image

Bol.com medewerker kraakte e-mailaccounts van klanten

donderdag 31 maart 2005, 10:02 door Redactie, 9 reacties

Dat het belangrijk is om verschillende wachtwoorden te gebruiken maakt een artikel in het "technologie en lifestyle" magazine BRIGHT nogmaals duidelijk. Een medewerker van de bekende online winkel Bol.com gebruikte de wachtwoorden van klanten om in te loggen op hun e-mailaccounts. "Klanten konden bellen of mailen als ze problemen hadden met bijvoorbeeld de levering van spullen. Ik vroeg dan hun gegevens op. Daartussen zat ook het wachtwoord van hun account" zo laat de anonieme ex-medewerker weten. De helpdesker zou uit verveling geprobeerd hebben om de e-mailaccounts van de Bol.com klanten te "kraken". "Dan logde ik in op hun mailaccounts met de gegevens uit de database. In veel gevallen bleek dat te werken. Zo had ik bijvoorbeeld toegang tot de e-mail van filmjournalist René Mioch. Ik kopieerde zijn adresboek dat vol zat met namen van bekende mensen zoals Johnny Depp en Harrison Ford. Ik las zijn mail ook, waaronder een afwijzing van een interview door Anton Corbijn" zo laat de man verder weten.

De medewerker werd na enige tijd om een andere reden ontslagen, verhuisde naar het buitenland maar gaf zijn hobby niet op. "Er is een vrouw op de Antillen die er een erotische mailwisseling op na houdt met een man. In al die jaren heeft ze haar wachtwoord niet gewijzigd. Ik volg die mailwisseling nog steeds."

Daniel Ropers, managing director van Bol.com, reageert verbijsterd als hij geconfronteerd wordt met het verhaal van de ex-medewerker. "Dit is het ergste wat ons ooit is overkomen." De dertig tot veertig helpdeskmedewerkers die de internetwinkel via een callcenter betrekt, hebben inderdaad standaard toegang tot de geheime wachtwoorden van alle klanten. "Dat is zo omdat de behoefte groot is. De meeste vragen die de helpdesk krijgt betreffen namelijk wachtwoorden. Privacy staat bij ons hoog in het vaandel, maar aan dit soort misbruik hebben we gewoon nooit gedacht."

Lees het volledige artikel over wachtwoorden als zwakste schakel bij BRIGHT.

Reacties (9)
31-03-2005, 10:37 door fd0
nooit, NOOIT, passwords in leesbare vorm opslaan !!! Als
mensen hun password niet meer weten, laat een nieuw password
genereren en mailen, zonder tussenkomst van mensen.

Mensen zijn het grootste securityprobleem. Dit voorbeeld
bewijst het nogmaals.
31-03-2005, 11:00 door Anoniem
Tsja, maar als je ze door moet geven aan iemand anders,
maakt het weinig uit hoe je ze zelf opslaat natuurlijk.
Verschillende wachtwoorden is de enige remedie. Ik zelf
categoriseer m'n accounts. Mail heeft een ander wachtwoord
dan b.v. een forum account. Webwinkels zijn een geval
appart, hierbij heeft ieder account een ander wachtwoord..
31-03-2005, 12:20 door Anoniem
Door fd0
nooit, NOOIT, passwords in leesbare vorm opslaan !!! Als
mensen hun password niet meer weten, laat een nieuw password
genereren en mailen, zonder tussenkomst van mensen.

Mensen zijn het grootste securityprobleem. Dit voorbeeld
bewijst het nogmaals.

Helemaal mee eens........en je bent meteen veel efficienter bezig, scheelt
weer een hoop uren.
31-03-2005, 13:01 door Anoniem
Door Anoniem
Door fd0
nooit, NOOIT, passwords in leesbare vorm opslaan !!! Als
mensen hun password niet meer weten, laat een nieuw password
genereren en mailen, zonder tussenkomst van mensen.

Mensen zijn het grootste securityprobleem. Dit voorbeeld
bewijst het nogmaals.

