image

Bitcoin Meester moet klant vergoeden van wie account werd gekaapt

woensdag 13 september 2023, 13:25 door Redactie, 15 reacties

Cryptoplatform Bitcoin Meester moet een klant van wie het account werd gekaapt duizenden euro's vergoeden, zo heeft de rechtbank Amsterdam geoordeeld. De klant had begin 2021 een account op het cryptoplatform aangemaakt, waar hij via e-mailadres en wachtwoord op inlogde. Bitcoin Meester biedt klanten ook de optie om via de Google Authenticator op de smartphone in te loggen.

Nadat de klant zijn account had aangemaakt stuurde Bitcoin Meester hem een e-mail dat de beveiliging van zijn account beter kon en adviseerde het instellen van de Google Authenticator. "Wanneer iemand uw e-mailaccount in handen heeft kan deze persoon niet bij uw Bitcoin Meester account komen zonder toegang te hebben tot uw telefoon en de authenticator code." Elke keer dat de klant inlogde stuurde Bitcoin Meester hem een e-mail met het advies om Google Authenticator te gebruiken, omdat dat een veiligere en snellere optie zou zijn.

Vorig jaar mei wisten criminelen toegang te krijgen tot het e-mailaccount van de klant en voerden een wachtwoordreset bij Bitcoin Meester uit. Op deze manier kregen ze toegang tot dit account en gaven Bitcoin Meester de opdracht om de cryptovaluta van de klant om te zetten naar bitcoin en vervolgens naar een opgegeven wallet over te maken. De waarde van de cryptovaluta van de klant bedroeg op dat moment 4200 euro.

Algemene voorwaarden

De klant eiste een schadevergoeding van 17.000 euro van Bitcoin Meester, omdat het bedrijf zijn zorgplicht zou hebben geschonden. Bitcoin Meester stelt in de algemene voorwaarden niet aansprakelijk te zijn voor schade als gevolg van hacking. Daarnaast zegt het cryptoplatform dat de schuld bij de klant ligt, die mogelijk onvoldoende maatregelen heeft genomen om zijn e-mailaccount te beveiligen. Zijn e-mailaccount is bij meerdere datalekken betrokken geweest.

Volgens de rechtbank is niet gebleken dat de klant onvoldoende maatregelen heeft genomen om zijn e-mailaccount te beveiligen. Het staat ook niet vast dat de klant van de datalekken op de hoogte was of behoorde te zijn. Door toch de mogelijkheid te bieden om in te loggen met een e-mailadres dat - ook zonder de schuld van de klant bij een datalek betrokken kan zijn, heeft Bitcoin Meester het risico laten bestaan dat onbevoegden in naam van de getroffen klant frauduleuze transacties zouden kunnen uitvoeren, aldus de rechtbank.

Voor de mate waarin sprake is van eigen schuld van de klant houdt de rechter rekening met de aard van de dienstverlening door Bitcoin Meester, die erg veel lijkt op het uitvoeren van betalingstransacties. Betaaldienstverleners zijn wettelijk verplicht om in te staan voor de veiligheid van betalingstransacties. Daarnaast speelt mee dat Bitcoin Meester een deskundige partij is en de klant een consument.

Verantwoordelijkheid

De rechter nam dan ook als uitgangspunt dat het de verantwoordelijkheid van Bitcoin Meester is om haar klanten te beschermen tegen frauderisico’s. "Het ligt daarom op haar weg om te zorgen voor een veilige uitvoering van opdrachten van [eiser] om zijn crypto’s te bewaren, te verkopen of over te dragen. De verantwoordelijkheid van [eiser] speelt een daaraan ondergeschikte rol. De schade van [eiser] komt daarom vanwege zijn onvoorzichtigheid voor 10% voor zijn rekening."

Verder stelt de rechter dat Bitcoin Meester geen beroep kan doen op algemene voorwaarde dat het niet aansprakelijk kan worden gesteld voor schade door hacking. De voorwaarde verstoort namelijk het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van Bitcoin Meester en de klant, in het nadeel van die klant. De rechter oordeelt dan ook dat het cryptoplatform de schade moet vergoeden, maar gaat niet mee in de eis van de klant. De schadevergoeding wordt uiteindelijk vastgesteld op 3800 euro. Daarnaast moet Bitcoin Meester de proceskosten betalen.

Reacties (15)
13-09-2023, 13:41 door _R0N_
Het komt er op neer dat Bitcoin Meester had moeten afdwingen om MFA in te stellen en het niet bij aanraden had moeten blijven.

Wat positief is in de uitspraak is dat de algemene voorwaarden geen vrijwaring is voor beroerde service.
13-09-2023, 14:05 door Anoniem
Eenvoudig op te lossen door een account die geen MFA heeft, geen Crypto uitbetalingen toe te staan
13-09-2023, 16:10 door Anoniem
Door _R0N_: Het komt er op neer dat Bitcoin Meester had moeten afdwingen om MFA in te stellen en het niet bij aanraden had moeten blijven.
Of dat ze niet als accountnaam een e-mail adres hadden moeten gebruiken. Zoals ik wel vaker gesteld heb: het gebruik van een e-mail adres als accountnaam is ongewenst omdat dit accounts onderling aan elkaar relateert en daarmee de kans op hacks vergroot, zeker als de klant niet optimaal zorgvuldig is.
Gebruik liever een klantnummer ofzo.
13-09-2023, 17:31 door Anoniem
Door Anoniem:
Door _R0N_: Het komt er op neer dat Bitcoin Meester had moeten afdwingen om MFA in te stellen en het niet bij aanraden had moeten blijven.
Of dat ze niet als accountnaam een e-mail adres hadden moeten gebruiken. Zoals ik wel vaker gesteld heb: het gebruik van een e-mail adres als accountnaam is ongewenst omdat dit accounts onderling aan elkaar relateert en daarmee de kans op hacks vergroot, zeker als de klant niet optimaal zorgvuldig is.
Gebruik liever een klantnummer ofzo.

