Basisschoolleerling bestelt per ongeluk voor half miljoen euro aan lesmateriaal

OpenClipart-Vectors / Pixabay

Een basisschoolleerling in Vught heeft per ongeluk voor 500.000 euro aan lesmateriaal besteld op de webshop van uitgever Malmberg, meldde de NOS onlangs. Toen het de jongen niet lukte om in te loggen in het online rekenprogramma, kwam hij (groep 7) via-via op de site van Malmberg, waar het aanmaken van een account voor de webshop een fluitje van een cent bleek. En kennelijk dus ook het doorlopen van het bestelproces. Zo werd het uiteindelijk voor alle partijen een bijzondere, maar leerzame ervaring. Wat moeten we hier juridisch van vinden?

De bestelling viel direct op bij medewerkers van uitgever Malmberg, het gebeurt ook niet elke dag dat je van een nieuwe klant een order van een half miljoen krijgt. Snel onderzoek onthulde dat er geen order vanuit een medewerker was geplaatst, waarna de naam werd herleid tot een jongen uit groep 7.

Wat ging hier nu mis? Kennelijk mocht je bij de webshop van Malmberg een account aanmaken voor een school enkel op basis van (de domeinnaam uit) het e-mailadres van de school. Waardoor deze leerling (ja, in groep 7 heb je een schoolmailadres) dus een account kon maken, en vervolgens kon bestellen op factuur. Dat voelt security-technisch niet geheel wenselijk, hoewel het een compliment is voor de UI-designer dat je webshop door kinderen (9-11) bruikbaar is.

Was de bestelling nou bindend geweest voor de school, vroegen diverse mensen me in de mail. Ze hadden het immers kunnen opvatten als een legitieme order vanuit dat domein. In dit geval niet: de order was kennelijk zeer opvallend, en dan moet je eraan twijfelen. En als je twijfel hebt of moet hebben, dan mag je niet gerechtvaardigd vertrouwen op de juistheid van de wilsuiting (zoals dat juridisch heet) en kun je de wederpartij er niet aan houden. Zie ook die zaak waarin Bol.com in een phish trapte, die hadden ook beter moeten opletten.

Als het nou één lesboek was geweest, dan was dat misschien anders komen te liggen. Het is niet raar dat een school een boek bijbestelt, en dan doet het er eigenlijk ook niet toe hoe de inkoper heet. Misschien juist wel niet, omdat het dan gaat om een sproetje tijdens het leerjaar. Dus die order zou afgehandeld worden, en dat zou dan terecht zijn omdat de afgesproken authenticatie neerkwam op “inkopers hebben een emailadres van het domein van school”. Dat is nu aangepast: nieuwe accounts  bij Malmberg moeten voortaan eerst worden goedgekeurd door de directeur en het hoofd van de ICT.

De leerling kreeg een gesprekje, de uitkomst daarvan is me niet heel duidelijk. In de jaren tachtig had men dit denk ik als hacken gezien, in de jaren negentig had hij een baan als ict-securitymedewerker aangeboden gekregen, en in de jaren tien wellicht verwijdering van school wegens overtreding van de terms of service? Gelukkig klinkt deze school heel verstandig.

Via Twitter nog een aanvulling:

Wij kregen een aantal jaar geleden allemaal zichtzendingen voor een bepaald vak. Was aangevraagd door een leerling die de huidige methode niet leuk genoeg vond. Kon het wel waarderen.
Waarvan akte.

Arnoud

11 reacties

  1. en in de jaren tien wellicht verwijdering van school wegens overtreding van de terms of service?

    Voor jeugd-deliquenten is er zo iets als Hack_Right waarmee ze jongens proberen uit te leggen hoe ze hun kennis voor goede zaken kunnen inzetten.

    Echter, hier was geen opzet, dus straf lijkt mij dan ook ongepast. Zelfs al had de school de kosten moeten dragen, dan nog kun je het de leerling niet kwalijk nemen lijkt me.

    1. Oh, helemaal mee eens hoor. Maar ik zie helaas wel eens schoolbesturen die ondanks zo’n duidelijke niet-opzetsituatie kiezen voor handhaven van het eigen reglement waarin staat “verboden te hacken” en dan moet je van school. Je kunt beter fietsen vernielen dan de netwerkprinter blote billen laten printen, heb ik het idee.

    2. Malmberg gebruikte een interessant authenticatiesysteem, waarbij deze basisschoolleerling aantoonde dat de aannames waarop dit systeem gebaseerd was ongegrond waren. Als een professional dit had gedaan was dit een geslaagd beveiligingsonderzoek geweest. Ik zie dit niet als hacken, omdat er nooit beveiligingsmaatregelen omzeild zijn; Malmberg had zijn systeem zo moeten inrichten dat kinderen niet zomaar boeken kunnen bestellen.

      Ik zie deze leerling liever buiten “Hack_Right” om in het beveiligingsvak terechtkomen. als hij/zij daar zin in heeft. De leerling heeft hier zeker laten zien dat hij/zij in staat is om zelfstandig onderzoek te doen. Ik denk dat de school er wel goed aan gedaan heeft om een corrigerend gesprek met leerling te voeren, dit om te voorkomen dat eventuele volgende acties wel tot problemen met justitie (of deurwaarders) leiden.

