Joe Sullivan, de voormalig Chief Information Security Officer van Uber die in 2016 een groot datalek verzweeg, heeft geen gevangenisstraf gekregen. Hij krijgt wel drie jaar proeftijd en 200 uur taakstraf. De openbaar aanklager wilde 15 maanden celstraf.

De rechter bestempelt het relatief milde vonnis voor Sullivan als een uitzondering. Hij zou het te danken hebben aan zijn vele eerdere werk om mensen te beschermen tegen het soort cybercrime dat hij in 2016 verborgen hield. Ook het feit dat de gestolen data niet uitgelekt is, merkte de rechter op. Daarnaast zegt de rechter dat hij zich beïnvloed voelt door het feit dat de zaak zonder precedent is. Daar voegt hij wel aan toe dat de volgende beklaagde die zich in deze positie bevindt zeker naar de gevangenis gaat, 'ook al heeft hij het karakter van de paus'.

Ook zonder precedent was de hoeveelheid steunbetuigingen die Sullivan kreeg, geadresseerd aan de rechter. Meer dan 180 brieven waren dat in totaal, waarvan een ondertekend door 40 huidige of voormalige chief security officers. Dat schrijft de Washington Post in zijn uitgebreide verslag. Ook werd er in de brieven gezegd dat andere securitytopmensen bang waren voor vervolging als Sullivan de gevangenis in zou moeten. Daarvan zegt de rechter dat 'de schrijvers de feiten van de zaak niet begrijpen' en dat Sullivan 'expres de overheid bedrogen heeft, wat daadwerkelijke schade aan de FTC en het publiek berokkent'.

Wat Sullivans zaak ook hielp, is dat hij een paper trail van zijn handelen achterliet. Uit getuigenissen bleek dat het meewerken met de afpersers ook gebruikt werd om informatie over ze te achterhalen. Dit was nodig om ervoor te zorgen dat ze zich aan hun belofte zouden houden als Uber 100.000 dollar betaalde. Daarnaast werd deze informatie gebruikt om de twee daders op te sporen en aan te klagen. Zij bekenden schuld.

Op 21 november maakte Uber bekend dat er in 2016 sprake was van een grote datadiefstal. Hackers hebben toen namen, e-mailadressen en mobiele telefoonnummers van 57 miljoen gebruikers buitgemaakt. Ook werden de namen en rijbewijsnummers van 600.000 chauffeurs in de VS gedownload.

Uber maakte pas 371 dagen na het ontdekken van de diefstal melding van het voorval. Dat gebeurde omdat de toen nieuwe ceo van Uber, Dara Khosrowshahi, vond dat 'niets van dit alles had mogen gebeuren' en omdat Sullivan hem, in de woorden van The Washington Post, niet 'eerder meer had verteld'.

Google mengt op de browserversie van Gmail nu advertenties met de rest van de e-mails in plaats van ze bovenaan de inbox te tonen. De reclames zijn visueel ontworpen om op gewone e-mails te lijken, op een 'Ad'-labeltje na.

Het gaat om reclame die getoond wordt als gebruikers tabbladen in Gmail ingeschakeld hebben. Die zijn voor categorieën als sociale media, updates, forums en reclame en dienen ervoor om de inboxervaring overzichtelijker te maken. Het was al zo dat er advertenties bovenaan de verschillende 'inboxen' getoond werden, maar die worden nu bij bepaalde gebruikers ook verspreid over die inboxen getoond, waardoor ze veel makkelijker aan te zien zijn voor daadwerkelijke e-mails en het gevoel van overzichtelijkheid vermindert. Ook melden gebruikers dat ze meer dan twee reclames tegelijk zien, terwijl twee altijd standaard was.

