Opgelichte klant sleept autobedrijf voor rechter over beveiliging e-mailaccount
Een klant van een Nederlands autobedrijf die via een frauduleuze e-mail afkomstig van het bedrijf werd opgelicht, heeft de onderneming voor de rechter gesleept, waarbij nu wordt gekeken of het e-mailaccount wel passend was beveiligd in de zin van de AVG. De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken.
De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden. De koper ontdekt dat hij is opgelicht en wil dat het autobedrijf de auto alsnog levert. Het autobedrijf weigert dit en besluit de overeenkomst te ontbinden. De koper stapt naar de rechter. Het autobedrijf verschijnt niet in de procedure en wordt bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.
Het autobedrijf voert daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigt en de eerder toegewezen vorderingen grotendeels afwijst. Daarop gaat de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate ict/e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.
Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelt dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount is uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.
Het hof is van oordeel dat het autobedrijf met wat zij tot nu toe heeft aangevoerd en onderbouwd niet heeft aangetoond dat haar e-mailaccount - waarop onder meer de persoonsgegevens van de koper werden verwerkt - passend waren beveiligd. Uit de toelichting van het autobedrijf blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan het ict-bedrijf in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount.
In een tussenvonnis heeft het hof nu besloten dat het autobedrijf tot 7 januari 2025 de tijd krijgt om te bewijzen dat haar e-mailaccount in de zin van de AVG passend was beveiligd. Als het e-mailaccount van het autobedrijf niet passend was beveiligd, is het naar voorlopig oordeel van het hof aannemelijk dat de aanvaller door deze inbreuk op de AVG de betaalinstructie via het e-mailaccount van het autobedrijf naar de koper kon versturen. "Dat leidt tot de voorshandse conclusie dat sprake is van een zogenoemd ‘condicio sine qua non-verband’ tussen de schade die [de koper] heeft geleden door geld te betalen op de rekening die de hacker hem heeft meegedeeld en genoemde inbreuk op de AVG", aldus het hof.
Dan kun je wel een proces aanspannen over de AVG maar daar kun je dit toch nooit in geregeld krijgen???
Is de bedoeling dan dat de garage een boete krijgt, als een soort wraakactie?
"Vorig jaar vernietigt de rechtbank het verstekvonnis grotendeels en wijst de vorderingen grotendeels af".
Een louche autoverkoper die verstek laat gaan icm onverschilligheid van handhaving en de rechterlijke macht. Nee maar, wat een bananenrepubliek...
Dan kun je wel een proces aanspannen over de AVG maar daar kun je dit toch nooit in geregeld krijgen???
Is de bedoeling dan dat de garage een boete krijgt, als een soort wraakactie?
Als iemand in je huis inbreekt, een reservesleutel steelt die je kwijt was en daarna terugkomt om je leeg te roven: heb je dan geen recht op vergoeding van je verzekering?
Zo ook hier, het is de verantwoording van het bedrijf om hun beveiliging op orde te hebben.
Ik hoop dat die persoon zijn geld of de goederen alsnog geleverd krijgt.
Dan kun je wel een proces aanspannen over de AVG maar daar kun je dit toch nooit in geregeld krijgen???
Is de bedoeling dan dat de garage een boete krijgt, als een soort wraakactie?
Voor mij zou het opgeven van een Duits bankrekeningnummer een reden zijn om nog even een belletje te plegen met de garage... (En het controleren van tenaamstellingen bij een overboeking is ook nuttig om dit soort fraude te herkennen.)
Voor mij zou het opgeven van een Duits bankrekeningnummer een reden zijn om nog even een belletje te plegen met de garage... (En het controleren van tenaamstellingen bij een overboeking is ook nuttig om dit soort fraude te herkennen.)
Dan kun je wel een proces aanspannen over de AVG maar daar kun je dit toch nooit in geregeld krijgen???
Is de bedoeling dan dat de garage een boete krijgt, als een soort wraakactie?
Voor mij zou het opgeven van een Duits bankrekeningnummer een reden zijn om nog even een belletje te plegen met de garage... (En het controleren van tenaamstellingen bij een overboeking is ook nuttig om dit soort fraude te herkennen.)
Euh deze man woonnt in Australlie, als ik naar het buitenland overboek krijg ik ook geen tenaamstelling te zien. En het komt regelmatig voor dat bedrijven een bankrekening in een ander europees land hebben dan de website waar je besteld.
Dan kun je wel een proces aanspannen over de AVG maar daar kun je dit toch nooit in geregeld krijgen???
Is de bedoeling dan dat de garage een boete krijgt, als een soort wraakactie?
Natuurlijk is het een probleem dat de mail van de garage niet goed beveiligd was. Daardoor konden er kennelijk criminelen mee lezen over de op hande zijnde koop van een auto en doen alsof het geld over gemaakt moest worden.
Maar dat aanvliegen via "inbreuk op de AVG" vind ik vreemd, de garage is al aangeklaagd en dat is op niets uitgelopen, dan nu maar de AVG proberen? Dat doet me denken aan een andere misstand in dit land (niet nodig dat hier te bediscussieren).
