Juridisch

Zowel Lydis als Yealink kiezen er op een gegeven moment voor om juridische dreigementen te uiten. Ook deze wil ik hier graag behandelen. Het geeft een interessant inzicht in hoe de procedure is verlopen en ik hoop dat het toekomstige beveiligingsonderzoekers kan helpen in hun werk.

Je hoort wel vaker dat ondernemingen er voor kiezen om beveiligingsonderzoekers juridisch zo te bedreigen dat er niet naar buiten getreden wordt. Bedenk hierbij wel dat in de beveiligingswereld het belangrijk is dat er openheid is. Dit is niet alleen van belang zodat het voor iedereen duidelijk is of er beveiligingsproblemen zijn en hoe deze eventueel afgedekt kunnen worden. Maar voor de beveiligingsonderzoeker zelf is het ook van belang om zijn of haar kunnen te laten zien aan de markt.
In het artikel over duurzaamheid hebben we gezien dat de Vulnerability Disclosure Procedure van Yealink ook toegepast wordt door Lydis B.V. En we hebben ook kunnen lezen dat deze procedure vastlegt dat de beveiligingsonderzoeker alle rechten incl. Intellectueel Eigendom overdraagt aan Yealink. Het blijft dus altijd heel erg belangrijk om documenten goed door te lezen. Niet akkoord gaan is altijd een optie!

Op 21-2-2023 krijg ik een email van “Lier”. Zij geeft aan dat zij onderdeel is van Yealink’s data security compliance team. Ze schrijft:

After Yealink communicated with you during this period, as well as the meeting a few days ago, we believe that you have
a relatively deep attainment and level in technical security. As mentioned last time, we would like to hire you as our
security consultant.Lier, member of Yealink's data security compliance team

Ik vraag wat er precies moet gebeuren en diezelfde week antwoordt Lier concreter:

Our T4XU has updated the V3 version, which is planned to be released in March, so we need a professional organization
to test the safety and reliability of it. We know that you have great professional ability in this area, would you like
to assist us in testing?Lier

Ok. Nu wordt het concreet. Dus ik vraag Yealink, een grote beursgenoteerde onderneming, om mij het contract op te sturen zodat ik er naar kan kijken. Op 22-3-2023 komt echter het hoge woord:

Sorry, we have been trying to draft a cooperation agreement these days, but due to our lack of experience in this field,
we may not be able to complete this work well.Lier

Ik geef aan dat ik als kleine, Nederlandse, onderneming niet de mogelijkheid heb om internationale contracten op te stellen en daar blijft dit aanlokkelijke aanbod dan ook bij.

Lydis en Yealink gaan er prat op dat zij volledig aan de AVG voldoen. Dat is in elk geval een mooi streven. Helaas krijg ik op 22 april 2023 een emailconversatie van maanden doorgestuurd. Deze mails bevatten veel persoonsgegevens en prijs afspraken voor bedrijven als Intertrust Netherlands, Gemeente Groningen, Holding Maatschappij Damen B.V. en Etex Group SA.
Ik neem meteen contact op met Yealink dat dit precies de informatie is die ik nodig had voor de aankomende publicatie en of ze bereid zijn meer in te gaan op specifieke vragen.

Ik krijg vrijwel meteen een wat dreigende mail van Lier:

we reserve the right to pursue legal responsibility. Lier, member of Yealink's legal team

Dit is een opvallende email. Niet in het minste omdat Lier ineens van functie is gewisseld. Ik besluit daarom te reageren met:

under Dutch law there is no need to "reserve" the right to pursue legal responsibility. Law is always in effect not just when you ask for it. I think that is the whole reason that I am communicating with your organisation for a few months.
Jeroen Hermans

Voor de zekerheid voeg ik de contactinformatie van mijn onderneming toe aan de email zodat een eventuele reservering voor het voldoen aan de wet niet op de verkeerde plek terecht komt. Lier emailt mij terug dat het allemaal een misverstand is en vraagt mij netjes of ik de gegevens in de email niet wil verspreiden. Ik email haar terug dat ik niet kan ontzien wat ik al gelezen heb, maar dat ik de gegevens in de email niet letterlijk zal verspreiden. We geven elkaar een digitale hand en daar blijft het ook bij. Een melding van een datalek is mij niet bekend.

