23 reacties

  1. Maar als leverancier heb je toch gewoon een lijst van geautoriseerde contactpersonen?

    Een webhoster die *tig kleine websites heeft, misschien niet, maar die zal ook alleen maar verhuis verzoeken accepteren als het verzoek voor de verhuizing wordt gedaan vanaf het account waarmee de eerste registratie is gedaan, of vanuit bijvoorbeeld het e-mail adres waar de facturen naartoe gestuurd worden.

    Briefpapier is inderdaad achterhaald. Maar een procedure opstellen (als webhoster/registrar) waarin duidelijk wordt vermeld wie specifieke aanvragen mag indienen, stelt helemaal niets voor.

    Wil je als registrar dit niet via e-mail doen, dan zijn er ook nog de mogelijkheden om een dergelijke aanvraag in het DNS registratie control panel in te bouwen. Simpelweg een checkbox “verhuistoken aanvragen” bij het stopzetten van de domeinregistratie is hiervoor eigenlijk al voldoende

  2. Die tweede Moehaha, daar heb ik toch wel problemen mee.

    Je mag er toch in een welvarende democratische samenleving vanuit gaan, als burger of bedrijf, dat als er een misdrijf (niet eens een gewone overtreding!) onder de aandacht van de politie wordt gebracht, dat de politie gaat optreden. En zelfs dat de politie actief op zoek gaat naar misdrijven.

    Ik vind het diep triest dat het blijkbaar normaal gevonden wordt dat dit niet het geval is. En dat een jurist daar nog om lacht ook.

    Als we het als als samenleving allemaal niet zo erg vinden, dat gefoefel met briefhoofden, haal het dan uit het strafrecht. De bevolking heeft recht op duidelijke wetgeving.

    1. De tweede moehaha was gericht tegen het “maar zijn wij niet aansprakelijk”. Natuurlijk ben je dat wel, als jij blind vaart op iets dat triviaal vervalst kan worden dan kom je daar niet mee weg. Je behoort anno 2018 enige controleprocedures te hebben. De eis van briefpapier kan daar déél van uitmaken, maar is geen voldoende eis om te mogen spreken van gerechtvaardigd vertrouwen.

      1. Mwoah,

        Alles kan tegenwoordig vervalst worden, sommige dingen iets gemakkelijker dan anderen, maar ik vind het nogal ver gaan dat je erop verdacht zou moeten zijn dat mensen een misdrijf begaan om jou voor de gek te houden.

        En een tweede overweging is: Als ze eenmaal een misdrijf begaan hebben, moet ik ze er dan wel de gevraagde dienstverlening weigeren? Moet ik dan niet overwegen of ik mezelf of mijn personeel daardoor niet ingevaar breng? Ze hebben immers al bewezen zich niet heel veel van de wet aan te trekken.

        Als ik mijn secretaresse vraag een misdadiger te confronteren met zijn misdrijf (want dat is immers wat je dan doet), is het dan gek om te verwachten dat die secretaresse na het werk wordt opgewacht door die misdadiger. Al is er maar 1% kans, dan voel ik me als werkgever al verantwoordelijk.

        1. Diefstal van een domeinnaam of sabotage van een concurrent kan heel lucratief zijn. Ik vind dat je daar wel op verdacht moet zijn als ICT-dienstverlener. Je gaat toch ook aan de telefoon geen superuser passwords veranderen of in je datacenter mensen met een zelfgeschreven briefje toegang geven tot iemands server?

          1. Ja, daar heb je gelijk in. Maar daar staat wel tegenover dat bij klachten/misbruik de top level registrar de overdracht kan terugdraaien. Dus de consquentie/schade is per definitie beperkt.

            Maar er zit wel een incosistentie in je verhaal: Enerzijds zeg je in je blogbericht dat vertrouwen op een briefhoofd onzin is, anderzijds lijk je als antwoord op mijn opmerking te stellen dat je wel degelijk de echtheid van iets wat makkelijk na te maken is (zoals een briefhoofd) grondig vast moet stellen als dienstverlener.

