Slachtoffers datalek Delta Mobiel en Caiway willen schadevergoeding
Slachtoffers van het datalek bij Delta Mobiel en Caiway willen een schadevergoeding van de providers en zijn een procedure gestart. Afgelopen december maakten Delta en Caiway bekend dat klantgegevens uit de bestelomgeving waren gestolen. Het gaat om namen, adressen, e-mailadressen, geboortedata en telefoon- en bankrekeningnummers van waarschijnlijk tienduizenden klanten.
Eén van de slachtoffers vond dat Delta de beveiliging beter op orde had moeten hebben. Via een aangetekende brief vroeg hij de provider wegens immateriële schade om een schadevergoeding. Delta wees de claim van de klant af, waarop die een advocaat in de arm nam. Het advocatenkantoor BG.legal is een procedure gestart om met Delta in gesprek te gaan en te onderzoeken of een schadevergoeding voor alle getroffenen mogelijk is.
Het zou dan gaan om een bedrag van 250 tot 500 euro per slachtoffer van het datalek. "Het is niet mijn intentie om het bedrijf kapot te maken, maar we willen Delta hier niet zomaar mee weg laten komen. Daarmee geven we een signaal af, ook aan de rest van het bedrijfsleven. Ze moeten ervoor zorgen dat hun beveiliging op orde is, anders riskeren ze schadeclaims. Ik hoop dat dit een wake-upcall is voor het bedrijfsleven", aldus de initiatiefnemer van de actie tegenover DPG Media.
De groep gedupeerden wil eerst in gesprek met Delta, om helder te krijgen welke persoonsgegevens zijn buitgemaakt, wat de oorzaak was van het datalek en wat de provider heeft gedaan om herhaling te voorkomen. Security.NL heeft BG.legal om verdere informatie over de procedure gevraagd maar geen reactie mogen ontvangen.
Reacties (13)
We hebben hier toch wetgeving en instanties voor? Dit soort advocaten doen hun uiterste best om het Amerikaanse claim systeem hier van de grond te krijgen.
Laat ze eerst maar eens onderzoeken hoe de beveiling van caiway er aan toe was. Als dat idd niet goed was zou je iets van een schadeclaim kunnen rechtvaardigen. Als er gebruik is gemaakt van een nieuwe 0day exploit bijvoorbeeld kun je dat het bedrijf moeilijk kwalijk nemen lijkt me.
En ja ik ben ook caiway klant (helaas?)
groeten Sebastiaan
En ja ik ben ook caiway klant (helaas?)
groeten Sebastiaan
17-02-2023, 22:59 door
Erik van Straten
Door Anoniem: Als er gebruik is gemaakt van een nieuwe 0day exploit bijvoorbeeld kun je dat het bedrijf moeilijk kwalijk nemen lijkt me.
Wat een totale onzin. Als door één 0day exploit klantgegevens op straat komen te liggen, heb je je beveiliging niet op orde. Precies omdat jij weet dat 0day exploits soms voorkomen, zouden bedrijven zoals Delta en Caiway dat ook moeten weten. En zou hun beveiliging geen single points of failure moeten bevatten.Stel je voor dat morgen je banksaldo 0 is (of negatief) en de bank zegt daar niets aan te kunnen doen "want een 0day exploit"?
Onvoldoende beveiliging is pure gemakzucht en/of verkeerde bezuiniging. Prima deze rechtszaak, ik hoop dat de klagers winnen. Als het bedrijven/oganisaties geen bakken geld kost als ze onvoldoende beveiligen, gaat er niets veranderen.
dat zou mooi zijn gelijk een waarschuwing voor ziggo daar hebben ze ook boter op de hoofd wat beveiliging betreft.
Door Erik van Straten:
Stel je voor dat morgen je banksaldo 0 is (of negatief) en de bank zegt daar niets aan te kunnen doen "want een 0day exploit"?
Door Anoniem: Als er gebruik is gemaakt van een nieuwe 0day exploit bijvoorbeeld kun je dat het bedrijf moeilijk kwalijk nemen lijkt me.
