De online game Habbo Hotel heeft een minderjarige jongen voor de rechter gesleept omdat hij een groot beveiligingslek liet zien.

De 15-jarige Hans Schröder ontdekte dat hij via het help-systeem van het spel toegang kon krijgen tot de gegevens van alle gebruikers. Hij gaf de gegevens door aan Habbo Hotel, die de informatie dankbaar in ontvangst nam.

Later deed het bedrijf echter alsnog aangifte. Toen het Openbaar Ministerie (OM) besloot om geen strafrechtelijk onderzoek te doen, stapte Habbo Hotel naar de rechter. Om onduidelijke redenen is de aanklacht inmiddels teruggetrokken.

Help-systeem

Hans Schröder en een vriend ontdekten in 2011 een zwakheid in het help-systeem van Habbo Hotel. Wie een account in het hotel aanmaakt, krijgt automatisch een login voor het help-systeem. Maar wie een account in het help-systeem had werd automatisch als medewerker van Habbo Hotel bestempeld en kon bij alle informatie van gebruikers.

"Je kon bij gegevens van 15.000 mensen komen die helptickets hadden aangemaakt. Dan zag je gebruikersnaam, e-mailadres, titel van het bericht en de inhoud", vertelt Schröder aan NUtech. "Je kon alle informatie gewoon exporteren. Daar kun je ook behoorlijk misbruik van maken en dat moest worden gemeld."

Contact

Omdat het benaderen van Habbo Hotel niet soepel verliep zocht Schröder contactgegevens van een medewerker via LinkedIn en meldde de problemen. Dat ging niet eenvoudig, omdat het bedrijf slecht bereikbaar was. 

Op een gegeven moment eiste een medewerker dat de jongen niet meer over het probleem zou bellen. Na diverse mails werd de problematiek in behandeling genomen.
 
"Dat serieus nemen gebeurde pas toen er discussie over de laksheid ontstond", vertelt de ontdekker. Het bedrijf vroeg de jongen de gegevens te downloaden en op te sturen, omdat men niet goed begreep om welke informatie het nou eigenlijk ging. Ook wilde het bedrijf het IP-adres van Schröder hebben om makkelijker te kunnen zoeken.

Aangifte

In eerste instantie bedankte Habbo Hotel Schröder voor het melden, maar deelde later mee aangifte tegen de jongen en de vriend te hebben gedaan voor computervredebreuk. Uit mails die NUtech heeft ingezien blijkt dat zelfs na de aangifte de jongen nog informatie verstrekte aan Habbo Hotel om het probleem te helpen oplossen.
 
Het Openbaar Ministerie beoordeelde de zaak en besloot geen strafrechtelijk onderzoek naar Schröder en zijn vriend te starten. Habbo Hotel pikte dat niet en stapte naar het Hof in een zogenoemde artikel 12-procedure, om via de rechter alsnog vervolging af te dwingen.
 
Hierop werden Schröder en de vriend als verdachten verhoord. Vervolgens trok Habbo Hotel zich uit de procedure terug en liet het bedrijf de aanklacht vallen.

Bizar

Schröder is opgelucht. "Ik vind het heel teleurstellend dat het zo moest gaan. Ik had echt gehoopt dat het anders zou lopen. Van een bedrijf dat via internet opereert zou je toch ander gedrag verwachten", zegt hij tegen NUtech.
 
"Ik vind dit een bizarre zaak om heel veel redenen", zegt advocaat Steven Kroesbergen, die vaker verdachten van computervredebreuk bijstaat. "Eerst moet mijn client keer op keer melden, dan wordt hij bedankt, om vervolgens aangifte te doen en ook nog een artikel 12-procedure te starten, die het bedrijf vervolgens intrekt."
 
Hij vindt het gedrag van Habbo Hotel 'kwalijk en laakbaar'. "Wat ze in feite hebben gedaan is een minderjarige jongen een lange periode bewust belasten met een mogelijke strafzaak", zegt hij tegenover NUtech. "Deze jongen had geen kwaad in de zin en meldt het lek gewoon."

Dat het probleem speelde met de help-module werd een half jaar na het melden van de problemen duidelijk, toen de site werd gehackt. Op dat moment verschenen er persoonsgegevens van kinderen op internet. 

Reactie Habbo Hotel

Het bedrijf achter Habbo Hotel, Sulaka, heeft inmiddels tegenover NUtech gereageerd. Sulake stelt de hack die een half jaar geleden plaatsvond te willen onderzoeken. “We hadden reden er belang aan te hechten dat de zaak grondig werd onderzocht”, stelt een zegsvrouw van het bedrijf.

“De veiligheid van de gebruikers is enorm belangrijk voor ons en we zijn gedreven een leuke en veilig community te bieden. Mocht die ooit in gevaar komen dan zullen we altijd in het belang van de gebruikers handelen.”