Ja, dan biedt een website tevens de optie "inlognaam vergeten" aan en heeft de e-mail hacker alsnog de gebruikersnaam in handen.
13-09-2023, 18:17 door Anoniem
17.000 eisen met een waarde van 4.200, als klant lekker eigenwijs zijn om niet te luisteren want hij/ zij weet het natuurlijk allemaal veel beter, en dan 17.000 eisen wanneer het daadwerkelijk fout gaat? Inderdaad, net zoals hierboven wordt gezegd: zonder MFA ben je bij ons niet welkom, zoek maar een andere toko op die voor dit soort gevallen op mag gaan draaien als het fout gaat. En kijk zelf nog eens heel erg goed of je in deze tijd nog wel u/p authenticatie plaats wil laten vinden. We leven niet meer in 1990, ook al haken bepaalde klanten dan wellicht af.
13-09-2023, 18:57 door Anoniem
Door Anoniem: Eenvoudig op te lossen door een account die geen MFA heeft, geen Crypto uitbetalingen toe te staan
Alles leuk en aardig... Maar dan wel met iets fatsoenlijks en niet door je te dwingen iets van goochel te installeren.
14-09-2023, 09:22 door Anoniem
Blijf het apart vinden dat de rechter de nalatigheid van de klant volledig genegeerd heeft, je ziet steeds vaker in onze samenleving dat eigen verantwoordelijkheid wordt genegeerd en dat iemand anders voor de gevolgen van de keuze van zo iemand mag opdraaien.

Wat mij betreft hebben ze aan hun zorgplicht voldaan door de gebruiker meermalen te wijzen op het risico wat deze nam door geen mfa in te stellen.
14-09-2023, 09:32 door Anoniem
Door Anoniem: Eenvoudig op te lossen door een account die geen MFA heeft, geen Crypto uitbetalingen toe te staan
Dus eerst account overnemen, daarna MFA inschakelen en een dag later cashen...
14-09-2023, 11:03 door Anoniem
Door Anoniem:
Door Anoniem: Eenvoudig op te lossen door een account die geen MFA heeft, geen Crypto uitbetalingen toe te staan
Alles leuk en aardig... Maar dan wel met iets fatsoenlijks en niet door je te dwingen iets van goochel te installeren.

Zoals? Google authenticator is gewoon een TOTP generator, dus gebruik vooral je favoriete tool en gebruik geen flauw excuus om de verantwoordelijkeheid elders te leggen.
14-09-2023, 11:11 door Anoniem
Door Anoniem:
Door Anoniem: Eenvoudig op te lossen door een account die geen MFA heeft, geen Crypto uitbetalingen toe te staan
Alles leuk en aardig... Maar dan wel met iets fatsoenlijks en niet door je te dwingen iets van goochel te installeren.

Dat ben je ook niet, er zijn talloze alternative authenticators die niet van google zijn en verder prima compatible.
Het onderliggende mechanisme is opensource en relatief simpel te implementeren.
14-09-2023, 15:55 door Japie Apie
Door Anoniem:
Door Anoniem: Eenvoudig op te lossen door een account die geen MFA heeft, geen Crypto uitbetalingen toe te staan
Alles leuk en aardig... Maar dan wel met iets fatsoenlijks en niet door je te dwingen iets van goochel te installeren.
En? Voel je jezelf nu een grote jongen om de naam Google te verbasteren?
14-09-2023, 16:10 door Anoniem
Ik snap het oordeel (recht lullen wat krom is) , maar toch is die eindgebruiker behoorlijk nalatig in het optimaal beveiligen van zijn bezittingen als er zo vaak op gewezen is.

Overigens als dit zo is heeft dat ook gevolgen voor microsoft om maar wat te noemen, want er zijn mensen die willens en wetens geen MFA aanzetten voor hun 0365 accountje.
14-09-2023, 16:41 door Anoniem
Door Anoniem: Ik snap het oordeel (recht lullen wat krom is) , maar toch is die eindgebruiker behoorlijk nalatig in het optimaal beveiligen van zijn bezittingen als er zo vaak op gewezen is.

Overigens als dit zo is heeft dat ook gevolgen voor microsoft om maar wat te noemen, want er zijn mensen die willens en wetens geen MFA aanzetten voor hun 0365 accountje.

De zorgplicht voor financiële instelling is van een andere orde dan die van een (gratis?) e-mail provider.

Er is inderdaad wel kans dat het doorwerkt bij andere banken of trading platforms als die nog geen MFA afdwingen
15-09-2023, 09:59 door Saph
Bijzondere uitspraak, als dit bij een bank zou gebeuren zou die dit waarschijnlijk niet hoeven te vergoeden.
25-09-2023, 08:52 door Anoniem
Door Anoniem:
Door _R0N_: Het komt er op neer dat Bitcoin Meester had moeten afdwingen om MFA in te stellen en het niet bij aanraden had moeten blijven.
Of dat ze niet als accountnaam een e-mail adres hadden moeten gebruiken. Zoals ik wel vaker gesteld heb: het gebruik van een e-mail adres als accountnaam is ongewenst omdat dit accounts onderling aan elkaar relateert en daarmee de kans op hacks vergroot, zeker als de klant niet optimaal zorgvuldig is.
Gebruik liever een klantnummer ofzo.
En als je je klantnummer kwijt bent? Inderdaad dat kun je hem opvragen via je email...die gehackt is. Oftewel is het gebruik van klantnummer niet veiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.