image

Basisschoolleerling bestelt per ongeluk voor half miljoen euro aan lesmateriaal

woensdag 30 november 2022, 13:12 door Arnoud Engelfriet, 11 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Een basisschoolleerling in Vught heeft per ongeluk voor 500.000 euro aan lesmateriaal besteld op de webshop van uitgever Malmberg, meldde de NOS onlangs. Dit mede vanwege de zo te lezen afwezige authenticatie bij de uitgever. Het is opgelost maar hoe zou dit juridisch hebben uitgepakt en zou dan die securityfout zwaar hebben meegewogen?

Antwoord: Het is nogal een verhaal inderdaad. Een jongen uit groep 7 kon niet inloggen in het online rekenprogramma. Zoekend naar een oplossing kwam hij op de site van Malmberg, waar het aanmaken van een account voor de webshop een fluitje van een cent bleek. En kennelijk dus ook het doorlopen van het bestelproces.

De bestelling viel direct op bij medewerkers van uitgever Malmberg, het gebeurt ook niet elke dag dat je van een nieuwe klant een order van een half miljoen krijgt. Snel onderzoek onthulde dat er geen order vanuit een medewerker was geplaatst, waarna de naam werd herleid tot een jongen uit groep 7.

Wat ging hier nu mis? Kennelijk mocht je bij de webshop van Malmberg een account aanmaken voor een school enkel op basis van (de domeinnaam uit) het e-mailadres van de school. Waardoor deze leerling (ja, in groep 7 heb je een schoolmailadres) dus een account kon maken, en vervolgens kon bestellen op factuur. Er was dus geen validatie van het mailadres of de identiteit van de aanvrager van het account. Kennelijk had iedere leraar daar net zo makkelijk een account kunnen maken en kunnen bestellen wat zhij wilde.

Hoe bindend was dat geweest? In dit geval was het sowieso niets geworden voor Malmberg: de order was kennelijk zeer opvallend, en dan moet je eraan twijfelen. En als je twijfel hebt of moet hebben, dan mag je niet gerechtvaardigd vertrouwen op de juistheid van de wilsuiting (zoals dat juridisch heet) en kun je de wederpartij er niet aan houden. Zie ook die zaak waarin Bol.com in een phish trapte, die hadden ook beter moeten opletten.

Als het nou één lesboek was geweest, dan was dat misschien anders komen te liggen. Het is niet raar dat een school een boek bijbestelt, en dan doet het er eigenlijk ook niet toe hoe de inkoper heet. Misschien juist wel niet, omdat het dan gaat om een sproetje tijdens het leerjaar. Dus die order zou afgehandeld worden, en dat zou dan terecht zijn omdat de afgesproken authenticatie neerkwam op “inkopers hebben een e-mailadres van het domein van school”. Dan is het afgesproken proces gevolgd, de order was verder normaal en dan hoef je als verkoper geen nader onderzoek te doen. Dat ene boek had de school dan moeten betalen.

Het is overigens nu aangepast: nieuwe accounts bij Malmberg moeten voortaan eerst worden goedgekeurd door de directeur en het hoofd van de ICT. De leerling kreeg een gesprekje, en daar laat men het bij. In de jaren tachtig had men dit denk ik als hacken gezien, in de jaren negentig had hij een baan als ict-securitymedewerker aangeboden gekregen, en in de jaren tien wellicht verwijdering van school wegens overtreding van de terms of service? Gelukkig klinkt deze school heel verstandig.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (11)
30-11-2022, 14:00 door Anoniem
Het is overigens nu aangepast: nieuwe accounts bij Malmberg moeten voortaan eerst worden goedgekeurd door de directeur en het hoofd van de ICT.

Van Malberg of de school?


Kennelijk mocht je bij de webshop van Malmberg een account aanmaken voor een school enkel op basis van (de domeinnaam uit) het e-mailadres van de school. Waardoor deze leerling (ja, in groep 7 heb je een schoolmailadres) dus een account kon maken, en vervolgens kon bestellen op factuur. Er was dus geen validatie van het mailadres of de identiteit van de aanvrager van het account. Kennelijk had iedere leraar daar net zo makkelijk een account kunnen maken en kunnen bestellen wat zhij wilde.

Hoort er niet een soort van controle te zijn of de persoon wiens emailadres gebruikt wordt, wel tekenbevoegd/bestelbevoegd is op die school?
Lijkt me een basis onderdeel van het proces.
Niet iedereen bij ons bedrijf kan zo maar iets bestellen op rekening van de zaak.


De leerling kreeg een gesprekje, en daar laat men het bij.

Is dat kind wel iets te verwijten, vraag ik me af?

Ik zou als directeur van de school eerder een goed gesprek met Malmberg willen voeren.
Je wilt als school toch ook niet dat willekeurige leraren (óf leerlingen, zo blijkt) zomaar even het geld van de school uitgeven zonder enig toezicht of controle.
Minimaal zou zo'n bestelling tot een mailtje moeten leiden naar de directeur of de administratie van de school waar de bestelling in staat, en wie hem geplaatst heeft, met het verzoek die te accoderen.

Maar met alle phisingmails van tegenwoordig, zou mijn voorkeur uitgaan tot een beperkt aantal accounts per school dat kan bestellen.
30-11-2022, 17:42 door Anoniem
Leuk stuk! Einde van de rit zijn al die wetten en regels toch bedoeld om het een beetje leuk, maar ook verstandig te houden?

Wat het ventje te wachten staat in de jaren '20 valt nog te bezien. Zo roaring als die van de vorige eeuw vind ik ze nog niet. Ik heb in elk geval nog nergens iemand zien charlestonnen!

Misschien een leuk voornemen voor het nieuwe jaar. Charlestonnen. Ik ken verschillende advocaten, rechters, politici, professoren waarvan ik gewoon wéét dat ze het kunnen. Maar ze doen het niet. Misschien een goed voornemen om komend jaar dn maar het goede voorbeeld te geven. Hele klus met mijn 60+ benen. Zeker om zo hoog te komen. Maar iemand moet er toch mee beginnen? Want hoe krijg je het anders weer net zo roaring?
30-11-2022, 17:44 door Anoniem
Dus die order zou afgehandeld worden, en dat zou dan terecht zijn omdat de afgesproken authenticatie neerkwam op “inkopers hebben een e-mailadres van het domein van school”. Dan is het afgesproken proces gevolgd, de order was verder normaal en dan hoef je als verkoper geen nader onderzoek te doen. Dat ene boek had de school dan moeten betalen.
Ik twijfel of dit proces "afgesproken" was. Dat lijkt me meer een gevalletje Malmberg heeft bepaald hoe het proces is. De school kan er toch niets aan doen dat het proces bij Malmberg geen controle doet of de besteller wel bevoegd is? Ik vind het raar dat de school dan wel zou moeten betalen.
30-11-2022, 18:25 door Anoniem
Door Anoniem:
Het is overigens nu aangepast: nieuwe accounts bij Malmberg moeten voortaan eerst worden goedgekeurd door de directeur en het hoofd van de ICT.

Van Malberg of de school?


Ongetwijfeld die van de school.

Malmberg *kan* gewoon niet weten of lies@dikkertjedap.nl een leerlinge of de juffrouw is en of die school wil dat die gebruiker een malmberg account krijgt.


Kennelijk mocht je bij de webshop van Malmberg een account aanmaken voor een school enkel op basis van (de domeinnaam uit) het e-mailadres van de school. Waardoor deze leerling (ja, in groep 7 heb je een schoolmailadres) dus een account kon maken, en vervolgens kon bestellen op factuur. Er was dus geen validatie van het mailadres of de identiteit van de aanvrager van het account. Kennelijk had iedere leraar daar net zo makkelijk een account kunnen maken en kunnen bestellen wat zhij wilde.

Hoort er niet een soort van controle te zijn of de persoon wiens emailadres gebruikt wordt, wel tekenbevoegd/bestelbevoegd is op die school?
Lijkt me een basis onderdeel van het proces.
Niet iedereen bij ons bedrijf kan zo maar iets bestellen op rekening van de zaak.

Dat is inderdaad heel opmerkelijk.
Met name 'bestellingen' die ook echt geld kosten .

Ik speculeer een beetje dat het hele bestelproces gebruikt/misbruikt is om ook online oefeningen van de uitgever onder te brengen.
Dus de hele klas "bestelt" een of ander educatief online spel/examen/oefenvragen die horen bij het lesboek .

Ik kan me goed indenken dat zo'n functie gebouwd wordt "tegen het bestelsysteem" aan, en dan is de consequentie dat je al heel snel bestellingen voor "iedereen" moet open zetten omdat je niet wilt dat als de leraar zegt "ga nu de oefening van hoofdstuk 3 doen op Internet" er opeens heel snel iemand al die aanvraagjes moet gaan zitten approven.

Het zou natuurlijk ook gewoon echte stommiteit kunnen zijn dat iedereen kon bestellen en dat het helemaal niet "logisch" was .

Maar ja - hier is duidelijk een nadeel gebleken.


De leerling kreeg een gesprekje, en daar laat men het bij.

Is dat kind wel iets te verwijten, vraag ik me af?

groep 7 mag je echt wel toespreken dat zomaar grote getallen intikken en "ok" klikken niet is wat je moet doen.
Het hangt verder wat van de interface af hoe veel meer of minder je mocht verwachten tussen 'leerling keek bewust of het kapot kon' versus "leerling had niet door wat ie deed"


Ik zou als directeur van de school eerder een goed gesprek met Malmberg willen voeren.
Je wilt als school toch ook niet dat willekeurige leraren (óf leerlingen, zo blijkt) zomaar even het geld van de school uitgeven zonder enig toezicht of controle.
Minimaal zou zo'n bestelling tot een mailtje moeten leiden naar de directeur of de administratie van de school waar de bestelling in staat, en wie hem geplaatst heeft, met het verzoek die te accoderen.

