Verslagen
welkom bij GIOP computeropleidingen, u bent niet ingelogd
Titel:
Geplaatst:		Spyware in onschuldig spelletje tart gebruiker
23 augustus 2003

Chris van Lith kocht vlak voor Sinterklaas 2002 het computerspel Motocross Madness.
Een leuk cadeautje voor zijn zoon, dacht hij. De aankoop draaide uit op een nachtmerrie:
een torenhoge telefoonrekening en een halfjaar touwtrekken met de leveranciers.

Motocross Madness is oorspronkelijk een product van Microsoft, dat het racespel zo'n vier jaar geleden ontwikkelde. Zoals het zo vaak gaat met al wat oudere software is na enige tijd een goedkopere 'witte' versie uitgebracht, in dit geval door licentienemer Mindscape/Softkey. Dit is ook het pakket dat Chris van Lith op de kop tikt en op 7 december 2002 op zijn computer installeert. (Het product mag niet worden verward met Motocross Madness 2, een nieuwe versie die nu door Microsoft zelf wordt geleverd.)
De vreugde over de aanwinst is van korte duur. Enkele weken later ontdekt Van Lith dat zijn pc iedere twee minuten een bepaald IP-nummer bezoekt. Na enig speuren komt hij er achter dat de boosdoener een bestandje (ddsagent) is. Dat is tegelijk met het racespelletje ongemerkt op de harde schijf gezet.
Het is niet duidelijk waarom ddsagent zo hardnekkig het internet op wil. van Lith, zelf werkzaam in de IT-sector, vermoedt dat het gaat om 'spyware': spionagesoft-ware die bijvoorbeeld het surf- en klikgedrag volgt en doorgeeft aan onbekende opdrachtgevers.

Open internetverbinding
Een bijzonder aspect is de niet alledaagse hardwareconfiguratie bij Van Lith thuis. Aan zijn pc is een router gekoppeld die via een ISDN-aansluiting automatisch een internetverbinding opbouwt zodra dat nodig is. De router laat daarna de telefoonlijn nog vijf minuten openstaan. Gevolg is wel dat de lijn gedurende een aantal weken zo goed als continu heeft opengestaan. Een dure grap als je het net op gaat via een per tijdseenheid af te rekenen ISDN-verbinding. Het levert een gepeperde telefoonnota van 900 euro op. Dat zit Van Lith niet lekker. Hij stuurt een mailtje naar de supportafdeling van Microsoft. Zes weken later later rinkelt de telefoon: Microsoft zegt commercieel niet verantwoordelijk te zijn voor de heruitgave door Mindscape/Softkey. Ter compensatie van het ongemak biedt de supportmedewerker enkele gratis spellen aan. Daar neemt Van Lith geen genoegen mee. Microsoft belooft zijn klacht aan Mindscape door te geven.

Getest
In de maanden daarna volgen de mailtjes en telefoontjes elkaar met ruime tussenpozen op. Op 11 juni 2003 komt eindelijk het formele antwoord van Mindscape. "Het spel Motocross Madness is getest en zoals reeds is doorgegeven zit er spyware in. Er wordt alleen niet automatisch een inbel-verbinding tot stand gebracht door de spyware. Wij kunnen u daarom niet tegemoet komen om 700 euro te betalen van uw rekening van 900 euro", laat de afdeling customer support weten. Opnieuw zoekt Van Lith contact met Microsoft, maar die blijft alle verantwoordelijkheid afwijzen. Van Lith besluit de publiciteit te zoeken. Hij vindt het om twee redenen een principiële zaak: de rechtspositie van de klant is in het geding en bovendien zijn de afspraken tussen de betrokken bedrijven ondoorzichtig. Navraag van de redactie van Automatisering Gids leidt aanvankelijk tot een herhaling van zetten. Maar dan blijkt er plotseling een andere wind te waaien. Marketing manager Pelser van Mindscape biedt Van Lith telefonisch zijn verontschuldigingen aan, evenals een schadevergoeding van 450 euro. Van Lith gaat akkoord. Rest de vraag waarom Mindscape zich bedient van spyware. Marketing manager Pelser: "Waarschijnlijk heeft Broderbund, een Amerikaans bedrijf dat wij indertijd vertegenwoordigden, die beslissing genomen. Dan praat ik over drie, vier jaar geleden. Het spel zit nu niet meer in ons assortiment, al ligt het waarschijnlijk nog in de winkel. We trekken ons dit geval wel aan. Daarom nemen wij onze verantwoordelijkheid."
Pelser bezweert dat zijn bedrijf geen spyware in zijn huidige producten stopt: "Wij gebruiken dat niet. Mindscape heeft in Nederland een behoorlijke naam opgebouwd, wij zorgen voor kwaliteit. Dit is echt een uitzonderlijke situatie."

Verachtelijk
De Consumentenbond ontvangt 'weleens' klachten over spionagesoftware, zegt een woordvoerder. "Veel mensen hebben het niet eens door. Je merkt het alleen als gevorderde gebruiker die weet waar hij op moet letten. Je weet ook niet welke gegevens er worden uitgewisseld. In die zin is spyware verachtelijk. De lering die je hieruit kan trekken is dat een goede firewall zowel voor inkomend als uitgaand verkeer geen slecht idee is,"
Volgens de bond zou een programma in geval geen persoonsgegevens zomaar mogen versturen. "Het kan best dat je die toestemming hebt gegeven door op de knop ‘I agree' te klikken van de 36 pagina's tellende algemene voorwaarden, omdat je anders het spelletje niet kunt spelen. Dan is er wat ons betreft geen expliciete toestemming verleend."
Serge Gijrath, partner bij advocatenkantoor Baker & McKenzie in Amsterdam, is gespecialiseerd in IT- en telecomrecht. Hij memoreert de uitspraak van een rechtbank over softwarelicenties die aansprakelijkheid van de leverancier uitsluiten. Als zo’n licentie is 'meeverpakt' in een 'krimpfolie’ doos, kan de consument er vooraf geen kennis van nemen. De rechter oordeelde daarom dat de leverancier zich niet op een uitsluiting mag beroepen. Gijrath: "Ik vraag me af of er in dit geval voor Mindscape geen waarschuwingsplicht was. Bijvoorbeeld: er is door ons een toepassing toegevoegd die bepaalde handelingen zal verrichten."
Mag een leverancier een softwareproduct voorzien van verborgen eigenschappen! Gijrath: "De wet zegt dat je van een product mag verwachten wat de documentatie zegt. Dat heet de conformiteitsvereiste. Hier is het omgekeerde aan de hand: als je software koopt, mag je dan verwachten dat er alleen maar in zit wat je denkt te krijgen? Mijn ervaring is dat software heel vaak veel features heeft waar je niet op zit te wachten. Ik denk daarom dat het lastig is om je in dit geval op de conformiteitsvereiste te beroepen."

Bron: Automatisering Gids 29-08-'03