We gaan inmiddels richting een publicatie. Ik ben geen journalist dus ik heb inmiddels al een aantal maanden meetings met Siem Eikelenboom en Sebastiaan Brommersma van Follow The Money. En zoals het een goede journalist betaamt wordt er om wederhoor gevraagd bij Lydis. Een lid van de directie ************ reageert als door een wesp gestoken naar Follow The Money:

Ik moet eerlijk zeggen dat ik hoop dat FTM zich naar zijn reputatie gaat gedragen en feitelijke juistheid gaat hanteren
en zich niet verlaagt tot beweringen die in de roddelpers thuis horen.
************, directie Lydis B.V.

en:

Ik begrijp dat je   weer mails rondstuurd (sic) maar nu naar klanten van Lydis  ,dit is je goed recht maar wat ik niet
netjes vind dat je sugereerd (sic) dat je de klant  info van Lydis hebt ontvangen?
************, directie Lydis B.V.

Wat dhr. ************ hier vergeet is dat de klantinfo daadwerkelijk van Lydis IS ontvangen. Deze is namelijk trots gepresenteerd op 29 augustus 2023. Tijdens deze presentatie werd op geen enkel moment aangegeven dat deze informatie vertrouwelijk was.

Na maaanden onderzoek, het horen van verschillende experts, waaronder mijzelf en het zelfs langsgaan op kantoor bij Lydis in Almere worden de laatste vragen aan Lydis EN Yealink op 12-9-2023 per email gesteld. Diezelfde dag komt er geen antwoord van Lydis of Yealink. Wat er wel komt is een email van advocaat ************ van Fruytier Lawyers in Business. Hij geeft aan dat:

I personally support FTM with my EUR 11 monthly membership, as I consider free press and in depth journalism as an
important counter balance against government and corporate powers"
************ van Fruytier Lawyers in Business

maar, zo vervolgt hij zijn verhaal, het geven van 2 dagen voor wederhoor vindt hij een “disgrace” en waardig voor een “second tier gossip paper”.
Zo…de toon is nu definitief gezet. Hij geeft aan dat Lydis en Yealink 2 weken nodig hebben om met antwoorden te komen op de vragen. Follow The Money reageert diezelfde dag met de mededeling dat Lydis en Yealink al maanden met mij en FTM in contact staan en dat het reageren op de vragen dus probleemloos binnen de gezette deadline moet lukken.
Tijdens deze emailwisseling merkt FTM op 13-9-2023 op dat Yealink niet alleen op de hoogte is (en dus eenvoudig een antwoord kan formuleren), maar dat Yealink zelfs een PDF document op hun website heeft geplaatst over een van de vragen aan Yealink.

Nu gebeurt er iets interessants. Fruytier Lawyers in Business (advocaat Yealink) reageert niet meer, maar een dag later op 14-9-2023 komt er een aangetekende brief binnen bij de directie van Follow The Money. Deze brief is geschreven door advocaat Mr. ************ van AKD N.V. Deze persoon schrijft aan de directie van FTM dat hij is ingehuurd door Lydis B.V. Deze man zit er bovenop want bij hem “bestaat de indruk dat FTM voornemens is een publicatie te doen over Yealink”.

In de brief word ik zelf en mijn bedrijf meerdere malen aangehaald. Het is duidelijk dat AKD N.V. hier probeert om de geloofwaardigheid van mij aan te tasten. Helaas staat deze brief vol met (halve-) onwaarheden. Zo klopt de tijdlijn niet van het melden door mij en zou het gaan om alleen maar End Of Life (EOL) devices. Ook zou ik mij hebben voorgedaan als wederverkoper van telefoniediensten. Op dat laatste zal ik later nog terug komen.
Op dat moment is duidelijk dat mijn website onder vuur ligt en ik neem de beslissing om deze even een aantal dagen offline te halen om hier een melding op te plaatsen dat er een publicatie aankomt. Aan het niet hebben van een website wordt bijzonder zwaar getild door de advocaat van AKD N.V. Het is in zijn ogen het bewijs dat “Cloudaware een lege huls lijkt te zijn”.

De brief vervolgt met de suggestieve vraag of “FTM haar belangrijkste bron en zijn beweegredenen wel in voldoende mate heeft onderzocht”. De reden van deze bijzondere vraag aan een journalistiek platform wat bekend staat om zijn onafhankelijke berichtgeving is omdat:

Hermans zich onder valse voorwendselen bij Lydis heeft gemeld en Cloudaware geen serieus bedrijf is
Mr. ************ van AKD N.V.

