27 feb DDoS-aanvallen: Clouddienstverlener bevoegd tot verstrekken informatie en blokkeren server?
Cloud en DDoS-aanvallen
DigitalOcean EU is een dochtervennootschap van de Amerikaanse vennootschap DigitalOcean LLC, aan wie zij (hardware) onderhoudsdiensten verleent. DigitalOcean LLC is een provider van onder meer clouddiensten en (virtuele) servers. DigitalOcean LLC biedt deze diensten zowel rechtstreeks aan eindafnemers aan, als aan ‘resellers’ die servercapaciteit bij DigitalOcean LLC afnemen, waarop zij diensten draaien die zij op hun beurt aan eindafnemers aanbieden.
Voorzieningenrechter beveelt tot informatieverstrekking en blokkering gebruiker
De voorzieningenrechter van deze rechtbank heeft bij uitvoerbaar bij voorraad verklaard verstekvonnis onder meer als volgt beslist:
“(…)
beveelt [DigitalOcean EU] om, binnen 24 uur na betekening van dit vonnis, [DreamVPS] te voorzien van afschriften van de navolgende bescheiden:
– de volledige naam en alle overige bekende gegevens, maar ten minste het adres, telefoonnummer, e-mailadres en contactpersoon, van degene die [DigitalOcean EU] gebruikt om [DreamVPS] aan te vallen;
– alle bij [DigitalOcean EU] bekende IP-adressen van degene die de aanval op [DreamVPS] uitvoert;
– full servers logs van degene die de aanval op [DreamVPS] uitvoert; en
– de wijze van betaling, van degene die [DreamVPS] aanvalt, aan [DigitalOcean EU],
beveelt [DigitalOcean EU] om, binnen 24 uur na betekening van dit vonnis, de onbekende derde toegang tot haar services (waaronder ten minste begrepen dient te worden: het gebruik maken van de servers en het cloud computing-platform van [DigitalOcean EU]) te weigeren zodat deze niet meer voor aanvallen op [DreamVPS] kunnen worden misbruikt.
Niet bevoegd want enkel IT servicing
DigitalOcean EU heeft aan deze vorderingen (samengevat) ten grondslag gelegd dat zij zich enkel bezighoudt met ‘IT servicing’ en dat zij niet bevoegd, noch in staat is om DDoS-aanvallen op te sporen en tegen te gaan, of om gebruikers te blokkeren, of om klantgegevens van DigitalOcean LLC of haar resellers te raadplegen en te verstrekken. DigitalOcean EU is de verkeerde geadresseerde van de dagvaarding van 15 november 2022 en van het verstekvonnis van 18 november 2022, omdat zij feitelijk en juridisch niet in staat is om de veroordelingen in het verstekvonnis uit te voeren.
Wie cloudplatform en clouddiensten levert niet relevant?
Niet in geschil is dat de IP adressen waarmee de DDoS-aanvallen zijn uitgevoerd allen zijn geregistreerd op naam van DigitalOcean LLC, niet op naam van DigitalOcean EU.
DreamVPS stelt zich op het standpunt dat de registratie van de IP-adressen op naam van DigitalOcean LLC niet betekent dat DigitalOcean EU de gevorderde gegevens niet kan verstrekken. Het doet er volgens DreamVPS niet toe wie het cloudplatform en de clouddiensten ontwikkelt en realiseert. Als eigenaar van de servers die betrokken waren bij de DDoS-aanvallen heeft DigitalOcean EU toegang tot de ‘virtuele server logs’ van de eindafnemer (de aanvaller), aldus DreamVPS.
Eigendom hardware betekent nog geen bevoegdheeid
Eigendom van fysieke IT-hardware (servers) brengt niet zonder meer mee dat de eigenaar toegang heeft tot de informatie die zich daarop bevind, en/of bevoegd is om deze informatie te raadplegen. Nu niet is betwist dat de aanvaller een klant is van DigitalOcean LLC, althans een van haar resellers, en niet is betwist dat DigitalOcean EU geen contracten heeft gesloten met klanten van DigitalOcean LLC, is voorshands niet voldoende aannemelijk dat DigitalOcean EU feitelijk en juridisch kan en mag voldoen aan het gevorderde bevel tot het verstrekken van klantgegevens van DigitalOcean LLC. Voor toewijzing van de gevorderde afschriften is voorshands dan ook onvoldoende grond.
Artikel 6:196c BW: Bevel tot blokkeren gebruiker?
DreamVPS stelt zich verder op het standpunt dat de registratie van de IP-adressen op naam van DigitalOcean LLC niet afdoet aan de verantwoordelijkheid van DigitalOcean EU voor het gebruik bij de DDoS-aanvallen door een derde van de fysieke servers waarvan zij eigenaar is. Voor zover DreamVPS daarmee bedoelt dat de verantwoordelijkheid van DigitalOcean EU voor het gebruik van haar (fysieke) servers meebrengt dat zij een gebruiker (een klant van DigitalOcean LLC) dient te blokkeren, zodat deze geen DDoS-aanvallen op DreamVPS kan uitvoeren, wordt als volgt overwogen.
DigitalOcean EU heeft aangevoerd dat zij zich met name bezig houdt met ‘IT servicing’, bijvoorbeeld hardware ondersteuning, waarvoor zij met name data center operators en network engineers in dienst heeft. Voor zover DigitalOcean EU kan worden gekwalificeerd als dienstverlenend tussenpersoon in de zin van artikel 6:196c BW, kan een rechterlijk bevel worden gegeven om een onrechtmatige situatie te voorkomen. DreamVPS lijkt te betogen dat dit het geval is door zich op het standpunt te stellen dat DigitalOcean EU eigenaar is van een hosting environment, maar zij heeft dit standpunt geen handen en voeten gegeven.
Verlangen uitschakelen (fysieke) server niet proportioneel
Ook als er vanuit wordt gegaan dat DigitalOcean EU als dienstverlenend tussenpersoon verantwoordelijk is voor onrechtmatig gebruik van haar servers door een derde, dan kan een rechterlijk bevel dat strekt tot het voorkomen van dat onrechtmatige gebruik alleen worden gegeven als dit redelijkerwijs mogelijk is. DreamVPS heeft in dat verband aangevoerd dat DigitalOcean EU de mogelijkheid heeft om de servers uit te schakelen die de reseller van DigitalOcean LLC (Liber) verhuurt aan de aanvaller. Voorshands is echter niet aannemelijk dat dit een proportionele maatregel is die DigitalOcean EU tegen een aanvaardbare prijs kan nemen. Zij heeft gemotiveerd toegelicht dat DigitalOcean LLC monitoringssoftware in gebruik heeft om vast te stellen of DDoS-aanvallen worden uitgevoerd met behulp van haar infrastructuur, waarmee dagelijks tientallen tot honderden virtuele servers worden uitgeschakeld. Daarnaast heeft DigitalOcean LLC een team dat actie onderneemt aan de hand van ‘abuse’ meldingen. Een bevel tot de verdergaande maatregel van het uitschakelen van een (fysieke) server door DigitalOcean EU zou het risico meebrengen dat bona fide gebruikers worden geblokkeerd. DigitalOcean EU riskeert daarmee aansprakelijkheid, door tekort te schieten in haar dienstverlening en mogelijk schade te veroorzaken. Voorshands is om deze redenen onvoldoende grond voor het gevorderde bevel.
Uitspraak is hier te raadplegen: https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2023:954