DigitalOcean EU hoeft geen klantgegevens te verstrekken in ddos-zaak
Cloudprovider DigitalOcean EU hoeft geen gegevens te verstrekken van een klant die wordt verdacht van ddos-aanvallen tegen cloudprovider DeamVPS. Daarnaast kan het bedrijf niet worden gedwongen om maatregelen tegen de klant te nemen, zo heeft de voorzieningenrechter bepaald. Eind vorig jaar werd DigitalOcean EU via een verstekvonnis nog opgedragen deze beide zaken wel te doen.
De zaak speelt tussen cloudprovider DreamVPS en cloudprovider DigitalOcean EU. DreamVPS was eind vorig jaar het doelwit van ddos-aanvallen die via de infrastructuur van DigitalOcean afkomstig waren. Het bedrijf vroeg DigitalOcean EU om gegevens van de betreffende klant en vroeg om mitigatiemaatregelen te nemen. DigitalOcean Security besloot de gebruiker te blokkeren, maar DigitalOcean EU stelde dat het geen klantgegevens kan verstrekken.
De voorzieningenrechter stelde afgelopen november in een verstekvonnis dat DigitalOcean allerlei klantgegevens moest verstrekken, waaronder naam, adres, telefoonnummer, ip-adressen, serverlogs en gebruikte betaalmethodes. Daarnaast moest het bedrijf de gebruiker blokkeren. Als het bedrijf dit niet zou doen kon het een dwangsom krijgen die tot één miljoen euro kon oplopen. DigitalOcean EU maakte hier bezwaar tegen en heeft van de voorzieningenrechter nu gelijk gekregen, die het eerdere verstekvonnis vernietigde.
DigitalOcean EU is een dochtervennootschap van de Amerikaanse vennootschap DigitalOcean LLC, aan wie zij onderhoudsdiensten levert. DigitalOcean LLC is een provider van onder meer clouddiensten en (virtuele) servers. De provider biedt deze diensten zowel rechtstreeks aan eindafnemers aan, als aan ‘resellers’ die servercapaciteit bij DigitalOcean LLC afnemen, waarop zij diensten draaien die zij op hun beurt aan eindafnemers aanbieden.
DigitalOcean EU stelt dat zij zich alleen bezighoudt met ‘it servicing’ en dat zij niet bevoegd, noch in staat is om ddos-aanvallen op te sporen en tegen te gaan, of om gebruikers te blokkeren, of om klantgegevens van DigitalOcean LLC of haar resellers te raadplegen en te verstrekken. Volgens de rechter heeft DigitalOcean EU geen contracten met klanten van DigitalOcean LLC. DigitalOcean EU kan en mag feitelijk en juridisch niet voldoen aan het verstrekken van klantgegevens van DigitalOcean LLC, aldus de rechter.
Daarnaast kan DigitalOcean EU geen maatregelen tegen ddos-aanvallen nemen. DreamVPS stelde dat het bedrijf servers waar vanaf ddos-aanvallen plaatsvinden kan uitschakelen, maar dat is geen proportionele maatregel die DigitalOcean EU tegen een aanvaardbare prijs kan nemen, oordeelt de rechter. "Een bevel tot de verdergaande maatregel van het uitschakelen van een (fysieke) server door DigitalOcean EU zou het risico meebrengen dat bona fide gebruikers worden geblokkeerd. DigitalOcean EU riskeert daarmee aansprakelijkheid, door tekort te schieten in haar dienstverlening en mogelijk schade te veroorzaken." De rechter vernietigde dan ook het eerder uitgesproken verstekvonnis en veroordeelde DreamVPS tot het betalen van de proceskosten.
Hoe veel duidelijker kun je het misbruik van privacy nog krijgen. De Ap zou de schade moeten gaan vergoeden.
Hoe veel duidelijker kun je het misbruik van privacy nog krijgen. De Ap zou de schade moeten gaan vergoeden.
Ik lees niets over privacy. Waarom kom je daar nu mee op de proppen?
Dit is een geval van een provider (met resellers) die het IT beheer heeft uitbesteedt. Dat het toevallig een dochter is van de provider is niet relevant, anders dan dat de klager dacht een simpel doelwit te hebben omdat de bedrijven dezelfde naam hadden. Als provider wil ik ook niet dat mijn IT beheerder toegang heeft tot de persoonsgegevens die de klager heeft gevvraagd. De IT beheerder hoeft ook niet te weten welke klant op welke server (fysiek of virtueel) zit. Misschien kunnen ze ook alleen fysieke servers uitschakelen (in de switch). Dan tref je enkele tientallen (of honderden) onschuldige klanten.
Allemaal legitieme redenen om de klacht ongegrond te verklaren. De oorspronkelijke rechter heeft waarschijnlijk alleen maar zo geoordeeld als hij heeft geoordeeld omdat DigitalOcean EU verstek heeft laten gaan bij de eerste rechtzaak.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.