Hof geeft opgelichte klant autobedrijf gelijk: e-mailaccount niet goed beveiligd
Een klant van een Nederlands autobedrijf kon worden opgelicht omdat de onderneming het eigen e-mailaccount niet goed had beveiligd, waardoor een crimineel het kon gebruiken voor het versturen van een frauduleuze factuur. Dat heeft het Gerechtshof Arnhem-Leeuwarden in een tussenuitspraak geoordeeld. Het autobedrijf doet een beroep op eigen schuld, waardoor er nu wordt gekeken of de gevorderde schade voor rekening van de koper zou moeten blijven.
De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken. De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden.
De koper ontdekte dat hij was opgelicht en wilde dat het autobedrijf de auto alsnog leverde. Het autobedrijf weigerde dit en besloot de overeenkomst te ontbinden. De koper stapte naar de rechter. Het autobedrijf verscheen niet in de procedure en werd bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.
Het autobedrijf voerde daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigde en de eerder toegewezen vorderingen grotendeels afwees. Daarop ging de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.
Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelde dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount is uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.
Tussenuitspraak
Het hof gaf het autobedrijf de gelegenheid om aan te tonen dat het e-mailaccount goed was beveiligd. Op basis van de aangeleverde stukken stelt het hof dat dit niet het geval was en de AVG is geschonden. "Het autobedrijf moet als verwerkingsverantwoordelijke zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt en moet kunnen aantonen dat zij aan deze verplichting heeft voldaan", aldus het hof.Het autobedrijf heeft de inrichting en het beheer van het e-mailaccount uitbesteed aan een ict-dienstverlener. Als verwerkingsverantwoordelijke blijft het autobedrijf verantwoordelijk voor de beveiligingsmaatregelen die de ict-dienstverlener verwerker treft, laat het hof verder weten. Wanneer de ict-dienstverlener niet de juiste maatregelen treft is het autobedrijf toch aansprakelijk voor de schade die een klant daardoor leidt. Het autobedrijf had de ict-dienstverlener kunnen dagvaarden om haar schade voor zover mogelijk af te kunnen wentelen, maar dat is hier niet gebeurd.
Maatregelen
In het onderzoeksrapport naar de e-mailbeveiliging en inbraak op het account staat dat de ict-leverancier geen afwijkingen heeft waargenomen voordat het incident plaatsvond. Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had bij deze eerste ongeoorloofde toegang tot het e-mailaccount van het autobedrijf, aldus de door het autobedrijf ingeschakelde onderzoeker.
Volgens het hof staat in de e-mail van de ict-dienstverlener en het onderzoekrapport dat de dienstverlener controlemechanismen heeft ingebouwd en ongeoorloofde toegang tot het e-mailaccount van het autobedrijf detecteert, maar hoe zij dat doet en welke maatregelen zij dan treft om ongeoorloofde toegang te voorkomen, is niet toegelicht. "En dat is precies wat het hof mist", laat het vonnis weten. Zo ontbreekt de onderbouwing waarom de bruteforce-aanval en inbraak op het e-mailaccount ondanks de maatregelen niet zijn gedetecteerd.
Wachtwoord
Daarnaast ontbreekt volgens het hof een nadere toelichting over het toen ingestelde wachtwoord. De onderzoeker schrijft dat het gebruik van een complex wachtwoord van minimaal 12 tekens een standaard instelling is die ‘door de systemen van de provider worden afgedwongen’. Wat het wachtwoord was op het moment van de eerste toegang door de aanvaller staat echter niet vermeld.De onderzoeker heeft ook geen onderbouwd antwoord gegeven op de onderzoeksvraag of het passend is om de instelling en het beheer van het wachtwoord over te laten aan de ict-dienstverlener in plaats van dat het autobedrijf zelf een wachtwoord instelt waar alleen zij toegang toe heeft. De ict-dienstverlener en de onderzoeker geven ook geen toelichting op de vraag waarom het passend is dat de ict-dienstverlener het wachtwoord van het e-mailaccount van het autobedrijf weet.
Tevens is niet toegelicht welke medewerkers van de ict-dienstverlener toegang hadden tot dat wachtwoord en hoe het bedrijf heeft geregeld dat haar medewerkers daar vertrouwelijk mee om gingen. Het hof stelt verder dat ook het autobedrijf niet duidelijk maakt welke afspraken er met medewerkers zijn gemaakt over het inloggen op het e-mailaccount.
Tussenconclusie
Het hof komt tot de tussenconclusie dat het autobedrijf niet heeft bewezen dat het account passend was beveiligd. Daarnaast is er een causaal verband tussen de genoemde schending van de AVG en de schade die de koper liep doordat hij vanaf het e-mailaccount van het autobedrijf een frauduleuze factuur ontving. De eis van de koper dat hij immateriële schade heeft geleden is volgens het hof echter onvoldoende onderbouwd.Nu vaststaat dat het bedrijf zich niet aan de AVG heeft gehouden waardoor de koper materiële schade heeft geleden biedt het hof beide partijen de mogelijkheid om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de kant van de koper, waardoor (een deel van) de gevorderde materiële schade voor rekening van de koper zou moeten blijven. Het autobedrijf doet hier een beroep op en mag hiervoor nu bewijs aandienen om deze claim te onderbouwen, waarna de koper daarop mag reageren. Vervolgens zal het hof zich daarover buigen.