Voor mij zou het opgeven van een Duits bankrekeningnummer een reden zijn om nog even een belletje te plegen met de garage... (En het controleren van tenaamstellingen bij een overboeking is ook nuttig om dit soort fraude te herkennen.)
De klant, afkomstig uit Australië,..............
Weet jij zo goed weg als het andersom zou zijn?
Er is geen indicatie hoe lang deze persoon al in NL woont, en hoe goed deze bekend is met de gang van zaken.
Er staat ook nergens -waar- het autobedrijf is gevestigd.
Wellicht aan de grens? Dan is een Duitse moedermaatschappij wellicht plausibel?
Vragen.. vragen....
Ze gebruiken waarschijnlijk een buitenlandse rekening omdat daar de naamcheck niet mogelijk is. Hoewel dat in dit geval vanuit Australië ook niet met een Nederlandse rekening kon.
Europa geeft het banksysteem zo gepushed dat er concurentie is tussen banken in verschillende landen en je niet gebonden bent aan een bank in je eigen land. Wij hebben zakelijk ook leveranciers die een rekening hebben in een ander land dan waar ze zelf gevestigd zijn. Voor een deel heeft dat te maken met de bankkosten die in hun eigen land te hoog zijn. Voor een ander deel heeft het ermee te maken dat het geld dan alvast op een rekening staat in een land waar ze zelf moeten inkopen.
Dat laatste is eigenlijk ook wegens kostenbesparing. Als deze autoverkoper Duitse auto's verkoopt of als ze via een Duitse haven Europa binnen komen, is het helemaal niet onlogisch dat de rekening in Duitsland aangehouden wordt.
Edit: Het betreft een BMW garage, dus een duidelijk Duitse link.
Er is door een derde oplichting gepleegd via het email account van de garage. Die oplichting was waarschijnlijk niet gelukt als de oplichter niet had kunnen inloggen op het email account van de garage en daarmee de frauduleuze email kon versturen. Dan komt nu de hamvraag: was de email van de garage goed genoeg beveiligd? Zo ja, dan is het overmacht voor de garage; zo nee, dan is er sprake van nalatigheid. Het is ook mogelijk dat het hof de schade laat delen.
Natuurlijk is het een probleem dat de mail van de garage niet goed beveiligd was. Daardoor konden er kennelijk criminelen mee lezen over de op hande zijnde koop van een auto en doen alsof het geld over gemaakt moest worden.
Maar dat aanvliegen via "inbreuk op de AVG" vind ik vreemd, de garage is al aangeklaagd en dat is op niets uitgelopen, dan nu maar de AVG proberen? Dat doet me denken aan een andere misstand in dit land (niet nodig dat hier te bediscussieren).
3.19. Volgens [de koper] had [het autobedrijf] geen adequate ICT/e-mailbeveiliging. Dat blijkt onder meer uit de opmerking van de externe beheerder van [het autobedrijf] dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat betekent dat het wachtwoord door de hacker makkelijk kon worden verkregen. Ook deelde [het autobedrijf] haar wachtwoord met meerdere personen, gebruikte zij geen twee-factor-authenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus nog steeds [de koper] .
3.20. [het autobedrijf] stelt dat haar beveiligingsmaatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van haar e-mailaccount is uitbesteed aan een gespecialiseerd bedrijf, Autosociaal, wat binnen de branche van [het autobedrijf] (kleine autodealers) dé standaard is. Dat het e-mailaccount van [het autobedrijf] is gehackt brengt op zichzelf nog niet mee dat [het autobedrijf] is tekortgeschoten in haar verplichting tot gegevensbescherming, aldus steeds [het autobedrijf] .
Voor mij zou het opgeven van een Duits bankrekeningnummer een reden zijn om nog even een belletje te plegen met de garage... (En het controleren van tenaamstellingen bij een overboeking is ook nuttig om dit soort fraude te herkennen.)
Voor mij zou het opgeven van een Duits bankrekeningnummer een reden zijn om nog even een belletje te plegen met de garage... (En het controleren van tenaamstellingen bij een overboeking is ook nuttig om dit soort fraude te herkennen.)
Als je in NL een VW auto koopt bij een valide VW dealer maak je geld over naar de VW bank in Duitsland. Dit geldt voor de meeste Duitse automerken.
Uit het vonnis blijkt dat deze man geen (of gebrekkig) Nederlands spreekt en de communicatie in het Engels ging. Hij zal dus niet erg lang in Nederland wonen. Ik lees wel dat de garage een advocaat uit Zaltbommel heeft. Dat doet vermoeden dat hij zelf ook dicht bij de Duitse grens woont.
In het vonnis staat ook dat hij eerder een kleine aanbetaling gedaan heeft op een Nederlandse rekening. Dan moet je het wel dubbelchecken als de betaling zelf naar een andere rekening gaat.
In mijn optiek ligt de schuld echter bij de verkoper omdat het een mail betrof die vanuit het adres van de verkoper verstuurd is. Hier werkt een beveiliging zelfs tegen de verkoper. Als er b.v. geen beveiliging tegen spoofing was, dan had de ontvanger zo'n mail niet klakkeloos als echt mogen aannemen. Maar dit was geen gespoofde mail. Als de afzender te controleren was, dan kwam je ook netjes bij de garage uit.
