Reacties op: Betalen voor dataverkeer veroorzaakt door een inbraak

Door: Arnout Veenman

Arnout Veenman — Wed, 25 Mar 2009 08:24:36 +0000

Dit lijkt mij een eenvoudige kwestie. Per saldo is de server van de hoster gehackt, niet de website of het account van de klant. Het is dus de server die door de hacker is misbruikt en de hacker heeft er voor gezorgd dat zijn acties (administratief) onder het account van de onfortuinlijke klant plaatsvonden. Het maakt echter helemaal niet uit onder welk account de acties plaatsvonden, omdat het de server is die gehackt is en wordt misbruikt. De hoster draagt verantwoording voor de veiligheid van de server en niet de klant. Het is dus de hoster die moet opdraaien voor zijn eigen geleden schade.

Door: Bart van K.

Bart van K. — Wed, 25 Mar 2009 08:49:11 +0000

Typerend aan dit soort situaties is dat er niet slechts sprake is van een kant en klaar product. Het is net als een verbouwing of een IT project iets waar beide partijen in hetzelfde bootje stappen. Het is meestal omwille van de samenwerking beter dat de partijen er samen uit komen. Verhuizen betekent voor deze klant weer veel en omslachtig werk.

In dit geval overigens is het wel duidelijker. Terwijl de hoster het extra dataverkeer kan uitsmeren over tientallen klanten, gaat hij specifiek deze klant dit aanrekenen. Vreemde zaak. Is het verhaal ook wel volledig? wellicht heeft de klant zwakke wachtwoorden gebruikt?

Door: Branko Collin

Branko Collin — Wed, 25 Mar 2009 09:17:33 +0000

Volgens mij heeft de hostingprovider gelijk. Het is aan de klant om ervoor te zorgen dat hij zowel een goed beveiligd product inkoopt als dat hij zorgt dat het product goed beveiligd blijft. Als een derde een schadeclaim heeft als gevolg van de hack, zal hij ook eerst bij de klant terechtkomen, niet bij de hoster.

Met andere woorden, de klant moet gewoon dokken.

Maar!!! Vervolgens kan de klant een claim neerleggen bij de hoster voor het leveren van een ondeugdelijk product, en de schade die daaruit is ontstaan. Omdat de hoster van tevoren de kosten voor de bandbreedte had kunnen wegstrepen tegen de te verwachten schadeclaim, en daarmee de klant werk had kunnen besparen, lijkt me niet meer dan redelijk dat de klant daarbij een uurtarief van 100 euro rekent.

Door: BSpecht

BSpecht — Wed, 25 Mar 2009 09:33:01 +0000

@Arnout - reactie 1
De hoster draagt verantwoording voor de veiligheid van de server en niet de klant. Het is dus de hoster die moet opdraaien voor zijn eigen geleden schade.

Ik zie direct een leuk, informatief en verheldering scheppend onderzoekje:
* hoeveel hosters hebben hiervoor bepalingen in de AV’s
* zo ja kloppen die (dus voldoen ze aan boven gestelde bepalingen)
* in hoeveel gevallen wordt in de AV’s verwezen naar andere leverancier(s)

Door: anoniem

anoniem — Wed, 25 Mar 2009 09:36:09 +0000

Het lijkt mij dat de hoster die de software aanbiedt en beheert ook een risicoaansprakelijkheid hiervoor heeft. Als in de algemene voorwaarden staat dat elke overschrijding van de dataverkeerlimiet voor rekening van de afnemer is, ook als dit (mede) aan de hoster is toe te rekenen, dan lijkt dit beding mij vernietigbaar (art 6:233 BW). Zou anders wel een erg makkelijke manier zijn voor hosters om geld te verdienen.

Door: Alex

Alex — Wed, 25 Mar 2009 13:19:12 +0000

Branko, nergens blijkt blijkt uit dat de klant iets gedaan heeft om product slecht te maken.

Maar ergens wringt dat: het kan toch niet de bedoeling zijn dat de hoster dan dat meerverkeer gaat betalen?

Als er spraken is van overmacht dan is er spraken van overmacht. De host provider heeft het netwerk in beheer. En juist van hen mag je deskundigheid verwachten op dit vlak. Zij hadden een veiligheid kunnen inbouwen zodat deze schade niet was geleden.

Door: Hans

Hans — Wed, 25 Mar 2009 13:24:02 +0000

Maar moet die hoster niet gewoon bij de hacker zijn voor z’n geleden schade? Ik bedoel het is geen natuurverschijnsel of zoiets…

Door: Bastiaan

Bastiaan — Wed, 25 Mar 2009 21:42:59 +0000

Ja, maar een klant is makkelijker op te sporen dan een script kiddie die zich achter twintig proxies verschuilt.

