image

IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

woensdag 24 juni 2020, 12:24 door Arnoud Engelfriet, 35 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat twee mannen zijn veroordeeld voor het manipuleren van hun ov-chipkaart zodat ze anderhalf jaar gratis konden reizen. Nu krijgt TLS ook 15.000 schadevergoeding van ze, maar dat is gebaseerd op 660 enkele reizen. Het is toch veel logischer om de schade te berekenen als wat er écht misgelopen is, en dat zou hier toch eerder een Altijd Vrij abonnement of een trajectkaart zijn geweest?

Antwoord: Hoewel het om een strafzaak gaat, is de claim van Trans Link Systems gewoon een burgerlijke schadeclaim. Dat kan, je kunt je voegen in de strafzaak als je benadeeld bent door het strafbare feit. Zo hoef je niet een aparte rechtszaak op te starten om je schade te claimen, want als vaststaat dat iemand strafbaar handelde dan kan in principe jouw daardoor geleden schade zo worden toegewezen.

Je moet natuurlijk nog wel bewijzen dát je schade hebt geleden, dat de dader die behoort te vergoeden en hoe veel schade het dan precies is. Dat TLS schade lijdt door zwartrijden, lijkt me niet zo moeilijk. De bedoeling is dat mensen betalen voor hun reis, wie dat niet doet die a) ontzegt TLS geld voor dienstverlening en b) ondermijnt het systeem van openbaar vervoer. Dus dat je moet gaan betalen, spreekt voor zich.

Alleen: hoe groot is de schade dan precies? Omdat het zo’n fors en afgerond bedrag lijkt, voelt het als een verkapte straf: betaal maar een flink bedrag, dat zal je leren. Maar zo werkt dat niet in het schadevergoedingsrecht, schade moet worden onderbouwd. Zo verloor overheidsautomatiseerder ICTU ooit een schadeclaim van een klein half miljoen: zij had voor het gemak de upgrade van het gehele netwerk meegerekend als schade als gevolg van een ddos aanval. Alleen de noodkosten (bereddering) moesten de ddos-kabouters vergoeden.

Bij het OV is dat iets makkelijker: we wéten wat een treinritje kost, meer specifiek wat de reis Alkmaar-Utrecht destijds kostte die de twee heren namen met hun vervalste kaart. Bepaal het aantal keer dat men zwart reed (heen en terug, het was woon-werkverkeer), vermenigvuldig dat met de prijs van een kaartje (enkeltje Alkmaar-Utrecht: 28 euro, in de relevante periode) en je hebt de schade.

Maar ho, zo lees ik dan: het is toch veel goedkoper om bij zulk frequent reisverkeer een trajectkaart te nemen of misschien zelfs een Dal Vrij of Altijd Vrij-abonnement? En ja, dat is zo natuurlijk. Als je netjes kaartjes koopt, dan kun je doorrekenen wat het goedkoopste abonnement of traject is en daar de prijs op afstemmen.

Bij een onrechtmatige daad worden dat soort argumenten echter buiten beschouwing gelaten. De veroorzaker van de schade kan zich niet op voordeel beroepen dat in een onderhandeling verkregen zou zijn. Stel je kopieert iemands foto zonder toestemming, en de normale licentieprijs was 250 euro. Dan wil ik graag geloven dat jij er de helft vanaf had gekregen, of zelfs dat de fotograaf bijna altijd mensen 50% korting geeft. Maar feit blijft dat de prijs van die foto dan 250 euro was, en dan gaan we niet je 50% korting geven omdat dat gebruikelijk is of voor de hand ligt of zo.

Of nog simpeler: je laat in de Albert Heijn drie flessen cola leeglopen. Dat is vernieling. De normale prijs is EUR 2,20 maar toevallig zijn ze in de bonus: 2+1 gratis. Ik zou dan zeggen: leuk en aardig maar je hebt drie keer een fles vernield, dus drie keer 2,20 betalen. Niet slechts 2 keer omdat je bij het kopen van de cola ook een gratis fles zou hebben gekregen. Je moet elke fles apart bekijken.

Voor dat zwartrijden zeggen we dus ook: de schade is de prijs van het kaartje enkele reis, zonder kortingen, abonnementen of vrij reizen op welke wijze dan ook. Dat kun je regelen als je kaartjes koopt. Of, iets anders bekeken: je hebt 330 dagen twee maal per dag zwart gereden, dat zijn dus 660 zwartritjes – 660 onrechtmatige daden die je apart van elkaar afrekent. Je krijgt geen korting op de schadevergoeding omdat je váák iemand schade berokkent.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (35)
24-06-2020, 12:44 door Anoniem
Je krijgt geen korting op de schadevergoeding omdat je váák iemand schade berokkent.
Wel logisch op zich.

Hoe werkt dit als er meerdere manieren zijn om iets te verkrijgen? Stel er wordt een film gedownload, en die wordt door de downloader 10* bekeken (verder met niemand gedeeld!)
Een keer on-line bekijken kost 5 euro, 10* kijken kosten 50 euro.
De DVD kopen kost 20 euro, kijken is onbeperkt

Wat zou dan de schade zijn?
24-06-2020, 13:10 door Anoniem
Dat TLS schade lijdt door zwartrijden, lijkt me niet zo moeilijk.
Volgens mij zijn het de vervoersbedrijven en niet TLS die schade lijden door wel de dienst leveren en er niet voor betaald worden.

Dus de NS in dit geval. Dus zou ik zeggen, ik verwacht dat de NS die claim maakt.

De bedoeling is dat mensen betalen voor hun reis,
Of dat een goed idee is, is een tweede, en is uiteindelijk een politieke keuze. Die is nu zo gemaakt maar kan evengoed anders gemaakt worden.

wie dat niet doet die a) ontzegt TLS geld voor dienstverlening en b) ondermijnt het systeem van openbaar vervoer.
a) welke dienstverlening en b) dat doet TLS zelf ook al, hebben ze onze hulp niet bij nodig.

