home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / sci / crypt / 2973 < prev    next >
Encoding:
Internet Message Format  |  1992-08-20  |  11.4 KB
  1. Xref: sparky sci.crypt:2973 alt.security:4196 misc.legal:16184
  2. Path: sparky!uunet!pipex!unipalm!uknet!cam-cl!cam-cl!rja14
  3. From: rja14@cl.cam.ac.uk (Ross Anderson)
  4. Newsgroups: sci.crypt,alt.security,misc.legal
  5. Subject: Automatic Teller Machine Writ
  6. Message-ID: <1992Aug20.135018.15689@cl.cam.ac.uk>
  7. Date: 20 Aug 92 13:50:18 GMT
  8. Sender: news@cl.cam.ac.uk (The news facility)
  9. Reply-To: rja14@cl.cam.ac.uk (Ross Anderson)
  10. Organization: U of Cambridge Computer Lab, UK
  11. Lines: 286
  12.  
  13.  
  14. The following writ has got a fair bit of attention in the UK press. The 
  15. plaintiffs, a group of people who have been debited by their bank or
  16. building society for automatic teller machine withdrawals which they 
  17. didn't make, want their money back with damages and interest.
  18.  
  19. The banks and building societies for their part have always denied that 
  20. phantom withdrawals take place at all and claim that their systems 
  21. are infallible.
  22.  
  23. In the meantime there are more and more people queuing up to join the 
  24. action - about 400 last time I talked to the lawyer - and more and more
  25. cases where crooks are caught using forged cards in ATMs to steal money 
  26. from people's accounts, mostly using techniques which have been public
  27. knowledge since at least the mid 1980's and which could have been
  28. forestalled by fairly simple system changes. So in my humble view (and 
  29. I'm not a lawyer, just one of the experts assisting them) the banks 
  30. don't have a defence.
  31.  
  32. Anyway, if you want to join the case as a litigant, or you can help as 
  33. a witness, the law firm's name and address is at the end of the writ; 
  34. the contact is Dennis Whalley and his phone number is 0744 454477.
  35.  
  36. I am really posting the writ because I feel it has wider relevance.
  37.  
  38. There has been a lot of discussion recently (on the net and elsewhere)
  39. about digital signature standards, particularly following the NSA/NIST
  40. proposed digital signature algorithm and in the context of the EC's
  41. current `Electronic Signature - the Key to Mobility' program. 
  42.  
  43. The latter has almost admitted that a commercial signature standard 
  44. will have to provide guidance on the quality of systems implementation
  45. and the liability of the various participants such as network operators,
  46. service suppliers, hardware and software vendors, service resellers and
  47. customers (EC document RA920007 dicusses the need for research on
  48. these topics).
  49.  
  50. Future networks may have a very large number of actors whose commercial
  51. offerings may be interdependent in complex and unpredictable ways.
  52. Customers will need an effective way of finding out who to blame when 
  53. something goes wrong and everyone tries to pass the buck.
  54.  
  55. There is also the cost of litigation. In the UK, disgruntled bank 
  56. customers could either sue the bank (which would cost more than the 
  57. average person is worth) or go to the banking ombudsman (who is paid by 
  58. the bankers and seems to believe their propaganda on the infallibility 
  59. of ATM systems). The plaintiffs in the current case were lucky that a 
  60. group action came along before their claims expired. 
  61.  
  62. For vendors, there is the business issue of how you manage the legal and
  63. organisational aspects of systems risk. Do you hide behind denials and
  64. the cost of litigation, and (if successful for a while) become so
  65. complacent that disaster becomes inevitable, whether in the form of
  66. a big fraud or when you lose a lawsuit andhave to spend millions on 
  67. an unplanned system rewrite? Is there not a better way to run things?
  68.  
  69. All this points in my opinion to a signature arbitration facility, which 
  70. would have to be independent and affordable. Note that this is not the
  71. same as a key certification facility, and should in fact be separate (as
  72. the key certification facility is one of the places where things can go
  73. very badly wrong). Specifying and organising such a facility would seem
  74. to be an interesting and relevant problem.
  75.  
  76. Ross
  77.  