Dat blijkt uit uitzoekwerk van 9to5Google. Een Tweakers-test met een eigen Gmail-inbox toonde aan dat Gmail bij ons wel reclame bovenaan de tabs toont, maar niet gemengd met de rest van de e-mails. Ook kwamen niet meer dan twee reclames voor. Zoals vaker bij diensten met veel gebruikers kan het gaan om een getrapte introductie van een nieuwe functionaliteit. Ook kan het natuurlijk gaan om een test en is deze wijziging nog niet definitief. Het is niet duidelijk hoeveel gebruikers hiermee te maken hebben en waar ze zich bevinden.

9to5Google concludeerde ook dat Google actiever reclame toont in de Gmail-app. Het updatestabje vertoonde tot op heden geen reclame, maar doet dat nu wel. Zowel in de browserversie als in de app geldt nog wel dat er geen reclame getoond wordt in de 'hoofdinbox'. Wie de categorieën in de inbox uitgeschakeld heeft, ziet ook geen reclame.

As a person who works very hard to keep my email in check, I am absolutely INCENSED that Gmail is just putting random ads in my inbox now??? pic.twitter.com/5LompTLLPL

— rosemary h (@rohallma) 3 mei 2023

Het Hof van Justitie van de Europese Unie heeft geoordeeld dat een 'drempelwaarde' aan ernst van een overtreding van de AVG niet nodig is om een claim bij een rechtszaal in te dienen. Ook mogen procedures omtrent de AVG, of GDPR, niet complexer zijn dan soortgelijke procedures.

Dat oordeelt het Hof van Justitie van de Europese Unie in een zaak die is doorverwezen vanuit het hoogste gerechtshof van Oostenrijk. Het gaat om een zaak tussen een Oostenrijkse burger en de nationale postdienst van het land. De Österreichische Post verzamelde sinds 2017 informatie over de politieke oriëntatie van de bevolking. Dat deed het met een algoritme, op basis van sociale en demografische criteria. De uitkomst was een zogenaamd 'adres van een doelgroep'.

Een man, die niet had ingestemd met het verwerken van zijn persoonsgegevens, werd affiniteit met een extreemrechtse partij toegeschreven. Hij stelt in zijn aanklacht dat dit hem erg boos maakte, hij zich voor schut gezet voelde en dit ervoor zorgde dat hij zijn vertrouwen verloor. Hij stapte naar de rechter en eiste een schadevergoeding van 1000 euro wegens immaterieel letsel.

De Oostenrijkse rechtbank verwees door naar het Europese Hof, met de vraag of er niet een bepaalde drempel van ernst is die te boven gegaan moet worden voordat een AVG-claim neergelegd kan worden. Het hof oordeelt nu dat dat niet het geval is. Ook oordeelt het Hof dat nationale rechtbanken het proces voor een AVG-claim niet ingewikkelder mogen maken dan andere claims.

De Oostenrijkse privacyactivist Max Schrems is blij met de uitspraak. Volgens hem worden veel AVG-zaken afgewezen vanwege een te kleine hoeveelheid schade. "Een hele branche probeerde de AVG opnieuw te interpreteren, om te voorkomen dat ze schadevergoeding moesten betalen aan gebruikers wier rechten ze schonden. Dit lijkt te worden afgewezen. We zijn erg blij met het resultaat."

De Belgische internetprovider Telenet kampt al maanden met grote technische problemen na een migratie naar een nieuw computersysteem. De staatssecretaris van Consumentenbescherming wil deze week nog een concreet plan van de telco zien.

De Ombudsdienst voor Telecommunicatie meldt aan De Standaard dat er in de eerste vier maanden van dit jaar al 1785 dossiers tegen Telenet zijn geopend. “Sinds de ­beginjaren van Telenet heb ik dit enorme aantal klachten niet meer meegemaakt. En dan zien wij zelfs maar het topje van de ijsberg”, vertelt ombudsman Luc Tuerlinckx aan de krant. Hoeveel klanten daadwerkelijk getroffen zijn, is niet bekend.