Wat een totale onzin. Als door één 0day exploit klantgegevens op straat komen te liggen, heb je je beveiliging niet op orde. Precies omdat jij weet dat 0day exploits soms voorkomen, zouden bedrijven zoals Delta en Caiway dat ook moeten weten. En zou hun beveiliging geen single points of failure moeten bevatten.Stel je voor dat morgen je banksaldo 0 is (of negatief) en de bank zegt daar niets aan te kunnen doen "want een 0day exploit"?
Ik denk dat er een groot verschil is tussen "gegevens komen op straat te liggen" en "gegevens zijn onherstelbaar verminkt
of verloren gegaan". Als je banksaldo ineens 0 is door een 0day exploit kun je van de bank verlangen dat ze het saldo
terugzetten hoe het was, en daarmee is jouw schade opgelost en voorbij, op zijn minst de daadwerkelijke schade.
Je kunt je tegen dit soort problemen indekken middels backups en je kunt technisch regelen dat leestoegang en
schrijftoegang verschillende beveiligingen zijn die apart doorbroken moeten worden.
Maar als er (in popi-jopi taal) "gegevens komen op straat te liggen" dan hoeft er maar 1 beveiliging doorbroken te zijn
en dan is het ook niet meer te repareren, hoeveel extra technische maatregelen je ook genomen hebt.
Hier kan alleen maar wat tegen ondernomen worden door bijvoorbeeld het aanpakken van diensten die gegevens
anoniem laten publiceren zonder degene die er achter zit te kunnen of willen achterhalen. En door het opsporen en
hard aanpakken van criminelen die chantage plegen met gegevens die ze in handen hebben.
Door Anoniem:
Ik denk dat er een groot verschil is tussen "gegevens komen op straat te liggen" en "gegevens zijn onherstelbaar verminkt
of verloren gegaan". Als je banksaldo ineens 0 is door een 0day exploit kun je van de bank verlangen dat ze het saldo
terugzetten hoe het was, en daarmee is jouw schade opgelost en voorbij, op zijn minst de daadwerkelijke schade.
Je kunt je tegen dit soort problemen indekken middels backups en je kunt technisch regelen dat leestoegang en
schrijftoegang verschillende beveiligingen zijn die apart doorbroken moeten worden.
Maar als er (in popi-jopi taal) "gegevens komen op straat te liggen" dan hoeft er maar 1 beveiliging doorbroken te zijn
en dan is het ook niet meer te repareren, hoeveel extra technische maatregelen je ook genomen hebt.
Hier kan alleen maar wat tegen ondernomen worden door bijvoorbeeld het aanpakken van diensten die gegevens
anoniem laten publiceren zonder degene die er achter zit te kunnen of willen achterhalen. En door het opsporen en
hard aanpakken van criminelen die chantage plegen met gegevens die ze in handen hebben.
Door Erik van Straten:
Stel je voor dat morgen je banksaldo 0 is (of negatief) en de bank zegt daar niets aan te kunnen doen "want een 0day exploit"?
Door Anoniem: Als er gebruik is gemaakt van een nieuwe 0day exploit bijvoorbeeld kun je dat het bedrijf moeilijk kwalijk nemen lijkt me.
Wat een totale onzin. Als door één 0day exploit klantgegevens op straat komen te liggen, heb je je beveiliging niet op orde. Precies omdat jij weet dat 0day exploits soms voorkomen, zouden bedrijven zoals Delta en Caiway dat ook moeten weten. En zou hun beveiliging geen single points of failure moeten bevatten.Stel je voor dat morgen je banksaldo 0 is (of negatief) en de bank zegt daar niets aan te kunnen doen "want een 0day exploit"?
Ik denk dat er een groot verschil is tussen "gegevens komen op straat te liggen" en "gegevens zijn onherstelbaar verminkt
of verloren gegaan". Als je banksaldo ineens 0 is door een 0day exploit kun je van de bank verlangen dat ze het saldo
terugzetten hoe het was, en daarmee is jouw schade opgelost en voorbij, op zijn minst de daadwerkelijke schade.
