1 De inhoud van de tenlastelegging
Aan verdachte is ten laste gelegd dat:
hij in of omstreeks de periode van 13 december 2016 tot en met 19 februari 2017 te Wateringen, gemeente Westland, en/of en/of Duiven en/of 's-Gravenhage, althans in Nederland,
tezamen en in vereniging met een ander of anderen, althans alleen,
opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten het interne Content Management Systeem van de Cadeau Carrousel website (www.mijncarrousel.nl), is binnengedrongen
a. door het doorbreken van een beveiliging en/of
b. door een technische ingreep en/of
c. met behulp van valse signalen of een valse sleutel en/of
d. door het aannemen van een valse hoedanigheid
en/of vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk waarin hij zich wederrechtelijk bevond voor zichzelf en/of een ander heeft overgenomen, afgetapt en/of opgenomen en/of met het oogmerk zichzelf en/of een ander wederrechtelijk te bevoordelen vervolgens gebruik heeft gemaakt van verwerkingscapaciteit van voornoemd geautomatiseerd werk
immers heeft hij verdachte en/of zijn mededader(s)
- met gebruikmaking van generieke en/of persoonlijke log-in gegevens (te weten [log-in 1] en/of [log-in 2] en/of [log-in 3] ), welke waren uitgegeven aan medewerkers van het Customer Service Centre en/of gebruik makend van eenn VPN verbinding en/of een TOR-netwerk, ingelogd op het interne Contnet Management Systeem van de website www.mijncarrousel.nl en/of
- in dat Content Management Systeem aangemaakte test accounts gekoppeld aan een werkgever, waaronder Strukton en/of
- vervolgens een of meerdere vouchers per test account aangemaakt en/of
- aan die vouchers (fictieve) namen en/of adresgegevens en/of emailadressen gekoppeld ter verzending van digitale cadeaubonnen en/of
- vervolgens met gebruikmaking van die digitale cadeaubonnen, een of meer goederen besteld bij één of meer webwinkels aangesloten bij www.mijncarrousel.nl, waaronder Wehkamp.nl en/of Bijenkorf.nl en/of ICI Paris.nl,
waarbij verdachte en/of zijn mededader(s) zich hebben voorgedaan als de rechtmatige bezitters van die vouchers en/of cadeaubonnen;
hij in of omstreeks 13 december 2016 t/m 19 februari 2017 te Wateringen, gemeente Westland, en/of te Duiven en/of te 's-Gravenhage, althans in Nederland,
tezamen en in vereniging met een ander of anderen, althans alleen,
opzettelijk en wederrechtelijk, gegevens, die door middel van een geautomatiseerd werk en/of door middel van telecommunicatie waren opgeslagen, werden verwerkt en/of werden overgedragen, te weten een of meer testaccounts in het Content Management Systeem van de website Cadeau Carroussel (www.mijncarrousel.nl), heeft veranderd, gewist, onbruikbaar en/of ontoegankelijk heeft gemaakt,
immers heeft hij verdachte en/of diens mededader(s),
- test accounts in het Content Management Systeem gekoppeld aan een werkgever, waaronder Strukton en/of
- vervolgens een of meerdere vouchers per test account aangemaakt en/of
- aan die vouchers (fictieve) namen en/of adresgegevens en/of emailadressen gekoppeld ter verzending van digitale cadeaubonnen en/of
- vervolgens die (fictieve) namen en/of adresgegevens en/of emailadressen verwijderd en/of gewist uit het systeem;
hij in of omstreeks 13 december 2016 t/m 19 februari 2017 te Wateringen, gemeente Westland, en/of te Duiven en/of te 's-Gravenhage,
tezamen en in vereniging met een of meer anderen, althans alleen,
met het oogmerk van wederrechtelijke toe-eigening in/uit een (gedeelte van) een geautomatiseerd werk, te weten het interne Content Management Systeem van de Cadeau Carrousel website (www.mijncarrousel.nl)
heeft weggenomen een of meerdere vouchers en/of digitale cadeaubonnen ter waarde van 97.002,50 euro, in elk geval enig goed, geheel of ten dele toebehorende aan Makro en/of Metro Distributie Nederland B.V. en/of Inpakcentrale ICN B.V. en/of Metro Cash and Carry B.V., in elk geval aan een ander of anderen dan aan verdachte en/of zijn mededaders,
waarbij verdachte en/of diens mededader(s) zich de toegang tot de plaats van het misdrijf heeft verschaft en/of die weg te nemen vouchers en/of cadeaukaarten onder zijn/hun bereik heeft gebracht door middel van een valse sleutel door gebruikmaking van generieke en/of persoonlijke log-in gegevens (te weten [log-in 1] en/of [log-in 2] en/of [log-in 3] ), welke waren uitgegeven aan medewerkers van het Customer Service Centre.