Trouwens, het hele door de politiek gewenste "marktdenken" dat zo opzichtig niet functioneert ondermijnt het systeem van openbaar vervoer ook. Bijvoorbeeld door een wildgroei van niet-TLS streekgebonden streekbuskaartjes om toch maar de dagjesmensen niet te verliezen. Hoezo systeem?

Dus dat je moet gaan betalen, spreekt voor zich.
Dat denk ik dus net even niet, want dat hangt aanelkaar van (politieke) keuzes. Vergelijk plekken waar ze gewoon algeheel "gratis" openbaar vervoer hebben ingesteld. Ik ben vergeten welke stad in Duitsland kostte het twaalf miljoen euro per jaar om het systeem zonder kaartjes in de lucht te houden, maar het leverde twintig miljoen per jaar aan extra belastingopbrengsten elders op.

Dit in tegenstelling tot de ov-faalkaart, die na invoering best succesvol genoemd werd. Namelijk, het zwartrijderspercentage was gehalveerd! Mooi man. van 10% naar 5% in Amsterdam, van 8% naar 4% in Rotterdam, en van 1% naar 0,5% in de streekbussen. Maar wacht even, in Zeelandse streekbussen was het totaal aantal passagiers met een kwart(!) gedaald sinds de invoering van de kaart. Want het gedoe en de kosten van de ov-faalkaart was een hoop dagjesmensen gewoon teveel. Tel uit je winst. Oftewel, je kan met zo'n systeem ook heel goed je eigen glazen ingooien en veel grotere schade berokkenen dan wat twee jongens in twee jaar tijd onbetaald verreizen.

Dus dat je moet gaan betalen is afhankelijk van politieke keuzes. In dit geval zijn de politieke keuzes "naai de reiziger" dus ja, in TLS-land zal je wel moeten betalen, of je wil of niet.

Ik weet niet wat TLS vangt per keer dat er een kaartje over een lezer gehaald wordt maar wat mij betreft zijn ze al meer dan voldoende betaald met de zeven euro vijftig die ze vragen voor het kaartje met precies dezelfde chip erin als de Londense Oystercard, en die stelt hun kaartje voor nop ter beschikking, en vraagt ook nog eens geen "administratiekosten" om je jouw eigen saldo terug te geven. TLS wel, en ze schuiven ook nog eens de niet-geclaimde saldi van "verlopen" kaarten in de eigen zak -- gelegaliseerde diefstal, wat mij bedreft. Ook dat betaalt de reiziger.

Dus nee, ik denk niet dat het automatisch voor zich spreekt. Verre van, zelfs. Al geef ik toe dat daar politieke keuzes aan ten grondslag liggen, deels slecht houdbare politieke keuzes, en dat maakt "recht"spreken vrij lastig. Want je kan je strikt aan de regeltjes houden, maar hoe redelijk is dat dan nog?

Alleen: hoe groot is de schade dan precies?
Er komt hier wel nog bij dat TLS willens en wetens laks is geweest met de beveiliging van die kaarten want ze gingen er publiekelijk prat op dat ze alle fraude toch wel zouden kunnen herkennen. En dus afrekeken. Maar dat gebeurt niet, dus, wat kunnen ze wel? Waarom kunnen ze niet gewoon een gespecificeerde rekening overleggen?

Omdat het zo’n fors en afgerond bedrag lijkt, voelt het als een verkapte straf: betaal maar een flink bedrag, dat zal je leren. Maar zo werkt dat niet in het schadevergoedingsrecht, schade moet worden onderbouwd.
Kennelijk heeft de rechter toch voor die verkapte straf gekozen. En zoals je zelf zegt, als je er met de pet naar gooit kan je claim ook maar gewoon afgewezen worden. Nu dus niet, ondanks duidelijke aanleiding dat wel te doen gezien onduidelijke onderbouwing en kennelijke onwil om die onderbouwing alsnog aan te leveren. Staat er ergens een motivatie in het vonnis?
24-06-2020, 14:28 door Anoniem
ik kan me nog herinneren dat TLS en de overheid en de NS beweerden dat de OV CHIP onkraakbaar was.
toen philips semiconductors of NXP aangaven dat ze de meest aftandse chip gebruikten voor de OV CHIP was het al gedowngrade naar 'kans is miniem en anders detecteren we dat instant.

mag je dan nog wel iemand veroordelen voor iemand die tot 2 maal toe het tegendeel bewijst?

Doet me herinneren aan een bankdirecteur van een lokale bank toen ik 8 jaar oud was die zei dat niemand kon inbreken in zijn bank en dat ik het best mocht proberen, ben je dan nog strafbaar? Tis geen verklaring zwart op wit, maar 60 getuigen kunnen toch ook aardig meetellen?
24-06-2020, 14:42 door Anoniem
Wij zouden juist een schadeclaimt moeten indienen om dat er een ondeudelijk product wordt geleverd en dat ook nog eens gedwongen moeten gebruiken.
24-06-2020, 15:00 door Anoniem
Door Anoniem:
Dat TLS schade lijdt door zwartrijden, lijkt me niet zo moeilijk.
Volgens mij zijn het de vervoersbedrijven en niet TLS die schade lijden door wel de dienst leveren en er niet voor betaald worden.

Dus de NS in dit geval. Dus zou ik zeggen, ik verwacht dat de NS die claim maakt.
Nee, de schade is wel degelijk ontstaan bij TLS, dat staat expliciet in het vonnis.

De verklaring is dat TLS alle transacties afhandelt, zowel het laden van saldo op kaarten als het afschrijven van reizen. Kijk maar op je rekeningafschrift als je een OV-chipkaart gebruikt, bij opladen is de tegenpartij TLS. TLS maakt de vergoedingen voor de gemaakte reizen over aan de vervoerbedrijven.