Je kunt je tegen dit soort problemen indekken middels backups en je kunt technisch regelen dat leestoegang en
schrijftoegang verschillende beveiligingen zijn die apart doorbroken moeten worden.
Maar als er (in popi-jopi taal) "gegevens komen op straat te liggen" dan hoeft er maar 1 beveiliging doorbroken te zijn
en dan is het ook niet meer te repareren, hoeveel extra technische maatregelen je ook genomen hebt.
Hier kan alleen maar wat tegen ondernomen worden door bijvoorbeeld het aanpakken van diensten die gegevens
anoniem laten publiceren zonder degene die er achter zit te kunnen of willen achterhalen. En door het opsporen en
hard aanpakken van criminelen die chantage plegen met gegevens die ze in handen hebben.
Wetgeving omtrent datalekken in Nederland is een wassen neus. Civiele claims tav. datalekken krijgen nauwelijks een kans. Was hier maar een Amerikaans systeem van class action. Dan zouden deze bedrijven hun data veiligheid wel serieus nemen. Nu hebben ze zoveel speelruimte dat ze overal onderuit kunnen.
Ik ben het op zich eens met het doen van deze schadeclaim. Maar het bedrag is duidelijk van een provinciaals niveau. We praten hier over veel meer geld. Over het bedrijf Delta niet kapot willen maken zoals BG.Legal stelt het volgende. Delta Fiber heeft een omzet welke in 2020 nog 500+ miljoen was volgens wikipedia. Volgens telecompaper was dit 283 miljoen. Delta Fiber is eigendom van Stonepeak (50+ miljard USD in assets) en EQT (200+ miljard USD in assets). Dit betekent dat een civiele claim van 500 euro per gedupeerde veel te weinig is. Rekening houdend met het vermogen van de eigenaren van Delta fiber is een claim van 5000 per gedupeerde een minimum. Stel dat 50000 klanten de dupe zijn van dit datalek dan praten we over 250 miljoen euro. Nog steeds peanuts voor de eigenaren van Delta Fiber. Ik vraag me trouwens wel af hoe BG.Legal de schadeclaim aantoonbaar kan maken Welke schade hebben de klanten wiens gegevens op straat liggen nu werkelijk geleden? Toon dat maar eens aan in een civiele zaak.
Daarnaast kan eveneens een boete van AP nog tot de mogelijkheden behoren. Dit zou dan gaan om 2% van de wereldwijde revenue. Indien dit beide eigenaren zou betreffen dan praten we over 2% van 250+ miljard USD ofwel minstens 5 Miljard USD. Zou wel een stunt zijn indien AP zover zou gaan. Ik vrees alleen dat ze door gebrek aan kennis van technologie en mogelijk achterhouden/verdraaien van bewijs door Delta niet verder komen dan een paar ton. GDPR/AVG biedt totaal geen goede houvast wat dit betreft bij het uitdelen van echte hoge administratieve boetes. Het is alleemaal pappen en nathouden. En: de lobby van de big guys zal AP in het gareel houden. Op papier lijkt de GDPR mooi maar in werkelijkheid sta je in je hemd. Het is een doekje voor het bloeden.
Door Anoniem: .
Ik ben het op zich eens met het doen van deze schadeclaim. Maar het bedrag is duidelijk van een provinciaals niveau. We praten hier over veel meer geld. Over het bedrijf Delta niet kapot willen maken zoals BG.Legal stelt het volgende. Delta Fiber heeft een omzet welke in 2020 nog 500+ miljoen was volgens wikipedia. Volgens telecompaper was dit 283 miljoen. Delta Fiber is eigendom van Stonepeak (50+ miljard USD in assets) en EQT (200+ miljard USD in assets). Dit betekent dat een civiele claim van 500 euro per gedupeerde veel te weinig is. Rekening houdend met het vermogen van de eigenaren van Delta fiber is een claim van 5000 per gedupeerde een minimum. Stel dat 50000 klanten de dupe zijn van dit datalek dan praten we over 250 miljoen euro. Nog steeds peanuts voor de eigenaren van Delta Fiber. Ik vraag me trouwens wel af hoe BG.Legal de schadeclaim aantoonbaar kan maken Welke schade hebben de klanten wiens gegevens op straat liggen nu werkelijk geleden? Toon dat maar eens aan in een civiele zaak.