Het zou gaan om problemen met facturering, toegang tot mailboxen, contracten die niet stopgezet worden, openstaande tegoeden die niet terugbetaald worden en zelfs klanten die recht hebben op een zogenaamd sociaal tarief, die ineens toch het gewone tarief moeten betalen. Meteen na de migratie waren er ook klanten die geen internet, mobiele telefonie of andere dienstverlening kregen. Die klanten kregen voorrang en al dat soort kwesties moeten nu opgelost zijn, maar daardoor hebben andere problemen zich juist opgestapeld. De klantenservice zou daardoor overvraagd worden.

De staatssecretaris van Consumentenbescherming, Alexia Bertrand van Open Vld, wil deze week nog samenkomen met Telenet en verwacht een concreet plan om de problemen snel op te lossen. De woordvoering van Telenet zegt juist dat het dacht dat de problemen enkele maanden geleden al onder controle waren. Nu geven ze ook toe dat dat niet het geval is, maar dat hard gewerkt wordt aan oplossingen.

Intussen heeft de oppositiepartij Nieuw-Vlaamse Alliantie een wetsvoorstel ingediend dat telecomproviders verplicht om klanten schadeloos te stellen als ze hun diensten niet weten te leveren. Telenet deed vorige maand de prijzen nog zes procent omhoog om te compenseren voor inflatie.

De Amerikaanse autoriteiten hebben opnieuw meerdere domeinnamen van de populaire illegale e-booksite Z-Library in beslag genomen. De site is nog wel bereikbaar, ook zonder je te wenden tot Tor of het I2P.

Het gaat om de domeinen b-ok.lat, booksc.me en b-ok.as, schrijft Torrentfreak. B-ok.lat was eerder al in beslag genomen, dus wellicht heeft Z-Library die tussendoor opnieuw in handen gekregen of maakt Torrentfreak een typfout. Wie nu naar deze domeinen navigeert, ziet de domain seized-afbeelding die vaker gebruikt wordt bij dergelijke takedowns.

Op Telegram hebben de beheerders van Z-Library erkend dat 'één van hun domeinen' inbeslaggenomen is. Desalniettemin zijn er andere domeinen en methodes om de site te gebruiken. Het kat- en muisspel laat zien dat de Amerikaanse overheid nog niet klaar is met Z-Library, ondanks dat hun inzet tot dusver nog niet de genadeslag is gebleken.

Het offensief tegen Z-Library laaide vorig jaar november op. De Amerikaanse autoriteiten namen talloze domeinnamen in beslag en in Argentinië werden twee beheerders gearresteerd. Amerika wil ze laten uitleveren; volgens Torrentfreak heeft de Argentijnse rechter dat nog niet goedgekeurd. De arrestaties vonden mede plaats dankzij onderzoek van Stichting Brein, aldus Brein-voorman Tim Kuik. Brein sluit ook niet uit dat het in Nederland in de toekomst zal pogen Z-Lib-domeinen te laten blokkeren.

Z-Library is een zeer grote site op het gebied van digitaal tekstmateriaal, vergelijkbaar met wat The Pirate Bay is op gebieden als videomateriaal en software. Z-Lib brengt zelf ook kosten in rekening voor bepaalde functies, zoals de mogelijkheid om meer materialen per dag te downloaden.

Ondernemer Ilya Pozin, die in het verleden het gratis en met reclame ondersteunde streamingkanaal Pluto TV opzette, werkt naar verluidt aan een gratis televisie die met reclame terugverdiend moet worden.

Pozins start-up zou er in het geheim aan werken en zijn plan later dit jaar onthullen. De televisie is geen gangbaar model. Het toestel zou een tweede scherm hebben met de hoogte van een smartphonescherm en een breedte gelijk aan de breedte van de televisie. Daarop zouden widgets met nuttige informatie als nieuws en het weer getoond kunnen worden, maar ook advertenties. Ook zou het toestel een geïntegreerde soundbar hebben.

De start-up, die Teevee zou heten, zou ook een mobiele app bieden voor extra functionaliteit. In ieder geval aanvankelijk wordt het smart gedeelte van deze smart-tv verzorgd door een bijgeleverde mediaspeler, zoals een Chromecast. Dat alles meldt Janko Roettgers in zijn Lowpass-nieuwsbrief. Voorheen was Roettgers journalist bij Protocol. Pozin woont in de Verenigde Staten en het ligt voor de hand dat dit product als eerste in de VS op de markt komt.