Het speelt ook mee dat de koper een kopie paspoort en uittreksel van de basisadministratie opgestuurd heeft naar de garage. Met deze gegevens konden de oplichters de mail nog betrouwbaarder laten lijken.
De klant heeft (volgens de hoge raad) een breng-verantwoordelijkheid. De klant moet er zelf voor zorgen dat het te betalen geld op de juist plek komt.
Daar komt bij dat er een verkoopovereenkomst is, waar een rekeningnummer in staat.
Het rekeningnummer waar de klant de aanbetaling op gestort heeft. Dat nummer was dus bekend, en al een keer gebruikt.
Dat de klant vervolgens een mail ontvangen heeft met het verzoek om de rest van het geld op een ander rekeningnummer te storten, had alarmbellen moeten laten afgaan. (aldus de hoge raad) Het had minimaal tot een extra controle via een andere route dan email moeten leiden. (telefomisch, in persoon)
Dat heeft de klant nagelaten. En is daar de fout in gegaan.
In hoe verre de beveiliging van de mailserver dan nog uitmaakt, is maar de vraag.
Uit het vonnis blijkt dat deze man geen (of gebrekkig) Nederlands spreekt en de communicatie in het Engels ging. Hij zal dus niet erg lang in Nederland wonen. Ik lees wel dat de garage een advocaat uit Zaltbommel heeft. Dat doet vermoeden dat hij zelf ook dicht bij de Duitse grens woont.
In het vonnis staat ook dat hij eerder een kleine aanbetaling gedaan heeft op een Nederlandse rekening. Dan moet je het wel dubbelchecken als de betaling zelf naar een andere rekening gaat.
In mijn optiek ligt de schuld echter bij de verkoper omdat het een mail betrof die vanuit het adres van de verkoper verstuurd is. Hier werkt een beveiliging zelfs tegen de verkoper. Als er b.v. geen beveiliging tegen spoofing was, dan had de ontvanger zo'n mail niet klakkeloos als echt mogen aannemen. Maar dit was geen gespoofde mail. Als de afzender te controleren was, dan kwam je ook netjes bij de garage uit.
Het speelt ook mee dat de koper een kopie paspoort en uittreksel van de basisadministratie opgestuurd heeft naar de garage. Met deze gegevens konden de oplichters de mail nog betrouwbaarder laten lijken.
En hiermee is er een link naar de AVG. Eerder werd gesteld dat de AVG er niets mee van doen heeft. Dat klopt dus niet.
Het is voor het hof nu makkelijk om een juridisch haakje te vinden.
Als het overmacht was zoals bij een goed beveiligde e-mail client zou ik de schade neerleggen bij de e-mailprovider dat mijn info heeft gelekt.
Uiteindelijk is de eindverantwoordelijke de crimineel of diegene die haar zaakjes niet op orde had, zoiets kun je moeilijk bij de klant neerleggen.
Als ik verschrikkelijk ziek wordt in een restaurant omdat ze nalatig met het eten omsprongen zou ik me als restaurant ongeloofelijk schuldig voelen en de klant de kosten vergoeden.
Bij een restaurant op een Disney resort is er iemand doodgegaan door grove nalatigheid (de man had gewaarschuwd dat de vrouw allergisch was en dood kon gaan) en Disney heeft beroep gedaan op het contract dat hij bij zijn TV had (Disney+) om er onderuit te komen.
De schadeclaim waren alleen de onkosten voor de begravenis en dergelijke...
Disney dt zogenaamd "progessief" is geeft niks om de levens van haar klanten.
Deze garage geeft mogelijk niks om de schadepost voor haar klanten.
Het is aan de onderzoekers en de rechtbank om dt te bepalen.
Wat heeft een Australiër dan met de AvG te maken? Wanneer rechters dit in behandeling nemen spreid de wetgeving zich over de hele wereld uit.
De uitspraak verduidelijkt:
Nationaliteit van de klant is in deze dus niet relevant en Betrokkene is in de EU aanwezig.
Wat heeft een Australiër dan met de AvG te maken? Wanneer rechters dit in behandeling nemen spreid de wetgeving zich over de hele wereld uit.
Wat heeft een Australiër dan met de AvG te maken? Wanneer rechters dit in behandeling nemen spreid de wetgeving zich over de hele wereld uit.
Meestal geldt het rechtsysteem van de plaats waar de verkoop gedaan wordt (dwz, die van de leverancier). Niet waar de koper zit.
Je ziet nog wel eens bij online diensten of winkels dat ze aangeven onder welke wetgeving ze hun product/dienst leveren.
Wat heeft een Australiër dan met de AvG te maken? Wanneer rechters dit in behandeling nemen spreid de wetgeving zich over de hele wereld uit.
Klassieke auto’s en paarden worden gewoon over de hele wereld verhandeld en verscheept. Mij was niet duidelijk dat de Australiër in de eu woont totdat ik de uitspraak las. Dat maakt de toevoeging Australiër niet relevant in het artikel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