Voor het vaststellen van de geleden schade is het onzin om te kijken naar het vermogen van degene die de schade veroorzaakt. Je moet kijken naar de aangerichte schade en dat moet vergoed worden. Kan je dat niet precies vaststellen, dan moet je maar een redelijke schatting maken.Ik ben het op zich eens met het doen van deze schadeclaim. Maar het bedrag is duidelijk van een provinciaals niveau. We praten hier over veel meer geld. Over het bedrijf Delta niet kapot willen maken zoals BG.Legal stelt het volgende. Delta Fiber heeft een omzet welke in 2020 nog 500+ miljoen was volgens wikipedia. Volgens telecompaper was dit 283 miljoen. Delta Fiber is eigendom van Stonepeak (50+ miljard USD in assets) en EQT (200+ miljard USD in assets). Dit betekent dat een civiele claim van 500 euro per gedupeerde veel te weinig is. Rekening houdend met het vermogen van de eigenaren van Delta fiber is een claim van 5000 per gedupeerde een minimum. Stel dat 50000 klanten de dupe zijn van dit datalek dan praten we over 250 miljoen euro. Nog steeds peanuts voor de eigenaren van Delta Fiber. Ik vraag me trouwens wel af hoe BG.Legal de schadeclaim aantoonbaar kan maken Welke schade hebben de klanten wiens gegevens op straat liggen nu werkelijk geleden? Toon dat maar eens aan in een civiele zaak.
Vind je dat de schadeveroorzaker te rijk is, dan moet je maar op een politieke partij stemmen die hier iets aan doen wil.
Door Anoniem: dat zou mooi zijn gelijk een waarschuwing voor ziggo daar hebben ze ook boter op de hoofd wat beveiliging betreft.
Dat is correct.Door Anoniem:
Vind je dat de schadeveroorzaker te rijk is, dan moet je maar op een politieke partij stemmen die hier iets aan doen wil.
Door Anoniem: .
Ik ben het op zich eens met het doen van deze schadeclaim. Maar het bedrag is duidelijk van een provinciaals niveau. We praten hier over veel meer geld. Over het bedrijf Delta niet kapot willen maken zoals BG.Legal stelt het volgende. Delta Fiber heeft een omzet welke in 2020 nog 500+ miljoen was volgens wikipedia. Volgens telecompaper was dit 283 miljoen. Delta Fiber is eigendom van Stonepeak (50+ miljard USD in assets) en EQT (200+ miljard USD in assets). Dit betekent dat een civiele claim van 500 euro per gedupeerde veel te weinig is. Rekening houdend met het vermogen van de eigenaren van Delta fiber is een claim van 5000 per gedupeerde een minimum. Stel dat 50000 klanten de dupe zijn van dit datalek dan praten we over 250 miljoen euro. Nog steeds peanuts voor de eigenaren van Delta Fiber. Ik vraag me trouwens wel af hoe BG.Legal de schadeclaim aantoonbaar kan maken Welke schade hebben de klanten wiens gegevens op straat liggen nu werkelijk geleden? Toon dat maar eens aan in een civiele zaak.
