Nieuws
image

Ambtenaar VS moet 80.000 dollar schade cyberaanval zelf vergoeden

vrijdag 25 april 2025, 10:52 door Redactie, 7 reacties

Een ambtenaar van een Amerikaans county moet de 80.000 euro schade die door een cyberaanval ontstond zelf vergoeden, zo heeft een Amerikaanse rechter bepaald. Aanvallers wisten augustus vorig jaar het e-mailaccount van een financieel ambtenaar van een dorpje genaamd Bazetta Township te compromitteerden. Dit dorpje, dat zo'n zesduizend inwoners telt, is onderdeel van Trumbull County.

De aanvallers verstuurden vervolgens vanuit het gecompromitteerde e-mailaccount een verzoek naar de auditor van Trumbull County dat de belastinginkomsten van het dorpje naar een andere rekening moesten worden overgemaakt. De auditor ontdekte niet dat het om een frauduleus verzoek ging en maakte 80.000 dollar naar het opgegeven rekeningnummer over. Bazetta Township stapte daarop naar de rechter en verklaarde dat het recht op het geld heeft. De rechter is het daarmee eens en stelt dat de auditor vanuit haar taak verplicht is om belastinginkomsten te verdelen, ongeacht de fraude die plaatsvond.

Eerder verklaarde de auditor dat de betreffende financieel ambtenaar had gevraagd om multifactorauthenticatie (MFA) voor zijn Microsoft Office 365-account uit te schakelen. Als de ambtenaar dit niet had verzocht had het account ook niet gecompromitteerd kunnen worden, aldus de verklaring (pdf). Daarop reageerde het dorpje dat het uiteindelijk de auditor was die het geld heeft overgemaakt. De auditor laat in een reactie op het vonnis weten juridische mogelijkheden te verkennen.

Reacties (7)
Reageer met quote
Vandaag, 12:20 door Briolet
De auditor ontdekte niet dat het om een frauduleus verzoek ging en maakte 80.000 dollar naar het opgegeven rekeningnummer over.

Volgens het rechtbank verslag is er 160.000 dollar naar de frauduleuze rekening overgemaakt. De vordering is wel slechts 80.000 dollar, maar er staat nergens wat er met die andere helft gebeurd is. Of ze hebben dat inmiddels terug, of hier kunnen ze deze auditor niet voor verantwoordelijk stellen.
Reageer met quote
Vandaag, 13:33 door Anoniem
"Eerder verklaarde de auditor dat de betreffende financieel ambtenaar had gevraagd om multifactorauthenticatie (MFA) voor zijn Microsoft Office 365-account uit te schakelen. Als de ambtenaar dit niet had verzocht had het account ook niet gecompromitteerd kunnen worden, aldus de verklaring"

Oorzaak-gevolg klopt hier niet helemaal. Dat het gecompromitteerd raken van het account van de ambtenaar komt doordat de ambtenaar vroeg om het uitzetten van MFA is gewoon niet juist. Het gecompromitteerd raken van het account komt omdat het verzoek van uitschakelen van MFA goedgekeurd is door iemand en MFA ook daadwerkelijk uitgezet is.
Reageer met quote
Vandaag, 13:51 door Anoniem
Hoe kan de rechter bedacht hebben dat de auditor hier verantwoordelijk voor is? De mail is verstuurd vanuit een voor de ontvanger bekend en door de ontvanger vertrouwd email adres. De ontvanger kon niet weten dat het hackers waren die de mailbox van de ambtenaar misbruikten.

Natuurlijk is het altijd goed om bij dit soort verzoeken telefonisch contact te zoeken met de afzender voor bevestiging, maar als dat niet het standaard protocol is dan kun je de auditor alleen gebrek aan due diligence verwijten. De ambtenaar die willens en wetens MFA niet heeft aangezet (WAAROM IS DAT BIJ EEN OVERHEIDSINSTELLING OPTIONEEL?) om zijn account te beschermen is wat mij betreft verantwoordelijk.
Reageer met quote
Vandaag, 14:40 door Briolet
Door Anoniem: Hoe kan de rechter bedacht hebben dat de auditor hier verantwoordelijk voor is? De mail is verstuurd vanuit een voor de ontvanger bekend en door de ontvanger vertrouwd email adres. De ontvanger kon niet weten dat het hackers waren die de mailbox van de ambtenaar misbruikten.

Het gaat hier om iemand die moet controleren of geld op de goede manier wordt uitgegeven. Zeg maar een penningmeester. Als die een verzoek krijgt tot een betaling is hij degene die moet kijken of het geld naar de juiste personen gaat.

https://accountend.com/understanding-auditors-roles-responsibilities-and-importance-explained/
Reageer met quote
Vandaag, 15:39 door Anoniem
Door Briolet:
Door Anoniem: Hoe kan de rechter bedacht hebben dat de auditor hier verantwoordelijk voor is? De mail is verstuurd vanuit een voor de ontvanger bekend en door de ontvanger vertrouwd email adres. De ontvanger kon niet weten dat het hackers waren die de mailbox van de ambtenaar misbruikten.