Helemaal mee eens........en je bent meteen veel efficienter
bezig, scheelt
weer een hoop uren.

Nou wat het grootste probleem is is voor alles wel een
account nodig ?

Zeker voor webwinkels is dit beslist niet nodig.
Ook voor vele forums is dit beslist niet nodig.

zo help je al 90% van de paswoorden de wereld uit
31-03-2005, 15:10 door Anoniem
Heb zelf bij meerdere ISP's gewerkt en mensen geven heel makkelijk hun
wachtwoord door zodat er wat getest kan worden. Die mensen wijzigen
hun ww daarna echt niet. Medewerker die kwaad wil en de usernames +
ww opschrijft kan op deze manier heel makkelijk e-mailconfersaties van
vele mensen volgen. Volgens mij moet er dan wel een steekje bij je los
zitten en ben je al helemaal niet goed bij je hoofd als je vervolgens de
publiciteit opzoekt.
Hoop dat deze ex-medewerker nog vervolgt gaat worden.
31-03-2005, 18:31 door GateHawk
Kevin Mitnick was hier een ster in. Ik moet toegeven dat het
illegaal is maar het hoort nu eenmaal bij het hacken. Een
bedrijf heeft mij wel eens gevraagd om hun verbinding te
testen en daarbij heb ik ook gebruik gemaakt van
social-engineering.

Lees het boek "De kunst van het misleiden" van Kevin Mitnick
en je slaapt als systeembeheerder voorlopig niet meer haha.
03-04-2005, 01:59 door Anoniem
Door GateHawk
Kevin Mitnick was hier een ster in. ...
Kevin was hier geen ster in, hij gebruikte de geboden
mogelijkheden, werd betrapt en is daardoor beroemd geworden.
Boeken over social engineering zijn zeer nuttig, ook die van
Kevin, maar een goede beheerder weet goed dat eigenlijk
overal een zwakke schakel zit. Hij of zij zal niet snel
opkijken van de kunstjes maar eerder zuchten bij het
zoveelste bewijs dat je niet alles kan indekken en kijken of
het nuttig is om maatregelen te nemen.
03-04-2005, 04:30 door GateHawk
Door Anoniem
Kevin was hier geen ster in, hij gebruikte de geboden
mogelijkheden, werd betrapt en is daardoor beroemd geworden.
Boeken over social engineering zijn zeer nuttig, ook die van
Kevin, maar een goede beheerder weet goed dat eigenlijk
overal een zwakke schakel zit. Hij of zij zal niet snel
opkijken van de kunstjes maar eerder zuchten bij het
zoveelste bewijs dat je niet alles kan indekken en kijken of
het nuttig is om maatregelen te nemen.

In het boek geeft Kevin een beetje prijs wat hij zo al
gedaan heeft in zijn jeugdjaren. Als je dan zegt dat hij
hier geen ster in was dan ben ik bang dat je niet het hele
boek gelezen heb. Hij had een fotografisch geheugen en wist
bijvoorbeeld tijdens zijn jeugdjaren alle busverbindingen in
zijn woonplaats uit zijn hoofd.

Ook ben ik er zeker van dat niet iedere systeembeheerder
social-engineering serieus neemt. Dit is echt een gevaar
voor een netwerk.
04-04-2005, 11:18 door Anoniem
Door toaster
Heb zelf bij meerdere ISP's gewerkt en mensen geven heel
makkelijk hun
wachtwoord door zodat er wat getest kan worden.

In elk geval niet bij Planet, hun systeem staat dat niet toe.
Wachtwoorden van klanten mogen nooit bekend zijn op een
helpdesk, indien zij specifieke account info nodig hebben
dient een dergelijk incident te worden geescaleerd.

Voor sommigen misschien nieuw, maar wachtwoorden kun je ook
resetten, da's wel net zo handig in het beheer. Hierdoor is
het ook niet nodig om wachtwoorden te weten, danwel op te
kunnen vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.