Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rechter: bedrijf moet hoge kosten van gehackte telefoonlijn vergoeden aan Ziggo

Door , 95 reacties, submitter: Wilbert de Vries

Een rechter heeft bepaald dat een bedrijf dat te maken had met een gehackte telefoonlijn in totaal ruim een ton aan Ziggo moet betalen. De schade bestond volgens Ziggo uit de inkoopkosten voor het bij KPN ingekochte netwerk. Deze kosten waren nodig voor dure verbindingen met Cuba.

De zaak gaat om een bedrijf waarvan de telefoonlijn in 2011 is gehackt. Met de lijn zijn dure verbindingen gemaakt met nummers in Cuba. Provider Ziggo stelt dat dit in totaal ruim 162.000 euro heeft gekost. De rechter oordeelde dat het bedrijf de inkoopkosten van Ziggo moet betalen, aangezien Ziggo geen eigen netwerk heeft in Cuba en hiervoor de benodigde verbindingen heeft moeten inkopen bij KPN. Deze kosten beslaan samen met de wettelijke rente ruim een ton. Het bedrijf heeft volgens de rechter in zijn verdediging niet kunnen aantonen dat het in 2011 aan Ziggo heeft voorgesteld om de gehackte telefoonlijn af te sluiten.

Het andere deel van de vordering van ruim 162.000 euro bestond volgens Ziggo uit onderhoudskosten voor de gehackte lijn. De rechter ging daar niet in mee en vond dat Ziggo onvoldoende had onderbouwd waarom deze onderhoudskosten van Ziggo bij het bedrijf in rekening werden gebracht, terwijl voor de lijn enkel gebruik is gemaakt van het netwerk van KPN.

In een eerder tussenvonnis in deze zaak heeft de rechter een beroep van het bedrijf op de redelijkheid en billijkheid toegekend, voor wat betreft de door Ziggo in rekening gebrachte gesprekskosten van de gehackte telefoonlijn. Deze gesprekskosten naar Cuba hoeft het bedrijf dus niet aan Ziggo te betalen, omdat dat volgens de rechter, gelet op de hack, niet redelijk zou zijn.

De kosten die Ziggo heeft moeten maken voor de verbindingen met Cuba zijn door de rechter echter uitgezonderd van dit beroep op de redelijkheid en billijkheid. Daarmee maakt de rechter onderscheid tussen de daadwerkelijke belkosten die de hackers met de telefoonlijn hebben gemaakt, en de kosten die Ziggo heeft moeten maken om de oneigenlijke verbindingen naar Cuba te faciliteren. De laatstgenoemde kosten moet het bedrijf dus wel betalen aan Ziggo. Uit de feiten van de zaak blijkt niet op welke manier de telefoonlijn precies is gehackt.

Reacties (95)

Wijzig sortering
Ik ben zelf werkzaam bij een telecomoperator en momenteel een nieuw platform aan het bouwen. Hacken van telefoonlijnen is zeer lucratief. Het internet zwermt van niet goed beveiligde toestellen, telefooncentrale's en andere apparatuur.

De meeste telefoonlijn hackers gaan als volgt te werk.
  • Het internet wordt gescand op zwakke user-agents zoals niet-beveiligde toestellen, half ingestelde FreeSWITCH of Asterisk installaties en routers met beveiligingsproblemen.
  • Er worden een aantal testgesprekken opgezet naar diverse locaties om te kijken of de gewenste bestemmingen bereikbaar zijn. Je ziet als in dit stadium vaak al vreemde gesprekspogingen in de CDR's. Een gebruiker die normaal alleen Nederlandse nummers belt, maar ineens belt naar bijvoorbeeld Cuba, Sint Helena en Kiribati. Hier zou een telecomoperator al kunnen ingrijpen door een melding van verdacht gebruik te maken bij de gebruiker.
  • Op een geschikt moment voor de hacker gaat het ineens los, de lijnen worden plotseling massaal ingezet door te bellen naar verdachte bestemmingen. Op dit moment zou bij de telecomoperator toch echt een alarm af moeten gaan, als de bakker om de hoek ineens met 40 simultane gesprekken belt naar Papoea-Nieuw-Guinea.
Het meest geschikte moment is blijkbaar de eerste vrijdagmiddag van de maand. Vermoedelijk omdat de meeste telecomoperators werken met een bellimiet per maand en deze resetten op de eerste dag van de maand. Bovendien is de kans groot dat bij een hack op vrijdagmiddag de schade pas op maandag gaat opvallen.

Nou denk ik zelf op basis van de gevallen die ik heb gezien dat de hacker twee mogelijke motieven heeft. De eerste is dat hij zijn gehackte telefoonlijnen aanbiedt voor belverkeer met grijze routes. Dit zijn goedkope routes met vaak slechte kwaliteit en zonder nummerweergave. De hacker kan dit goedkoop op grote schaal aanbieden omdat ze zelf niet voor de rekening opdraaien. Het tweede motief is dat een hacker een deel van de belkosten terug kan krijgen door een shared cost constructie. Denk aan de inkomsten op 0900-nummers, maar dan op internationaal niveau.