Reacties (19)
11-08-2025, 12:23 door
Briolet
Ik zie heel tegenstrijdige verslaglegging van deze onderzoeker:
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.
en
De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
11-08-2025, 12:43 door
Anoniem
Als je uit de set [a..z][A..Z][0..9] willekeurig zes tekens kiest en een miljoen pogingen per e-mail adres per seconde toe laat op je mail server dan is dat ( log(62)/log(2) )*6 == 35,7 bits entropie per wachtwoord. Ofwel 2^35,7 == 5,68E10 mogelijkheden (maar die floating point getallen lezen zo rottig).
Met een miljoen pogingen per seconde ben je dan (/60 /60) 15 uur bezig om een wachtwoord te kraken. Of eigenlijk de helft van die tijd als je geluk hebt.
Gooi er nog een paar extra willekeurige tekens bij en je hebt een prima wiskundig onderbouwde beveiliging, zonder ongemak van een tweede factor waar je de toegang tot kunt verliezen. Bijvoorbeeld omdat je Google Account geblokkeerd is door Google omdat je geen toegang meer hebt tot je recovery e-mail adres bij je vorige internet provider.
Als ze de hash van je wachtwoord hebben, dat is een ander verhaal. Dan kom je al snel op de eis van 12 willekeurige tekens omdat je wachtwoord hash parallel en op zeer hoge snelheid getest kan worden. Maar als ze deze hash kunnen lezen, dan kunnen ze misschien wel meer rottigheid uit halen zoals je wachtwoord (en 2FA) resetten. Of het beheer account van de mailserver overnemen als dat op afstand toegankelijk is.
2FA is niet altijd goed. Het is goed als je kan zorgen dat je nooit toegang tot je tweede factor verliest of dat je makkelijk een nieuwe kan krijgen als dat toch gebeurt.
Met een miljoen pogingen per seconde ben je dan (/60 /60) 15 uur bezig om een wachtwoord te kraken. Of eigenlijk de helft van die tijd als je geluk hebt.
Gooi er nog een paar extra willekeurige tekens bij en je hebt een prima wiskundig onderbouwde beveiliging, zonder ongemak van een tweede factor waar je de toegang tot kunt verliezen. Bijvoorbeeld omdat je Google Account geblokkeerd is door Google omdat je geen toegang meer hebt tot je recovery e-mail adres bij je vorige internet provider.
Als ze de hash van je wachtwoord hebben, dat is een ander verhaal. Dan kom je al snel op de eis van 12 willekeurige tekens omdat je wachtwoord hash parallel en op zeer hoge snelheid getest kan worden. Maar als ze deze hash kunnen lezen, dan kunnen ze misschien wel meer rottigheid uit halen zoals je wachtwoord (en 2FA) resetten. Of het beheer account van de mailserver overnemen als dat op afstand toegankelijk is.
2FA is niet altijd goed. Het is goed als je kan zorgen dat je nooit toegang tot je tweede factor verliest of dat je makkelijk een nieuwe kan krijgen als dat toch gebeurt.
11-08-2025, 12:58 door
Anoniem
Door Briolet: Ik zie heel tegenstrijdige verslaglegging van deze onderzoeker:
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.
en
De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Waarschijnlijk kocht de aanvaller het correcte wachtwoord van iemand die de geslaagde brute-force heeft uitgevoerd.
11-08-2025, 13:20 door
Anoniem
Door Briolet: Ik zie heel tegenstrijdige verslaglegging van deze onderzoeker:
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.
en
De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Waarschijnlijk bedoelt de rechtbank dat voordat de aanvaller op de 30ste inlogde, om bijvoorbeeld 14:00 uur, er om 13.58 en 13.59 uur geen foutieve inlogpogingen waren. Dus de 30ste staat los van 27 en 29 juni.
11-08-2025, 13:47 door
Anoniem
Het hof komt tot de tussenconclusie dat het autobedrijf niet heeft bewezen dat het account passend was beveiligd.
Het e-mailaccount was onvoldoende beveiligd en daardoor heeft de klant zijn geld naar de verkeerde overgemaakt. Waarom moet dit dan een tussenvonnis blijven i.p.v. definitief vonnis te wijzen?
Zeker gezien:
Nu vaststaat dat het bedrijf zich niet aan de AVG heeft gehouden waardoor de koper materiële schade heeft geleden..
Waarom is een overtreding van de AVG niet voldoende en moet nog een uitstapje naar het BW gemaakt worden (met het risico dat de koper een deel van de schade niet terugkrijgt omdat bijvoorbeeld volgens BW de toepassing van de AVG maar één aspect is van de dienstverlening van het autobedrijf) ?
11-08-2025, 14:17 door
Anoniem
Ik vind dit opmerkelijk: ook als het wel goed beveiligd was geweest, dan nog is de factuur verstuurd vanaf de mailomgeving van het autobedrijf. Dan blijven ze toch nog verantwoordelijk voor de schade?