Gesprek met Malmberg, of gesprek met zichzelf ?
Mogelijk was het een instellingen die ze zelf voor het schoolaccount verkeerd gezet hebben.


Maar met alle phisingmails van tegenwoordig, zou mijn voorkeur uitgaan tot een beperkt aantal accounts per school dat kan bestellen.

Zie boven - helemaal mee eens waar het bestellingen met echt geld betreft . Maar ik hou een slag om de arm dat het misschien min of meer 'nodig' is dat iedereen tenminste nul-euro items kan bestellen.
01-12-2022, 14:02 door Anoniem
Ik vind dat Arnoud de plank mis slaat bij
"Dus die order zou afgehandeld worden, en dat zou dan terecht zijn omdat de afgesproken authenticatie neerkwam op “inkopers hebben een e-mailadres van het domein van school”. Dan is het afgesproken proces gevolgd, de order was verder normaal en dan hoef je als verkoper geen nader onderzoek te doen. Dat ene boek had de school dan moeten betalen."

Als er iemand had moeten betalen dan was het de leerling of de ouders van die leerling, en dat is nog twijfelachtig omdat een minderjarige niet zomaar dingen mag bestellen.

Waarom zou de school moeten betalen omdat "het domein van het email account van de school is". Gaat google dan ook al mijn bestellingen betalen die ik met een gmail adres plaat. Idem Microsoft voor outlook.com of hotmail.com?

Ik ben wel benieuwd of in de oude situatie men alleen maar keek of de schoolnaam die je invulde ook in de url van het mail adres voor kwam, of dat de controle verder ging, door bijvoorbeeld het tegen een lijst van bestaande scholen/domeinen te matchen. Nee oude controle was gewoon erg slecht, en ik vermoed dat als je al school Telegraaf had ingevuld je met een telegraaf.nl email account ook spullen had kunnen bestellen....
01-12-2022, 14:38 door Anoniem
Rare argumentatie.
Er is simpelweg nimmer wilsovereenstemming geweest tussen school en leverancier.

De overeenkomst die een minderjarig niet-tekenbevoegde heeft "getekend" lijkt mij derhalve niet rechtsgeldig.
01-12-2022, 23:11 door Anoniem
Volgens mij stond er hier gewoon een leuk bosje bloemen op tafel. En dan nòg zeiken.
02-12-2022, 10:31 door Anoniem
Door Anoniem: Volgens mij stond er hier gewoon een leuk bosje bloemen op tafel. En dan nòg zeiken.

Ik mis iets. :-)

Waarschijnlijk die bloemen. waar komen die vandaan?
02-12-2022, 12:07 door Arnoud Engelfriet
Door Anoniem: Rare argumentatie.
Er is simpelweg nimmer wilsovereenstemming geweest tussen school en leverancier.

De overeenkomst die een minderjarig niet-tekenbevoegde heeft "getekend" lijkt mij derhalve niet rechtsgeldig.
Bij een gebrek aan wilsovereenstemming kan tóch een overeenkomst tot stand zijn gekomen als de wederpartij redelijkerwijs mocht vertrouwen op de uiting van de eerste partij (hier de school). Zie art. 3:35 BW.
02-12-2022, 19:43 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: Rare argumentatie.
Er is simpelweg nimmer wilsovereenstemming geweest tussen school en leverancier.

De overeenkomst die een minderjarig niet-tekenbevoegde heeft "getekend" lijkt mij derhalve niet rechtsgeldig.
Bij een gebrek aan wilsovereenstemming kan tóch een overeenkomst tot stand zijn gekomen als de wederpartij redelijkerwijs mocht vertrouwen op de uiting van de eerste partij (hier de school). Zie art. 3:35 BW.

Vanwege een opgegeven / gebruikt email-adres?
Je weet toch hopelijk dat dat gespoofd kan worden?
Of werd er eerst nog een bevestigingslink gestuurd naar dat emailadres ter controle? Dat maak ik namelijk niet opp uit de tekst.
05-12-2022, 11:34 door Anoniem
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem: Rare argumentatie.
Er is simpelweg nimmer wilsovereenstemming geweest tussen school en leverancier.

De overeenkomst die een minderjarig niet-tekenbevoegde heeft "getekend" lijkt mij derhalve niet rechtsgeldig.
Bij een gebrek aan wilsovereenstemming kan tóch een overeenkomst tot stand zijn gekomen als de wederpartij redelijkerwijs mocht vertrouwen op de uiting van de eerste partij (hier de school). Zie art. 3:35 BW.

Vanwege een opgegeven / gebruikt email-adres?
Je weet toch hopelijk dat dat gespoofd kan worden?
Of werd er eerst nog een bevestigingslink gestuurd naar dat emailadres ter controle? Dat maak ik namelijk niet opp uit de tekst.
Dan nog, dat je bij een organisatie werkt of van die organisatie een emailadres hebt gekregen wil niet zeggen dat je geautoriseerd bent om aankopen te doen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.