2. Overwegingen ten aanzien van het bewijs
1
Het standpunt van de officier van justitie
De officier van justitie heeft gesteld dat wettig en overtuigend bewezen kan worden dat verdachte zich schuldig heeft gemaakt aan het medeplegen van de onder 1, 2 en 3 primair tenlastegelegde feiten, met uitzondering van het gebruikmaken van verwerkingscapaciteit van een geautomatiseerd werk met het oogmerk om zichzelf en/of een ander te bevoordelen, zoals onder 1 ten laste is gelegd. Ten aanzien van het medeplegen heeft de officier van justitie naar voren gebracht dat er veelvuldig is ingelogd toen verdachte en zijn medeverdachte samen waren en ook verdachte gegevens heeft veranderd en gewist. Voorts volgt uit de tapgesprekken dat er sprake was van winstbejag.
Het standpunt van de verdediging
De verdediging heeft zich op het standpunt gesteld dat verdachte integraal moet worden vrijgesproken. Ten aanzien van de onder 1 en 2 tenlastegelegde feiten is aangevoerd dat verdachte bij het verrichten van de tenlastegelegde uitvoeringshandelingen nog niet in beeld was en hij bovendien niet beschikte over inloggegevens van het Content Management Systeem, zodat het voor hem feitelijk onmogelijk was om deze handelingen te verrichten. Uit het dossier blijkt niet dat verdachte hierin een rol heeft vervuld, zodat niet bewezen kan worden dat verdachte zich bezig heeft gehouden met de onder deze feiten tenlastegelegde gedragingen.
Met betrekking tot de onder 3 tenlastegelegde diefstal is aangevoerd dat verdachte weliswaar codes heeft gekopieerd en cadeaukaarten heeft verzilverd, maar op dat moment had het strafbare feit al plaatsgevonden. Omdat het verzilveren niet als diefstal kan worden aangemerkt, kan ook voor dit feit geen bewezenverklaring volgen.
Voor alle tenlastegelegde feiten geldt dat uit het dossier absoluut niet blijkt dat sprake zou zijn geweest van een nauwe en bewuste samenwerking. Het intoetsten van een code en het aannemen van pakketjes is onvoldoende om te kunnen spreken van medeplegen.
Beoordeling door de rechtbank
Vooraf
Makro, bestaande uit Metro Distributie B.V. en (haar dochterondernemingen) Inpakcentrale ICN B.V. en Metro Cash and Carry B.V., biedt aan bedrijven (online) kerspakketten aan waarbij werknemers een voucher ontvangen met een inlogcode waarmee zij kunnen inloggen op de website www.mijn carrousel.nl. Vervolgens kan een keuze worden gemaakt uit het aanbod, waaronder digitale cadeaubonnen van diverse retailers zoals Wehkamp, Ici Paris en De Bijenkorf. Op 4 januari 2017 kwamen er meldingen binnen van werknemers die wel konden inloggen op de website, maar van wie het tegoed van hun voucher al bleek te zijn verbruikt. Naar aanleiding hiervan bestond het vermoeden dat het systeem was gehackt. Er bleken veelvuldig vouchers te zijn aangemaakt waarmee in totaal 1.554 digitale cadeaubonnen ter waarde van € 97.002,50 zijn aangeschaft.2
Fase 1: het intern Content Management Systeem van de Cadeau Carrousel website (feit 1)
Het Content Management Systeem (hierna: CMS-systeem) is een geautomatiseerd netwerk van Makro. Met de (generieke en persoonlijke) inloggegevens ‘ [log-in 1] ’, ‘ [log-in 2] ’ en ‘ [log-in 3] ’ die aan medewerkers van het Makro Customer Service Center waren uitgegeven is toegang verkregen tot het CMS-systeem. Vervolgens zijn zogenoemde testaccounts gekoppeld aan een werkgever ‘Strukton’, van welke werkgever de voucher de hoogste waarde van € 62,50 vertegenwoordigde, en zijn er vouchers aangemaakt.3