Het concept van een televisie die ten minste deels 'betaald' wordt door advertenties te tonen, is verre van nieuw. Talloze televisies die nu op de markt zijn, vertonen al advertenties. Daarnaast worden de toestellen vaak geleverd met apps van grote mediabedrijven voorgeïnstalleerd. Het valt natuurlijk te verdedigen dat dit gedaan wordt als service aan de gebruiker, maar het is evengoed denkbaar dat de bedrijven televisiefabrikanten hiervoor betalen. Roettgers haalt een voorbeeld aan van Vizio, dat in het vierde kwartaal van vorig jaar minder dan 3 dollar winst per verkochte tv maakte, maar daarna gemiddeld 28,30 dollar per tv verdiende aan advertenties.

8bitdo, maker van controllers voor computers en consoles, heeft een goedkopere versie van zijn Ultimate-controller onthuld. Deze ontbeert bepaalde features in ruil voor een adviesprijs die 20 dollar lager is dan die van de Ultimate met 2,4GHz-communicatie.

De 8bitdo Ultimate C 2.4G Wireless Controller heeft een adviesprijs van 30 dollar. Daarvoor krijgen eigenaren een draadloze gamecontroller die op 2,4GHz werkt en een eigen dongle heeft. Een bedrade bedieningsmodus is ook mogelijk dankzij de USB-C-poort, die natuurlijk ook voor opladen gebruikt wordt. Voor 20 dollar is er ook een permanent bedrade versie van de controller.

Ten opzichte van de 'gewone' Ultimate-controllers is er geen oplaaddockingstation aanwezig. Daarnaast is de ingebouwde profielenwisselaar weg en wordt ook de Ultimate-software niet ondersteund. Deze maakt het mogelijk om buttonmappings aan te passen, macro's in te stellen, de gevoeligheid van sticks en triggers te verzetten, de vibratiesterkte aan te passen en profielen te beheren. Tot slot zijn de extra knoppen aan de achterkant weg en wordt de Switch niet ondersteund. Wel aanwezig zijn de turbofunctie voor snelle, herhaalde knopaanslagen en de asymmetrische rumble in Windows.

Vermoedelijk zijn ook de Hall-effect-sticks afwezig. Op 8bitdo's Amazon-productpagina voor de gewone Ultimate is bijvoorbeeld te lezen dat die aanwezig zijn op de bluetoothvariant, maar datzelfde geldt niet voor de Ultimate C-productpagina. Dit type stick is wat duurder, maar moet niet lijden aan drift, waar de Nintendo Switch bijvoorbeeld om bekendstaat.

8bitdo biedt de controller aan in 'lilac purple' en 'field green'. De accu moet 25 uur meegaan en de controllers zijn compatibel met Windows, Android, SteamOS en verschillende Raspberry Pi-besturingssystemen.

Apple behaalde in het eerste kwartaal van 2023 slechts drie procent minder omzet dan in dezelfde periode vorig jaar. Ook de daling van de winst bleef beperkt, onder meer door de groeiende verkoop van iPhones in India. Apples grootste groei zat in diensten als iCloud en abonnementen.

De resultaten over Apples eerste kwartaal vallen minder tegen dan het bedrijf vooraf had voorspeld. Apple rekende op een omzet- en winstverlies van vijf procent tegenover een jaar geleden, maar dat verlies bleek minder groot te zijn. In de eerste drie maanden van het jaar haalde Apple een omzet van 94,8 miljard dollar, zo'n drie procent minder dan vorig jaar. Ook de winst daalde. Die ging van 25 miljard vorig jaar naar 24,16 miljard dit jaar.

