Article URL: https://www.vice.com/en/article/93yyyd/this-motorcycle-airbag-vest-will-stop-working-if-you-miss-a-payment

Comments URL: https://news.ycombinator.com/item?id=27054629

Points: 155

# Comments: 183

Cryptoplatform Bitcoin Meester hoeft veertien transacties van een klant die daarmee vierduizend procent winst maakte maar wegens een systeemfout werden teruggedraaid niet te vergoeden, las ik bij Security.nl. Ook hoeft men geen ruim 42.000 euro schadevergoeding te betalen vanwege misgelopen winst. Dit alles op gezag van de rechtbank Amsterdam die aldus vonniste nadat de klant erg boos was over de misgelopen gelden.

Op 26 februari vorig jaar verkocht de klant de cryptovaluta Hedera aan Bitcoin Meester om daarmee de cryptovaluta Aion te verkrijgen. Vervolgens verkocht de klant de verkregen Aion weer aan Bitcoin Meester voor Hedera. Dat kan, daar is zo’n platform voor.

Alleen, de prijs waarvoor Bitcoin Meester de Hedera van de klant kocht lag 2,5 tot 25 hoger dan de prijs waartegen die vrijwel tegelijkertijd diezelfde Hedera van Bitcoin Meester kocht. Hierdoor kon de klant binnen een tijdsbestek van ongeveer 12 minuten met 14 transacties een winst maken van ruim 4.000%. Doordat deze 14 transacties opvielen maakte een bot in het systeem van Bitcoin Meester melding van de transacties en werd [eiser] uitgelogd uit zijn account. Na opnieuw inloggen bleken de transacties te zijn teruggedraaid.

Zo te lezen had de klant een bug ontdekt in het systeem van Bitcoin Meester:

Bitcoin Meester heeft overtuigend aangetoond dat er een fout in haar systeem zat waardoor zij aan [eiser] een hogere inkoopprijs voor Hedera betaalde dan zij van [eiser] ontving voor diezelfde Hedera. Op zitting heeft Bitcoin Meester uitgelegd dat zij als broker fungeert en zelf pas een transactie uitvoert nadat een klant een cryptovaluta heeft ge- of verkocht. Door de fout in het systeem lag er voor haar geen reële transactie onder de door [eiser] opgedragen transactie, want Bitcoin Meester kon door de foutieve prijs de transactie van [eiser] immers niet uitvoeren op de cryptovalutamarkt.

Dat verklaart ook waarom 14 transacties in zeer korte tijd natuurlijk. En dan krijg je dus de vraag, zit zo’n platform vast aan de bug die ze zelf bouwde? Nee, aldus de rechtbank. Ook bij geautomatiseerde contracten (note to self: cursus Smart Contracts pluggen) geldt gewoon het Burgerlijk Wetboek:

[M]ocht [eiser] er op vertrouwen dat Bitcoin Meester de Hedera keer op keer voor een beduidend hogere prijs van hem wilde terugkopen dan waarvoor zij deze even tevoren aan hem had verkocht?

Dan krijg je een optelsom van factoren. Allereerst ga je dus in 12 minuten 14 keer hetzelfde kop, en ten tweede krijg je steeds 2,5 à 25 keer je inleg aangeboden. Dat kan niet kloppen, althans daarvan moet je je achter de oren krabben of het platform dat wel had gewild. En dan is er dus in juridische zin geen redelijkerwijs gewekt vertrouwen, en dus geen overeenkomst.

Omdat er geen overeenkomst is, kan de klant Bitcoin Meester niet verwijten de transacties te hebben gewist en de gemaakte winst niet te vergoeden. Wel werd de klant veroordeeld tot het betalen van de proceskosten van Bitcoin Meester die bijna 2900 euro bedragen.

Arnoud

Het bericht Bitcoin Meester hoeft wegens bug teruggedraaide transacties niet te vergoeden verscheen eerst op Ius Mentis.

Article URL: https://berthub.eu/articles/posts/how-tech-loses-out/

Comments URL: https://news.ycombinator.com/item?id=27015327

Points: 194

# Comments: 83

Article URL: https://phiresky.github.io/blog/2021/hosting-sqlite-databases-on-github-pages/

Comments URL: https://news.ycombinator.com/item?id=27016630

Points: 1006

# Comments: 159

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.

Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.

Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

Het bericht Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters verscheen eerst op Ius Mentis.

Article URL: https://forum.qnap.com/viewtopic.php?f=45&t=160849&start=450#p788325

Comments URL: https://news.ycombinator.com/item?id=26986272

Points: 150

# Comments: 114