            Ik ben het met je eens dat je de nodige zorg moet dragen om de identiteit van je klanten vast te stellen. En ik ben het met je eens dat briefpapier, technisch gesproken, helemaal niets zegt.

            Maar ik ben het niet met je eens dat briefpapier juridisch gesproken niets zegt, juist omdat het een misdrijf is om het te misbruiken. Je mag redelijkerwijs verwachten dat de overheid voldoende maatregelen neemt om misdrijven zoveel als praktisch mogelijk te bestrijden, zodat jij en ik het niet individueel hoeven te doen. Dat is een stuk praktischer en ook nog eens een keer eerlijker en objectiever.

            Jouw redenering lijkt op ‘blaming the victim’. Ik wordt slachtoffer van een oplichter en dan is het mijn schuld. Kom nou toch !

            Ik moet thuis ook de deur op slot doen. Maar als er mensen komen in een politieuniform en met een echt uitziende politie-ID (weet ik veel hoe een echte politie-ID eruit ziet) dan mogen die van mij binnenkomen als ze daarom vragen.

            1. Ik zeg dat je niet énkel mag drijven op een briefhoofd, omdat dit makkelijk te vervalsen is. Anno 2018 mag ik in de praktijk van een ICT-dienstverlener verwachten dat deze adequaat nagaat wie hem de opdracht geeft, mede gezien de zeer prevalente kans op phishing en identiteitsfraude. Enkel zeggen “dit ziet eruit als briefhoofd van bedrijf X” vind ik geen adequate wijze van verificatie. *(Op zijn minst omdat je vaak niet weet hoe dat er echt uit moet zien.) Je moet meer je best doen, je moet voorkómen dat je klant slachtoffer wordt van oplichting of diefstal. “Ja sorry, het briefhoofd leek echt dus hebben we het token aan bedrijfsnaam at gmail.com vrijgegeven” vind ik een verzaken van zorgplicht.

              Met blaming heeft dat verder weinig te maken.

              1. Klinkt allemaal redelijk, maar aan de andere kant is er toch ook een redelijke verwachting dat je je bedrijfsprocessen niet hoeft in te richten op crimineel gedrag.

                Je kunt van een typische registrar die letterlijk een paar euro’s per jaar voor een domein vraagt toch niet heel veel verwachten qua verantwoordelijkheid nemen en diepgaande checks uitvoeren. Dat bedrag ben je al kwijt om je jas van 150€ een avondje in de garderobe van een uitgaanstent te hangen.

                Zij kunnen voor dat bedrag toch geen verantwoordelijkheid nemen voor de beveiliging, een jaar lang, van jouw domeinnaam waar jij een waarde van tienduizenden of honderdduizenden Euro’s aan geeft. Dat is toch ook niet redelijk?

                1. Misschien, maar dit is voor mij wel het andere uiterste. Juist als goedkope hoster zou ik zeggen “u mag inloggen op het controlepaneel en daar het verhuistoken opvragen”. Dat is veel simpeler en je krijgt geen gezeur met “is dit briefpapier echt of nep”. Verantwoordelijkheid voor wachtwoordmanagement kun je in AV bij de klant leggen.

                  De jasbewaarder is overigens aansprakelijk, ook als je €1 betaalt en ook als er een bordje hangt van niet. Als professional heb je een zorgplicht.

        2. “[…] maar ik vind het nogal ver gaan dat je erop verdacht zou moeten zijn dat mensen een misdrijf begaan om jou voor de gek te houden.”

          Precies! Daarom kun je ook gewoon alles kopen op Marktplaats en zo, je hoeft nooit op te letten want iedereen is te goeder trouw en oplichters zijn daar niet actief… oh wacht.