Uiteraard is het de verantwoordelijkheid van de gebruiker om zijn eigen omgeving en apparatuur goed te beveiligen. Toch ben ik van mening dat de telecomoperator hier ook een verantwoordelijkheid heeft. Je kunt namelijk op diverse manieren de schade beperken.
  • Bellimiet per gebruiker per dag en niet alleen per maand
  • Automatische detectie van frauduleus belgedrag in een vroeg stadium
  • Beperking van het aantal lijnen om naar het buitenland te bellen
Met deze maatregelen kan ik de schade van een hack eigenlijk altijd beperken tot minder dan 100 euro. Ik vind het persoonlijk dan ook onbegrijpelijk dat een partij als Ziggo dit allemaal niet goed voor elkaar heeft en de schade kennelijk kan oplopen tot ruim een ton.
Ik werk zelf ook bij een telecomprovider (klantenservice though, heb er niet alle verstand van..), bij ons wordt verdacht gedrag gemarkeerd en wordt er contact gezocht met de klant door de fraude-afdeling. Bij geen gehoor van de klant wordt er gelijk een blokkade op gezet.
Elke provider heeft een wel hoogverbruik afdeling die ingrijpt bij dit soort afwijkend belgedrag. Voor zakelijke aansluitingen zal het echter anders werken. Als je plotseling niet kan bellen als bedrijf dan kan dat aardig wat gemiste inkomsten opleveren.

[Reactie gewijzigd door Eglaerinion op 28 maart 2017 14:52]

Nou wij werken zakelijk voor onze klanten uitsluitend met partijen die dit soort limieten gebruiken en hoewel het niet vaak voor komt dat er moet worden ingegrepen kan ik je vertellen dat al mijn klanten deze optie gretig aanzetten als je ze vertelt wat de kosten zijn als het mis gaat. Een enkele keer een gehackt account gehad en dan ben je blij als je 200 § mag aftikken ipv 20000 §.
Heel simpel; ik vind dat je een punt hebt, en uit oogpunt van klantvriendelijkheid ben ik het helemaal met je eens.

Echter, de rechter baseert zich op feiten, en feit is dat ondanks dat ziggo mogelijkheden heeft om dit risico te monitoren niet verantwoordelijk is voor dit risico. Derhalve hoeft ziggo ook geen resources ter beschikking te stellen om dit risico te mitigeren. Want ondanks dat de mogelijkheden er zijn, er zijn toch personeel, software/hardware en tijd nodig om een dergelijk systeem in te richten.

Nu kan ik niet inschatten hoeveel middelen er nodig zijn, misschien dat het geen drol kost. But the point is; should you? Ook als het duidelijk niet jouw verantwoordelijkheid is? Binnen zo'n grote onderneming spelen in de tussentijd vele andere scenario's een rol waar voor de firma wel exposure geldt.
Ja, you should. Zorg plicht. Nou is dat lang niet altijd bij wet verplicht, zoals in de financiŽle sector maar zal een rechter toch verwachten dat een leverancier wel enig werk verricht om de klant te beschermen tegen fouten.

Het niet vrijwillig nakomen van een zorgplicht is een verdomd goede manier voor een industrie om er voor te zorgen dat er wel eentje wordt ingesteld door de overheid. Zie alle verplichte acties voor de banken.

Je ziet ook in deze zaak dat de rechter zeker niet Ziggo alles heeft gegeven wat ze vroegen. Ziggo is dus nog steeds een fors bedrag kwijt.

Dus ja, tenzij je geld wil verliezen moet je zorgen voor je klanten. Wel in Nederland in ieder geval.
Zorgplicht is doorgaans bedoeld ter bescherming van personen, niet voor bedrijven.
Was ik even vergeten.

Toch blijkt dat de rechter niet gewoon gezegd heeft "alles betalen". Alleen de echte kosten, niet de "winst". Dus Ziggo is schadeloos gesteld maar de rechter ziet het niet als "gekocht is gekocht". Vermoed dus dat de rechter wel degelijk vond dat Ziggo niet recht had op de verkoop prijs maar alleen de inkoop prijs met een reden.
Ooit bij mijn afstudeerstage gehad. Cisco Call Manager bij klant neergezet, moest perse default wachtwoord blijven. Want anders was het te moeilijk, het ww bleeft gewoon cisco/cisco. En de verdere inrichting deden ze zelf, ik had alleen de basis configuratie gedaan. Toen waren ze ook gehackt en hadden ze 40k aan belkosten. Gelukkig had ik de opmerking gemaakt dat ik het niet eens was met default wachtwoord en mijn advies was dit niet te doen en dit document hadden ze netjes getekend. Hadden ze wel mijn stagebedrijf aangeklaagd en verloren. Dit hebben ze uiteindelijk ook aan KPN moeten betalen. Maar ja, wel een wijze les voor alle betrokkenen.

[Reactie gewijzigd door kr4t0s op 28 maart 2017 14:45]

Bij dit soort kostenplaatjes vraag ik me af waarom zoveel mensen en bedrijven internationaal nog via vaste lijnen bellen i.p.v. via apps. Dure telefoonlijnen en het hacken daarvan doet me denken aan oude Hack-Tics van eind jaren 80 van de vorige eeuw, niet aan 2017.

[Reactie gewijzigd door Morgan4321 op 28 maart 2017 13:54]

In sommige landen is internet niet zo breed beschikbaar als hier. Bijvoorbeeld heb je in Cuba alleen maar internet toegang op bepaalde pleinen en dan moet je via wifi inloggen met een prepaid kaartje. Tegelijkertijd kan je overal wel 'gewoon' mobiel bellen.
Maar dit is wel een nederlands bedrijf.
Omdat apps bijna altijd 1 op 1 zijn wat bij menig bedrijf totaal niet gewenst is.

Apps zijn leuk voor ZZP'ers etc, maar als jij 40 telefonische verkopers hebt zitten is er elke dag minstens 1 ziek of op vakantie, dan wil je gewoon dat het naar een groep gaat.

Naast dat apps heel leuk zijn voor jongeren maar zolang er geen standaard app is ga je dus elke bejaarde dwingen om een smartphone aan te schaffen, te leren en ook nog eens 85 miljoen apps te installeren (want elk bedrijf wil zijn eigen app hebben zolang er geen standaard is)

Wat alleen wel kan (bij onze provider in ieder geval) is gewoon "een firewall" ervoor laten zetten. Wij hebben bijv afgesproken dat wij enkel naar NL,BE,EN en US willen bellen en de rest gewoon niet betalen en dat staat ook op papier. Wij hebben simpelweg geen klanten in Cuba of China dus hoeven wij daar ook niet naartoe te bellen.
Ik bel al 10 jaar voip en kies bewust uitsluiten voor prepaid providers om zo schade te minimaliseren tot het prepaid bedrag.

Heb ook al zaken meegemaakt met prepaid, hack en 1800 euro kosten onder het prepaid bedrag. Dit omdat de provider maar 1 kanaal realtime registreerde, de ander kanalen pas na afloop, hierdoor kon je onder het ingestelde 0 bedrag uitkomen.

De bel limiet moet dus realtime op alle kanalen geregistreerd worden. Schijnbaar doen niet alle providers dit.
Ik heb ooit eens een paar cent rood gestaan op een prepaid kaart (bij T-Mobile). Dat werd even later door henzelf teruggezet naar een tegoed van 0 euro. Maar als ik 1800 euro rood gestaan had had ik gewoon de kaart uit m'n telefoon gehaald en er een nieuwe in gedaan.
Sim-kaart? Bij VOIP?
Nieuw Account?... bij andere voip provider die het wel voor elkaar heeft?
VOIP als in voice over ip, zoals in WhatsApp en Signal. Niet antieke voip zoals in sip naar pots.
Volgens mij heeft bbob1970 het daar niet over, aangezien hij het over 'prepaid voip' heeft, waarbij hij dus een tegoed heeft bij de voip-aanbieder (zoals bijv. Skype). WhatsApp en Signal bieden zelf geen tegoeden aan (en zijn ook alleen maar indirect gekoppeld aan je telefoonnummer, niet aan je SIM), dus dan zou je provider gehackt moeten worden, wil je zoveel kunnen roodstaan.
Maar die tegoeden zijn alleen nuttig als je naar pots lijnen wilt bellen, niet als je via de app belt.
Klanten kunnen alles wel beveiligen, maar hebben ze zwakke schakels via wifi zoals een thermostaat, Nespresso koffiemachine, webcams etc die allemaal via wifi lopen. Dit is allemaal iot stuff en vaak niet veilig. Het is gewoon een zwak punt ioppakken en voor je het weet zit je in de modem etc. en dan ben je gewoon binnen.

Mooie opsomming NesQuick

zie ook tea Kettle hack -> https://youtu.be/WelqFVH6eZE?list=PLSV1iA-lr7ymGVzik9jbeEPff54zJhRlQ

[Reactie gewijzigd door Noresponse op 28 maart 2017 14:53]

nesQuick, jij spreekt in 2017 over de huidige stand van zaken.
Ik herinner mij 2011 als een tijd waarin Big Data voor het eerst op grote schaal werd gemined.
Vele bedrijven waren op dat moment aan het worstelen met de juist invulling van de accumulatie van data over de 15 jaar daarvoor (dat begon mijns inziens ergens rond 2005 pas goed op gang te komen).

Ik kan mij dus voorstellen dat security op dat moment nog niet zo hoog op de prioriteitenladder lag als nu.
Ik las eventjes snel het tweakers nieuws, en had niet veel interesse in het onderwerp. Ik rolde even naar beneden en zag je post en die was zo de moeite waard dat ik toch het nieuws maar even goed ben gaan lezen, . BEDANKT voor je contributie.
Ruim 30 jaar geleden reisde ik over de hele wereld zonder GSM.
Je gebruikte dan een callback of local tarief telefoonkaart die je redelijke tarieven gaf vanuit de hotelkamers of een telefooncel (collectors item).
Op een dag werd ik gebeld dat de telefoonkaart geblokkeerd was. AT&T zag dat er vanuit verschillende continenten extreem gebeld werd en blokkeerde de kaart binnen 6 uur. Alle gemaakte kosten van het misbruik werden niet gefactureerd.
Als het 30 jaar geleden al technisch kon, is het dus mensenwerk dat het nu niet gebeurt.
Expres niet monitoren of gewoon te dom of te lui?
Alleen telco's of een generiek maatschappelijk probleem?
In jouw geval zat de fout bij jouw provider en niet bij jouw beheer of gebruik. In het artikel zit de fout volgens de uitspraak in de apparatuur van het bedrijf en niet bij de provider. Ik ben het met Seal64 eens:

Jij bent verantwoordelijk voor wat er met jouw internet/telefoonverbinding gedaan wordt. Je provider is in deze alleen maar een doorgeefluik, meer niet. Als je als bedrijf je beveiliging dus niet op orde hebt en daarmee je provider met een hoop onverwachte kosten opzadelt, dan is dat jouw probleem, ja
Zolang er gebelt wordt heeft de telco winst op "misbruik". Ik heb ook even een slecht beveiligde Asterisk gedraaid voor een paar maanden. Opeens krijg ik 2x 50+ euro factuur binnen terwijl de web interface van de telco zelf aangeeft dat er een limiet op staat van 20 euro per maand. Mocht ik alsnog betalen want blijkbaar is die limiet alleen geldig bij aangeleverde apparatuur(wat nergens duidelijk aangegeven staat). Want blijkbaar is het te moeilijk om er een harde limiet op te zetten. Op mobiele abonnementen lukt het ze wel omdat je daar van tevoren voor betaalt.
Doet erg aan dit verhaal denken: Telefooncentrale misbruik --> §40.000 euro schade!
Ging ook over hoge kosten naar Cuba via een gehackte telefooncentrale. Zat 'm in oude onveilige firmware. Schijnt best veel voor te komen met wat oudere zakelijke centrales en niet goed geconfigureerde voip centrales (poorten dichtzetten). Hier nog een paar:
VOIP misbruik: §22.000 lichter... VOIP centrale misbruikt*

[Reactie gewijzigd door sambalbaj op 28 maart 2017 12:28]

Eigenlijk een prima, heel redelijke uitspraak dus.
Fantastische onderbouwing! ;)

Ik vind het helemaal niet zo redelijk.. Ziggo had bijvoorbeeld toch veel eerder kunnen ingrijpen?
Lijkt mij ook dat Ziggo hier toch wel een signaleringsverplichting had om (eerder) te constateren dat er sprake was van een afwijkende situatie. Via de redelijkheid en billijkheid of wellicht gebaseerd op bepalingen uit de overeenkomst had het gedaagde bedrijf mogelijk kunnen stellen dat Ziggo zo'n verplichting had en die niet heeft nageleefd. Maar voor zover blijkt uit het vonnis is dat niet aangevoerd.

Het is ook niet heel sterk dat het bedrijf niet kon aantonen dat ze bij Ziggo hebben aangeklopt om de telefoonlijn af te sluiten. Had het bedrijf dit wel kunnen aantonen, dan had het vonnis mogelijk heel anders geluid en had Ziggo voor een aanzienlijk deel ook eigen schuld gehad aan de schade, waardoor het te betalen schadebedrag voor het bedrijf waarschijnlijk veel lager had uitgepakt.

Maar het lijkt me dat de rechter wel een merkwaardig onderscheid maakt. Enerzijds vind de rechter het onredelijk om de gemaakte belkosten naar Cuba bij het bedrijf in rekening te brengen, maar anderzijds vind de rechter dat de inkoopkosten van Ziggo wťl in rekening mogen worden gebracht. Die inkoopkosten hangen direct samen met de hack en de belkosten, die dus niet in rekening worden gebracht. Ik zie niet in waarom de redelijkheid en billijkheid dan niet ook zou zien op deze inkoopkosten.
Je moet eens bij COIN opvragen wat het fraude convenant inhoud. Ik kan er zosnel niets over vinden, maar er zijn afspraken tussen de operators. Het lijkt in eerste vooral gericht te zijn op 0900 en mobile roamingfraude, maar aangezien er vorige week een melding over verhoogde "wangiri" activiteiten was en voorgesteld werd bepaalde internationale (premiumrate) prefixes te blokkeren lijkt er een zorgplicht aanwezig te zijn.
Interessant ja, dank voor de suggestie. Die zorgplicht zou er best kunnen zijn inderdaad, al dan niet via een beroep op de redelijkheid en billijkheid.
Maar het lijkt me dat de rechter wel een merkwaardig onderscheid maakt. Enerzijds vind de rechter het onredelijk om de gemaakte belkosten naar Cuba bij het bedrijf in rekening te brengen, maar anderzijds vind de rechter dat de inkoopkosten van Ziggo wťl in rekening mogen worden gebracht. Die inkoopkosten hangen direct samen met de hack en de belkosten, die dus niet in rekening worden gebracht. Ik zie niet in waarom de redelijkheid en billijkheid dan niet ook zou zien op deze inkoopkosten.
In het vonnis legt de rechter uit dat Ziggo het bedrag niet goed heeft gemotiveerd. Ziggo kon wel duidelijk aantonen dat er 96k betaald is aan KPN, maar niet waar de rest van die 162k is gebleven. Ziggo zegt dat het geen winst is, maar de rechter vindt 67k aan overige kosten ongeloofwaardig, er is immers gebruik gemaakt van het netwerk van KPN. Dat deel hoeft dus niet te worden betaald.
Ho ho...Dus Ziggo moet opdraaien voor de onzorgvuldigheid van het bedrijf? Niemand heeft het hier over de verantwoordelijkheid van dat bedrijfje van wie de telefoonlijn gehacked is. Wat de rechter hier dus indirect mee zegt is dat de primaire verantwoordelijkheid om misbruik te detecteren en te voorkomen bij de gebruiker ligt en niet bij een leverancier die op basis van gebruik door een afnemer diensten inkoopt om deze ook daadwerkelijk te kunnen leveren. De vergoeding is dan ook exclusief de winstmarge of andersoortige niet aantoonbare diensten van Ziggo.

[Reactie gewijzigd door Edgarz op 28 maart 2017 17:39]

Wat de rechter hier dus indirect mee zegt is dat de primaire verantwoordelijkheid om misbruik te detecteren en te voorkomen bij de gebruiker ligt en niet bij een leverancier die op basis van gebruik door een afnemer diensten inkoopt om deze ook daadwerkelijk te kunnen leveren.
Ik weet niet of het de "primaire" verantwoordelijkheid is, maar leveranciers hebben inderdaad enige verantwoordelijkheid naar hun klanten. Als ik naar de bakker ga en 10.000 halve bruine broden bestel dan zal de bakker drie keer vragen of hij me goed heeft verstaan en of dat echt is wat ik wil. Als hij dat niet doet, maar direct een rekening van 15.000 euro presenteert, dan hebben we best wel een probleem als hij me niet goed verstaan heeft, of als ik me heb versproken. Dat kan namelijk gebeuren, vergissen is menselijk.

In zo'n geval zou de rechter ook zeggen dat de bakker best even had mogen controleren of mij bestelling wel in orde is.

Nu zitten er computers tussen en geen mensen die een onderbuik hebben om ze te vertellen wat redelijk is en wat niet. Sociaal is het echter niet wenselijk dat bedrijven zich verschuilen achter een computer. Als zo'n bedrijf er voor kiest om een mens te vervangen door een computer dan moeten ze ook maar zorgen dat die computer net zo goed werkt als een mens. Vandaar dat ik begrijp dat de rechter voor deze oplossing kiest. Ziggo krijgt de kosten die ze direct hebben gemaakt vergoed, maar geen cent meer dan dat want hun eigen computer heeft ook meegewerkt aan dit probleem in plaats van de klant te beschermen zoals een mens zou hebben gedaan.
Dat is geen voorbeeld van hoe zakelijke dienstverlening werkt. Voor een consument gaat dit wellicht wel op maar daar gaat het juridisch niet om. In dat geval zijn de 15.000 broden namelijk niet alleen geleverd, maar ook geconsumeerd. Net zoals een kind dat stiekum gebruikt maakt van papa's credit card; daar is de jurisprudentie hetzelfde in. Papa had zijn credit card namelijk beter moeten opbergen, daar kan de facilitator van de dienst niets aan doen en dus ook niet verantwoordelijk zijn.
Dankjewel voor t duidelijk maken wat precies sociaal wenselijk is... nl. een stukje menselijkheid en coulance
Ik vind dan ook dat de rechter in deze juist gehandeld heeft.
Beide hebben schade en beide hebben schuld. De balans heeft de rechter uitgemaakt. Acceptť... En de volgende keer beter opletten. Een beetje zoals je slaperig s'ochtends op de fiets zit en er staat een auto rechts van je stil om je te laten oversteken, 'm niet ziet, om daarna op de linkerkant van de motorkap te liggen. Wie heeft dat nou nooit meegemaakt.;)
Om op dat laatste stuk te reageren, ik denk dat er anders twee keer dezelfde kosten zouden zijn terugbetaald aan Ziggo. De inkoopkosten die Ziggo heeft gemaakt hebben natuurlijk een direct verband met de gemaakte belkosten.
Ik weet het, off topic, maar hij zegt hier dat Koekiemonsterr de auteur is :D

http://i.imgur.com/J95df3M.jpg

[Reactie gewijzigd door Ryan1981 op 28 maart 2017 12:47]

Is hij toch ook?
Idd het profiel zegt dat het Joris is, Ik was altijd in de veronderstelling dat auteurs altijd onder hun echte naam moesten reageren maar dit blijkt incorrect. Vond het wel grappig :P
gallery: Koekiemonsterr

Hij heet Joris. En Joris Jansen heeft het artikel geschreven/geplaatst.
https://tweakers.net/crew/576/

En heeft ook een linkje naar zijn gebruikers profiel. Genaamd:
Koekiemonsterr

Klinkt dus gewoon goed.
De onderbouwing kan je hier vinden https://uitspraken.rechts...2f357382+%2f+HA+ZA+13-891 (het eerdere tussenvonnis).
Wie zegt dat ze dat niet gedaan hebben? Misschien hebben ze wel gewaarschuwd dat ze vreemde bedragen zagen. Lijkt me gezien de uitspraak wel logisch, maar dan zou je de volledige uitspraak erbij moeten halen.

Of misschien had in het kader van redelijkheid en billijkheid dat bedrijf moeten zien dat er iets vreemds aan de hand was, neem aan dat de rekeningen per maand binnenkomen?

[Reactie gewijzigd door acst op 28 maart 2017 12:26]

Ingrijpen op basis van wat?
Het bedrijf heeft blijkbaar niet kenbaar gemaakt dat er een probleem was.
En de vraag hoe makkelijk de lijn gehackt is, daar kan Ziggo ook een rol in spelen.
Maar ja, de advocaten zullen het wel uitgezocht hebben na zes jaar, dus het zal wel allemaal kloppen.
En anders kunnen ze nog in hoger beroep, het is de eerste aanleg.
Zonder alle feiten te kennen is het onmogelijk om daarover te oordelen. Als het bedrijf sowieso al veel en lang naar het buitenland belt, dan hoeven deze kosten niet eens exceptioneel te zijn.
Welke plicht heeft eigenlijk de provider in deze?
Stel het verbruik wijkt ineens enorm af van normaal, kan van alles betekenen natuurlijk.

Fictieve cijfers:
Stel je hebt maandelijks tussen de 85 en 125 afname.
In maand X is de afname halverwege de maand al 1000.

Heeft de provider de morele plicht of iets dergelijks om dit te constateren en er iets mee te doen?
Welke plicht heeft eigenlijk de provider in deze?
En hoeveel van je privacy wil je hiervoor inleveren?

De enige manier waarop een provider kan ingrijpen is als hij actief jouw gedrag monitort en analyseert. En aangezien die analyses dan 'real-time' gebeuren kun je daar ook zaken van afleiden. Bijvoorbeeld de topman belt ineens wel heel veel naar Redmond, dan kan de Ziggo medewerker even vragen:
"Zijn jullie gehackt of worden jullie binnenkort overgenomen door Microsoft?"

Dus een maximum op de rekening zetten is nog wel te doen, maar actief je gedrag monitoren en daaruit conclusies trekken is echt levensgevaarlijk.
"Welke conclusies kan ik vandaag trekken uit de belgegevens van alle CEO's in mijn bestand?"
(En Uber heeft al bewezen dat medewerkers de gegevens van klanten gewoon misbruiken)
Maar jij gaat direct uit van diepere details, dat is volgens mij niet nodig.
Zie het als een belbundel, wanneer deze gigantisch overschreden wordt, dan zet je het stop of informeer je de klant. Daarvoor hoef je niet details in te zien als naar wie een klant aan het bellen is.

Jouw voorbeeld van CEO's die wat meer bellen naar Redmond, is dus niet zo goed voorbeeld, dat zal niet merkbaar zijn als extreme overschrijding van het maand totaal. Daarnaast hoef je de details (bellen naar Redmon en door wie) helemaal niet hierin mee te nemen om het te monitoren op totaalniveau :)
De enige manier waarop een provider kan ingrijpen is als hij actief jouw gedrag monitort en analyseert.
Dat kan een provider zonder privacy gegevens te gebruiken, bv ik heb op basis van geanonimiseerde gegevens vastgesteld dat er in het verleden nooit meer dan 10 gesprekken binnen 1 uur plaats vinden naar willekeurige premiumrate buitenlandse prefixes . Vervolgens heb ik een blockade ingesteld indien 1 gebruiker meer dan 10 calls naar een premiumrate internationale prefix plaatst. Indien een klant alsnog onterecht geblokkeerd wordt kan er voor deze klant een alternatief max. worden ingesteld.

Op basis van klantgegevens kan ik veel beter monitoren en sneller ingrijpen, echter:
-privacy bezwaren
-niet kosten effectief aangezien de niet klantgegevens gebonden oplossing 99+% van het misbruik al stopt.
Moreel wellicht. Maar of dat wettelijk ook zo is, is een hele andere vraag.
Zorgplicht noem je dat. Een dergelijke zorgplicht vind je steeds vaker in wet- en regelgeving. Met name bij financiŽle instellingen zoals verzekeraars en banken, maar zou het hier ook niet onredelijk vinden, vooral omdat het technisch vrij simpel is.
Ja, maar normaal geld een zorgplicht enkel voor bedrijven naar consumenten.
Niet voor bedrijven onderling. Ik kan me dan ook voorstellen dat Ziggo gewoon levert wat er word afgenomen.

De wetgever gaat er namelijk vanuit dat bij een bedrijf de noodzakelijke kennis voor de bedrijfsvoering aanwezig is, wat me ook logisch lijkt.
Telecom providers hebben wellicht een zorgplicht, maar ook een leverplicht. Ik denk dat strict genomen mijn antifraude monitoring/blockades op bel gedrag van mijn klanten illegaal is (niet voldoet aan de leverplicht). Maar het bespaart je als ITSP een heleboel gezeik en klanten getroffen door stomme bugs in hun PBX/zwakke PINs (of het ontbreken van antibruteforce maatregelen) op voicemail zijn enorm blij als je de schade tot 100-200 EUR kan beperken.
Toch wel bijzonder dat er dan nergens een alarmbel is gaan rinkelen als je voor een ton aan telefoonkosten maakt... Lijkt me dat je als provider de klant inlicht als die van de ene op de andere dag dergelijke kosten maakt die nooit eerder zijn gemaakt.
De vraag is of er alerts op staan en is dat wel nodig?
Er zijn genoeg bedrijven die dergelijke kosten maken en dat is niet per see uitzonderlijk.
Je geeft het al al of een bedrijf deze kosten maakt of niet daar kun je een profiel van maken dat automatisch alarm slaat als het belgedrag ineens heel anders wordt.
Even een mailtje naar het bedrijf u, bellen.

Je zou trouwens standaard moeten kunnen instellen dat je niet over een bepaald bedrag kan en mag gaan.

Heb jaren terug ook gehackte asterisk server gehad. Werkte toen al alleen met prepaid providers maar toch was er een Belgische providers waar het ondanks prepaid lukte om voor 1800 euro te bellen onder de 0. De provider wilde dat geld ook zien maar ja prepaid is prepaid en als hun systeem zo ver onder de 0 kan uitkomen hebben ze een probleem. Probleem was o.a. je kon met het account met 20 of 30 voip lijnen tegelijk bellen. Slecht 1 werd er actief realtime in de gaten gehouden de andere 20 pas geboekt als het gesprek was afgelopen, dus zo kwam je onder de 0 uit.

Vriend van mij gehackte tel centrale, bellen via xs4all, gemeld en bleef doorgaan ondanks melding. Daarna advies gegeven stel maximum in bij xs4all, dat ging en paar maanden later weer hack en toch kon men over het maximum bellen. Maar ja op papier staat maximum en als xs4all de zaken niet goed voor elkaar heeft, papier is contract en maximum.

Het geeft wel aan dat het een zooitje is met deze dingen.
Ik raad iedereen daarom gewoon aan zorg dat je bij je provider een maximum in kan stellen. Je kan zelf inschatten hoeveel dat is. Mooiste zou een maximum per dag en per maand zijn.
Kan dat niet werkt dan met prepaid providers. De schade kan dan nooit hoger zijn dan je prepaid bedrag.

Er is hier trouwens ook een taak voor de politiek dit af te dwingen. Schijnbaar kun je bij een provider ongelimiteerd krediet krijgen met bellen. Wil je voor een ton op rekening kopen, lichten ze je helemaal door. wil je voor een ton bellen kan dat schijnbaar zo maar. Krom maar waar.

Telecom bedrijven zouden verplicht moeten worden maximum bedragen in te stellen die een klant kan aangeven. Ze moeten actief kijken naar belgedrag en bij vreemd gedrag ingrijpen, c.q contact opnemen met de klant.
Wij beheren nogal wat telefonie, maar op een handjevol klanten na is Cuba al een uitzondering....
Wij hebben ook af en toe last van dat klanten niet secuur zijn en gehackt worden, daarom staan op onze systemen gewoon saldo limieten, wij weten wat onze klanten gemiddeld per maand verbruiken en dat staat gewoon ruim ingesteld daarop, als een klant die normaal voor 300 euro belt opeens 500 heeft dan is dat toch even het onderzoeken waard.
Voor mobiele consumentenproducten is het in de EU zelfs verplicht te waarschuwen als je, ik meen, 50 euro of zo buiten je bundel gaat. Ik herinner me een keer dat ik eens 70 euro kosten had voor bellen naar het buitenland en daar niks over hoorde, maar dat was eigen gebruik en ik wist dat dat eraan kwam.
Die limiet geld bij roaming in het buitenland, maar die is idd verplicht. Daarom dat ik niet snap dat Ziggo hier geen plicht had tot beter ingrijpen.
Omdat er een verschil is tussen de zorgplicht naar consumenten en naar bedrijven. Tussen bedrijven onderling is er veel minder geregeld. Ook als het tussen een groot en een klein bedrijf, of een eenmanszaak, gaat.
Tuurlijk, maar ik loop al een tijdje rond in de voip wereld, en praktisch elke leverancier heeft rate limiting/budgetten etc gewoon overal in zitten, KPN zakelijk trapt op ISDN ook op de rem als t mis gaat (wanneer je opeens 1000+ over je maandbedrag gaat) ook voor bedrijven, dus waarom doet iedereen behalve ziggo dit schijnbaar en komen ze er dan toch mee weg.
Ik denk eerder dat andere bedrijven dat o.a. doen vanwege mogelijke fraude? Een lege BV die voor vele 1000en euro's verbelt en dan failliet gaat als de rekening komt?
Gaat er meer om de verandering in gebruiks patroon, de bank belt je vaak ook even op wanneer er een zoon bedrag naar Cuba gaat, ook al verschuif je elke maand miljoenen naar andere plekken of met andere patronen.
Het bedrijf heeft volgens de rechter in zijn verdediging niet kunnen aantonen dat het in 2011 aan Ziggo heeft voorgesteld om de gehackte telefoonlijn af te sluiten.
Dit zinnetje lijkt erop te wijzen dat het bedrijf (niet Ziggo) er vanaf wist, ik weet overigens niet of een ton aan telefoonkosten een raar bedrag is bij de zakelijke kant van Ziggo.
Een ton aan telefoonkosten naar een land als Cuba is zelfs voor een (Nederlands) bedrijf veel.