11-08-2025, 14:35 door
Anoniem
Door Anoniem: Als je uit de set [a..z][A..Z][0..9] willekeurig zes tekens kiest en een miljoen pogingen per e-mail adres per seconde toe laat op je mail server dan is dat ( log(62)/log(2) )*6 == 35,7 bits entropie per wachtwoord. Ofwel 2^35,7 == 5,68E10 mogelijkheden (maar die floating point getallen lezen zo rottig).
Met een miljoen pogingen per seconde ben je dan (/60 /60) 15 uur bezig om een wachtwoord te kraken. Of eigenlijk de helft van die tijd als je geluk hebt.
Gooi er nog een paar extra willekeurige tekens bij en je hebt een prima wiskundig onderbouwde beveiliging, zonder ongemak van een tweede factor waar je de toegang tot kunt verliezen. Bijvoorbeeld omdat je Google Account geblokkeerd is door Google omdat je geen toegang meer hebt tot je recovery e-mail adres bij je vorige internet provider.
Als ze de hash van je wachtwoord hebben, dat is een ander verhaal. Dan kom je al snel op de eis van 12 willekeurige tekens omdat je wachtwoord hash parallel en op zeer hoge snelheid getest kan worden. Maar als ze deze hash kunnen lezen, dan kunnen ze misschien wel meer rottigheid uit halen zoals je wachtwoord (en 2FA) resetten. Of het beheer account van de mailserver overnemen als dat op afstand toegankelijk is.
2FA is niet altijd goed. Het is goed als je kan zorgen dat je nooit toegang tot je tweede factor verliest of dat je makkelijk een nieuwe kan krijgen als dat toch gebeurt.
Met een miljoen pogingen per seconde ben je dan (/60 /60) 15 uur bezig om een wachtwoord te kraken. Of eigenlijk de helft van die tijd als je geluk hebt.
Gooi er nog een paar extra willekeurige tekens bij en je hebt een prima wiskundig onderbouwde beveiliging, zonder ongemak van een tweede factor waar je de toegang tot kunt verliezen. Bijvoorbeeld omdat je Google Account geblokkeerd is door Google omdat je geen toegang meer hebt tot je recovery e-mail adres bij je vorige internet provider.
Als ze de hash van je wachtwoord hebben, dat is een ander verhaal. Dan kom je al snel op de eis van 12 willekeurige tekens omdat je wachtwoord hash parallel en op zeer hoge snelheid getest kan worden. Maar als ze deze hash kunnen lezen, dan kunnen ze misschien wel meer rottigheid uit halen zoals je wachtwoord (en 2FA) resetten. Of het beheer account van de mailserver overnemen als dat op afstand toegankelijk is.
2FA is niet altijd goed. Het is goed als je kan zorgen dat je nooit toegang tot je tweede factor verliest of dat je makkelijk een nieuwe kan krijgen als dat toch gebeurt.
Het aantal mogelijkheden zal in praktijk vaker lager zijn dan men aanneemt of denkt. In 60% van de wachtwoorden gebruikt men een hoofdletter en in 38% van de gevallen is sprake van 3 eindcijfers. Dat beperkt het aantal wat men zou moeten kraken nog verder naar beneden.
11-08-2025, 14:51 door
Anoniem
Door Anoniem: Ik vind dit opmerkelijk: ook als het wel goed beveiligd was geweest, dan nog is de factuur verstuurd vanaf de mailomgeving van het autobedrijf. Dan blijven ze toch nog verantwoordelijk voor de schade?
Mee eens: de eigenaar-beheerder van het e-mailaccount is aansprakelijk voor alles wat er met dit account gebeurt. Wanneer dit niet 100% geldt ontstaat de vraag: wie is er dan wèl verantwoordelijk?
Een rechtbank kan toch geen genoegen nemen met de uitkomst: sorry, niemand is verantwoordelijk?
11-08-2025, 15:56 door
Anoniem
Door Briolet: Ik zie heel tegenstrijdige verslaglegging van deze onderzoeker:
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Het helpt om even in de tussenuitspraak te kijken wat er nou echt staat:Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.
en
De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van Autosociaal blijkt dat tussen 27 en 29 juni 2022 een ‘brute force wachtwoordaanval’ heeft plaatsgevonden op het emailadres van [het autobedrijf] vanaf een IP-adres in Australië. De onderzoeker schrijft in het feitenrelaas van het rapport dat de hacker op 30 juni 2022 voor het eerst toegang heeft gekregen tot de e-mail van [het autobedrijf] vanaf een IP-adres in Duitsland. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had bij deze eerste ongeoorloofde toegang tot het e-mailaccount van [het autobedrijf] , aldus de door [het autobedrijf] ingeschakelde onderzoeker.
De brute-force-aanval kwam vanuit Australië en het inloggen vanuit Duitsland. Zoals ik het lees wordt er bedoeld dat vanuit Duitsland direct het juiste wachtwoord is gebruikt. En er was denk ik niet zo stellig over de eerste toegang op de 30e gesproken als die brute-force-aanval erin geslaagd was om binnen te dringen. Voor zover ik zie blijkt helemaal nergens uit dat die twee aanvallen gerelateerd waren aan elkaar. Dan vind ik de uitspraak kloppen dat er geen foutieve inlogpogingen zijn geweest voorafgaand aan de eerste toegang, althans niet als onderdeel van diezelfde aanval.Relevant is dat beide aanvallen wél in de logfiles stonden maar níét het detectiemechanisme hebben getriggerd. Dat is relevant voor de zaak omdat geclaimd werd dat Autosociaal voortdurende monitoring op verdachte activiteiten uitvoerde. Dat lijkt wat tegen te vallen.