Medeverdachte [medeverdachte] was van 13 december 2016 tot 9 februari 2017 werkzaam bij de Makro Helpdesk (Customer Service Center) te Wateringen.4 Hij was aangenomen om de Cadeau Carrousel te ondersteunen en als operator was het zijn taak om vragen van klanten te beantwoorden. Medewerkers van de helpdesk gebruiken het CMS-systeem alleen om te raadplegen en brengen daarin geen wijzigingen aan.5 [medeverdachte] heeft erkend dat hij degene is geweest die met de verschillende aan hem verstrekte inloggegevens heeft ingelogd in het CMS-systeem en in de periode van 23 december 2016 tot en met 10 januari 2017 (lege) testaccounts heeft gekoppeld aan de werkgever Strukton. Dit deed hij op zijn werkplek in Wateringen en bij hem thuis in ’s-Gravenhage. Door deze werkgever aan een testaccount te koppelen, kon [medeverdachte] beschikken over een daarbij behorende inlognaam en wachtwoord6: de gegevens die normaliter in de vorm van een voucher worden verstrekt aan werknemers die ter invulling van hun kerstpakket daarmee vervolgens onder meer een cadeaubon kunnen bestellen op de website van Cadeau Carrousel. Ter verduidelijking overweegt de rechtbank op dit punt dat de rechtbank onder voucher aldus verstaat de inloggegevens waarmee ingelogd kan worden op de website www.mijncarrousel.nl om een cadeau(bon) van een aangesloten retailer of een cadeau van Makro uit te kiezen. [medeverdachte] heeft door aan een leeg account de werkgever Strukton te koppelen vouchers aangemaakt waardoor hij voor werknemers van Strukton bestemde inloggegevens heeft verkregen.
Uit hoofde van zijn functie kon [medeverdachte] met de aan hem als operator verstrekte inloggegevens inloggen in het CMS-systeem. Zijn bevoegdheid was echter beperkt tot het raadplegen van gegevens in dit systeem teneinde vragen van klanten te beantwoorden. Hij mocht accountgegevens niet wijzigen of anderszins veranderingen aanbrengen, zo heeft hij zelf ook verklaard.7 De rechtbank stelt vast dat hij door dit wel te doen handelingen heeft verricht die zijn bevoegdheid overschreden. Hij was niet gerechtigd tot het eigenhandig wijzigen dan wel invoeren van een werkgever en vervolgens daarmee vouchers aan te maken. Naar het oordeel van de rechtbank heeft [medeverdachte] door op deze wijze gebruik te maken van zijn inloggegevens gebruik gemaakt van een valse sleutel om het CMS-systeem te betreden met de intentie om handelingen te verrichten die buiten zijn bevoegdheid lagen, waardoor hij wederrechtelijk het computersysteem is binnengedrongen.
De rechtbank acht op grond van het voorgaande wettig en overtuigend bewezen dat [medeverdachte] zich meermalen schuldig heeft gemaakt aan computervredebreuk zoals onder 1 ten laste is gelegd, met dien verstande dat hij dit feit alleen heeft begaan. Naar het oordeel van de rechtbank volgt uit het onderliggende dossier in het geheel niet dat verdachte in dit stadium van het aanmaken van de vouchers betrokken was. De rechtbank zal verdachte daarom vrijspreken van feit 1.
