Hof geeft opgelichte klant autobedrijf gelijk: e-mailaccount niet goed beveiligd
Een klant van een Nederlands autobedrijf kon worden opgelicht omdat de onderneming het eigen e-mailaccount niet goed had beveiligd, waardoor een crimineel het kon gebruiken voor het versturen van een frauduleuze factuur. Dat heeft het Gerechtshof Arnhem-Leeuwarden in een tussenuitspraak geoordeeld. Het autobedrijf doet een beroep op eigen schuld, waardoor er nu wordt gekeken of de gevorderde schade voor rekening van de koper zou moeten blijven.
De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken. De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden.
De koper ontdekte dat hij was opgelicht en wilde dat het autobedrijf de auto alsnog leverde. Het autobedrijf weigerde dit en besloot de overeenkomst te ontbinden. De koper stapte naar de rechter. Het autobedrijf verscheen niet in de procedure en werd bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.
Het autobedrijf voerde daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigde en de eerder toegewezen vorderingen grotendeels afwees. Daarop ging de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.
Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelde dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount is uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.
Tussenuitspraak
Het hof gaf het autobedrijf de gelegenheid om aan te tonen dat het e-mailaccount goed was beveiligd. Op basis van de aangeleverde stukken stelt het hof dat dit niet het geval was en de AVG is geschonden. "Het autobedrijf moet als verwerkingsverantwoordelijke zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt en moet kunnen aantonen dat zij aan deze verplichting heeft voldaan", aldus het hof.Het autobedrijf heeft de inrichting en het beheer van het e-mailaccount uitbesteed aan een ict-dienstverlener. Als verwerkingsverantwoordelijke blijft het autobedrijf verantwoordelijk voor de beveiligingsmaatregelen die de ict-dienstverlener verwerker treft, laat het hof verder weten. Wanneer de ict-dienstverlener niet de juiste maatregelen treft is het autobedrijf toch aansprakelijk voor de schade die een klant daardoor leidt. Het autobedrijf had de ict-dienstverlener kunnen dagvaarden om haar schade voor zover mogelijk af te kunnen wentelen, maar dat is hier niet gebeurd.
Maatregelen
In het onderzoeksrapport naar de e-mailbeveiliging en inbraak op het account staat dat de ict-leverancier geen afwijkingen heeft waargenomen voordat het incident plaatsvond. Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had bij deze eerste ongeoorloofde toegang tot het e-mailaccount van het autobedrijf, aldus de door het autobedrijf ingeschakelde onderzoeker.
Volgens het hof staat in de e-mail van de ict-dienstverlener en het onderzoekrapport dat de dienstverlener controlemechanismen heeft ingebouwd en ongeoorloofde toegang tot het e-mailaccount van het autobedrijf detecteert, maar hoe zij dat doet en welke maatregelen zij dan treft om ongeoorloofde toegang te voorkomen, is niet toegelicht. "En dat is precies wat het hof mist", laat het vonnis weten. Zo ontbreekt de onderbouwing waarom de bruteforce-aanval en inbraak op het e-mailaccount ondanks de maatregelen niet zijn gedetecteerd.
Wachtwoord
Daarnaast ontbreekt volgens het hof een nadere toelichting over het toen ingestelde wachtwoord. De onderzoeker schrijft dat het gebruik van een complex wachtwoord van minimaal 12 tekens een standaard instelling is die ‘door de systemen van de provider worden afgedwongen’. Wat het wachtwoord was op het moment van de eerste toegang door de aanvaller staat echter niet vermeld.De onderzoeker heeft ook geen onderbouwd antwoord gegeven op de onderzoeksvraag of het passend is om de instelling en het beheer van het wachtwoord over te laten aan de ict-dienstverlener in plaats van dat het autobedrijf zelf een wachtwoord instelt waar alleen zij toegang toe heeft. De ict-dienstverlener en de onderzoeker geven ook geen toelichting op de vraag waarom het passend is dat de ict-dienstverlener het wachtwoord van het e-mailaccount van het autobedrijf weet.
Tevens is niet toegelicht welke medewerkers van de ict-dienstverlener toegang hadden tot dat wachtwoord en hoe het bedrijf heeft geregeld dat haar medewerkers daar vertrouwelijk mee om gingen. Het hof stelt verder dat ook het autobedrijf niet duidelijk maakt welke afspraken er met medewerkers zijn gemaakt over het inloggen op het e-mailaccount.