Dit haal ik uit hoe de rechter het formuleert, en ik weet niet wat er in het onderzoeksrapport zelf staat. Het hoort tot de mogelijkheden dat dat volkomen expliciet en duidelijk is. Wat er in het artikel staat zegt dus helemaal niets over de vraag of de onderzoeker zijn vak wel of niet verstaat.
11-08-2025, 18:09 door
Anoniem
Door Anoniem: Ik vind dit opmerkelijk: ook als het wel goed beveiligd was geweest, dan nog is de factuur verstuurd vanaf de mailomgeving van het autobedrijf. Dan blijven ze toch nog verantwoordelijk voor de schade?
Als ik het goed begrijp heeft het autobedrijf eerst een rekeningnummer gegeven waarnaar de koper een deel van het bedrag heeft overgemaakt, en is het tweede (grootste) deel van het bedrag overgemaakt naar een andere rekening, na de valse e-mail. Ik denk dat het autobedrijf aanvoert dat de koper dat verdacht had moeten vinden en het even had moeten verifiëren. In de reacties op een eerder bericht over deze zaak werd gemeld dat de klant een softwareontwikkelaar is die onder meer voor Google en Microsoft heeft gewerkt. Dan stel ik me voor dat het iemand is die makkelijk kan weten hoe die in e-mailheaders moet kijken en hoe die Received-headers moet interpreteren, en gezien kan hebben dat de e-mail werkelijk van de mailserver van het autobedrijf afkomstig was. Maar of dat ook werkelijk gebeurd is weet ik niet.Stel dat die dat niet heeft gedaan, maar gewoon "zal wel kloppen" heeft gedacht en het geld naar de andere rekening heeft overgemaakt, dan had die e-mail niet eens van het autobedrijf hoeven te komen en is de klant zelf nogal onzorgvuldig geweest. Dan zijn er twee partijen slecht bezig geweest. Hoe weeg je dat? En zelfs als hij die check wel heeft gedaan had hij kunnen bedenken dat de e-mail van het autobedrijf gecompromitteerd kon zijn (hij is een IT'er tenslotte), en kan je redeneren dat een telefoontje om te vragen of die veranderde (en Duitse) rekening wel klopt een piepkleine moeite die heel veel duidelijk had kunnen maken. Het ging om een aardige smak geld, waarom zou je dan niet even die zorgvuldigheid opbrengen?
Dat de e-mail werkelijk van de mailserver van het autobedrijf kwam is natuurlijk een heel serieus punt, maar als die klant niet even de moeite heeft genomen om een simpel telefoontje te plegen om iets raars te verifiëren, of de boeking zo nonchalant deed dat die het niet eens opmerkte, dan is het punt wel te maken dat het alleen mis kon gaan omdat bij beide partijen iets fout is gegaan, en dan wordt het afwegen voor de rechter welke fout welk aandeel heeft in de schade.
Daar kan het autobedrijf dus zijn argumenten voor inbrengen, de klant kan tegenargumenten inbrengen, en de rechter gaat op basis daarvan oordelen. Bedenk dat een (civiele) rechter argumenten die de procespartijen inbrengen weegt aan de hand van wetten en jurisprudentie (wat een ander perspectief is dan IT). Daar hoort bij dat de procespartijen die argumenten in moeten kunnen brengen. Ik vind het daarom niet raar dat dit gebeurt.
11-08-2025, 18:26 door
Anoniem
Door Anoniem:
Waarschijnlijk kocht de aanvaller het correcte wachtwoord van iemand die de geslaagde brute-force heeft uitgevoerd.
Door Briolet: Ik zie heel tegenstrijdige verslaglegging van deze onderzoeker:
en
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.
en
De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had
De tweede uitspraak staat lijnrecht tegenover de eerst, want bij een bruteforce aanval doe je heel veel foutieve inlogpogingen. Kent deze onderzoeker zijn vak wel?
Waarschijnlijk kocht de aanvaller het correcte wachtwoord van iemand die de geslaagde brute-force heeft uitgevoerd.
Beslist niet, want dan had er onder de brute force aanvallen van 27 - 29 juni tenminste één succesvolle login moeten zitten.
Zonder dat weet de brute-force aanvaller niet welk password werkt om te verkopen.
Ik zou eigenlijk denken dat password probes en min of minder intensieve dictionary aanvallen (het is haast nooit brute force in de goede betekenis ) gewoon semi-permanent gebeuren .
De conclusie lijkt terecht dat de falende brute force gewoon niks te maken heeft met de succesvolle intrusie .
11-08-2025, 20:07 door
MathFox
Door Anoniem:
Wanneer dit niet 100% geldt ontstaat de vraag: wie is er dan wèl verantwoordelijk?
Een rechtbank kan toch geen genoegen nemen met de uitkomst: sorry, niemand is verantwoordelijk?