  2. Onder welke omstandigheden is het uberhaupt mogelijk om een wilsuiting uit naam van een organisatie af te leiden uit het feit dat je een emailadres met het domein van die organisatie gebruikt? Een leverancier kan niet zomaar aannemen dat ik bestellingen uit naam van gmail kan doen omdat ik een @gmail.com adres gebruik, neem ik zo aan.

    In de praktijk blijkt dat sommige domeinen zodanig worden gebruikt dat mijn emailadres een sterke indicatie is dat ik een medewerker van die organisatie ben, en sommige domeinen niet. Beschouwt de wet dit als een veilige aanname? Of soms wel en soms niet? Waar ligt die grens?

    1. De wet laat dit (bewust) open, omdat je eigenlijk alleen op basis van de concrete situatie kunt oordelen of de wederpartij (hier dus Malmberg) mocht vertrouwen op de vermeende wilsuiting van de school. Maar in dit geval lijkt er over te zijn nagedacht: de school heeft een eigen domeinnaam, vanaf die mailadressen plaatsten medewerkers orders en wat van daarbuiten kwam, was dan niet bindend. Dat kan, en in een kleine organisatie is dat beheersbaar. En als je dit zo samen afspreekt met Malmberg, dan is dat een prima en bindende manier van doen.

      Wat hier dan misging is dat leerlingen ook mailadressen kregen op datzelfde domein. Dan verlies je de koppeling tussen de organisatie en de vertegenwoordigers daarvan. Leerlingen zijn zeer zeker geen vertegenwoordigers van de school, juridisch gezien. Daar had dus een apart subdomein moeten worden gebruikt, menig universiteit of hogeschool gebruikt bijvoorbeeld students.example.com terwijl medewerkers binnen example.com zelf mailadressen krijgen.

      1. Als dit samen zo is afgesproken dan lijkt de situatie me inderdaad redelijk straightforward. Mijn vraag ging meer over de situatie waarin over dit onderwerp geen expliciete afspraken gemaakt zijn. Ik kreeg uit het verhaal de indruk dat Malmberg deze binding had aangenomen in plaats van afgesproken, maar misschien is dat een verkeerde interpretatie.

        1. De binding was hier soort-van afgesproken. Het staat niet letterlijk in het contract, maar dit was hoe accounts werden aangemaakt en gekoppeld aan de school. Uit die werkwijze volgt dan vertrouwen dat dit zo beoogd was.

          Enkel op basis van een mailadres kun je denk ik weinig afleiden. Helemaal niet als het gaat om een gewone emailprovider zoals Google of Microsoft, maar ook niet als het een bedrijfsadres is. “Ruud@philips.nl” is vast iemand die daar werkt, maar ik weet niet of die bevoegd is om iets in te kopen.

          Er is echter ook een school die stelt van wel: als jij leveranciers mag mailen vanaf een bedrijfsmailadres dan was jij kénnelijk bevoegd om dat te doen. Waarom gaf jouw werkgever je anders die ruimte in het mailprogramma? Vergelijk: waarom mag jij printen op briefpapier (en dat laten versturen door het secretariaat) als je niet bevoegd bent officiële brieven uit te sturen? In die school wordt vertrouwen dus snel aangenomen en moet je het maar intern oplossen.

          1. Alleen kun je in beginsel naar iedereen mailen. Een organisatie zou dan met white- of black-lists moeten gaan werken om te voorkomen dat iemand zonder autorisatie met een leverancier mailt. Een white-list waarin de medewerker aangeeft met wie hij zou willen mailen en die dan eerst wordt gescreend zal niet in de smaak vallen. En op een black-list zou je ook onmogelijk alle mogelijke leveranciers kwijt kunnen.

            In het geval van een school zou je nog de pool met studenten mails kunnen beperken tot interne mail. Dat zou ook passen in een zorgplicht om ze tegen de boze buitenwereld te beschermen. Of je geeft ze een naam@leerling.school.nl adres zodat duidelijk is dat het een leerling betreft.

            Maar bij een bedrijf zou dat minder passen. Wie wil er nu mailen met jeroen@magnietbestellen.bedrijf.nl?

            Je zou het zelfs kunnen omdraaien. Als een bericht niet afkomstig is van inkoop@bedrijf.nl of tekenbevoegde@bedrijf.nl mag je twijfelen of de afzender gerechtigd is iets te bestellen.

    2. Een praktijkvoorbeeld: Mijn organisatie heeft een mantelovereenkomst met een certificaat-autoriteit voor het leveren van certificaten. Elke medewerker met een @organisatie.nl email-adres kan via de portal van die ca een eigen certificaat aanvragen voor gebruik in email. Er is geen verder akkoord of zo nodig; alleen het hebben van het emailadres is voldoende om zo’n certificaat aan te vragen. Dit is een praktische en efficiente manier om dit te regelen, en aangezien het certificaat alleen geschikt is voor gebruik op dat specifieke adres is dat ook afdoende.

  3. Het lijkt me een lange termijn relatie tussen leverancier en klant, met standaard goederen.

    Ik ga er vanuit dat een uitzonderlijke verkeerde bestelling, zo kan teruggestuurd worden. Een complexer systeem opzetten kost ook geld.

    1. Aan het systeem hoeft niets aangepast te worden als iedere medewerker mag bestellen én de school leerling-mailadressen ‘gewoon’ op een subdomein had ingericht. Dat laatste is heel gebruikelijk bij onderwijsinstellingen (in elk geval mbo, hbo en uni).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.