Ik vermoed dat NS keurig de vergoedingen van TLS heeft ontvangen, maar dat door de manipulaties van de twee TLS zelf het laden van saldo op de kaarten misliep. Dan is het wel degelijk TLS dat benadeeld werd.
24-06-2020, 16:18 door Anoniem
Wat als de handige knutselaars een jaartrajectabonnement op de kaarten geladen hadden? Moet je dan van zoveel gemaakte reisjes uitgaan, of is de schade dan dat er wel van een abonnement sprake was maar er niet voor betaald werd?

Aangenomen dat TLS wel de werkelijk gemaakte reizen kan ophoesten, wat ze blijkens maar wat moeilijk vinden.

En hoe zit het met de kosten van het vervangen van geblokkeerde kaarten? Aangezien wietdealers een (illegaal) vuurwapen wel als arbeidsmiddel mogen aftrekken in de verdienstenberekening lijkt het me dat je dat hier ook wel mag.
24-06-2020, 16:43 door Anoniem
Door Anoniem: ik kan me nog herinneren dat TLS en de overheid en de NS beweerden dat de OV CHIP onkraakbaar was.
toen philips semiconductors of NXP aangaven dat ze de meest aftandse chip gebruikten voor de OV CHIP was het al gedowngrade naar 'kans is miniem en anders detecteren we dat instant.

mag je dan nog wel iemand veroordelen voor iemand die tot 2 maal toe het tegendeel bewijst?

Ja natuurlijk wel.

Al die kutnerds moeten eens leren dat het feit dat het _kan_ geen vrijbrief is om het te _doen_ - en niet als demonstratie maar gewoon een jaar lang zwartijden.

Tasjes roven van oma'tjes in een rolstoel is ook makkelijk. Mag ook niet.

Een beetje lockpicker maakt 99% van de huizen/fietsen/scooters/auto's zo open. Dat het kan is geen excuus of vrijbrief om te stelen.
24-06-2020, 19:19 door Anoniem
Maar ho, zo lees ik dan: het is toch veel goedkoper om bij zulk frequent reisverkeer een trajectkaart te nemen of misschien zelfs een Dal Vrij of Altijd Vrij-abonnement? En ja, dat is zo natuurlijk. Als je netjes kaartjes koopt, dan kun je doorrekenen wat het goedkoopste abonnement of traject is en daar de prijs op afstemmen.

Maar dat is helemaal niet relevant want dat is niet wat ze hebben gedaan! Ze hebben iedere dag een losse reis geboekt met hun gekraakte OV chip kaart, en TLS heeft het DAAR BIJ BEHORENDE bedrag naar NS overgemaakt als vergoeding van die reis. Dus DAT geld is TLS nu kwijt, niet het geld van een abonnement.

Dat NS de reis ook goedkoper had kunnen aanbieden is niet relevant, dan hadden ze maar wat langer moeten puzzelen een een "reisproduct kortingkaart" of "reisproduct trajectabonnement" op die kaarten moeten laden. Dan was het misschien een ander verhaal geweest.
24-06-2020, 20:31 door Anoniem
Door Anoniem: Ze hebben iedere dag een losse reis geboekt met hun gekraakte OV-chipkaart, en TLS heeft het DAARBIJBEHORENDE bedrag naar NS overgemaakt als vergoeding van die reis. Dus DAT geld is TLS nu kwijt, niet het geld van een abonnement.
Dan zou je toch zeggen, dan kan TLS een gespecificeerde rekening overleggen?
24-06-2020, 20:35 door Anoniem
Door Anoniem:

[..]
En hoe zit het met de kosten van het vervangen van geblokkeerde kaarten? Aangezien wietdealers een (illegaal) vuurwapen wel als arbeidsmiddel mogen aftrekken in de verdienstenberekening lijkt het me dat je dat hier ook wel mag.

Je moet wat wetgeving uit elkaar houden.

Fiscale rechten en plichten zijn niet hetzelfde als civiele schadevergoedingsrechten en plichten.

De crimineel mocht geen vuurwapen aftrekken van een schadevergoeding, maar mocht wel bedrijfsonkosten ten laste brengen van de door de BD geschatte bedrijfswinsten - voor de _fiscale_ naheffing.
Mooi consequent. Ik weet trouwens niet of dat nog steeds mag, dat soort onkosten aftrekken. (steekpenningen e.d. waren meen ik ook gewoon onkosten )

Een civiele schade die jou toegerekend wordt, moet je gewoon betalen . Het hele idee is dat de schade 'ongedaan' gemaakt wordt door de veroorzaker - voor zo ver mogelijk, en voor het deel dat jouw schuld is. Daar is dus niks van af te trekken.

En de fiscus claimt z'n deel van winst na aftrek van bedrijfsonkosten. Of z'n deel van de winst van het fictieve rendement op vermogen. Deze makkers betalen komend jaar dus waarschijnlijk wat minder Box 3 heffing wegens een gedaald vermogen.
24-06-2020, 21:29 door Anoniem
Door Anoniem: Een civiele schade die jou toegerekend wordt, moet je gewoon betalen . Het hele idee is dat de schade 'ongedaan' gemaakt wordt door de veroorzaker - voor zo ver mogelijk, en voor het deel dat jouw schuld is. Daar is dus niks van af te trekken.
"[E]n voor het deel dat jouw schuld is" zegt dan gelijk weer dat vervangingskosten van je moedwillig door TLS geblokkeerde kaartjes wel mag aftrekken, want dat hebben zij gedaan en ze berokkenen jou daar schade mee. Of is het puur eenrichtingsverkeer?
24-06-2020, 23:27 door Anoniem
Door Anoniem:
Door Anoniem: Een civiele schade die jou toegerekend wordt, moet je gewoon betalen . Het hele idee is dat de schade 'ongedaan' gemaakt wordt door de veroorzaker - voor zo ver mogelijk, en voor het deel dat jouw schuld is. Daar is dus niks van af te trekken.
"[E]n voor het deel dat jouw schuld is" zegt dan gelijk weer dat vervangingskosten van je moedwillig door TLS geblokkeerde kaartjes wel mag aftrekken, want dat hebben zij gedaan en ze berokkenen jou daar schade mee. Of is het puur eenrichtingsverkeer?