Mee eens dat het autobedrijf in principe verantwoordelijk is voor vanuit hun mailomgeving verstuurde berichten. Maar als zij kunnen aantonen dat de systeembeheerders, aan wie zij het beheer hebben uitbesteed, wachtwoorden verkocht hebben aan de fraudeur, dan hebben die systeembeheerders een serieus probleem.Door Anoniem: Ik vind dit opmerkelijk: ook als het wel goed beveiligd was geweest, dan nog is de factuur verstuurd vanaf de mailomgeving van het autobedrijf. Dan blijven ze toch nog verantwoordelijk voor de schade?
Mee eens: de eigenaar-beheerder van het e-mailaccount is aansprakelijk voor alles wat er met dit account gebeurt. Wanneer dit niet 100% geldt ontstaat de vraag: wie is er dan wèl verantwoordelijk?
Een rechtbank kan toch geen genoegen nemen met de uitkomst: sorry, niemand is verantwoordelijk?
Wat er precies gebeurd is blijft onduidelijk, maar sinds het lezen van het vonnis in de eerste rechtszaak heb ik vermoeden dat de fraude een "inside job" is. ICT-beheerder of garage, wie zal het zeggen.
11-08-2025, 21:08 door
Anoniem
Door MathFox:
Door Anoniem:
Wanneer dit niet 100% geldt ontstaat de vraag: wie is er dan wèl verantwoordelijk?
Een rechtbank kan toch geen genoegen nemen met de uitkomst: sorry, niemand is verantwoordelijk?
Mee eens dat het autobedrijf in principe verantwoordelijk is voor vanuit hun mailomgeving verstuurde berichten. Door Anoniem: Ik vind dit opmerkelijk: ook als het wel goed beveiligd was geweest, dan nog is de factuur verstuurd vanaf de mailomgeving van het autobedrijf. Dan blijven ze toch nog verantwoordelijk voor de schade?
Mee eens: de eigenaar-beheerder van het e-mailaccount is aansprakelijk voor alles wat er met dit account gebeurt. Wanneer dit niet 100% geldt ontstaat de vraag: wie is er dan wèl verantwoordelijk?
Een rechtbank kan toch geen genoegen nemen met de uitkomst: sorry, niemand is verantwoordelijk?
Klopt. Maar ook dan kan er - afhankelijk van de vragen en alles - nog steeds ook een eigen verantwoordelijkheid bij de ontvanger van de berichten liggen, om niet blindelings de mail te volgen .
Ergens tussen de 0 en 100% .
Als, hypothetisch , het zoontje van de garagehouder in een dronken bui naar de klant mailt dat ie een dick-pick moet sturen naar de secretaresse die daarop zit te wachten - hoeveel verantwoordelijkheid heeft de klant om wel of niet de riem los te gespen ?
Voor de betaalinstructie naar een totaal andere rekening dan eerst - we zullen in een later vonnis zien hoeveel eigen oplettendheid de rechter verwacht van de klant , voor een afwijkende mailinstructie vanaf het juiste domein.
Maar als zij kunnen aantonen dat de systeembeheerders, aan wie zij het beheer hebben uitbesteed, wachtwoorden verkocht hebben aan de fraudeur, dan hebben die systeembeheerders een serieus probleem.
Wat er precies gebeurd is blijft onduidelijk, maar sinds het lezen van het vonnis in de eerste rechtszaak heb ik vermoeden dat de fraude een "inside job" is. ICT-beheerder of garage, wie zal het zeggen.
Gezien het verloop krijg je inderdaad meer het idee van inside job dan een behoorlijke buitenstaander die toegang kreeg/kocht en dan "precies" optimaal gebruik maakte van de ontstane mogelijkheden .
Afgezien van het gebruik van het juiste mailsysteem, blijkbaar wist de fraudeur ook de verkoop transactie flow goed te snappen , en werd een rekening van een duitse katvanger gebruikt .
Het hint hoe dan naar een 'lokale' (Duitse) dader.
12-08-2025, 11:44 door
Anoniem
Een opmerking vooral een consument is een burger die een bepaald vertrouwen mag hebben in een bedrijf of bank. Rechters zouden dit moeten onderschrijven
Bedrijven en banken zijn echter commerciële beroeps organisaties, waarvan een bepaalde professionaliteit mag worden verwacht, in hun doen en laten, in hun informatiebeveiliging, hun communicatie (bv hun IBAN vermelden op hun website), en doorzich zelf te verzekeren tegen bepaalde risico's. Dat (besef) ontbreekt hier.
In NL moet er meer nadruk komen op consumenten bescherming. Als dit andersom was geweest, dus het bedrijfs ontving van de consument een mail over het verkopen van zijn auto en daarna een frauduleus mailtje met een betaalverzoek. Dan had er van het brdrijf verwacht mogen worden dat er een financiële afdeling is die dit ook checkt. Dus een mail met de vraag klopt dit iban? Beste gebal een belletje voor het overmaken. Als bedrijf heb je verantwoordelijkheden om je bedrijfsvoering proffesioneel uit te vierenz inspelend op gangbare risico's en wordt er can je verwacht dat je verzekerd bent tegen dit soort risico's.
