AMSTERDAM - Skype heeft illegaal persoonsgegevens verstrekt aan een bedrijf tijdens het onderzoek naar massale cyberaanvallen op PayPal. Het betalingsbedrijf werd aangevallen in reactie op blokkades van donaties aan Wikileaks.

Skype verstrekte persoonsgegevens van een 16-jarige jongen aan een bedrijf dat ermee naar de politie stapte.

Dat blijkt uit het dossier van het strafrechtelijk onderzoek naar de aanvallen op diverse financiële instellingen in 2010. NU.nl heeft dat dossier ingezien.

Het onderzoek met de codenaam Talang richtte zich op twee personen. Zij zouden een rol hebben gespeeld in de dagenlange aanvallen op de websites van Mastercard, VISA en PayPal. De aanval werd uitgevoerd onder de vlag van Anonymous en stond bekend als Operation Payback.

Paypal

Om de aanvallen te onderzoeken schakelde PayPal Joep Gommers in. Hij is senior director global research van beveiligingsbedrijf iSIGHT Partners, en ontdekte via een chatkanaal dat er ook Nederlanders bij de zaak betrokken waren. Op basis van een pseudoniem kwam een 16-jarige jongen in beeld.

Daarop nam Gommers contact op met Skype, een andere klant van zijn bedrijf. Skype was niet betrokken bij de zaak, maar hij wilde de inloggegevens en persoonsgegevens van de verdachte krijgen.

In een e-mail aan de politie, de OPTA en Govcert, dat inmiddels is opgegaan in het National Cyber Security Center, schrijft hij: “Hey, Ik heb spoedig inloginformatie, maar nu nog niet.”

Politiedossier

In het politiedossier staat dat Skype gegevens heeft verstrekt, zoals de gebruikersnaam, naam van de persoon, gebruikte e-mailadressen en het huisadres dat bij betaling is gebruikt. Dat adres bleek vervolgens overeen te komen met de gemeentelijke basisadministratie. Zo kwam de verdachte in beeld.

De informatie is vrijwillig verstrekt en niet gevorderd, zoals gewoonlijk gebruikelijk is.

Gommers stelt tegenover NU.nl dat zijn bedrijf niet in opdracht van opsporingsinstanties werkt, maar slechts in opdracht van klanten. Ook benadrukt hij kennis in producten en rapporten te stoppen en doorgaans niet bewijs te leveren.

Toch komt het wel voor dat kennis ‘wordt gedeeld met opsporingsinstanties als publieke dienstverlening’. De leeftijd van een verdachte valt volgens hem moeilijk vast te stellen, omdat hackers online bijna altijd anoniem zijn.

Vordering

De gang van zaken tijdens het onderzoek verbaast Gerrit-Jan Zwenne, hoogleraar recht en informatiesamenleving in Leiden en advocaat bij Bird & Bird te Den Haag.

"Opmerkelijk. Je zou verwachten dat abonnee-gegevens niet zomaar worden prijsgegeven. De gegevens moeten worden verstrekt als de politie een geldige vordering heeft, of als de rechter het opdraagt. Anders niet", vertelt hij aan NU.nl.

"Je kan je afvragen of de telecom en privacywetgeving toestaan dat abonneegegevens worden verstrekt zonder vordering of rechterlijk bevel. Je kan kan je ook afvragen of politie die gegevens wel mag gebruiken als ze op deze wijze zijn verkregen. Had de politie die gegevens niet gewoon moeten vorderen, met alle waarborgen die daarbij horen?"

"Het is niet zonder reden dat aanbieders van communicatiediensten terughoudend zijn met het verstrekken van hun abonneegegevens. Aanbieders willen geen verlengstuk zijn van politie en justitie. In elk geval willen ze niet als zodanig worden gezien."

Privacy

In een reactie stelt Skype, dat inmiddels het eigendom van Microsoft is, privacy serieus te nemen. “Het is ons beleid om klantgegevens niet te verstrekken tenzij er een geldig verzoek van instanties ligt of wij bij wet verplicht zijn informatie te leveren of in het geval van een dreiging waarbij persoonlijke veiligheid in het geding is”, stelt een zegsvrouw.

Het bedrijf onderzoekt waarom de gegevens wel zijn verstrekt.

This article is also available in English.