Een vergeten vinkje leidde tot facturen van honderdduizenden euro's bij Freez.it uit Bolsward

woensdag, 14 januari 2026 (12:12) - Leeuwarder Courant

In dit artikel:

In Bolsward houdt Freez.it dagelijks met een eigen monitoringafdeling klantenystemen in de gaten en werkt het volgens vijf beveiligingslagen en strikte certificering. Toch leidde één vergeten vinkje in een cloudinstelling tot een kostbare inbreuk. Freez.it bestelde in augustus 2021 een Microsoft Azure-pakket via distributeur Copaco; in oktober 2022 werd ontdekt dat een hacker in een door Freez.it beheerde Azure-omgeving extreem hoog dataverbruik veroorzaakte (tot circa €22.000 per dag). De aanvaller zette ongeveer zestig servers op — vermoedelijk om bitcoins te minen — en kon zo vijf weken lang onopgemerkt kosten veroorzaken; klantgegevens raakten niet blootgesteld en de dader is nooit achterhaald.

De financiële schade was groot: Copaco stuurde later aan Freez.it facturen van ongeveer €568.000 en bijna €149.000, terwijl verzekeraar Chubb de polisweigerde (geen dekking). Freez.it betaalde inmiddels meer dan drie ton van de schade maar zocht juridische duidelijkheid over wie aansprakelijk was. De rechtbank oordeelde medio vorig jaar dat Copaco niet aansprakelijk was; de uitspraak werd pas in het najaar van 2025 gepubliceerd. Freez.it werd bovendien veroordeeld tot betaling van proceskosten aan Copaco, Chubb en een verzekeringsadviseur — bijna €40.000. Na bezwaar van de advocaat is de uitspraak later geanonimiseerd.

Directeur-eigenaar Wouter Jorritsma erkent de fout: het niet inschakelen van multifactorauthenticatie (MFA) was de kwetsbaarheid die misbruik mogelijk maakte. Hij noemt het een dure, leerzame les maar koos er desondanks voor niet in hoger beroep te gaan, om de focus te houden op continuïteit van het bedrijf en het behoud van ongeveer 25 medewerkers. Freez.it benadrukt dat het haar beveiligingsoverzicht op orde heeft en dat het incident aantoont hoe snel menselijke fouten grote gevolgen kunnen hebben, ondanks uitgebreide technische maatregelen en actieve monitoring.

Kortom: zelfs beveiligde cloudomgevingen blijven kwetsbaar door menselijke foutjes; de zaak illustreert ook de juridische en financiële complexiteit rond verantwoordelijkheid in de keten (cloudleverancier, distributeur, klant) en het belang van basale maatregelen zoals MFA.