Basisschoolleerling bestelt per ongeluk voor half miljoen euro aan lesmateriaal
15/11
2022
2022
Een basisschoolleerling in Vught heeft per ongeluk voor 500.000 euro aan lesmateriaal besteld op de webshop van uitgever Malmberg, meldde de NOS onlangs. Toen het de jongen niet lukte om in te loggen in het online rekenprogramma, kwam hij (groep 7) via-via op de site van Malmberg, waar het aanmaken van een account voor de webshop een fluitje van een cent bleek. En kennelijk dus ook het doorlopen van het bestelproces. Zo werd het uiteindelijk voor alle partijen een bijzondere, maar leerzame ervaring. Wat moeten we hier juridisch van vinden?
De bestelling viel direct op bij medewerkers van uitgever Malmberg, het gebeurt ook niet elke dag dat je van een nieuwe klant een order van een half miljoen krijgt. Snel onderzoek onthulde dat er geen order vanuit een medewerker was geplaatst, waarna de naam werd herleid tot een jongen uit groep 7.
Wat ging hier nu mis? Kennelijk mocht je bij de webshop van Malmberg een account aanmaken voor een school enkel op basis van (de domeinnaam uit) het e-mailadres van de school. Waardoor deze leerling (ja, in groep 7 heb je een schoolmailadres) dus een account kon maken, en vervolgens kon bestellen op factuur. Dat voelt security-technisch niet geheel wenselijk, hoewel het een compliment is voor de UI-designer dat je webshop door kinderen (9-11) bruikbaar is.
Was de bestelling nou bindend geweest voor de school, vroegen diverse mensen me in de mail. Ze hadden het immers kunnen opvatten als een legitieme order vanuit dat domein. In dit geval niet: de order was kennelijk zeer opvallend, en dan moet je eraan twijfelen. En als je twijfel hebt of moet hebben, dan mag je niet gerechtvaardigd vertrouwen op de juistheid van de wilsuiting (zoals dat juridisch heet) en kun je de wederpartij er niet aan houden. Zie ook die zaak waarin Bol.com in een phish trapte, die hadden ook beter moeten opletten.
Als het nou één lesboek was geweest, dan was dat misschien anders komen te liggen. Het is niet raar dat een school een boek bijbestelt, en dan doet het er eigenlijk ook niet toe hoe de inkoper heet. Misschien juist wel niet, omdat het dan gaat om een sproetje tijdens het leerjaar. Dus die order zou afgehandeld worden, en dat zou dan terecht zijn omdat de afgesproken authenticatie neerkwam op “inkopers hebben een emailadres van het domein van school”. Dat is nu aangepast: nieuwe accounts bij Malmberg moeten voortaan eerst worden goedgekeurd door de directeur en het hoofd van de ICT.
De leerling kreeg een gesprekje, de uitkomst daarvan is me niet heel duidelijk. In de jaren tachtig had men dit denk ik als hacken gezien, in de jaren negentig had hij een baan als ict-securitymedewerker aangeboden gekregen, en in de jaren tien wellicht verwijdering van school wegens overtreding van de terms of service? Gelukkig klinkt deze school heel verstandig.
Via Twitter nog een aanvulling:
Wij kregen een aantal jaar geleden allemaal zichtzendingen voor een bepaald vak. Was aangevraagd door een leerling die de huidige methode niet leuk genoeg vond. Kon het wel waarderen.
Waarvan akte.
Arnoud
Het bericht Basisschoolleerling bestelt per ongeluk voor half miljoen euro aan lesmateriaal verscheen eerst op Ius Mentis.
Datum: dinsdag 15 november 2022, 08:17
Bron: Iusmentis Blog
Categorie: Internet en ICT
Tags: Noord-Brabant, Vught
Gerelateerde berichten:
- Dinsdag 25 en woensdag 26 november 2014: Informatieavonden Verkenning N65 Vught - Haaren (11/11/14 15:16)
- Dinsdag 12 en woensdag 13 november: Informatieavonden verkenning N65 Vught-Haaren (01/11/13 10:10)
- Weekendafsluiting A65 tussen knooppunt Vught en Helvoirtseweg Vught (05/06/14 14:17)
- Enter Air bestelt vier Boeing 737`s (20/06/15 11:14)
- Webshop levering vanuit de fysieke winkel (22/11/11 08:14)
Reacties:
Er zijn nog geen reacties op dit bericht.