          1. Maar niemand geeft de slachtoffers van een marktplaatsoplichting de schuld ervan dat ze opgelicht zijn. Er zijn een aantal tips waarmee je het risico kunt beperken, en voor je eigen bestwil gebruik je die, maar zelfs als je die niet gebruikt haalt niemand het in zijn hoofd om te zeggen ‘eigen schuld, had je maar niet op marktplaats moeten kopen’. Hoogstens: ‘Tja, op marktplaats loop je nu eenmaal een bepaald risico’

            Ik vind gewoon (en dat is misschien een politieke mening) dat de staat ervoor dient te zorgen dat misdrijven zodanig effectief bestreden worden dat je in het normale leven geen bijzondere maatregelen hoeft te nemen tegen misdrijven, dat het een uitzondering is als je slachtoffer bent van een misdrijf.

            Bijvoorbeeld ‘slechte buurten’, waar je in het donker beter niet komt, zijn een verschrikking voor mij en altijd al geweest in mijn 50 jarige leven. De staat heeft verdorie te zorgen dat eerzame burgers zich vrij kunnen bewegen. Ook midden in de nacht in een ‘achterbuurt’

            1. Volgens mij is het punt dat briefpapier wordt gevraagd omdat van oudsher wordt aangenomen dat dat moeilijk te vervalsen is, en dat je er dus van mag uitgaan dat het goed zit. Maar het vervalsen is nu triviaal. Het is nauwelijks een stap meer dan de briefinhoud zelf. De moehaha sloeg wat mij betreft dus vooral op de onlogische redenatie dat briefpapier op wat voor een manier dan ook meer zekerheid biedt of de ontvangende partij meer indekt dan een brief op gewoon papier of een email.

    2. “En zelfs dat de politie actief op zoek gaat naar misdrijven.”

      Dat verwacht ik anno 2018 niet, althans, niet bij de Nederlandse politie. Er is een schrijnend tekort aan politieagenten en een nóg schrijnender tekort aan rechercheurs. Zodra die tekorten zijn weggewerkt, verwacht ik dat ze actief op zoek gaan naar misdrijven.

      1. Tja, wat is de definitie van verwachten…. Ik verwacht het wel in de zin van dat ik vind dat het hun taak is en dat ze daar (natuurlijk) voldoende funding voor moeten krijgen zodat ze voldoende agenten hebben. Maar ik verwacht het niet in de zin van dat ik niet denk dat ze het zullen doen gezien het actuele budget en takenpakket.

  3. Nog vaak genoeg maak ik mee dat bezwaren en klachten bij overheidsorganen op dode boom moeten. Zal wel omdat er een natte handtekening onder moet. Maar ik ervaar het als het frustreren van de belanghebbende. Vooral omdat de meeste andere dingen wél digitaal mogen.

  4. Volgens mij is het feit dat je een voor dat domein geldige verhuiscode hebt, voldoende bewijs dat jij de partij bent die die verhuizing in gang mag zetten.

    Overigens moet hierbij worden aangetekend worden dat het om een Amerikaans geval uit 2007 gaat.

    Ik moet nu denken aan energiecontracten in Nederland anno nu. Energieleveranciers zijn verplicht aan een contractsovername mee te werken als een concurrent daarom vraagt. Niks verhuiscodes en zo. Over geautoriseerde overdrachten en hun bewijslast gesproken…

  5. De enige juridische reden die ik nog kan bedenken, is dat het vervalsen van iemands briefpapier een misdrijf is (valsheid in geschrifte).

    In een oude Hack-Tic over geavanceerd social engineering werd dit ook opgevoerd. De brief /fax met officieel briefhoofd en logo doet het erg goed (vaak beter dan bellen), met de kanttekening dat het federal crime wirefraud / valsheid in geschrifte is, en dus ook veel strafbaarder.

  6. Ik begrijp de gedachte erachter op zich wel, maar bij een ICT-leverancier mag je toch verwachten dat alles digitaal kan? Als ze bang zijn voor vervalsing, dan moeten ze überhaupt niet aan digitale dingen doen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.