Het wel of niet hebben van een financieel medewerker is een keuze, wie die rol dan ook opzich neemt heeft de verantwoordelijk om zijn taak goed en gedegen uit te voeren
Je bent bij wet verplicht een gedegen administratie te voeren en verplicht om je klant te kennen KYC Know Your Customer. Als er zaken afwijken, zoals een Duits bankrekening om een afwijkende naam, dan dient dat gesignaleerd te worden. Faalt de medewerker die de financiën doet hierin dan is dat voor rekening van het bedrijf en kunnen ze de schade verhalen op de verzekeraar en evtm op de medewerker, die zal zeggen niet goed gefaciliteerd te zijn of niet goed ingewerkt te zijn.
Dit soort gevallen zijn pijnlijk, echter kan het niet zo zijn dat consumenten totaal niet beschermd worden en bedrijven juridisch geen gevaar lopen.
Daarom draaide ik het om, ik vind dat het bedrijf de kosten MIET dragen door hun nalatigheid en de klant zou maximaal een gematigde waarschuwings boete van 100 euro moeten betalen, om duidelijk te maken dat het een olie domme actie is om zelf het geld over te maken, zonder telefonische check of de mail legitiem was en in mijn omgedraaide voorbeeld, dat hij/zij het gebruikte email adress afdoende beveiligd met een periodiek wisselenend email adres.
Ik snap ook echt niet de diverse uitspraken waarbij banken geen schade hoeven te vergoeden. Bizar hoe weinig bescherming burgers krijgen, als de bank schade heeft kunnen ze hun interne kennis en kacht gebruiken om de frauduleuze geldstroom te volgen en te blokeren. En de katvanger aansprakelijk te spellen.
Terwijl een opgelicht burger die info niet heeft en niet krijgt en de politie er niets mee doet.
Wanneer rechters steevast burgers met de schade laten zitten na slinkse proffesionele oplichtings praktijken, dan gaan banken en bedrijven daar ook niet tegen doenz zich er niet tegen verzekeren. De politie doet al helemaal niets voor burgers, maar wanneer de Rabobak signaleert dat een bepaalde bende 1000 x een oplichtings poging heeft uitgevoerd dan hebben zij de (lobby) macht en kennis om dw politie en de politiek hierop aan te spreken.
Een consument wordt opgelicht, snapt het niet, is machteloos, heeft geen machtspositie en naar consument luisterd de politie niet, ook niet naar 1000 losse incidentele verspreide gevallen. Maar wanneer de banken zich melden met 1000 gebundelde voorbeelden net hun interne informatie er aan gekoppeld, dan gaat er wat gebeuren.
In dit geval is er een bende mee weggekomen, volgende week is een volgend naief autobedrijfje aan de beurt.
En niets veranderd en de rechters houden dat in stand door bedrijven te beschermen ipv consumenten.
Bedrijven en banken zijn echter commerciële beroeps organisaties, waarvan een bepaalde professionaliteit mag worden verwacht, in hun doen en laten, in hun informatiebeveiliging, hun communicatie (bv hun IBAN vermelden op hun website), en doorzich zelf te verzekeren tegen bepaalde risico's. Dat (besef) ontbreekt hier.
In NL moet er meer nadruk komen op consumenten bescherming. Als dit andersom was geweest, dus het bedrijfs ontving van de consument een mail over het verkopen van zijn auto en daarna een frauduleus mailtje met een betaalverzoek. Dan had er van het brdrijf verwacht mogen worden dat er een financiële afdeling is die dit ook checkt. Dus een mail met de vraag klopt dit iban? Beste gebal een belletje voor het overmaken. Als bedrijf heb je verantwoordelijkheden om je bedrijfsvoering proffesioneel uit te vierenz inspelend op gangbare risico's en wordt er can je verwacht dat je verzekerd bent tegen dit soort risico's.
Het wel of niet hebben van een financieel medewerker is een keuze, wie die rol dan ook opzich neemt heeft de verantwoordelijk om zijn taak goed en gedegen uit te voeren
Je bent bij wet verplicht een gedegen administratie te voeren en verplicht om je klant te kennen KYC Know Your Customer. Als er zaken afwijken, zoals een Duits bankrekening om een afwijkende naam, dan dient dat gesignaleerd te worden. Faalt de medewerker die de financiën doet hierin dan is dat voor rekening van het bedrijf en kunnen ze de schade verhalen op de verzekeraar en evtm op de medewerker, die zal zeggen niet goed gefaciliteerd te zijn of niet goed ingewerkt te zijn.
Dit soort gevallen zijn pijnlijk, echter kan het niet zo zijn dat consumenten totaal niet beschermd worden en bedrijven juridisch geen gevaar lopen.
Daarom draaide ik het om, ik vind dat het bedrijf de kosten MIET dragen door hun nalatigheid en de klant zou maximaal een gematigde waarschuwings boete van 100 euro moeten betalen, om duidelijk te maken dat het een olie domme actie is om zelf het geld over te maken, zonder telefonische check of de mail legitiem was en in mijn omgedraaide voorbeeld, dat hij/zij het gebruikte email adress afdoende beveiligd met een periodiek wisselenend email adres.
Ik snap ook echt niet de diverse uitspraken waarbij banken geen schade hoeven te vergoeden. Bizar hoe weinig bescherming burgers krijgen, als de bank schade heeft kunnen ze hun interne kennis en kacht gebruiken om de frauduleuze geldstroom te volgen en te blokeren. En de katvanger aansprakelijk te spellen.