Als je meent dat jou onrechtmatig schade is toegebracht kun je dat proberen te verhalen ja.
Dat zul je dan de rechter moeten vragen - meestal nadat je klacht erover bij de tegenpartij zelf afgewezen is.
Procederen staat vrij. (staat vrij, niet 'is vrij' . Je betaalt griffierecht).

"Het deel dat jouw schuld is" - dat is een algemene opmerking , omdat rechters nog wel eens een deel van geclaimde schade niet toewijzen. Je zag dat in het vonnis van de klant die z'n IT dienstverlener aansprakelijk stelde voor schade door ransomware dat recent langskwam. Daar besloot de rechter dat de geleden schade voor 2/3 te te wijten was aan de IT partij, en voor 1/3 aan de klant zelf te wijten was.

Ik geef het weinig kans, want ik verwacht dat acties van Translink qua blokkade voldoen aan de algemene voorwaarden waar je accoord mee ging toen je een verbintenis met ze aanging. In dat geval is jouw 'schade' niet onrechtmatig en dus niet verhaalbaar.
25-06-2020, 02:13 door Anoniem
Door Anoniem:
Je krijgt geen korting op de schadevergoeding omdat je váák iemand schade berokkent.
Wel logisch op zich.

Hoe werkt dit als er meerdere manieren zijn om iets te verkrijgen? Stel er wordt een film gedownload, en die wordt door de downloader 10* bekeken (verder met niemand gedeeld!)
Een keer on-line bekijken kost 5 euro, 10* kijken kosten 50 euro.
De DVD kopen kost 20 euro, kijken is onbeperkt

Wat zou dan de schade zijn?

Makers van DVD's gebruiken regional-codes om internationale markten te compartimentaliseren. Hierdoor wordt vrij handelen ingedamd voor winstbejag. Als dit niet zou bestaan, wat zou de prijs van de DVD dan zijn?

En kan ik deze schade verhalen op de filmproducenten?
25-06-2020, 09:09 door Anoniem
Wat een onzin. Er is helemaal geen sprake van 'onderhandeling'. Deze trajectkaartjes worden aangeboden tegen een vaste en bekende prijs. Geen mens koopt losse kaartjes, dus van een fictieve schade met losse kaartjes is ook geen sprake. Op deze manier zou je een ultraduur uitzonderingskaartje kunnen maken dat je alleen aanroept voor dit soort situaties. Geen boete, maar toch een kaartje moeten kopen van 5 ton. Alle andere kaartjes waren immers kortingskaartjes uit 'onderhandeling'.
25-06-2020, 09:10 door Anoniem
We negeren het verschil tussen schade en winstverlies voor het gemak?
25-06-2020, 09:53 door Anoniem
Naar mijn mening is de schade alleen het totaal aan onbetaalde reisbewegingen.
Ze hadden naar mijn mening beter kunnen onderhandelen over een vergoeding voor het melden van de kwetsbaarheid. Misschien hadden ze wel onbeperkt gratis kunnen reizen.
25-06-2020, 10:30 door Anoniem
Door Anoniem: Ik geef het weinig kans, want ik verwacht dat acties van Translink qua blokkade voldoen aan de algemene voorwaarden waar je accoord mee ging toen je een verbintenis met ze aanging. In dat geval is jouw 'schade' niet onrechtmatig en dus niet verhaalbaar.
De overheid heeft gebruik van de ov-faalkaart verplicht gesteld, en TLS is daarmee monopolist, en heeft dus "aanmerkelijke marktmacht". Daarmee is accoord gaan met die algemene voorwaarden niet vrij meer te noemen, oftewel daar hoort uitgebreide rechtsbescherming bij. Nu ben ik geen jurist maar gewoon zeggen "ja haha algemene voorwaarden" is te makkelijk vanwege monopolist. Kan best dat ze er wel gewoon mee wegkomen maar dan hebben we een raar gat in de wetgeving, aangezien hun algemene voorwaarden de facto kracht van een wet krijgen vanwege die verplichtstelling van overheidswege. Dus dit is wel een leuk onderwerp voor een aankomend jurist om uit te zoeken.

En als dat kapot te krijgen is, wellicht is die 7,50 dan ook wel terug te vorderen, voor alle verplichte betalers. Want die kosten maak je zuiver en alleen voor TLS zijn belang, niet omdat jij als reiziger er wat voor terugkrijgt. Het ding bestaat namelijk om een soort faux-"marktwerking" mogelijk te maken waarin de reiziger geen marktmacht is, maar de consessie-uitdeler, oftewel de overheid.
25-06-2020, 10:45 door Anoniem
Door Anoniem: Naar mijn mening is de schade alleen het totaal aan onbetaalde reisbewegingen.
Ze hadden naar mijn mening beter kunnen onderhandelen over een vergoeding voor het melden van de kwetsbaarheid. Misschien hadden ze wel onbeperkt gratis kunnen reizen.

De profiteurs hebben niks ontdekt en niks gepresteerd. De kraak van Mifare was al gedaan, was gepubliceerd en was bekend.
Ze hebben alleen de zwakheid _gebruikt_ . En zijn gepakt, gestraft en moeten daarnaast alsnog betalen voor hun reizen.

Geef vooral je huisraad mee aan een Roemeen die 'ontdekt' dat je voordeurslot te kerntrekken is - dat heeft ie blijkbaar verdiend omdat jij maar een veel beter slot had moeten gebruiken.
25-06-2020, 13:49 door Anoniem
Door Anoniem: Wat een onzin. Er is helemaal geen sprake van 'onderhandeling'. Deze trajectkaartjes worden aangeboden tegen een vaste en bekende prijs. Geen mens koopt losse kaartjes, dus van een fictieve schade met losse kaartjes is ook geen sprake. Op deze manier zou je een ultraduur uitzonderingskaartje kunnen maken dat je alleen aanroept voor dit soort situaties. Geen boete, maar toch een kaartje moeten kopen van 5 ton. Alle andere kaartjes waren immers kortingskaartjes uit 'onderhandeling'.

