Bitcoin Meester moet klant vergoeden van wie account werd gekaapt
Cryptoplatform Bitcoin Meester moet een klant van wie het account werd gekaapt duizenden euro's vergoeden, zo heeft de rechtbank Amsterdam geoordeeld. De klant had begin 2021 een account op het cryptoplatform aangemaakt, waar hij via e-mailadres en wachtwoord op inlogde. Bitcoin Meester biedt klanten ook de optie om via de Google Authenticator op de smartphone in te loggen.
Nadat de klant zijn account had aangemaakt stuurde Bitcoin Meester hem een e-mail dat de beveiliging van zijn account beter kon en adviseerde het instellen van de Google Authenticator. "Wanneer iemand uw e-mailaccount in handen heeft kan deze persoon niet bij uw Bitcoin Meester account komen zonder toegang te hebben tot uw telefoon en de authenticator code." Elke keer dat de klant inlogde stuurde Bitcoin Meester hem een e-mail met het advies om Google Authenticator te gebruiken, omdat dat een veiligere en snellere optie zou zijn.
Vorig jaar mei wisten criminelen toegang te krijgen tot het e-mailaccount van de klant en voerden een wachtwoordreset bij Bitcoin Meester uit. Op deze manier kregen ze toegang tot dit account en gaven Bitcoin Meester de opdracht om de cryptovaluta van de klant om te zetten naar bitcoin en vervolgens naar een opgegeven wallet over te maken. De waarde van de cryptovaluta van de klant bedroeg op dat moment 4200 euro.
Algemene voorwaarden
De klant eiste een schadevergoeding van 17.000 euro van Bitcoin Meester, omdat het bedrijf zijn zorgplicht zou hebben geschonden. Bitcoin Meester stelt in de algemene voorwaarden niet aansprakelijk te zijn voor schade als gevolg van hacking. Daarnaast zegt het cryptoplatform dat de schuld bij de klant ligt, die mogelijk onvoldoende maatregelen heeft genomen om zijn e-mailaccount te beveiligen. Zijn e-mailaccount is bij meerdere datalekken betrokken geweest.
Volgens de rechtbank is niet gebleken dat de klant onvoldoende maatregelen heeft genomen om zijn e-mailaccount te beveiligen. Het staat ook niet vast dat de klant van de datalekken op de hoogte was of behoorde te zijn. Door toch de mogelijkheid te bieden om in te loggen met een e-mailadres dat - ook zonder de schuld van de klant bij een datalek betrokken kan zijn, heeft Bitcoin Meester het risico laten bestaan dat onbevoegden in naam van de getroffen klant frauduleuze transacties zouden kunnen uitvoeren, aldus de rechtbank.
Voor de mate waarin sprake is van eigen schuld van de klant houdt de rechter rekening met de aard van de dienstverlening door Bitcoin Meester, die erg veel lijkt op het uitvoeren van betalingstransacties. Betaaldienstverleners zijn wettelijk verplicht om in te staan voor de veiligheid van betalingstransacties. Daarnaast speelt mee dat Bitcoin Meester een deskundige partij is en de klant een consument.
Verantwoordelijkheid
De rechter nam dan ook als uitgangspunt dat het de verantwoordelijkheid van Bitcoin Meester is om haar klanten te beschermen tegen frauderisico’s. "Het ligt daarom op haar weg om te zorgen voor een veilige uitvoering van opdrachten van [eiser] om zijn crypto’s te bewaren, te verkopen of over te dragen. De verantwoordelijkheid van [eiser] speelt een daaraan ondergeschikte rol. De schade van [eiser] komt daarom vanwege zijn onvoorzichtigheid voor 10% voor zijn rekening."
Verder stelt de rechter dat Bitcoin Meester geen beroep kan doen op algemene voorwaarde dat het niet aansprakelijk kan worden gesteld voor schade door hacking. De voorwaarde verstoort namelijk het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van Bitcoin Meester en de klant, in het nadeel van die klant. De rechter oordeelt dan ook dat het cryptoplatform de schade moet vergoeden, maar gaat niet mee in de eis van de klant. De schadevergoeding wordt uiteindelijk vastgesteld op 3800 euro. Daarnaast moet Bitcoin Meester de proceskosten betalen.
Wat positief is in de uitspraak is dat de algemene voorwaarden geen vrijwaring is voor beroerde service.
Gebruik liever een klantnummer ofzo.
Gebruik liever een klantnummer ofzo.
Ja, dan biedt een website tevens de optie "inlognaam vergeten" aan en heeft de e-mail hacker alsnog de gebruikersnaam in handen.
Wat mij betreft hebben ze aan hun zorgplicht voldaan door de gebruiker meermalen te wijzen op het risico wat deze nam door geen mfa in te stellen.
Zoals? Google authenticator is gewoon een TOTP generator, dus gebruik vooral je favoriete tool en gebruik geen flauw excuus om de verantwoordelijkeheid elders te leggen.
Dat ben je ook niet, er zijn talloze alternative authenticators die niet van google zijn en verder prima compatible.
Het onderliggende mechanisme is opensource en relatief simpel te implementeren.
Overigens als dit zo is heeft dat ook gevolgen voor microsoft om maar wat te noemen, want er zijn mensen die willens en wetens geen MFA aanzetten voor hun 0365 accountje.
Overigens als dit zo is heeft dat ook gevolgen voor microsoft om maar wat te noemen, want er zijn mensen die willens en wetens geen MFA aanzetten voor hun 0365 accountje.
De zorgplicht voor financiële instelling is van een andere orde dan die van een (gratis?) e-mail provider.
Er is inderdaad wel kans dat het doorwerkt bij andere banken of trading platforms als die nog geen MFA afdwingen
Gebruik liever een klantnummer ofzo.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.