Ontbreken 2FA Brabantia geen reden tot gelijk Bol.com
Dat medewerkers van leverancier Brabantia een eenvoudig wachtwoord konden instellen, of dat ze hun mailaccounts niet hadden beveiligd met tweefactorauthenticatie, is voor de rechter geen reden om Bol.com een schadevergoeding toe te wijzen. Ook het instellen van inboxregels die ervoor zorgden dat antwoorden niet aankwamen, zijn geen reden tot gelijk. De webwinkel trapte in een phishingmail verstuurd vanuit een Brabantia-account en maakte bijna 750.000 euro over naar criminelen.
© Shutterstock.com
Shutterstock.com
Bol.com maakte in etappes 745.624,00 euro over aan hackers. Die hackers hadden toegang tot de mailbox van een medewerker van de boekhouding van Brabantia. De leverancier maakt gebruik van Office365 van Microsoft en de hacker verstuurde de mails uit een online mailbox, niet vanaf een vaste computer van Brabantia. Vanuit die mailbox verstuurden de hackers een mail, vol spelfouten, met de vraag of het rekeningnummer van Brabantia gewijzigd kon worden naar een Spaans rekeningnummer.
Sluw replies verstoppen
Er werd verschillende keren gevraagd de wijziging te bevestigen. De antwoorden van Bol.com, met de vraag of de wijziging wel klopte, werden automatisch in een mapje RSS-feeds geplaatst, omdat de hacker daartoe een inboxregel had ingesteld. Zo werd het mailverkeer niet zichtbaar voor de medewerker wiens mailbox was gehackt. Toen Brabantia bij Bol.com navraag deed over de betalingen, die voor de leverancier nog altijd niet gedaan waren, kwam de fraude aan het licht.
Brabantia wou het bedrag van 750.000 euro alsnog ontvangen, maar Bol.com weigerde dat. Vervolgens is de leverancier naar de rechter gestapt. Bol.com stelt ter verdediging dat Brabantia in gebreke is gebleven door de beveiliging van de mailbox niet goed te regelen.
Spelfouten en Spaans rekeningnummer
Volgens de rechter is het vanuit maatschappelijk oogpunt wel wenselijk dat een schuldeiser – in dit geval Brabantia – redelijke beveiligingsmaatregelen neemt zodat hackers communicatiemiddelen niet kunnen overnemen. In de uitspraak van de rechter staat dat Bol.com pas tijdens de zitting kwam met het verweer dat Brabantia haar e-mailbeveiliging niet goed had geregeld. Daardoor kan de rechter niet goed beoordelen of er onzorgvuldig gehandeld is door Brabantia.
Ook heeft de webwinkel onvoldoende concreet gemaakt of er inderdaad eenvoudige wachtwoorden of slordige omgang met inloggegevens mogelijk was. De rechter gaat daarom aan deze argumentatie voorbij.
Waakzaam zijn
Bovendien, zo zegt de rechter, had bij medewerkers van Bol.com een lampje moeten gaan branden door de mail met spelfouten én dat het nieuwe rekeningnummer een Spaans nummer betrof. Een belletje zou duidelijk gemaakt hebben dat het een phishingactie betrof.
De rechter oordeelt daarom dat Bol.com 745.000 euro moet betalen Brabantia. Tegen het Financieel Dagblad, dat de uitspraak ontdekte, zegt Brabantia blij te zijn met de uitspraak. Bol.com is teleurgesteld, maar zal nog steeds Brabantia-artikelen verkopen. De webwinkel beraadt zich op een hoger beroep.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee