verkopen. Niet iedereen heeft een dure server thuis staan, of heeft de benodigde kennis in huis om een dergelijke website op te zetten en in de lucht te houden. Er zijn genoeg mensen die hiervan hun beroep gemaakt hebben, of dit hobbymatig voor je kunnen doen. Je zult je dan wel van tevoren goed moeten bedenken bij wie welke verantwoordelijkheid ligt, en hier duidelijke afspraken over maken. Als je dit niet gedaan hebt is het erg afhankelijk van de situatie en de afspraken die er onderling al dan niet gemaakt zijn, en wat je van elkaar mocht en kon verwachten.

Bronnen en verwijzingen

http://webwereld.nl/nieuws/106164/mysql-com-gehackt-via-sql-injectie.html
Nieuwenhuis, Stolker en Valk, Burgerlijk Wetboek : de tekst van de boeken 1,2,3,4,5,6,7 en 8 van het BW voorzien van commentaar, Artikel 6:74 BW.
http://www.iusmentis.com/contracten/algemenevoorwaarden/
Nieuwenhuis, Stolker en Valk, Burgerlijk Wetboek : de tekst van de boeken 1,2,3,4,5,6,7 en 8 van het BW voorzien van commentaar, Artikel 6:162 BW.
http://www.security.nl/artikel/41388/Juridische_vraag%3A_wie_is_aansprakelijk_voor_gehackt_systeem%3F.html