Nogmaals, ik heb dit al eerder aangegeven, ZIJ HEBBEN WEL LOSSE KAARTJES GEKOCHT!
Althans gedaan alsof. TLS is alleen een betaalprovider, die hebben de opdrachten die met frauduleuze kaarten gegeven
zijn uiteraard doorbetaald aan NS. TLS gaat echt niet zeggen "hee er reist iemand 2 jaar met losse kaartjes nou die had
ook een abonnement kunnen nemen" en dan de kosten van een abonnement aan NS betalen. Natuurlijk niet.
Dus de schade voor TLS is gewoon die van losse kaartjes. Niks meer en niks minder.

Wat kennelijk wel een probleem was, was dat deze mensen niet met 2 kaartjes 2 jaar bezig zijn geweest, maar regelmatig
weer nieuwe kaartjes moesten hacken omdat de oude geblokkeerd waren ivm gedetecteerde fraude. Daardoor is
het nu lastig om precies te bepalen welke kaartjes zij gebruikt hebben en wat dus het precieze schadebedrag is.
Dan mag TLS wel wat aannames gaan doen vind ik, ze hadden ook een sluitende specificatie van hun reizen of de
bij de fraude gebruikte gebruikte kaartjes kunnen overhandigen zodat een exacte telling te maken was.
(met uiteraard de voorwaarde dat het inleveren van een incomplete set apart bestraft wordt)
26-06-2020, 11:27 door Anoniem
Door Anoniem:

[..]
Wat kennelijk wel een probleem was, was dat deze mensen niet met 2 kaartjes 2 jaar bezig zijn geweest, maar regelmatig
weer nieuwe kaartjes moesten hacken omdat de oude geblokkeerd waren ivm gedetecteerde fraude. Daardoor is
het nu lastig om precies te bepalen welke kaartjes zij gebruikt hebben en wat dus het precieze schadebedrag is.
Dan mag TLS wel wat aannames gaan doen vind ik, ze hadden ook een sluitende specificatie van hun reizen of de
bij de fraude gebruikte gebruikte kaartjes kunnen overhandigen zodat een exacte telling te maken was.
(met uiteraard de voorwaarde dat het inleveren van een incomplete set apart bestraft wordt)

Bij een civiele zaak stel je iets, met enige onderbouwing en als dat door de tegenpartij ('niet, althans onvoldoende') wordt weersproken wordt het gestelde door de rechter aangenomen.
(als je dat vonnis tussen de IT dienstverlener en klant leest zie je telkens dit soort zinsneden
[gedaagde] heeft hiermee de stelling van O’Cliance dat zij als gevolg van de ransomware-aanval enige tijd buiten bedrijf is geweest en daarmee een bedrag van € 8.080,00 aan omzet is misgelopen, onvoldoende gemotiveerd betwist.

Ik heb het TL vonnis niet gezien.
Maar het is heel wel mogelijk dat ze een patroon aan reizen laten zien, en stellen dat iets van 220 werkdagen in jaar * 2 reizen per dag gemaakt zijn.
Dan is het aan de tegenpartij om te motiveren dat er veel minder zwart gereisd is wegens lift van collega/thuiswerkdag of whatever.

Je moet echt geen CSI fantasieën hebben voor bewijs en onderbouwing in civiele zaken - als een partij iets stelt met enige ondersteuning en je zet er niks anders tegenover dan "nietus" ga je gewoon nat.
26-06-2020, 12:17 door Anoniem
Maar is probleem al verholpen of wordt er alleen gestraft? Want dan heb je een cultureel probleem met je bedrijf cq organisatie.
26-06-2020, 12:27 door Anoniem
Door Anoniem: Je moet echt geen CSI fantasieën hebben voor bewijs en onderbouwing in civiele zaken - als een partij iets stelt met enige ondersteuning en je zet er niks anders tegenover dan "nietus" ga je gewoon nat.
Maar als je kijkt naar wat TLS zelf zoal gecommuniceerd heeft, in de trant van "we weten je toch wel te vinden, we zien alles", dan is het heel raar dat ze zo met natte vingerwerk in de weer zijn. En oh ja, ze kwamen met een eis van 30k die ze verder niet wilden onderbouwen. Wat ook heel raar is, en dus weersproken werd met "zoveel hebben we niet gereisd hoor".
26-06-2020, 12:33 door Anoniem
Door Anoniem:
Door Anoniem: ik kan me nog herinneren dat TLS en de overheid en de NS beweerden dat de OV CHIP onkraakbaar was.
toen philips semiconductors of NXP aangaven dat ze de meest aftandse chip gebruikten voor de OV CHIP was het al gedowngrade naar 'kans is miniem en anders detecteren we dat instant.

mag je dan nog wel iemand veroordelen voor iemand die tot 2 maal toe het tegendeel bewijst?

Ja natuurlijk wel.

Al die kutnerds moeten eens leren dat het feit dat het _kan_ geen vrijbrief is om het te _doen_ - en niet als demonstratie maar gewoon een jaar lang zwartijden.

Tasjes roven van oma'tjes in een rolstoel is ook makkelijk. Mag ook niet.

Een beetje lockpicker maakt 99% van de huizen/fietsen/scooters/auto's zo open. Dat het kan is geen excuus of vrijbrief om te stelen.

Kutnerds? Whaha wat ben jij dan. Een baasje? Je projecteert naar buiten.

Dat van die lockpickers en 99% van de sloten klopt ook niet. Ik hebn 5 jaar intensief met lockpickers en kluizenkrakers opgetrokken toen het nog helemaal niet bekend was in Nederland. Toen had je Toool nog niet. En ook geen lockpicking op jullie hackmeets. Op NE2000 toen we dit event organiseerden (RIP Hans trouwens, veel te vroeg gestorven kerel) brachten we dit in naar goed voorbeeld van ads Duitsers.