Fase 2: cadeaubonnen bestellen op www.mijncarrousel.nl (feiten 2 en 3)
Met de bij de aangemaakte vouchers behorende inloggegevens heeft [medeverdachte] vervolgens ingelogd op de website www.mijncarrousel.nl en cadeaubonnen van de verschillende aangesloten retailers besteld. Hiervoor heeft hij fictieve namen (als zijnde werknemers van Strukton) gebruikt en zelf aangemaakte (email)adressen ingevuld naar welke adressen de digitale cadeaubonnen werden verzonden. Hierna heeft [medeverdachte] opnieuw ingelogd in het systeem en geprobeerd zijn sporen te wissen door alle gebruikte gegevens te verwijderen.8
[medeverdachte] heeft hiermee zich tevens schuldig gemaakt aan het manipuleren van digitale gegevens zoals onder 2 ten laste is gelegd, met dien verstande dat hij ook dit feit alleen heeft begaan. Ten aanzien van dit feit overweegt de rechtbank eveneens dat naar haar oordeel uit het onderliggende dossier in het geheel niets is gebleken van betrokkenheid van verdachte bij het manipuleren van gegevens. Verdachte zal daarom ook van feit 2 worden vrijgesproken.
Diefstal (in vereniging)
Verdachte heeft in deze fase van het bestellen van cadeaubonnen echter wel een rol vervuld. Toen [medeverdachte] op 19 februari 2017 bij verdachte thuis was, heeft verdachte op enig moment ook (de met de aangemaakte accounts verkregen) inloggegevens gekopieerd en geplakt.9 [medeverdachte] heeft hierover verklaard dat verdachte met meerdere gebruikersnamen en wachtwoorden op de website van Cadeau Carrousel heeft ingelogd om cadeaukaarten te bestellen. Deze inloggegevens had [medeverdachte] naar een ‘notepad’ tekstbestand gekopieerd en op een USB-stick gezet. Nadat [medeverdachte] terugkwam van een toiletbezoek zag hij dat verdachte verder was gegaan met het kopiëren en plakken van gebruikersgegevens om ook in te loggen op de website van Cadeau Carrousel en cadeaukaarten van Wehkamp had besteld met gebruikmaking van het emailadres [emailadres] .10 Verdachte heeft naar eigen zeggen veertig of vijftig cadeaukaarten besteld en gebruikte daarvoor de naam [naam 1] .11
De vraag die de rechtbank verder moet beantwoorden is of sprake is van diefstal dan wel verduistering van de vouchers en/of digitale cadeaubonnen, zoals onder feit 3 ten laste is gelegd. Uit het hiervoor besprokene volgt dat [medeverdachte] veelvuldig vouchers heeft aangemaakt en met de daarbij behorende gegevens vervolgens cadeaubonnen heeft besteld. De rechtbank is van oordeel dat sprake is van diefstal van de aangemaakte vouchers en vervolgens de daarmee bestelde cadeaubonnen die, zoals uit de aangifte blijkt, in totaal een waarde van € 97.002,50 vertegenwoordigden. Deze vouchers en de daarmee bestelde cadeaubonnen waren eigendom van Makro, die daarover niet langer de beschikkingsmacht had doordat [medeverdachte] en verdachte met gebruikmaking van de bij die vouchers behorende gegevens cadeaubonnen hebben besteld. Het voormelde bedrag dat aan cadeaubonnen is besteld, is vervolgens ten laste gekomen van Makro.
De rechtbank is van oordeel dat deze diefstal deels in vereniging is gepleegd. Naast [medeverdachte] heeft ook verdachte uitvoeringshandelingen verricht doordat hij door [medeverdachte] middels een valse sleutel verkregen en meegebrachte gebruikersgegevens heeft gekopieerd en geplakt, een fictieve naam en adresgegevens heeft ingevuld en vervolgens cadeaukaarten heeft besteld, zoals hierboven staat beschreven. Mede door zijn handelen zijn aan Makro toebehorende cadeaubonnen uit haar beschikkingsmacht gebracht. Gelet hierop is de rechtbank van oordeel dat verdachte een dusdanige bijdrage heeft geleverd aan de diefstal dat sprake is geweest van een nauwe en bewuste samenwerking, zodat het tenlastegelegde medeplegen is bewezen.
De rechtbank acht het onder 3 primair tenlastegelegde feit aldus wettig en overtuigend bewezen.
Fase 3: verzilveren van cadeaubonnen
Tot slot zijn de cadeaubonnen bij de desbetreffende retailers door [medeverdachte] en verdachte verzilverd en hebben zij voor grote bedragen goederen besteld en op verschillende adressen laten bezorgen.12
.jpg?width=50&height=55)
.jpg?width=50&height=55)