Terwijl een opgelicht burger die info niet heeft en niet krijgt en de politie er niets mee doet.
Wanneer rechters steevast burgers met de schade laten zitten na slinkse proffesionele oplichtings praktijken, dan gaan banken en bedrijven daar ook niet tegen doenz zich er niet tegen verzekeren. De politie doet al helemaal niets voor burgers, maar wanneer de Rabobak signaleert dat een bepaalde bende 1000 x een oplichtings poging heeft uitgevoerd dan hebben zij de (lobby) macht en kennis om dw politie en de politiek hierop aan te spreken.
Een consument wordt opgelicht, snapt het niet, is machteloos, heeft geen machtspositie en naar consument luisterd de politie niet, ook niet naar 1000 losse incidentele verspreide gevallen. Maar wanneer de banken zich melden met 1000 gebundelde voorbeelden net hun interne informatie er aan gekoppeld, dan gaat er wat gebeuren.
In dit geval is er een bende mee weggekomen, volgende week is een volgend naief autobedrijfje aan de beurt.
En niets veranderd en de rechters houden dat in stand door bedrijven te beschermen ipv consumenten.
12-08-2025, 12:01 door
Anoniem
In reactie op Anoniem:
Gezien het verloop krijg je inderdaad meer het idee van inside job dan een behoorlijke buitenstaander die toegang kreeg/kocht en dan "precies" optimaal gebruik maakte van de ontstane mogelijkheden .
Afgezien van het gebruik van het juiste mailsysteem, blijkbaar wist de fraudeur ook de verkoop transactie flow goed te snappen , en werd een rekening van een duitse katvanger gebruikt .
Het hint hoe dan naar een 'lokale' (Duitse) dader.
Veel kleine bedrijven passen hunn wachtwoorden nooit aan.
Vaak zat een klein projectje gedaan voor een ouderwest productie bedrijf met 1-5 FTE, waarbij email en de website door niemand gerund of onderhouden werd. Ik denk het leeuwendeel van die klusjes zal 10 jaar later nog het selfde wachtwoord gebruiken voor hun webmail, hun boekhouding, hun leveranciers en hun website.
Ik denk dat de samenleving complex genoeg is zonder de risico's van oplichters, helemaal voor consumenten en ondernemers of werknemers van 50 jaar of ouder.
Die zijn niet opgegroeid met dit soort risico's en het veranderen van wachtwoorden doen ze liever niet, want zo werken we altijd al.
Ik herinner me 1 klant, waar er na een website overzet projectje 2 nieuwe eigenaars kwamen, de oorspronkelijke eitenaar verstrok, het administratief personeel ook, en de 2 nieuwe eigenaars verkochten het 3 jaar later weer door of ik ze wilde helpen met wat aanpassingen, oa namen want die waren al jaren anders. Toen bleek dat letterlijk alle wachtwoorden nog onverantwoord waren. Wat dus betekendndat alle oud collega's en oud eigenaren dus nog toegang tot email en webmail hadden. Pfff.
Ik was daar de laatste die het wachtwoord BEWUST had gewijzigd en gaf ze een ezelsbruggetje met 1 ww die ue ket een toevoeging voor elke toepassing kon gebruiken hadden ze daarna nooit meer aangepast.
Zo maak je het criminelen en kwaadwillende wel heel
erg makkelijk. Denk dat dit bij veel meer ouderwetse bedrijven zo werkt.
Pas ten minste elke kwartaal te wachtwoord aan, desnoods door van ww25+123 dan ww25+1234 te maken, daarmee is het gewijzigd, zelfs wanneer oud gedienden dit kunnen raden, zijn ze in overtreding want dan breek ik dus in, welkicwaar net voorkennis maar toch.
Gezien het verloop krijg je inderdaad meer het idee van inside job dan een behoorlijke buitenstaander die toegang kreeg/kocht en dan "precies" optimaal gebruik maakte van de ontstane mogelijkheden .
Afgezien van het gebruik van het juiste mailsysteem, blijkbaar wist de fraudeur ook de verkoop transactie flow goed te snappen , en werd een rekening van een duitse katvanger gebruikt .
Het hint hoe dan naar een 'lokale' (Duitse) dader.
Veel kleine bedrijven passen hunn wachtwoorden nooit aan.
Vaak zat een klein projectje gedaan voor een ouderwest productie bedrijf met 1-5 FTE, waarbij email en de website door niemand gerund of onderhouden werd. Ik denk het leeuwendeel van die klusjes zal 10 jaar later nog het selfde wachtwoord gebruiken voor hun webmail, hun boekhouding, hun leveranciers en hun website.
Ik denk dat de samenleving complex genoeg is zonder de risico's van oplichters, helemaal voor consumenten en ondernemers of werknemers van 50 jaar of ouder.
Die zijn niet opgegroeid met dit soort risico's en het veranderen van wachtwoorden doen ze liever niet, want zo werken we altijd al.
Ik herinner me 1 klant, waar er na een website overzet projectje 2 nieuwe eigenaars kwamen, de oorspronkelijke eitenaar verstrok, het administratief personeel ook, en de 2 nieuwe eigenaars verkochten het 3 jaar later weer door of ik ze wilde helpen met wat aanpassingen, oa namen want die waren al jaren anders. Toen bleek dat letterlijk alle wachtwoorden nog onverantwoord waren. Wat dus betekendndat alle oud collega's en oud eigenaren dus nog toegang tot email en webmail hadden. Pfff.