Dat waren nog eens tijden, de jaren daarvoor toen de bumpkey werd ontdekt (door andere lockpickers) en NEMEF stilletjes werd benaderd maar zij alles behalve blij waren met de "bug" in al hun Eurocylinders want hun ze wisten nog geen oplossing hiertegen (shroom pins bijv). Toen was de boodschapper de gebeten hond, hetzelfde verhaal als hier. Beloning? Ho maar. Sommige bedrijven of organisaties zitten helemaal niet te wachten op het nieuws dat hun zooi lek is. Dat betekent ook dat hun product dus beter kan en zodra de kennis er niet is of het geld gaat kosten wat dan? Men wilde het aanvankelijk stil houden en varen op die antiboor politiekeurmerken als indicatie van veiligheid van Uw huis. Alles om het geld.
26-06-2020, 12:38 door Anoniem
Voor 660 euro zet TLS zichzelf negatief in het nieuws. Dat bereikt misschien een half miljoen mensen bewust of onbewust... zal zijn verdere effect in de toekomt nog wel hebben.

Omgekeerd:

Zodra je 1 rechtszaak start tegen een interessant bedrijf of bijv overheid dan krijg je automatisch legitimiteit door de weg die je bewandelt. Er zijn zat mensen die een scanner hebben lopen op sleutelwoorden op de site van Rechtspraak. Let maar op dan zie je het ook.
26-06-2020, 14:41 door Anoniem
Door Anoniem: Maar is probleem al verholpen of wordt er alleen gestraft? Want dan heb je een cultureel probleem met je bedrijf cq organisatie.
Het misbruik is bestraft. Het misbruik is geen probleem van het bedrijf maar van de misbruikers, die gaan het wellicht niet meer doen nu dus dat "heeft geholpen".
Misschien zijn er zelfs wel anderen die het nu niet gaan doen of die er gauw mee stoppen, nog beter.

Mocht je willen hinten dat oplossen alleen is dat er een perfect beveiligd systeem gemaakt wordt: NEE dat is niet te oplossing die de voorkeur heeft. Dat is een wapenrace en dat is niet gewenst. Als er een oma beroofd is ga je ook niet roepen dat oma's moeten zorgen voor verdedigingsmiddelen. Dat is niet hoe een echte samenleving werkt (hooguit in een IT hoofd).
26-06-2020, 15:28 door Anoniem
Door Anoniem:
Door Anoniem: Maar is probleem al verholpen of wordt er alleen gestraft? Want dan heb je een cultureel probleem met je bedrijf cq organisatie.
Het misbruik is bestraft. Het misbruik is geen probleem van het bedrijf maar van de misbruikers, die gaan het wellicht niet meer doen nu dus dat "heeft geholpen".
Lekkere logica.

Mocht je willen hinten dat oplossen alleen is dat er een perfect beveiligd systeem gemaakt wordt: NEE dat is niet te oplossing die de voorkeur heeft. Dat is een wapenrace en dat is niet gewenst.
Hallo? TLS heeft meermaals expliciet gepocht dat ze zo goed beveiligd waren. En toen dat niet waar bleek, dat ze alle misbruik "toch wel" zouden zien. Kennelijk ook niet want een gespecificeerde rekening zit er niet in, hebben we net gezien. Ze moeten maar schatten en hebben daar ook al geen zin in dus verzinnen ze een bedrag dubbel zo hoog als wat de rechter uiteindelijk redelijk acht.

Weet je, als je je huis laat leegjatten moet je dat zelf weten. Maar als je aangifte doet zal de politie je ook raar aankijken als blijkt dat je nooit je deur op slot hebt. En als je wil dat de verzekeraar betaalt voor schade door braak en diefstal zullen die dat niet doen als blijkt dat je zelf met de pet naar de beveiliging gegooid hebt.

Als er een oma beroofd is ga je ook niet roepen dat oma's moeten zorgen voor verdedigingsmiddelen. Dat is niet hoe een echte samenleving werkt (hooguit in een IT hoofd).
De politie hoort ervoor te zorgen dat omas niet beroofd worden. Daar hebben die omas belasting voor betaald.

TLS hier heeft expres nagelaten om hun aanelkaargeknutselde broddelwerk te verbeteren toen bleek dat de opgepochte beveiliging niet deugde. Dat praat misbruik niet goed, maar laat wel zien dat ze zelf duidelijk nalatig geweest zijn. Willens en wetens ook nog.

Oftewel, er zit een heel duidelijk cultureel probleem in de TLS-organisatie. Dat was de vraag, dit is het antwoord.
26-06-2020, 16:20 door Anoniem
Kijk die reactie van Anoniem om 15:28 is precies wat ik bedoel: Een IT beeld van de samenleving, snapt niks van
een rechtsstaat, van een samenleving, etc. Denkt alleen maar in termen van beveiligen, handhaving door de politie, etc.

Op die manier kom je er niet, echt niet! Denk eens buiten je naieve bubble van "alles wat gehacked wordt is altijd
de schuld van de aanbieder".
26-06-2020, 21:04 door Anoniem
Ik zou ze een taakstraf geven en je oren van je hoofd af schamen dat dit mogelijk was. Op zich reden die treinen toch wel.
27-06-2020, 09:24 door Anoniem
Door Anoniem:
Als er een oma beroofd is ga je ook niet roepen dat oma's moeten zorgen voor verdedigingsmiddelen. Dat is niet hoe een echte samenleving werkt (hooguit in een IT hoofd).
De politie hoort ervoor te zorgen dat omas niet beroofd worden. Daar hebben die omas belasting voor betaald.
Verwacht je absolute bescherming? Als je denkt dat een overheid voor absolute veiligheid kan zorgen wordt het tijd dat je met je hoofd uit de wolken komt en tot je door laat dringen wat realistisch is. Er is (helaas) vele jaren nogal stevig bezuinigd op de politie. Daardoor kunnen ze minder dan je zou willen, maar betaal je daar ook minder voor.

Je bent trouwens nogal inconsistent in je gedachtengang. Als de overheid voor absolute veiligheid moet zorgen, waarom moet TLS zelf dan dan nog iets doen? TLS betaalt toch ook belasting?