Voor het vaststellen van de geleden schade is het onzin om te kijken naar het vermogen van degene die de schade veroorzaakt. Je moet kijken naar de aangerichte schade en dat moet vergoed worden. Kan je dat niet precies vaststellen, dan moet je maar een redelijke schatting maken.Ik ben het op zich eens met het doen van deze schadeclaim. Maar het bedrag is duidelijk van een provinciaals niveau. We praten hier over veel meer geld. Over het bedrijf Delta niet kapot willen maken zoals BG.Legal stelt het volgende. Delta Fiber heeft een omzet welke in 2020 nog 500+ miljoen was volgens wikipedia. Volgens telecompaper was dit 283 miljoen. Delta Fiber is eigendom van Stonepeak (50+ miljard USD in assets) en EQT (200+ miljard USD in assets). Dit betekent dat een civiele claim van 500 euro per gedupeerde veel te weinig is. Rekening houdend met het vermogen van de eigenaren van Delta fiber is een claim van 5000 per gedupeerde een minimum. Stel dat 50000 klanten de dupe zijn van dit datalek dan praten we over 250 miljoen euro. Nog steeds peanuts voor de eigenaren van Delta Fiber. Ik vraag me trouwens wel af hoe BG.Legal de schadeclaim aantoonbaar kan maken Welke schade hebben de klanten wiens gegevens op straat liggen nu werkelijk geleden? Toon dat maar eens aan in een civiele zaak.
Vind je dat de schadeveroorzaker te rijk is, dan moet je maar op een politieke partij stemmen die hier iets aan doen wil.
Daar gaat het mij niet om of ze te rijk zijn of niet is niet relevant. Voor de schadevergoeding is weldegelijk het vermogen van de eigenaren van Delta Fiber een indicatie. Immers van deze eigenaren kun je meer plukken dan van een kale kip. Het is dus niet onredelijk om in dit geval een hoge vergoeding te vragen mits aantoonbaar.
"namen, adressen, e-mailadressen, geboortedata en telefoon- en bankrekeningnummers"
Grotendeels openbare informatie, alleen de bankrekeningnummers niet, en wat gaan de criminelen daarmee doen? Er geld op storten?
Dat ze aan de beveiliging moeten werken lijkt me duidelijk, een boete voor AVG overtreding kan eventueel ook nog, maar een schadevergoeding voor deze gegevens? Welke schade dan? Hou nou op met dat amerikaanse gedoe...
Grotendeels openbare informatie, alleen de bankrekeningnummers niet, en wat gaan de criminelen daarmee doen? Er geld op storten?
Dat ze aan de beveiliging moeten werken lijkt me duidelijk, een boete voor AVG overtreding kan eventueel ook nog, maar een schadevergoeding voor deze gegevens? Welke schade dan? Hou nou op met dat amerikaanse gedoe...
Door Anoniem: "namen, adressen, e-mailadressen, geboortedata en telefoon- en bankrekeningnummers"
Grotendeels openbare informatie, alleen de bankrekeningnummers niet, en wat gaan de criminelen daarmee doen? Er geld op storten?
Dat ze aan de beveiliging moeten werken lijkt me duidelijk, een boete voor AVG overtreding kan eventueel ook nog, maar een schadevergoeding voor deze gegevens? Welke schade dan? Hou nou op met dat amerikaanse gedoe...
Grotendeels openbare informatie, alleen de bankrekeningnummers niet, en wat gaan de criminelen daarmee doen? Er geld op storten?
Dat ze aan de beveiliging moeten werken lijkt me duidelijk, een boete voor AVG overtreding kan eventueel ook nog, maar een schadevergoeding voor deze gegevens? Welke schade dan? Hou nou op met dat amerikaanse gedoe...
Wellicht persoonlijke phishing mails sturen met zinnen als "Wij van ING hebben op rekeningnummer ....... op naam van ..... geconstateerd dat het wachtwoord is komen te vervallen. U kunt uw wachtwoord veranderen door HIER uw wachtwoord te resetten."
Cyber criminelen kunnen met weinig informatie al erg geloofwaardige mails versturen die jij en ik misschien wel zouden erkennen als phishing, maar niet elke burger heeft diezelfde kennis. Bankrekeninggegevens zijn dan dus ook erg schadelijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