Het gaat hier om iemand die moet controleren of geld op de goede manier wordt uitgegeven. Zeg maar een penningmeester. Als die een verzoek krijgt tot een betaling is hij degene die moet kijken of het geld naar de juiste personen gaat.

https://accountend.com/understanding-auditors-roles-responsibilities-and-importance-explained/

Normaal zou ik het vertalen met 'accountant' . Maar vreemd dat een auditor degene is die werkelijk de overboeking doet.

Normaal zou ik met die term (alleen) achteraf controles verwachten.
Reageer met quote
Vandaag, 15:44 door Anoniem
Door Anoniem: Hoe kan de rechter bedacht hebben dat de auditor hier verantwoordelijk voor is? De mail is verstuurd vanuit een voor de ontvanger bekend en door de ontvanger vertrouwd email adres. De ontvanger kon niet weten dat het hackers waren die de mailbox van de ambtenaar misbruikten.

Je zou de linken kunnen lezen.

In response to Yoder’s Monday remarks, Bazetta Trustee Mike Hovis said Wednesday that the auditor failed to follow state mandated protocols.

Niet volgens de procedure werken maakt je al best snel aansprakelijk voor schade .


Natuurlijk is het altijd goed om bij dit soort verzoeken telefonisch contact te zoeken met de afzender voor bevestiging, maar als dat niet het standaard protocol is dan kun je de auditor alleen gebrek aan due diligence verwijten.

Yup, je had moeten lezen. Het is daar blijkbaar protocol.
He referenced the Ohio Auditor’s Bulletin 2024-003, which requires in-person or phone verification of bank change requests.

“The loss did not occur because of a lack of multifactor authentication but because Auditor Yoder’s office failed to verify the legitimacy of a bank change request received by email,” Hovis said.


De ambtenaar die willens en wetens MFA niet heeft aangezet (WAAROM IS DAT BIJ EEN OVERHEIDSINSTELLING OPTIONEEL?) om zijn account te beschermen is wat mij betreft verantwoordelijk.

"wat jou betreft" is MFA dus zodanig perfect dat een extra controle niet meer nodig is als de afzender een account-met-mfa gebruikt ?

MFA is een heel nuttige maatregel, maar ook weer niet ZO onfeilbaar.
Reageer met quote
Vandaag, 16:53 door Anoniem
Door Briolet: Het gaat hier om iemand die moet controleren of geld op de goede manier wordt uitgegeven. Zeg maar een penningmeester. Als die een verzoek krijgt tot een betaling is hij degene die moet kijken of het geld naar de juiste personen gaat.

https://accountend.com/understanding-auditors-roles-responsibilities-and-importance-explained/
Wat in die link beschreven wordt, een financiële auditor, doet wat ik zou verwachten: controleren of alles volgens de regels gebeurt, maar niet zelf als uitvoerder deelnemen aan het te controleren financiële gebeuren.

Als ik de de eerste link in het artikel volg naar wat de rechter heeft bepaald zie ik dat het om "Trumbull County Auditor Martha Yoder" gaat. Een zoekopdracht naar precies die tekst leidt me naar een "Meet the Auditor"-pagina:
https://www.co.trumbull.oh.us/Auditor/About/Meet-the-auditor
Onderaan die pagina staat een link naar de County Auditors' Association of Ohio:
https://caao.org/
De inleidende tekst daar zegt dat auditors "keep the taxpayer's chechbook". Onder het kopje "Protecting your Interests" worden ze "billpayer-in-chief" genoemd. En toen ik daar de link naar uitgebreidere informatie volgde trof ik dit aan:
https://caao.org/protecting-your-interests/
A common misconception arising from our title is that the County Auditor has the responsibility to “audit” the financial activities of other county offices. Although the Auditor’s Office examines requests for payments of bills for compliance with public purposes, and audits payroll to policies or union contracts, state law doesn’t grant the County Auditor any authority to audit the internal financial management activities of any other county office, including cash on hand. Those duties are assigned by law to the Auditor of State.
Ondanks de titel "auditor" is het dus een boekhouder die controleert of betalingsverzoeken wel aan de eisen voldoen voor hij/zij die uitvoert, maar geen auditor, dat is de Auditor of State.

Je had dus wel gelijk met "zeg maar een penningmeester". De "common misconception" die ze in de geciteerde tekst rechtzetten hebben ze in Ohio zo te zien zelf veroorzaakt door een misleidende naam aan de functie te geven.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure