Beheer

Security
Ontbreken 2FA Brabantia geen reden tot gelijk Bol.com

Ontbreken 2FA Brabantia geen reden tot gelijk Bol.com

Rechter kan niet goed beoordelen of mailbeveiliging van de leverancier niet op orde was.

3 mei 2021

Rechter kan niet goed beoordelen of mailbeveiliging van de leverancier niet op orde was.

Dat medewerkers van leverancier Brabantia een eenvoudig wachtwoord konden instellen, of dat ze hun mailaccounts niet hadden beveiligd met tweefactorauthenticatie, is voor de rechter geen reden om Bol.com een schadevergoeding toe te wijzen. Ook het instellen van inboxregels die ervoor zorgden dat antwoorden niet aankwamen, zijn geen reden tot gelijk. De webwinkel trapte in een phishingmail verstuurd vanuit een Brabantia-account en maakte bijna 750.000 euro over naar criminelen.

Bol.com maakte in etappes 745.624,00 euro over aan hackers. Die hackers hadden toegang tot de mailbox van een medewerker van de boekhouding van Brabantia. De leverancier maakt gebruik van Office365 van Microsoft en de hacker verstuurde de mails uit een online mailbox, niet vanaf een vaste computer van Brabantia. Vanuit die mailbox verstuurden de hackers een mail, vol spelfouten, met de vraag of het rekeningnummer van Brabantia gewijzigd kon worden naar een Spaans rekeningnummer.

Sluw replies verstoppen

Er werd verschillende keren gevraagd de wijziging te bevestigen. De antwoorden van Bol.com, met de vraag of de wijziging wel klopte, werden automatisch in een mapje RSS-feeds geplaatst, omdat de hacker daartoe een inboxregel had ingesteld. Zo werd het mailverkeer niet zichtbaar voor de medewerker wiens mailbox was gehackt. Toen Brabantia bij Bol.com navraag deed over de betalingen, die voor de leverancier nog altijd niet gedaan waren, kwam de fraude aan het licht.

Brabantia wou het bedrag van 750.000 euro alsnog ontvangen, maar Bol.com weigerde dat. Vervolgens is de leverancier naar de rechter gestapt. Bol.com stelt ter verdediging dat Brabantia in gebreke is gebleven door de beveiliging van de mailbox niet goed te regelen.

Spelfouten en Spaans rekeningnummer

Volgens de rechter is het vanuit maatschappelijk oogpunt wel wenselijk dat een schuldeiser – in dit geval Brabantia – redelijke beveiligingsmaatregelen neemt zodat hackers communicatiemiddelen niet kunnen overnemen. In de uitspraak van de rechter staat dat Bol.com pas tijdens de zitting kwam met het verweer dat Brabantia haar e-mailbeveiliging niet goed had geregeld. Daardoor kan de rechter niet goed beoordelen of er onzorgvuldig gehandeld is door Brabantia.

Ook heeft de webwinkel onvoldoende concreet gemaakt of er inderdaad eenvoudige wachtwoorden of slordige omgang met inloggegevens mogelijk was. De rechter gaat daarom aan deze argumentatie voorbij.

Waakzaam zijn

Bovendien, zo zegt de rechter, had bij medewerkers van Bol.com een lampje moeten gaan branden door de mail met spelfouten én dat het nieuwe rekeningnummer een Spaans nummer betrof. Een belletje zou duidelijk gemaakt hebben dat het een phishingactie betrof.

De rechter oordeelt daarom dat Bol.com 745.000 euro moet betalen Brabantia. Tegen het Financieel Dagblad, dat de uitspraak ontdekte, zegt Brabantia blij te zijn met de uitspraak. Bol.com is teleurgesteld, maar zal nog steeds Brabantia-artikelen verkopen. De webwinkel beraadt zich op een hoger beroep.

Lees meer over Beheer OP AG Intelligence
9
Reacties
WillemV 08 mei 2021 10:50

van een organisatie als agconnect verwacht ik een technisch correcte zin en niet deze: de hacker verstuurde de mails uit een online mailbox, niet vanaf een vaste computer van Brabantia.

