<div dir="ltr">Nothing is stopping the perpetrator of a BGP hijack as a result of a forged or otherwise illegitimateĀ LOA from facing civil litigation as a result of revenue loss or other harm done.<div><br></div><div>This thread and others like it highlight that there is absolutely some negligence here and could very well find itself in an evidence pile at some point in the future.</div><div><br></div><div>So there IS liability, but the lack of solid precedent means that the bean counters can't assign a dollar amount to the risk associated with blindly accepting LOAs, and therefore it might as well not exist.</div><div><br></div><div>Someday, somebody will have the pants sued off them because they let their new customer hijack the hell out of a government entity, bank, oil company, etc. and we'll start to see better processes.</div><div><br></div><div>-Matt</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 19, 2021 at 11:59 AM Sean Donelan <<a href="mailto:sean@donelan.com">sean@donelan.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
On Mon, 19 Apr 2021, Peter Beckman wrote:<br>
> And while it would be nice if everyone "independently verified every LOA"<br>
> the cost of doing so in the far-too-many edge cases is business-endingly<br>
> high.<br>
<br>
If carriers faced legal liability, with appropriate incentatives, I'd bet <br>
they would solve the verification problem -- quickly, cheaply.<br>
<br>
No liability -- no reason to solve the problem.<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Matt Erculiani<div>ERCUL-ARIN</div></div></div>