Apple verwachtte door de stijgende inflatie al minder iPhones te verkopen en dat gebeurde in de meeste markten ook, al was de afname ten opzichte van een jaar geleden in met name Europa verwaarloosbaar. Juist in Zuid-Oost-Azië en met name India steeg juist het aantal verkochte smartphones. De winst ging daar omhoog van 7 miljard naar 8,1 miljard dollar. De verkopen van met name Macs vielen daarentegen wel erg tegen.

Apple realiseert voornamelijk een groei in Services. Dat zijn diensten als iCloud en Apple Pay, en abonnementen als Apple Music. Daarvan stegen de inkomsten van 19,8 miljard naar 20,9 miljard dollar. Het bedrijf begon enkele jaren geleden al een transformatie waarbij het minder wilde inzetten op hardware en meer wilde verdienen aan diensten. Tweakers schreef daar in 2019 een achtergrondverhaal over.

Minisforum heeft twee nieuwe mini-pc's in de Venus-serie aangekondigd. De UN100 en UN305 maken allebei gebruik van een Alder Lake-N-chip. De duurdere variant heeft een Intel Core i3-N305.

De Venus UN100 en UN305 zijn vanaf vrijdag te koop bij Minisforum. Beide modellen zijn in twee uitvoeringen verkrijgbaar: een met 8GB geheugen en 256GB opslag, en een met 16GB geheugen en 512GB opslag. Het geheugen is niet uit te breiden of te vervangen omdat het is vastgesoldeerd, maar de upgrade naar het snellere model is met 30 euro niet duur.

De mini-pc's zijn de eerste Minisforum-apparaten die een Alder Lake N-chip van Intel aan boord hebben. Voor de UN100 is dat de N100. Niet geheel verrassend maakt de UN305 gebruik van de N305-processor. De N100 is een quadcore-soc met een maximale snelheid van 3,4GHz en een geïntegreerde Intel UHD-gpu van 750MHz. De N305 is sneller; dat is een Core i3-processor met een octacorechip die maximaal 3,8GHz haalt en een gpu van 1,25GHz heeft.

Op de processor na zijn beide apparaten hetzelfde. De mini-pc's hebben twee gigabitethernetpoorten, twee HDMI-poorten en een USB-C-poort met DisplayPort-optie. Daarmee kunnen maximaal drie beeldschermen tegelijk worden aangesloten. Verder zitten er vier USB-A 3.2-poorten op het apparaat, waarvan twee Gen 1's en twee Gen 2's.

Ook de metalen behuizing is hetzelfde voor beide apparaten. Ze kunnen worden opengemaakt om een M.2 2280-ssd toe te voegen, of een 2,5"-harde schijf of ssd. Het goedkope model van de N100 kost 249 euro; het duurdere N305-model kost 359 euro.

Mozilla opent zijn eigen sociale netwerk dat gebruikmaakt van Mastodon als private bèta. Mozilla.social onderscheidt zich volgens het bedrijf met een opvallend streng moderatiebeleid. "Het wordt geen neutraal platform", zegt het bedrijf.

Mozilla brengt Mozilla.social als private bèta uit. Gebruikers kunnen zichzelf op een wachtlijst zetten, maar Mozilla zegt niet hoeveel gebruikers wanneer toegang krijgen tot het netwerk. Mozilla.social is een Mastodon-server, waarmee het bedrijf vorig jaar al een experiment begon. Mozilla schrijft dat er veel behoefte is aan een nieuw sociaal medium, omdat dat 'de macht weghaalt bij grote techbedrijven en neerlegt bij diverse stemmen'.

Op het platform wordt een opvallend streng moderatiebeleid gehanteerd. "We gaan niet het zoveelste zelfverklaarde neutrale platform bouwen", zegt het bedrijf. Mozilla denkt dat neutraliteit vaak gebruikt wordt 'als excuus om gedrag en inhoud toe te staan die zijn bedoeld om gemeenschappen lastig te vallen en te raken die altijd al worden lastiggevallen'. Mozilla heeft de moderatieregels vastgelegd in algemene voorwaarden.

