- Door
- Arnout Veenman
- geplaatst op
- 11 december 2014 09:48 uur
Sony Pictures werd afgelopen week het slachtoffer van een hack waarbij naar verluidt meer dan 100 terrabyte aan gevoelige en vertrouwelijke data werd gestolen. Om de verspreiding van de data te voorkomen zou Sony Pictures de websites die de data verspreiden, bestoken met DDoS-aanvallen, meldt Re/code.
Om de DDoS-aanvallen uit te voeren zou Sony Pictures gebruik maken van de Amazon AWS cloud. De DDoS-aanval wordt uitgevoerd met honderden virtuele machines in de AWS cloud in Singapore en Tokyo, zo stellen twee direct betrokkenen tegenover Re/code. Ondanks het feit dat er letterlijk staat dat er websites worden aangevallen, wordt er in het artikel ook in het artikel gesteld dat er sprake is van valse ‘bittorrent seeders’, waardoor het downloaden van de bestanden via bittorrent wordt gefrustreerd.
Als het bericht waar is dat Sony Pictures daadwerkelijk DDoS-aanvallen inzet om websites die de gestolen data verspreiden uit de lucht te halen, dan gaat het zelf ook de grens over van het strafrecht. Het uitvoeren van een DDoS-aanval moet volgens artikel 5 van de Convention on Cybercrime uit 2001 strafbaar worden gesteld. Ook Japan is partij bij dit verdrag. Zodoende mag worden aangenomen dat ook in Japan -waar Sony Pictures zijn hoofdkantoor heeft én de aanval feitelijk vandaan is uitgevoerd (AWS datacenter in Tokyo)- zich strafbaar maakt. Daarnaast is het ook te verwachten dat Amazon ook niet bepaald gelukkig zal zijn dat haar clouddiensten worden gebruikt voor het uitvoeren van DDoS-aanvallen.
Mocht het zo zijn dat er door Sony Pictures alleen valse bittorrent seeders worden ingezet, dan roept dat de vraag op of dat wél is toegestaan. Immers is het aanmaken van honderden valse seeders in feite ook een soort DDoS-aanval, waarbij het doel is om door heel veel waardeloze data naar een derde te sturen er voor te zorgen dat deze niet meer functioneert. Ik denk dat dit naar Nederlands recht ook als een DDoS-aanval moet worden gezien. Dat is in principe ook een strafbaar feit, maar ik den dat Sony Pictures zich zou kunnen beroepen op een rechtsvaardigings- of schulduitsluitingsgrond en daarom niet strafbaar is. Dit omdat het bedrijf geen andere mogelijkheid heeft om de verspreiding te staken en de aanval enkel het downloaden van de gestolen data frustreert.
Dat het bedrijf er alles aan doet om er voor te zorgen dat de gestolen data niet verder wordt verspreid, is natuurlijk goed te begrijpen. Bij de hack afgelopen week zou meer dan 100 terrabyte aan data zijn gestolen. Daaronder zouden naast nog niet gereleasede films, ook vertrouwelijke e-mails, contracten en administratie van het bedrijf zijn.
Update 11:40: Informatie over mogelijk gebruik van valse bittorrent seeders toegevoegd.