image

XOIP aanmeldprocedure niet veilig [UPDATE]

maandag 2 juli 2001, 09:56 door Redactie, 0 reacties

Het 'unified messaging' bedrijf XOIP is sinds kort overgeschakeld op betaalde abonnementen. Hiervoor is een aanmeldprocedure ontworpen, maar die blijkt niet 100 procent waterdicht te zijn, schrijft Marius: "Net kreeg ik een herinneringsmailtje van XOIP of ik het nummer wilde
continueren. Los van het feit dat ik nog twee weken heb en ik de
herinnering al snel vind, viel het volgende op.
De mail bevat een link met een directe koppeling naar de aanmeldpagina.
Deze link bestaat uit je XOIP-nummer en een authenticatiecode. Nu wil het
zo dat met wat creatief nummerswijzigen je eenvoudig de keuze voor anderen
in kunt vullen.
Het authenticatienummer loopt namelijk gelijk op met het xoipnummer. Niet
alle nummers werken direct, maar ik vermoed dat dit komt doordat
desbetreffende gebruikt al hun keuze gemaakt hebben. Zo kwam ik ondermeer
snel achter de gegevens van vriend Ben Woldring (Red.: Van Bellen.com, screenshot). XOIP nummer is niet meteen
zo interessant, maar voor velen staat zowel telefoonnummer en 06-nummer
ingevuld.
. We hebben het doorgegeven aan XOIP, maar nog geen reactie ontvangen.

XOIP heeft ons geinformeerd dat de aanvullende authenticatie die zij vandaag zouden implementeren inmiddels actief is (vanaf 12:15).
Verder zal aan de gebruikers die zich aangemeld/afgemeld hebben, op een later tijdstip nogmaals om confirmatie gevraagd worden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.