Door: Jan

Jan — Thu, 26 Mar 2009 08:52:02 +0000

Je zou in dit verband toch ook moeten kijken naar de geleden schade (kosten) voor de provider en de commerciele tarieven die voor extra dataverkeer worden gehanteerd door de provider.
Nu lijkt het wel alsof de provider ook doodleuk de winstmarge wil opstrijken, dat is wat anders dan kosten vergoeden.

Door: Martijn Grooten

Martijn Grooten — Thu, 26 Mar 2009 09:21:26 +0000

Nu lijkt het wel alsof de provider ook doodleuk de winstmarge wil opstrijken, dat is wat anders dan kosten vergoeden.

Dat vond ik ook typisch. Ik kan me nog wel een clausule voorstellen waarin de klant moet betalen voor extra onkosten, ook al is het niet diens schuld: de klant is dan zeg maar de verzekeraar van de provider tegen dit soort inbraken (en redenerend dat de provider de onkosten nooit had gemaakt als de klant er niet was geweest). Maar nu lijkt het alsof de verzekeraar er domweg van wil profiteren.

Door: Dennis Wijnberg (Oxilion)

Dennis Wijnberg (Oxilion) — Thu, 26 Mar 2009 10:54:27 +0000

@Alex; tot op zekere hoogte ben ik het met je eens.

Als de fout in de software zit die de hoster aanbiedt, dan vind ik dat die ook verantwoordelijk is voor de overschrijding die daaruit voortvloeit.

Mocht dat niet zo zijn dan vind ik het alweer lastiger. Ik zou dan willen stellen dat de klant dan de verantwoordelijkheid draagt. Als het technisch gezien mogelijk is (binnen redelijkheid) om het te voorkomen zonder dat je daarmee ook veel beperkingen oplegt, dan zou het goed kunnen.

Door: Juerd

Juerd — Thu, 26 Mar 2009 11:56:43 +0000

Stel, de hoster moet de kosten dragen voor het extra bandbreedtegebruik omdat ‘ie zelf de software die gekraakt is heeft aangeleverd. (Klinkt logisch, en zelf zou ik dat doen uit verantwoordelijkheidsgevoel en coulance, zelfs al was ik er niet toe verplicht.) Is het hierbij nog relevant dat de leverancier van de lekke software en de hoster dezelfde zijn? Oftewel, stel dat ik DirectAdmin bij X bestel voor een server die ik bij Y in het rek hang. Op een gegeven moment gaat het fout en wordt een lek misbruikt waardoor he dataverkeer enorm toeneemt. Y brengt mij hiervoor kosten in rekening; kan ik nu X aansprakelijk stellen? Dat klinkt mij dan weer onwaarschijnlijk en onredelijk. Maar dan volg ik ineens andere logica dan eerst…

Overigens is 4 GB wel erg weinig voor een server.

Of gaat het hier toch niet om een server, maar om een account op een server die voor meerdere klanten van de hoster gebruikt wordt? Dan zou ik het wel heel raar vinden om bij de klanten aan te kloppen en gaat Arnouts logica op.

Door: Arnoud Engelfriet

Arnoud Engelfriet — Thu, 26 Mar 2009 12:34:33 +0000

@Juerd: de hoster zou dit als schadeclaim bij de leverancier van DirectAdmin in kunnen dienen. Die had een werkend panel beloofd, daar zat een bug in en daardoor leed de klant schade. Afhankelijk van het leveringscontract kan de hoster die schade wel of niet verhalen. Maar X zal ook niet gek zijn en dit soort schade uitsluiten in het leveringscontract. Dus dan hang je.

Het is me niet duidelijk of het een shared server of een dedicated systeem was. Ik vermoed het eerste, maar waarom maakt het uit?

Oh ja, en deze blog trekt zo’n 4GB per maand.

Door: Juerd

Juerd — Fri, 27 Mar 2009 08:31:45 +0000

Bij een shared systeem wordt het systeem beheerd door de hoster, bij een dedicated server is dat de verantwoordelijkheid van de klant. Je kan daarom in het geval van een dedicated server afvragen of op de hoogte zijn van problemen met de software en zorgen dat die niet misbruikt worden, een verantwoordelijkheid van de huurder is. Mij lijkt van wel, al was het maar omdat in de regel de hoster zelf geen toegang tot de software heeft.

Bij virtual servers werkt dat ook net zo: de huurder krijgt een rootwachtwoord en heeft daarna vrij spel. Dat betekent dat de hoster het systeem niet kan beheren en de huurder het dus zelf zal moeten doen.