Tussenconclusie
Het hof komt tot de tussenconclusie dat het autobedrijf niet heeft bewezen dat het account passend was beveiligd. Daarnaast is er een causaal verband tussen de genoemde schending van de AVG en de schade die de koper liep doordat hij vanaf het e-mailaccount van het autobedrijf een frauduleuze factuur ontving. De eis van de koper dat hij immateriële schade heeft geleden is volgens het hof echter onvoldoende onderbouwd.Nu vaststaat dat het bedrijf zich niet aan de AVG heeft gehouden waardoor de koper materiële schade heeft geleden biedt het hof beide partijen de mogelijkheid om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de kant van de koper, waardoor (een deel van) de gevorderde materiële schade voor rekening van de koper zou moeten blijven. Het autobedrijf doet hier een beroep op en mag hiervoor nu bewijs aandienen om deze claim te onderbouwen, waarna de koper daarop mag reageren. Vervolgens zal het hof zich daarover buigen.
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Met een miljoen pogingen per seconde ben je dan (/60 /60) 15 uur bezig om een wachtwoord te kraken. Of eigenlijk de helft van die tijd als je geluk hebt.
Gooi er nog een paar extra willekeurige tekens bij en je hebt een prima wiskundig onderbouwde beveiliging, zonder ongemak van een tweede factor waar je de toegang tot kunt verliezen. Bijvoorbeeld omdat je Google Account geblokkeerd is door Google omdat je geen toegang meer hebt tot je recovery e-mail adres bij je vorige internet provider.
Als ze de hash van je wachtwoord hebben, dat is een ander verhaal. Dan kom je al snel op de eis van 12 willekeurige tekens omdat je wachtwoord hash parallel en op zeer hoge snelheid getest kan worden. Maar als ze deze hash kunnen lezen, dan kunnen ze misschien wel meer rottigheid uit halen zoals je wachtwoord (en 2FA) resetten. Of het beheer account van de mailserver overnemen als dat op afstand toegankelijk is.
2FA is niet altijd goed. Het is goed als je kan zorgen dat je nooit toegang tot je tweede factor verliest of dat je makkelijk een nieuwe kan krijgen als dat toch gebeurt.
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Waarschijnlijk kocht de aanvaller het correcte wachtwoord van iemand die de geslaagde brute-force heeft uitgevoerd.
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Waarschijnlijk bedoelt de rechtbank dat voordat de aanvaller op de 30ste inlogde, om bijvoorbeeld 14:00 uur, er om 13.58 en 13.59 uur geen foutieve inlogpogingen waren. Dus de 30ste staat los van 27 en 29 juni.
Waarom moet dit dan een tussenvonnis blijven i.p.v. definitief vonnis te wijzen?
Zeker gezien:
Met een miljoen pogingen per seconde ben je dan (/60 /60) 15 uur bezig om een wachtwoord te kraken. Of eigenlijk de helft van die tijd als je geluk hebt.
Gooi er nog een paar extra willekeurige tekens bij en je hebt een prima wiskundig onderbouwde beveiliging, zonder ongemak van een tweede factor waar je de toegang tot kunt verliezen. Bijvoorbeeld omdat je Google Account geblokkeerd is door Google omdat je geen toegang meer hebt tot je recovery e-mail adres bij je vorige internet provider.
Als ze de hash van je wachtwoord hebben, dat is een ander verhaal. Dan kom je al snel op de eis van 12 willekeurige tekens omdat je wachtwoord hash parallel en op zeer hoge snelheid getest kan worden. Maar als ze deze hash kunnen lezen, dan kunnen ze misschien wel meer rottigheid uit halen zoals je wachtwoord (en 2FA) resetten. Of het beheer account van de mailserver overnemen als dat op afstand toegankelijk is.
2FA is niet altijd goed. Het is goed als je kan zorgen dat je nooit toegang tot je tweede factor verliest of dat je makkelijk een nieuwe kan krijgen als dat toch gebeurt.
Het aantal mogelijkheden zal in praktijk vaker lager zijn dan men aanneemt of denkt. In 60% van de wachtwoorden gebruikt men een hoofdletter en in 38% van de gevallen is sprake van 3 eindcijfers. Dat beperkt het aantal wat men zou moeten kraken nog verder naar beneden.
Wanneer dit niet 100% geldt ontstaat de vraag: wie is er dan wèl verantwoordelijk?
Een rechtbank kan toch geen genoegen nemen met de uitkomst: sorry, niemand is verantwoordelijk?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?