Juridisch - bezit van een wachtwoordlijstdump legaal?

Legaal is een erg breed begrip hier: privacy, databankenrecht, heling, etc. Dan heb je nog straf- vs civielrecht en termen als 'legaal' en 'rechtmatig'.

Normaal gezien is het bezit van deze lijst niet in lijn met de privacy wetgeving in Europa. Checken of je zelf op de lijst staat lijkt in beginsel een gerechtvaardigd belang, maar de methode niet proportioneel met het doel.

[ Voor 3% gewijzigd door Rukapul op 02-02-2018 14:53 ]

Zie hier; https://blog.iusmentis.co...achtwoorden-hashes-bezit/

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

[ Voor 67% gewijzigd door eric.1 op 02-02-2018 15:06 ]

Rukapul schreef op vrijdag 2 februari 2018 @ 14:52:
Normaal gezien is het bezit van deze lijst niet in lijn met de privacy wetgeving in Europa. Checken of je zelf op de lijst staat lijkt in beginsel een gerechtvaardigd belang, maar de methode niet proportioneel met het doel.

En als wel, dan nog zul je het daarna wel moeten verwijderen, althans voor zover het persoonsgegevens anders dan de jouwe betreft. Passwords bewaren ihkv analyse zou kunnen, maar je hebt geen gerechtvaardigd belang bij de combi van user/mail en pass.

https://haveibeenpwned.com zie ik nog een gerechtvaardigd belang hebben, door de gratis bevestiging en wegdonderen van passwords een goede belangenafweging. Ik zie niet hoe een dienst als ismijndatagelekt.nl legaal kan zijn. (Behalve als ze gelijk hebben en inderdaad nul gegevens direct of via een derde zelf hebben liggen, al zie ik niet hoe dat effectief en efficiënt kan).

eric.1 schreef op vrijdag 2 februari 2018 @ 15:05:
Zie hier; https://blog.iusmentis.co...achtwoorden-hashes-bezit/

[...]

Dat behandelt alleen de strafrechtelijke kant.

Overigens bestaat de hier aangehaalde wachtwoorddumplijst uit <email,plaintext password> paren.

Heh. AVG art.14.1 zegt van wel. Good luck, trekt je mailserver dat? Ik denk dat hier van een uitzonderingsgeval sprake is.

Maar serieus: welk belang heb je bij een dergelijke lijst? Twee losse, niet meer aan elkaar te relateren, tabellen zou ik kunnen begrijpen. De hele integrale lijst niet, anders dan voor eenmalige verificatie dat het klopt voor bij jou al bekende passwords.

bonzz.netninja schreef op vrijdag 2 februari 2018 @ 13:38:
Stel, je download ergens een dump van 1.4 miljard credentials, die uiteraard illegaal zijn verkregen.
(bijvoorbeeld de lijst die hier wordt beschreven https://medium.com/4iqdel...gle-database-3131d0a1ae14).

Is het bezit van die gegevens op zichzelf legaal? En is het downloaden (het verkrijgen dus) van die lijst legaal?

Ja het is niet legaal. Civielrechtelijk weet ik het niet zeker maar strafrechtelijk heb je een misdrijf gepleegd. Het is inbreuk op de privacy etc...weet niet welk artikel wat het wetboek van Sr. Justitie kan je wellicht zien en dan kan je vervolgs worden. Let wel verdacht zijn en schuldig zijn is wat anders.