De vraag die zich bij mij opwerpt is of deze beste man wel volledig door zijn client is ingelicht aangezien ik mijn allereerste email aan Lydis op 28 juli 2022 afsluit met:

Aanvullend: mogen we de antwoorden op deze vragen gebruiken voor een publicatie in 2023?
Alvast hartelijk dank.
Jeroen Hermans, CloudAware

FTM wordt door de advocaat “getipt” dat ik mijn onderzoek wel eens niet op eigen initiatief zou kunnen doen, maar dat ik wel eens andere opdrachtgevers kan hebben voor mijn onderzoek. Of in de woorden van AKD: “wellicht een concurrent van Yealink?”.
Nu is het natuurlijk lasterlijk om dit soort zaken aan de directie van een journalistiek platform te sturen.

En dag later op 15-9-2023 worden er twee sommaties per koerier bij mij bezorgd. Ik ben op dat moment niet thuis, dus de sommaties worden in de brievenbus achtergelaten. Het is opvallend dat het er twee zijn aangezien er een gericht is aan de werk-B.V., maar de andere sommatie is aan mij als natuurlijk persoon gericht. So far for it’s strictly business laten we dan maar zeggen.
Om elke mogelijke discussie uit de weg te kunnen gaan over deze documenten heb ik besloten om de sommaties zowel in origineel PDF formaat als in tekst formaat voor SEO online te zetten:
Sommatie AKD N.V. PDF

Het zit Lydis toch niet lekker dat zij mijn publicatie aankondiging een jaar voor de daadwerkelijke publicatie hebben genegeerd. De advocaat van Lydis schrijft in bovenstaande sommatie:

Anders dan u zich had voorgedaan bent u geen (potentiële) klant van Lydis
Mr. ************ van AKD N.V.

Het is een interessant argument. Want het is duidelijk dat ik in mijn email en verschillende interviews heel erg duidelijk ben dat mijn onderzoek gepubliceerd gaat worden.
Maar zelfs als we dat argument eens voor het gedachtenexperiment gaan negeren. Is bovenstaande bewering dan wel zo? Ben ik geen potentiële klant van Lydis? Of ben ik misschien wel al een klant van Lydis…met klantnummer 14355? Een eenvoudige zoekactie in mijn mailbox levert bewijs op dat ik al jaren klant ben van Lydis .

Wederom lijkt de advocaat van Lydis niet helemaal volledig ingelicht te zijn door zijn client.
Maar men kan natuurlijk argumenteren dat Lydis dit even vergeten is in hun uitgebreide klantenbestand. Maar ook dat argument wordt lastig houdbaar als ik zie dat de algemeen directeur van Lydis mij elke maand netjes de nieuwe inkoopprijslijst per email toestuurt.

Maar de advocaat van Lydis deinst er ook niet terug om een daadwerkelijke complottheorie in de sommatie te verwerken. Zo speculeert hij er in de sommatie wild op los over mijn beweegredenen:

Uw acties komen dus niet voort uit oprechte interesse maar vanwege externe opdrachtgevers met hun eigen belangen (Lydis tast in het duister over wie dat zijn (concurrenten, of zoals u zelf aangeeft misschien zelfs inlichtingendiensten uit welk land dan ook?)
Mr. ************ van AKD N.V.

Dit zijn natuurlijk ernstige verdraaiingen van mijn woorden. Uiteraard heb ik van al deze gesprekken audio opnames, dus ik kan met grote zekerheid zeggen dat ik dit soort uitspraken nooit gedaan heb. Maar het geeft aan dat Lydis en haar advocaat alles proberen aan te grijpen om mijn geloofwaardigheid aan te tasten.

Na het lezen van de sommatie die pagina na pagina eerder als een rant leest dan een juridisch document, is het doel van het document mij niet geheel duidelijk. Ik heb op dit moment nog geen eigen advocaat dus ik reageer op de sommatie per email met een aantal vragen. Zo wil ik graag duidelijk hebben wat er nou precies gesommeerd wordt? Om aan een sommatie te kunnen voldoen moet je natuurlijk wel weten wat er gevraagd wordt. En met de bewering dat ik een geheim agent ben kan ik juridisch gezien gewoon heel weinig mee. En dus vraag ik of ik het correct zie als er vier zaken gesommeerd worden:

1. Ik mag niet zelf publiceren
2. Ik moet FTM bewegen om niet te publiceren
3. Ik moet mijn opdrachtgevers prijs geven
4. Ik moet mijn beweegredenen prijs geven

Over 1) kan ik kort zijn: ik heb (op dat moment) geen intentie om zelf te gaan publiceren. Wat 2) betreft: daar heb ik op dat moment weinig invloed meer op. En 3) en 4) zijn zaken die ik nogal privé vind.