In het vonnis staat dat het bedrijf in kwestie op "6 april 2011 aan Ziggo het voorstel heeft gedaan om de telefoonlijn die werd gehackt, af te sluiten" en dat het gaat over "de opbouw van de telefoonkosten na 18 maart 2011".
Maar dat was volgens de rechter dus onvoldoende gewezen (dat voorstel van bedrijf over afsluiten telefoonlijn).
Wanneer een telefoonlijn op deze schaal wordt gehackt/ misbruikt, dan doe je geen voorstel, dan geef je opdracht de lijn af te sluiten. Dat doe je dan niet via de telefoon of met een memo, maar per email, bevestigd per aangetekende brief (of beter nog een brief bezorgd per koerier) dat vanaf datum ontvangst de lijn moet worden afgesloten en dat verdere kosten voor rekening van Ziggo zijn.
Hangt denk ik een beetje van je bedrijf af. Hadden ze het kunnen opmerken. Ja dat kan. Maar daar in tegen is het zeker een bedrijf gewoon een zaak om goed je zaken op oorden te hebben.
Wat ik me afvraag in deze situatie is of de provider geprobeerd heeft dit bedrijf op de hoogte te brengen van een ongewoon hoog verbruik. Gewoon doen alsof je neus bloed en dan het geld binnenharken zou ik niet netjes vinden.
Een aantal jaren geleden was het mogelijk om met het netwerk van kpn (Alleen Telfort SIM) een pingtunnel op te zetten en daarmee onbeperkt te kunnen internetten in binnen en buitenland. Dit is heeel vaak aangekaart, maar telfort deed net of hun neus bloedde.

Simkaarten (prepaid) werden pas stopgezet nadat er al voor duizenden euro's was verbruikt. pas na een jaar of 5, heeft Telfort besloten dit lek te dichten, omdat er klaarblijkelijk steeds meer mensen achter kwamen en dit gingen doen.

Vrij vergelijkbaar met het verhaal hier, maar kennelijk is het allemaal te relativeren totdat ze er eentje hebben gevonden die als voorbeeld moet dienen....
O dat is interessant, jij neemt aan dat het bedrijf zelf achter de hack zit?
Niet eens, waar het om gaat is dat de providers heel goed in de gaten hebben wat er op de lijnen gebeurd, maar hier geen prioriteit aan geven, of dit de verantwoordelijk vinden van de abonnee. In het geval van Telfort konden ze geen abonnee achterhalen dus is het gewoon afgeboekt.

In het geval van dit Artikel is er wel een abonnee, die dus voor de kosten opdraait, wat in mijn ogen onterecht is. Het bedrijf heeft ook al eerder aangegeven dat de lijn gehacked is, maar net als bij Telfort, wordt dit gewoon genegeerd en doet men net of het ze niet interesseert. Nu zijn de kosten enorm opgelopen en moet er even betaald worden.

Het zou mij niet verbazen als er honderden, misschien wel duizenden dossiers van dit kaliber op de plank liggen, maar ja, daar hebben we geen zin in, dus pakken we er 1 van de stapel en maken we er een media spektakel van...
Bij Simyo was het 2 jaar lang mogelijk om 4G te gebruiken voor noppes ipv 3G.
Kwestie van goed fatsoen, maar ja dat is in het commerciŽle leven niet aan de orde ..
Als je rood stat bij een bank voor langere tijd, zal de bank zich niet melden, want ze verdienen er dik aan, als je in eens een miljoen op de bank hebt, weten ze niet hoe snel ze moeten bellen om een afspraak te maken (want ze zie potentie om nog meer aan je te verdienen ...
Als je rood stat bij een bank voor langere tijd, zal de bank zich niet melden,
Ligt aan welke afspraken je hebt met de bank rondom rood staan. Als je er voorbij gaat krijg je toch echt wel binnen no time bericht van de bank: 'uw staat rood, zorgt voor een positief balans voor x datum'
JE hebt gelijk, maar dat gaat voorbij aan het statement dat ik maakte ...
Maar wat is dan je statement? Gezien die nogal uit de lucht gegrepen lijkt te zijn. De argumentatie klopt immers al niet.

Je lijkt nu namelijk te speculeren dat dit een bewuste actie vanuit de provider is geweest. Alsof die echt het risico willen nemen om dit voor een rechter uit te moeten vechten.
Dat de enige prioriteit bij bedrijven puur financieel gericht is, en service en klantvriendelijkheid en ondersteuning een zwaar ondergeschoven kindje ...
Dus geen bewuste actie, maar desinteresse ingegeven door pure geldlust ...
Gaan we hack-verzekeringen afsluiten? Verplicht?

[Reactie gewijzigd door B. Olle op 28 maart 2017 12:26]

Jij bent verantwoordelijk voor wat er met jouw internet/telefoonverbinding gedaan wordt. Je provider is in deze alleen maar een doorgeefluik, meer niet. Als je als bedrijf je beveiliging dus niet op orde hebt en daarmee je provider met een hoop onverwachte kosten opzadelt, dan is dat jouw probleem, ja.
Tijd dat telecom providers dus vreemd gedrag gaan opmerken en actief blokkeren. Dit gebeurt ook met
visa kaarten ... waarom de providers niet ?

/offtopic
"het bedrijf" moet een "ton" betalen aan ziggo.
Euhk ? Ik begrijp die zin niet compleet.
het bedrijf -> het bedrijf wiens telefoonlijn gehackt was
moet -> is door de uitspraak van de rechter verplicht
een ton -> ton=§100.000,- , in dit geval is het daadwerkelijke bedrag zelfs wat meer
betalen -> lijkt me duidelijk - moet aan ziggo worden betaald ivm aankoopkosten netwerk KPN
(aan) ziggo -> de telefonieprovider in kwestie

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*