  78. >**************************************************************************
  79. >
  80. >IN THE HIGH COURT OF JUSTICE
  81. >1992 ORB No.000802 
  82. >QUEENS BENCH DIVISION
  83. >
  84. >OFFICAL REFEREE'S BUSINESS
  85. >
  86. >
  87. >BETWEEN
  88. >
  89. >JAMES McCONVILLE
  90. >
  91. >First Plaintiff
  92. >
  93. >and
  94. >
  95. >OTHERS
  96. >
  97. >(LISTED IN SCHEDULE A1 ANNEXED HERETO)
  98. >Plaintiffs
  99. >
  100. >and
  101. >
  102. >
  103. >BARCLAYS BANK PLC
  104. >
  105. >First Defendant
  106. >and
  107. >
  108. >OTHERS
  109. >
  110. >(LISTED IN SCHEDULE A2 ANNEXED HERETO)
  111. >Defendants
  112. >
  113. >                              
  114. >
  115. >Writ with Statement of Claim Endorsed thereon
  116. >                              
  117. >**************************************************************************
  118. >
  119. > The Defendants marked as "Banks" in Schedule A2 annexed hereto are
  120. >institutions authorised under the Banking Act 1987 to carry on the
  121. >business of banking which is the business of the acceptance of money
  122. >from, and the collection of cheques for customers and the placing of
  123. >them to the customers' credit; the honouring of cheques or orders drawn
  124. >on the bank by their customers when presented for payment and the
  125. >keeping of some form of current or running accounts in their books in
  126. >which the credits and debits are entered. The Defendants marked as
  127. >"Building Societies" in Schedule A2 annexed hereto are permanent
  128. >societies authorised under the various Building Society Acts. The
  129. >Plaintiffs are all customers of the Defendants with accounts as specified
  130. >in the Plaintiffs' respective Schedules B annexed hereto.
  131. >
  132. >  On dates set out in the respective Schedules B annexed hereto each
  133. >of the said Plaintiffs were supplied with a plastic card containing a
  134. >magnetic stripe to enable it to be used, inter alia, with an Automatic
  135. >Teller Machine (hereinafter referred to as `ATM'). On dates set out in
  136. >the respective Schedules B hereto certain of the said Plaintiffs were
  137. >supplied with a Personal Identification Numbers (hereinafter referred to
  138. >as a `PIN') for each said plastic card. The relevant circumstances
  139. >surrounding the supply of the plastic card and its PIN are set out in the
  140. >respective Schedules B annexed hereto. Unless otherwise stated in the
  141. >respective Schedules B attached hereto the said plastic cards and PINs
  142. >were supplied in the manner particularised below:
  143. >
  144. > The plastic card was supplied inserted in a piece of thin card
  145. >bearing certain terms & conditions regarding the operation of
  146. >the said plastic card. The Plaintiffs no longer have a copy of
  147. >the said thin card.
  148. >
  149. > The PIN associated with each said plastic card was supplied to
  150. >each Plaintiff by sending the same to the Plaintiff by ordinary
  151. >post on a different day to the date when the said plastic card
  152. >was sent. Each PIN was sent in a sealed package upon which
  153. >certain words were printed. The Plaintiffs no longer have a
  154. >copy of the said package.
  155. >
  156. > Subsequently in the circumstances and on the dates set out in the
  157. >respective Schedules B annexed hereto each of the said Plaintiffs had
  158. >their accounts debited with sums which the Defendant alleged had been
  159. >withdrawn from the said account using the said plastic card and PIN. No
  160. >such sums had been withdrawn from the said account using the said
  161. >plastic card and PIN by or on behalf of the Plaintiffs. Accordingly each
  162. >said Defendant was not entitled to debit each said account with the
  163. >alleged withdrawals and the said debiting was a wrongful act and/or was
  164. >a breach of contract.
  165. >
  166. >Pending interrogatories, discovery and the preparation of expert
  167. >reports herein the Plaintiffs rely upon the following matters:
  168. >
  169. > Certain of the Plaintiffs (as particularised in their respective
  170. >Schedules) had never made any ATM withdrawals using their
  171. >plastic cards. As respectively particularised these said Plaintiffs
  172. >did not keep their PIN number with their said cards;
  173. >
  174. > The Plaintiffs will rely upon the admission on behalf of the
  175. >First Defendant in a letter dated 29th April 1992 of faults in
  176. >a computer program which wrongly identifies the branch at
  177. >which withdrawals are attempted and made;
  178. >
  179. > The Plaintiffs who are customers of Defendants identified with
  180. >a `*' in Schedule A will rely on the fact that these said
  181. >Defendants' ATM systems do not have the said systems built
  182. >round security modules in accordance of the recommendations
  183. >of VISA and Mastercard. Accordingly instead of maintaining
  184. >security via automatic updating of master keys using security
  185. >modules the said Defendants rely upon the honesty of their
  186. >own staff in keeping secret the keys they load onto the ATMs.
  187. >
  188. > In respect of those Plaintiffs as particularised in the Schedules
  189. >whose plastic card had been lost and which, allegedly, had later
  190. >been used to debit the respective Plaintiff's account the said
  191. >Plaintiffs say as follows: The PIN number associated with the
  192. >said lost card was not with the card at the time of loss;
  193. >
  194. > Subject to particulars to the contrary in their respective
  195. >Schedules the Plaintiffs all say that the PIN number associated
  196. >with each said plastic card was not disclosed to anyone by the
  197. >Plaintiff;
  198. >
  199. > After making full enquiries as particularised in their respective
  200. >Schedules, each Plaintiff is certain that the secrecy of the PIN
  201. >was not prejudiced in such a way as would have made an ATM
  202. >withdrawal possible if (as is maintained by the Defendants) the
  203. >same could only be performed by possession of the plastic card
  204. >and its respective PIN.
  205. >
  206. > By reason of the matters aforesaid the Plaintiffs have suffered loss
  207. >and damage which is continuing. In respect of each Plaintiff their claim
  208. >is made up as follows:
  209. >
  210. >PARTICULARS
  211. >
  212. ># X + Y + Z + I where each term is defined as follows:
  213. >
  214. > X = Monies deducted from each Plaintiff's current account in
  215. >respect of ATM transactions not made by the Plaintiff as
  216. >particularized in their respective Schedule hereto;
  217. >
  218. > Y = Damages for worry and distress arising out of the said
  219. >deductions;
  220. >
  221. > Z = Special Damage as particularized in their respective Schedule
  222. >hereto;
  223. >
  224. > I = Interest on the monies deducted and Special Damages as
  225. >particularized in their respective Schedules for the periods set
  226. >out in the said respective Schedules;
  227. >
  228. >AND THE PLAINTIFFS CLAIM:
  229. >
  230. > (1) # X + Y + Z + I
  231. >
  232. > (2) Additionally or alternatively to `I' daily Interest from date of 
  233. >issue of the writ on all damages found due pursuant to Section 35A of 
  234. >the Supreme Court Act 1981 at 15 per cent
  235. >
  236. > (3) Any and all interim and final orders for discovery, interrogatories
  237. > and preservation of records relating to and the assets of the
  238. > Plaintiffs.
  239. >
  240. >(4) Costs
  241. >
  242. >(5) Further or other relief
  243. >
  244. >ALISTAIR KELMAN
  245. >
  246. >
  247. >
  248. >This Writ was issued by J. Keith Park & Co of Claughton House 39
  249. >Barrow Street, St Helens, Solicitors for the said Plaintiffs whose
  250. >addresses are shown in Schedule C
  251. >Solicitor Ref: DW/  Tel No:0744-454477
  252. >
  253. >************************************************************************
  254. >
  255. >IN THE HIGH COURT OF JUSTICE
  256. >1992 ORB No. 
  257. >QUEENS BENCH DIVISION
  258. >
  259. >OFFICAL REFEREE'S BUSINESS
  260. >
  261. >
  262. >                              
  263. >
  264. >draft/Schedule A1
  265. >
  266. >Plaintiffs
  267. >1. Joseph R. McConville
  268. >2. Jean McConville
  269. >3. Susan Edith Thomas
  270. >4. Shirley Wilson
  271. >5. Alison Basher
  272. >6. Kevin Clancy
  273. >7. Janette Beatrice Watson
  274. >8. David Albert Clarke
  275. >9. Stephen Francis Raw
  276. >
  277. >************************************************************************
  278. >
  279. >IN THE HIGH COURT OF JUSTICE
  280. >1992 ORB No. 
  281. >QUEENS BENCH DIVISION
  282. >
  283. >OFFICAL REFEREE'S BUSINESS
  284. >
  285. >
  286. >
  287. >draft/Schedule A2
  288. >                              
  289. >
  290. >Defendants  No Security Modules  Bank or Building Society
  291. >
  292. >1. Barclays Bank plc  *          Bank
  293. >2. Midland Bank plc   *          Bank
  294. >3. TSB Bank plc       *          Bank
  295. >4. Nationwide Anglia  *          Building Society
  296. >5. Lloyds Bank plc    *          Bank
  297. >
  298. >************************************************************************
  299.