Mozilla zegt dat de regels waarschijnlijk nog niet perfect zijn vanaf de eerste dag. Het bedrijf zegt in gesprek te willen gaan met gebruikers over wat wel en niet moet worden toegestaan. Ook gaat het bedrijf nog andere aspecten van het sociale netwerk bestuderen, zoals de onboarding en hoe er geld met het project moet worden verdiend.

Een nieuw samenwerkingsverband van de meeste grote Europese lucht- en ruimtevaartbedrijven wil meedoen aan de aanbesteding van het Europese satellietcommunicatienetwerk IRIS². Dat moet een concurrent worden van Starlink.

Het nieuwe consortium bestaat uit Airbus, Eutelsat, Hispasat, SES en Thales Alenia, vijf van de grootste Europese ruimtevaartbedrijven. Zij zijn de voorzitters van het nieuwe samenwerkingsverband. Daar zijn verder nog de providers en bedrijven Deutsche Telekom, OHB, Orange, Hisdesat, Telespazio en Thales bij aangesloten.

De bedrijven gaan samenwerken aan IRIS², een constellatie van internetsatellieten. De Europese Unie is eind vorig jaar met dat plan akkoord gegaan. IRIS² moet een concurrent worden voor andere satellietconstellaties in low Earth orbit, waarvan SpaceX' Starlink momenteel de grootste is. Ook andere bedrijven, zoals Amazon en Meta, willen in de toekomst zulke netwerken opzetten. Europa wil daarop inspelen door een eigen netwerk op te zetten, zodat het niet afhankelijk is van commerciële partijen. De Europese Unie wilde aanvankelijk OneWeb gebruiken voor zo'n netwerk, maar dat ging failliet en is na een doorstart grotendeels in handen van de Britse overheid.

De bedrijven in het consortium zeggen dat Europese start-ups op een later moment bij het samenwerkingsverband kunnen aansluiten. Europa hoopt daarmee de ruimtevaartsector te stimuleren. De Unie streeft ernaar dat het project in 2027 operationeel is, maar dat lijkt erg ambitieus en lastig haalbaar. De satellieten worden waarschijnlijk gelanceerd door Arianespace' Ariane 6, maar die maakt pas volgend jaar zijn debuutvlucht.

De Vlaamse regering heeft een bedrijf opgericht dat een persoonlijke datakluis voor burgers gaat ontwikkelen. Het bedrijf heet Athumi, is een voortzetting van het Datanutsbedrijf en gaat de open standaard Solid gebruiken.

De Vlaamse overheid heeft Athumi opgezet met als doel een zogenaamde 'datakluis' te ontwikkelen. Dat is een digitale kluis waarin Vlamingen persoonsgegevens kunnen plaatsen. Die kunnen ze vervolgens delen met andere instanties die bij het initiatief zijn aangesloten. Op dit moment is die datakluis er nog niet, maar Athumi werkt wel al aan twee initiatieven: een carrièrekluis en een gezondheidskluis. Met die eerste kunnen Vlamingen hun werkgeschiedenis en diploma's bewaren en delen met bijvoorbeeld een toekomstige werkgever. Er was eerder al een samenwerking opgezet met uitzendbureau Randstad. In de gezondheidskluis kan dat met gegevens die met ziekenhuizen, artsen of andere zorgverleners kunnen worden gedeeld.

Hoewel de kluizen bedoeld zijn om burgers 'aan het roer te zetten en zelf de eigen data te laten beheren', hamert Athumi erop dat de gegevens ook geanonimiseerd kunnen worden gebruikt voor onderzoek. "Door gecontroleerd en strikt anoniem gegevens van duizenden mensen te analyseren kunnen gezondheidswetenschappers belangrijke inzichten verwerven", schrijft Athumi. Die data is nu nergens centraal opgeslagen en is daarom moeilijk te gebruiken door onderzoekers, maar de datakluis moet het makkelijker maken voor burgers die data anoniem met die onderzoekers te delen.