Ik was daar de laatste die het wachtwoord BEWUST had gewijzigd en gaf ze een ezelsbruggetje met 1 ww die ue ket een toevoeging voor elke toepassing kon gebruiken hadden ze daarna nooit meer aangepast.
Zo maak je het criminelen en kwaadwillende wel heel
erg makkelijk. Denk dat dit bij veel meer ouderwetse bedrijven zo werkt.
Pas ten minste elke kwartaal te wachtwoord aan, desnoods door van ww25+123 dan ww25+1234 te maken, daarmee is het gewijzigd, zelfs wanneer oud gedienden dit kunnen raden, zijn ze in overtreding want dan breek ik dus in, welkicwaar net voorkennis maar toch.
13-08-2025, 12:38 door
waaromdan
werd gemeld dat de klant een softwareontwikkelaar is die onder meer voor Google en Microsoft heeft gewerkt.
Daarbij opgeteld:
-Een Australische klant.
-Een bruteforce-aanval met een Australisch IP-adres.
Is de klant zelf de dader?
13-08-2025, 18:47 door
Anoniem
Door waaromdan:
Daarbij opgeteld:
-Een Australische klant.
-Een bruteforce-aanval met een Australisch IP-adres.
Is de klant zelf de dader?
werd gemeld dat de klant een softwareontwikkelaar is die onder meer voor Google en Microsoft heeft gewerkt.
Daarbij opgeteld:
-Een Australische klant.
-Een bruteforce-aanval met een Australisch IP-adres.
Is de klant zelf de dader?
Vanuit die optiek is iedere Chinees en Roemeen die ergens slachtoffer van wordt wordt blijkbaar de dader, want de scans komen altijd wel daarvandaan .
Maar leg eens uit waar die klant er beter van geworden is ?
Op moment heeft de klant wel betaald - ergens in 2022 (alleen niet aan de dealer), geen auto gekregen, en zit al een hele tijd in een rechtszaak om (hooguit) alsnog de auto te krijgen of het geld terug te krijgen.
We zitten nu in 2025 .
En dan denk jij slim te zijn met de theorie "hep ie zelf gedaan" .
13-08-2025, 20:58 door
Anoniem
Door Anoniem:
Dit is heel goed mogelijk, de coïncidentie viel mij ook op.Door waaromdan:
Daarbij opgeteld:
-Een Australische klant.
-Een bruteforce-aanval met een Australisch IP-adres.
Is de klant zelf de dader?
Vanuit die optiek is iedere Chinees en Roemeen die ergens slachtoffer van wordt wordt blijkbaar de dader, want de scans komen altijd wel daarvandaan .werd gemeld dat de klant een softwareontwikkelaar is die onder meer voor Google en Microsoft heeft gewerkt.
Daarbij opgeteld:
-Een Australische klant.
-Een bruteforce-aanval met een Australisch IP-adres.
Is de klant zelf de dader?
Het is niet alleen een optiek, maar ook een onderzoeksvoorstel (aan het autobedrijf - kost wel geld om daar mensen op te zetten).
Maar leg eens uit waar die klant er beter van geworden is ?
Op moment heeft de klant wel betaald - ergens in 2022 (alleen niet aan de dealer), geen auto gekregen, en zit al een hele tijd in een rechtszaak om (hooguit) alsnog de auto te krijgen of het geld terug te krijgen.
We zitten nu in 2025 .
De hypothese is, dat de klant min of meer, via omwegen, aan zichzelf betaald heeft. Op moment heeft de klant wel betaald - ergens in 2022 (alleen niet aan de dealer), geen auto gekregen, en zit al een hele tijd in een rechtszaak om (hooguit) alsnog de auto te krijgen of het geld terug te krijgen.
We zitten nu in 2025 .
Wanneer hij de rechtszaak wint dan krijgt hij voor niks een auto.
Hij moet daarvoor enige inspanning verrichten en enig geduld hebben, maar dat is het waard.
En dan denk jij slim te zijn met de theorie "hep ie zelf gedaan" .
Het is een theorie die interessant is om te onderzoeken. Criminaliteit ontwikkelt zich voortdurend. Ik begrijp niet waarom jij zo aangebrand reageert.
18-08-2025, 17:09 door
Anoniem
Is het niet zo dat iedereen een mail namens kan versturen. Ok het IP adres is dan anders, maar wie kijkt daar naar? Ik denk dat de koper had moeten bellen, wat is het rekeningnummer, kan je bevestigen dat je het geld hebt ontvangen? Kan je bevestigen dat je inderdaad die tuut kan leveren. Daarnaast kan je zelf ook nog controleren of het bankrekeningnummer overeenkomt. Bvb door dat op te vragen bij de bank. De koper had dat met andere woorden kunnen voorkomen. Dat de hacker toegang heeft verkregen door een slap wachtwoord is natuurlijk niet handig. Maar goed ben van het type paranoia;) met name bij stevige bedragen, en dat wordt nog eens versterkt met betalingen buitenland.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?