- Een Nederlands bitcoinplatform moet een klant van wie de rekening door hackers werd geplunderd, een vergoeding betalen.
- Het platform maakte het namelijk mogelijk om via e-mail in te loggen zonder tweestapsverificatie, wat volgens de rechter een “risico” opleverde.
- Het feit dat de klant oproepen voor het inschakelen van tweestapsverificatie had genegeerd, woog minder zwaar.
- Lees ook: Bitcoin veilig bewaren? Let op deze do’s en don’ts voor de bitcoin en andere cryptomunten
Nadat een cryptobelegger in 2021 tot zijn schrik constateerde dat hackers zijn gehele rekening met digitale muntjes hadden leeggeplukt, stapte deze naar de rechter. Niet hijzelf, maar handelsplatform Bitcoin Meester uit Aalsmeer, dat de online rekeningen aanbiedt, zou de schuldige zijn.
Je kon er namelijk gewoon inloggen met je mailadres en een wachtwoord, zonder dat het platform eerst een code naar je telefoon verstuurde ter beveiliging – ook wel ’tweestapsverificatie’.
Een kantonrechter in Amsterdam gaf de belegger op 8 september grotendeels gelijk, blijkt uit onlangs verschenen rechtbankverslag op Rechtspraak.nl. Het bedrijf moet de belegger zo’n 3.800 euro betalen, plus proces- en rentekosten.
Hackers maken €4.218 euro buit van cryptobelegger
De hackers kregen toegang tot het account van de belegger na het hacken van diens e-mail. Toen de hackers Bitcoin Meester verzochten het wachtwoord van het account van de belegger te wijzigen, stuurde het bedrijf een linkje waarmee de zij het wachtwoord konden aanpassen.
Eenmaal ingelogd, gaven de hackers Bitcoin Meester de opdracht om alle cryptovaluta om te zetten naar bitcoins en die vervolgens over te dragen naar een bitcoinrekening van henzelf. Ze maakten daarmee omgerekend 4.218 euro buit.
De gedupeerde belegger vond dat Bitcoin Meester "zijn verplichtingen (...) tot het aanbieden van een veilig platform" niet is nagekomen. Bitcoin Meester zou immers een "zorgplicht" hebben om beleggers te beschermen tegen een "gebrek aan inzicht en kennis". Door gebruikers de mogelijkheid te geven zonder tweestapsverificatie in te loggen, zou het bedrijf die zorgplicht hebben geschonden.
Bitcoin Meester was het daar niet mee eens. Het bedrijf zette er onder meer tegenover dat het bedrijf wel degelijk een mogelijkheid voor tweestapsverificatie aanbiedt.
Sterker nog, het bedrijf mailde de belegger iedere keer dat hij inlogde dat het beter was om de Google Authenticator aan te zetten, een app die codes levert om in te loggen. Dit is "veiliger", raadde het handelsplatform aan in diens mails. De belegger had zijn account dan ook simpelweg beter moeten beschermen, bracht het bedrijf in bij de rechter. Bovendien stelde Bitcoin Meester alleen een overeenkomst tot gebruik te hanteren, niet een tot transactie.
Toch kreeg de belegger grotendeels gelijk van de rechter. Bitcoin Meester was volgens de rechter verplicht om de cryptovaluta te "bewaren", "wisselen" of "verkopen", maar alléén in opdracht van de klant en dus niet voor anderen.
Door de mogelijkheid te geven om zonder tweestapsverificatie in te loggen, zou het bedrijf het "risico" openhouden opdrachten van "onbevoegden" uit te moeten voeren. Het cryptobedrijf moet de belegger het overgrote deel van zijn beleggingskrediet terugbetalen, minus 10 procent omdat de belegger immers beter Google Authenticator had kunnen installeren.
Uitspraak over beveiliging crypto account kan gevolgen hebben
"We zijn zeker tevreden met de uitslag", zegt Tim van Riessen, advocaat van de belegger. "We ontdekten dat er eigenlijk geen andere rechtspraak was over soortgelijke situaties. Het was voor ons een beetje.. een sprong in het diepe zou ik het niet willen noemen, want we waren zeker van onze zaak. Bitcoin Meester had steken laten vallen. We vonden dus dat we een punt hadden, maar zagen in de jurisprudentie dat er toch niet zo heel veel andere zaken over dit onderwerp gingen."
Als de zaak niet tot een hoger beroep leidt en deze uitspraak dus geldend blijft, kunnen advocaten en gedupeerden bij een kantonrechter "heel wat aan deze uitspraak hebben", aldus Van Riessen. "Je zou als gedupeerde bij een ander platform kunnen zeggen: het is mogelijk dat een platform aansprakelijk wordt gehouden voor de schade die gebruikers lijden."
Wel wijst Van Riessen erop dat veel cryptoplatforms hun manier van beveiligen net wat anders hebben vormgegeven. "Je kon bij Bitcoin Meester bijvoorbeeld je coins intern overboeken naar een externe wallet [rekening voor cryptovaluta, red.] die niet was geverifieerd. Ik merkte dat zoiets bij andere platforms niet mogelijk was. Daar werd dat eerst gecontroleerd en geverifieerd."
Stel dus dat iemand iets soortgelijks bij een andere partij meemaakt, vervolgt de advocaat, "dan zou zo'n partij zich kunnen verweren met het argument dat hun beveiliging anders was. Ze zouden kunnen zeggen: het is niet vergelijkbaar."
Of Bitcoin Meester in beroep gaat, is niet bekend. Het bedrijf was tot dusver niet bereikbaar voor commentaar. Tegen nieuwssite Crypto Insiders gaf Bitcoin Meester eerder deze maand aan wel een hoger beroep te overwegen, iets wat het bedrijf donderdag tegen ondernemersmagazine Quote herhaalde. Op de vraag of andere gebruikers ook risico lopen, antwoordde de onderneming dat het "incident" voor hen "geen consequenties" heeft.
Beveiliging binnen cryptowereld kan beter
Volgens marketingdirecteur Dex Blaset van cryptovermogensbeheerder Blockrise is de uitspraak van de rechter opvallend, omdat het beveiligingsniveau van Bitcoin Meester "redelijk standaard is binnen de industrie". "Zoiets als dit zie je bij meerdere aanbieders. Bij de meeste partijen zijn de tegoeden niet apart gezet van het account, waardoor je met een wachtwoord en e-mailadres al heel ver kunt komen."
Al zou je met zoiets als Google Authenticator werken, dan nog zijn er volgens Blaset uitdagingen. Als je het wachtwoord ervan hebt opgeslagen via Google, kun je er via je Gmail in, om maar wat te noemen. "Dat kan een malafide hacker dan dus ook, als die eenmaal binnen is in je mail."
Bij Blockrise is de beveiliging anders opgezet, zegt Blaset. Alleen klanten zelf hebben via een speciale versleuteling directe toegang tot hun account. "Transacties gaan bij ons via de blockchain en je kunt alleen toegang krijgen met een [online] sleutel. Dat is een manier waarop je als aanbieder extra veiligheid kunt inbouwen."