Jaap Smit 06 mei 2021 12:44

Ik hoop dat deze zaak een trede hoger opnieuw wordt uitgezocht. Het klinkt erg vreemd dat een organisatie zonder afdoende beveiligingen op accounts zonder enige verantwoordelijkheid achterblijft in een dergelijke zaak. De precedent werking (het vrijwaren van die verantwoordelijkheid bij Brabantia) is niet wenselijk. Elk bedrijf heeft de verplichting zijn eigen systemen tegen misbruik te beschermen.

Pieter van der Hoog 04 mei 2021 11:46

Ik heb geen medelijden met BOL.com. Dit soort fraude is zeker voor bedrijven toch geen nieuws meer? Er waren genoeg rode vlaggen. Wat je Brabantia hooguit kan verwijten, maar dat is vooral hun eigen verantwoordelijkheid, is dat ze hun wachtwoordbeleid niet op orde hebben. Office365 zonder MFA bereikbaar maken is gewoon buitengewoon gênant.

RBx 03 mei 2021 22:57

Vreemde uitspraak, dus als ik mij laat hacken en 750k van mijzelf naar een andere rekening zou overmaken dan is dat de schuld van bol? Het is natuurlijk niet zo slim van BOL om zulke grote accounts zonder check hun rekening nummer te wijzigen. Als dit Amazon had geweest dan zou Brabantia zeker verloren hebben.

Eric-Jan H te D 03 mei 2021 14:16

Mails over bankrekeningen, betalingen of met betaallinkjes krijgen van mij altijd de koude schouder.

Een grote verzekeraar blijft mij mails met betaallinks toesturen. Zij blijft daar mee doorgaan ondanks dat ik ze via Facebook heb gewezen op de gevaren die daar voor klanten aan vastzitten mbt Phishing.

Zelf heeft deze verzekeraar besloten niet meer te communiceren via E-mail. Dat is erg lastig omdat je achteraf geen documentatie hebt over wat er is gewisseld en het maakt de betalingsverzoeken via E-mail des te merkwaardiger.

Erik Bakker 03 mei 2021 12:59

Ik ben benieuwd hoeveel e-mail adressen, bankrekeningnummers en NAW gegevens bij deze hack weer zijn buit gemaakt door de hackers?

Ronald kunenborg 03 mei 2021 12:51

De uitspraak lijkt me helder. Bol.com had het nooit mogen doorvoeren zonder controle. Zo vaak gebeurt het niet dat rekeningnummers wijzigen. En die mail was hilarisch slecht.

Pieter 03 mei 2021 12:43

Ik denk dat beide partijen schuld hebben. Brabantia door een laks security verhaal (ze mogen blij zijn dat met dat paswoord er geen cryptolocker werd gelanceerd) en Coolblue om in een zo doorzichtige truuk te trappen.

Het is echt niet zo dat alle leveranciers continu van bank veranderen dus een extra controle door even te bellen (niet naar het nummer in de e-mail maar naar de persoon die je daar kent), daar hoef je echt geen extra call center voor op te starten. Deze truuk werkte al in 2010.

martin.meijer 03 mei 2021 12:26

Dit lijkt me een rare keuze (hoewel geen eenvoudige keuze) van de rechter. Brabantia heeft blijkbaar langdurig een hacker in de email box 'toegelaten' (want niet opgemerkt). Nu lijkt het alsof Brabantia de schuld van slechte beveiliging en slecht toezicht kan afschuiven op Bol.com. Natuurlijk is het beter om een wijziging van bankrekeningnummer na te bellen, maar als bol.com alle klanten moet nabellen als bankrekeningnummers voor overboekingen of adressen voor leveringen moet nabellen mogen ze nog wat extra mensen aannemen veronderstel ik. En lang niet alle klanten zitten te wachten op een telefoontje.

Dus de rechter schept nogal een verwachting, dat jij als betalende partij altijd telefonisch (mag je dan wel naar een mobiel bellen) moet controleren. En hoe controleer je dan of de telefooncentrale wel nog goed werkt en niet ook gehackt is? En hoe controleer je dan een wijziging van telefoonnummer? Per email?

Dit lijkt me een uitspraak waar een hoop vraagtekens bij te plaatsen zijn. En dat een rechter niet kan controleren of de beveiliging goed op orde was is natuurlijk belachelijk, dan gelast hij een onderzoek door externe experts.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.