TLS hier heeft expres nagelaten om hun aanelkaargeknutselde broddelwerk te verbeteren toen bleek dat de opgepochte beveiliging niet deugde. Dat praat misbruik niet goed, maar laat wel zien dat ze zelf duidelijk nalatig geweest zijn. Willens en wetens ook nog.
Vind je? Volgens mij zijn ze erin geslaagd om de fraude te constateren, de daders op te sporen en veroordeeld te krijgen. Het enige broddelwerk dat ik zie zit in de onderbouwing van de schade, daar hebben ze steken laten vallen. Daarom heeft de rechter alleen het wel goed onderbouwde en niet betwiste deel van de schade toegewezen en de rest niet ontvankelijk verklaard.

Bij de keuze in hoe grondig men het systeem dichttimmert qua fraudemogelijkheden speelt mee hoeveel dat kost en wat het nog aan schade voorkomt. Perfectie kan heel kostbaar uitpakken, al aangenomen dat perfectie hoe dan ook mogelijk is. Er bestaat zoiets als verminderde meeropbrengst: elk volgend schepje dat men erbovenop doet kost aanzienlijk meer dan het vorige en levert steeds minder op. Een systeem dat net niet alle ellende voorkomt kan ten opzichte van absolute perfectie zoveel minder kosten dat het prijskaartje van herkennen, opsporen en vervolgen daar niet tegenop weegt. Bedenk dat al die kosten ook weer deel gaan uitmaken van de prijs van OV-chipkaarten. Die zijn al duur, hoe duur mogen ze van jou worden?

Dat die mensen twee jaar hun gang hebben kunnen gaan is veel, maar ze zijn wel degelijk uiteindelijk gepakt. Waarom dat zo lang moest duren weet ik niet, maar ik snap wel dat men, door na een reis te constateren dat er een met de gebruikte kaart gefraudeerd is, nog lang niet weet wie dan degene is die die kaart gebruikte.

Oftewel, er zit een heel duidelijk cultureel probleem in de TLS-organisatie.
Dat leid ik uit deze zaak niet af. Ik zie wel een heel duidelijk probleem met jouw realiteitszin.
27-06-2020, 10:09 door Anoniem
Door Anoniem: Ik zou ze een taakstraf geven en je oren van je hoofd af schamen dat dit mogelijk was. Op zich reden die treinen toch wel.
Alweer een die het niet snapt. Stel jij verkoopt een programma wat iemand anders gemaakt heeft. Jij hebt een systeem ingericht waardoor klanten in jouw webshop het programma kunnen downloaden na betaling, en voor iedere download maak jij een bedrag over aan de maker.
Nu kom je erachter dat het programma 1000 keer gedownload is door mensen die niet betaald hebben, en je hebt wel die 1000 keer dat bedrag overgemaakt aan de maker. Echter de inkomsten heb je daarvan niet gehad.
Je komt er achter wie dat op zijn geweten heeft.
Ga je dan ook zeggen "dat programma was toch al gemaakt dus het maakt niet uit"???
NEE want JIJ bent dat geld gewoon kwijt. Het programma wat al gemaakt was, heeft daar niets mee te maken, het is gewoon jouw eigen echte geld wat je kwijt bent.
Dat is de situatie in deze. TLS laat geen treinen rijden, ze regelen alleen de betaling. En ze zijn opgelicht. Met ECHT geld, niet met "treinen die toch al rijden".
27-06-2020, 18:02 door Anoniem
Plottwist!

Zo kan het ook: Gratis openbaar vervoer in Luxemburg vanaf 2020.

https://www.theguardian.com/world/2018/dec/05/luxembourg-to-become-first-country-to-make-all-public-transport-free

Now, from the start of 2020 all tickets will be abolished, saving on the collection of fares and the policing of ticket purchases.
28-06-2020, 14:10 door Anoniem
Door Anoniem: Plottwist!

Zo kan het ook: Gratis openbaar vervoer in Luxemburg vanaf 2020.

https://www.theguardian.com/world/2018/dec/05/luxembourg-to-become-first-country-to-make-all-public-transport-free

Now, from the start of 2020 all tickets will be abolished, saving on the collection of fares and the policing of ticket purchases.

Kijk zo hoort het. Dan levert de overheid ook een bijdrage a.h.klimaat omdat er minder motorvoertuigen gaan rijden (hoop ik)

Dat we in Nederland er voor moeten betalen vind ik überhaupt waanzin. Dan heb je ook dit soort TLS discussies niet meer.
28-06-2020, 18:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ik kan me nog herinneren dat TLS en de overheid en de NS beweerden dat de OV CHIP onkraakbaar was.
toen philips semiconductors of NXP aangaven dat ze de meest aftandse chip gebruikten voor de OV CHIP was het al gedowngrade naar 'kans is miniem en anders detecteren we dat instant.

mag je dan nog wel iemand veroordelen voor iemand die tot 2 maal toe het tegendeel bewijst?

Ja natuurlijk wel.

Al die kutnerds moeten eens leren dat het feit dat het _kan_ geen vrijbrief is om het te _doen_ - en niet als demonstratie maar gewoon een jaar lang zwartijden.

Tasjes roven van oma'tjes in een rolstoel is ook makkelijk. Mag ook niet.

Een beetje lockpicker maakt 99% van de huizen/fietsen/scooters/auto's zo open. Dat het kan is geen excuus of vrijbrief om te stelen.

Kutnerds? Whaha wat ben jij dan. Een baasje? Je projecteert naar buiten.

Projecteer naar buiten ? Welnee, gewoon, ik observeer een deel van mijn beroepsgroep (en scholieren die dat willen zijn) en erger me aan hun asociale mentaliteit. Dat kun je eerder 'kritiek van binnenuit' noemen.


Dat van die lockpickers en 99% van de sloten klopt ook niet. Ik hebn 5 jaar intensief met lockpickers en kluizenkrakers opgetrokken toen het nog helemaal niet bekend was in Nederland. Toen had je Toool nog niet. En ook geen lockpicking op jullie hackmeets. Op NE2000 toen we dit event organiseerden (RIP Hans trouwens, veel te vroeg gestorven kerel) brachten we dit in naar goed voorbeeld van ads Duitsers.

Ik zie de Lockpickinglawyer, (en Bosnian Bill), en blijf bij '99% van de sloten is te picken' . OK - misschien niet door "een beetje" lockpicker , wel door "een beetje goede"


Dat waren nog eens tijden, de jaren daarvoor toen de bumpkey werd ontdekt (door andere lockpickers) en NEMEF stilletjes werd benaderd maar zij alles behalve blij waren met de "bug" in al hun Eurocylinders want hun ze wisten nog geen oplossing hiertegen (shroom pins bijv). Toen was de boodschapper de gebeten hond, hetzelfde verhaal als hier. Beloning? Ho maar.

Maar je hebt dus ECHT niks begrepen van wat ik schreef, is het wel ?

Ik heb wat gezegd over kutnerds die vinden dat het kunnen klonen van een OV chipkaart het recht geeft om zwart te reizen.
Ik heb als analogie genoemd dat kunnen lockpicken van sloten geen recht geeft op het stelen van wat erachter zat.

Wat krijg ik ? Een huilverhaal dat je geen schouderklopjes en geen centjes kreeg voor een bugrapport.

De mensen die bij Toool schreven, en degenen die destijds in (bv) Hacktic schreven over lockpicking waren altijd heel duidelijk dat ze het voor de sport, de uitdaging, en de bezigheid deden. En soms een zeker maatschappelijk belang qua verbetering van 'de' sloten.
Die mentaliteit staat me een stuk beter aan.

Voor wat betreft de OV chipkaart - het is totaal gelul dat hier boodschapper de gebeten hond is. Die twee profiteurs die nu veroordeeld zijn kwalificeren totaal niet als 'boodschappers'. Gewoon mensen die een tooltje konden downloaden.

De boodschapper van de Mifare ontdekkingen zijn (oa) Karsten Nohl, Henryk Plötz, en die onderzoeksgroep van U Nijmegen.
Indrukwekkend werk , en alle waardering daarvoor.
Blij zal TL of NXP niet geweest zijn met de ontdekking dat Mifare niet (meer) goed genoeg was, en dat er zoveel extra rumoer over het project kwam. Maar 'de gebeten hond' waren deze researchers niet. Noch zijn ze crimineel bezigd geweest.
Uiteindelijk is alle security een afweging van kosten en moeite in de technische kant, opsporing/ en zichtbare vervolging van overtreders om verliezen op 'aanvaardbare' niveaux te houden.

Bij fysieke sloten is de afweging vaak glashelder : je legt geen driedubbel gehard slot van honderd euro om een barrelfiets van drie tientjes. Dat wil helemaal niet zeggen dat het 'dus' aanvaardbaar of "verdiend" is om te stelen wanneer het slot te picken, of te kerntrekken, of uit te boren, of door te knippen was "want het had beter beveiligd kunnen zijn".

Die mentaliteit is niet OK. En dat geldt ook voor de 'crackertjes', de ransomware afpersers, of de ongevraagde afpersende 'pentester' - ook al is de bug of de ontbrekende patch "al zo oud".
28-06-2020, 18:32 door Anoniem
Door Anoniem: Plottwist!

Zo kan het ook: Gratis openbaar vervoer in Luxemburg vanaf 2020.

https://www.theguardian.com/world/2018/dec/05/luxembourg-to-become-first-country-to-make-all-public-transport-free

Now, from the start of 2020 all tickets will be abolished, saving on the collection of fares and the policing of ticket purchases.

Dat is inderdaad ook een keuze, en misschien een goede. Het is natuurlijk deels politiek, en deels natte-vinger werk.
Economie is niet zo heel erg precies in het berekenen van alle lasten en baten van iets met grootschalige invloed.
'stimuleert de economie' is heel lastig kwantificeerbaar.

Verstokte automobilisten kunnen hun deel van de belastingbijdrage beschouwen als een bijdrage zodat _andere_ mensen wegblijven van de weg. Asfalt bijstorten, of asfalt leegmaken door een deel het OV in te trekken - het kost allebei geld en levert allebei wegcapaciteit op.

Strikt qua OV bespaar je op een hele infrastructuur van verbruiksmeting en betaling. Maar ik denk dat die besparing alleen niet de kosten van het OV draagt .
Dat geldt voor veel 'noodzakelijke' zaken, in welke mate die je die collectief levert, en in welke mate je ze door 'de gebruiker' laat betalen.
Gezondheidszorg is ook een voorbeeld, van 100% nationaal naar 100% individueel (al dan niet via verzekeringen) .

Uiteindelijk zijn staten ontstaan omdat een aantal zaken wel veel effectiever waren om collectief te regelen. Typisch veiligheid en infrastructuur. Oftewel - leger/politie, en wegen/havens/kanalen/dijken . Voor NL - een waterschap werkte beter dan elke boerderij z'n eigen dijk.
28-06-2020, 20:12 door Anoniem
Door Anoniem:
Door Anoniem: Plottwist!

Zo kan het ook: Gratis openbaar vervoer in Luxemburg vanaf 2020.

https://www.theguardian.com/world/2018/dec/05/luxembourg-to-become-first-country-to-make-all-public-transport-free

Now, from the start of 2020 all tickets will be abolished, saving on the collection of fares and the policing of ticket purchases.

Dat is inderdaad ook een keuze, en misschien een goede. Het is natuurlijk deels politiek, en deels natte-vinger werk.
Economie is niet zo heel erg precies in het berekenen van alle lasten en baten van iets met grootschalige invloed.
'stimuleert de economie' is heel lastig kwantificeerbaar.

...

Econometristen kennen het begrip 'Pareto optimaal', dit is een multi-dimensionale analyse waarin altijd een optimum gevonden kan worden.
https://en.wikipedia.org/wiki/Pareto_efficiency

Interessant om eens te bestuderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.