Helaas antwoordt de advocaat van Lydis nooit op mijn email en ik weet tot op de dag van vandaag niet 100% zeker of dit inderdaad de vier zaken zijn die Lydis van mij sommeerde.

Dit is ook het moment waarop ik zelf een advocaat in de hand heb genomen. Deze advocaat reageert naar de advocaat van Lydis dat wij geen reden zien om op de sommatie te reageren. Er komt een korte reactie terug in het weekend:

Geachte confrère,

Dank voor uw e-mail.

Het bericht maakt duidelijk dat aan de zijde van Hermans geen bereidheid bestaat om op enige wijze aan de sommatie gevolg te geven.

Lydis zal dan ook nadere juridische stappen tegen Epsys BV en de heer Hermans in persoon (ook los van zijn rol als bestuurder overigens) voorbereiden.
Mr. ************ van AKD N.V.

Dit zal dan ook het laatste zijn wat ik van deze advocaat hoor. Hierna blijft het maandenlang stil… Zo dacht ik. Maar in werkelijkheid heeft Lydis besloten om op hun website, presentaties en in vakbladen uitgebreid in te gaan op mijn onderzoek, mijn bedrijf en mijzelf. Ik krijg vragen uit de industrie over mijn “fouten” in het onderzoek. Mijn reputatie is heel belangrijk en ik besluit dat ik niet anders kan dan naar buiten te gaan treden met het echte, volledige, verhaal.
Het leidt tot deze publicatiereeks en een hernieuwd contact met Lydis. Naar aanleiding van de Teams meeting op 14 februari 2024 geeft de technisch directeur van Lydis aan dat:

We zijn van mening dat we volledig transparant zijn in het delen van informatie
technisch directeur Lydis

Ik reageer dat dat mooi is, want ik ben eigenlijk wel heel erg benieuwd naar die “ Afhankelijke beveiligingstest door toonaangevende laboratoria ” mirror .

Een van deze testen heeft het concreet over de T54W VoIP telefoon:

Bijvoorbeeld de T54W, waarvan het rapport liet zien: 'Dat er geen kwetsbaarheden werden ontdekt

Dat is een interessante uitspraak, want in een eerder artikel hebben we natuurlijk gezien dat juist deze telefoon ernstige beveiligingsproblemen heeft laten zien.

We zijn inmiddels een maand verder, maar blijkbaar heeft ook Lydis nog steeds geen inzage gekregen in deze rapporten. De technisch directeur van Lydis geeft op 8 maart 2024 aan: “Zoals aangegeven hebben we de vraag voor meer informatie, over pentestrapporten en AVG-certificaat bij Yealink neergelegd”. Het trots oreren over de security zonder ook zelf inzage te hebben in de rapporten kan ik alleen maar slordig noemen. Als we in de redenatie meenemen dat dit een firma is met “70% marktaandeel” bij onder andere banken, politie, het OM en “de AIVD” dan zou ik eerder verwachten dat dit soort documenten in Almere op de plank zouden liggen.
Ook de vraag waarop de AVG/GDPR claims op hun website en in presentaties op gebaseerd zijn is na meer dan een maand nog steeds niet beantwoord.

Maar gelukkig vind op 19 maart 2024 een Q&A webinar plaats. Dat is mooi, want ik ben eigenlijk wel benieuwd naar de A en misschien ook nog wel een Q. Ik meld mij netjes aan en op dinsdagochtend zit ik met mijn kop koffie klaar voor het webinar. Maar… niet geheel onverwachts:

Ik word niet toegelaten in dit Q&A webinar. Tot zo ver de beloofde transparantie van Lydis. Het maakt maar weer eens duidelijk dat het controleren en dubbel checken van alles wat er gezegd wordt van groot belang is.

In het volgende artikel gaan we het over de aanpak van mijn onderzoek hebben. Wat zijn belangrijke methoden gebleken? Zijn er tools gebruikt die handig waren? Hoe zijn de aanvallen op mijn website gemitigeerd?

Tot dinsdag!