De kluis waar Athumi aan werkt, is gebaseerd op de Solid-standaard van The Solid Project. Dat is een internetspecificatie voor het maken van silo's en datakluizen waar onder andere Tim Berners-Lee bij betrokken is. Eerder werd al bekend dat Microsoft zijn identity and access-pakket Entra zou integreren in het project, maar daarover schrijft Athumi nu niets meer. Wel is het Vlaamse Smart Data Space-platform bij het project betrokken.

Het project moet in de toekomst ook kunnen worden gekoppeld aan de Europese identiteitswallet waaraan nu wordt gewerkt. Verschillende Europese bedrijven zijn nu al bezig met eigen initiatieven om zo'n eigen wallet op te zetten, maar het is niet duidelijk hoe de Vlaamse kluis daar in de toekomst in moet passen.

Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. De gerechtelijke uitspraak kan veel gevolgen hebben voor verzekeraars wereldwijd, omdat Ace Insurance zich erop beriep dat NotPetya een oorlogsdaad was.

Met de uitspraak wordt een langslepende rechtszaak tussen Ace American Insurance en Merck, dat in de rest van de wereld opereert als Merck, Sharpe and Dohme of MSD, beslecht. Het internationale farmaceutische en chemiebedrijf Merck werd in juni 2017 getroffen door de ransomware NotPetya, samen met tientallen andere bedrijven en overheidsinstellingen. NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne, waar Rusland op papier nog niet bij betrokken was. Merck was geen primair doelwit, maar werd desondanks via boekhoudprogramma MEdoc getroffen door de ransomware. Het bedrijf leed uiteindelijk ruim honderden miljoenen dollar schade door die aanval nadat 10.000 machines werden geïnfecteerd.

Merck klopte aan bij acht verzekeraars waar het bedrijf een polis had, waaronder Ace American Insurance. Het bedrijf had bij de verschillende verzekeraars polissen lopen waarmee tot 1,75 miljard dollar zou worden uitgekeerd na een eigen risico van 150 miljoen dollar. De verzekeraars weigerden echter om 700 miljoen dollar daarvan uit te keren, met als reden dat NotPetya een oorlogsdaad zou zijn. Daarvoor waren uitzonderingen opgenomen in de polis.

Merck stapte daarop naar de rechter. Dat werd een langlopende strijd, die Merck in januari 2022 leek te winnen. Toen bepaalde een rechter uit New Jersey dat de verschillende verzekeraars 1,4 miljard dollar aan totale schade moesten vergoeden aan Merck. De verzekeraars gingen in hoger beroep, maar hebben nu bakzeil gehaald bij het gerechtshof.

Niet gelinkt aan militaire actie

De rechter in het hoger beroep zegt dat NotPetya 'niet voldoende gelinkt kan worden aan een militaire actie, omdat het een niet-militaire cyberaanval tegen een boekhoudsoftwareprovider was'. Daarmee hebben de verzekeraars niet genoeg bewezen dat de aanval onder de uitzonderingsclausule voor oorlogssituaties viel. De rechter vindt dat die uitzonderingsclausule alleen van toepassing is als er militaire actie bij betrokken is. Hoewel de Verenigde Staten over het algemeen aannemen dat NotPetya een Russische militaire operatie was, ziet het leger het niet als een officiële militaire oorlogsdaad.

De uitspraak kan verstrekkende gevolgen hebben voor de manier waarop ransomware nu wordt verzekerd. Veel verzekeraars bieden polissen tegen de schade van cyberaanvallen en dan vooral ransomware aan. Net zoals bij de meeste verzekeringen vallen oorlogsdaden buiten de dekking, maar bij ransomware is het altijd vaag geweest wanneer een infectie een oorlogs- of offensieve daad is van een ander land. Verzekeraars beroepen zich bij ransomware steeds vaker op de uitzonderingsclausules, die door juristen ook weleens een 'catch-all-categorie' worden genoemd. In de zaak spreken de rechters nu in duidelijke termen uit dat verzekeraars niet iedere aanval zomaar meer een oorlogsdaad kunnen noemen.