Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nog steeds falende beveiliging bij Simpel.nl

01-08-2012, 15:32 door Anoniem, 36 reacties
Sinds 31-7-2012 is volgeens Simpel.nl de persoonlijke pagina mijnsimpel.nl weer geactiveerd, nadat deze een maand lang uit de lucht is geweest vanwege een hack waarbij login-gegevens zijn bemachtigd. Gebruikers dienen eerst een nieuw wachtwoord in te stellen voordat zij weer van de website gebruik kunnen maken.

Helaas heeft Simpel geen lering getrokken uit de hack en rammelt de procedure om het wachtwoord te wijzigen.

Simpel stuurt een e-mail met een tijdelijk wachtwoord en instructies voor het wijzigen:

Klik hier http://www.mijnsimpel.nl/changetemppassword.aspx. Je komt op een aparte pagina terecht. Wijzig hier het tijdelijke wachtwoord in een wachtwoord dat je voor je persoonlijke pagina wilt gebruiken. Het is belangrijk dat dit wachtwoord alleen bij jou bekend is. Je wachtwoord dient aan de volgende voorwaarden te voldoen:
Het bevat minimaal 8 karakters
Het bevat minimaal 1 cijfer
Het bevat minimaal 1 letter
Het bevat minimaal 1 vreemd karakter (zoals een uitroepteken of een vraagteken)


Om te beginnen, wordt de verbinding niet versleuteld met SSL (https), dus is alle verzonden informatie vrij in te zien.
Wordt vervolgens getracht het tijdelijke wachtwoord en het nieuwe wachtwoord in te voeren, dan volgt een foutmelding:

"Het opgegeven wachtwoord heeft niet het juiste formaat. Je kunt alleen letters en nummers opgeven, met een minimum van 8 tekens."

Na diverse pogingen om het wachtwoord te wijzigen, met verschillende combinaties (met en zonder speciale tekens, hoodletters en/of cijfers), komt nu alleen nog del melding "De wijziging van je wachtwoord is mislukt.", zonder verdere reden.

De naam Simpel geeft duidelijk het niveau van de beveiligingsexperts van het bedrijf aan, maar heeft beslist geen betrekking op het krijgen van dienstverlening.
Reacties (36)
01-08-2012, 17:23 door Anoniem
Ja, het is nog steeds een doffe ellende.
01-08-2012, 17:39 door Anoniem
hallo hier ben ik het helemaal mee eens.
het zijn gewoon grote oplichters.
01-08-2012, 20:31 door Anoniem
hielprik bedankt voor jou info, na 4 uur te hebben geprobeerd las ik jou bericht.nog even en dan moeten we simpel dag zeggen gr bert
02-08-2012, 10:52 door Anoniem
Wat een toestand allemaal bij deze erg simpele aanbieder.
Ik heb onderhand maar een nieuw abonnement afgesloten bij Telfort, binnen 24 uur alles geregeld.
Kaart in huis, direct bellen.
Zo snel mogelijk van dat contract af zien te komen !

Wim, Harlingen.
02-08-2012, 11:05 door Anoniem
Is het mogelijk, of heb ik het recht, om vanwege deze secure problemen mijn 2 jarig abonnement eerder op te zeggen? welke rechten heb ik of kan ik hier aan ontlenen? ondervind toch ernstige problemen, kan niet meer bellen of sms'en zou moeten bijbetalen omdat word geclaimd dat ik mijn betaling niet kan voldoen omdat ik over mijn bel-budget heen ben automatische afschrijving geschiet als gewoonlijk?
02-08-2012, 11:29 door Anoniem
bedankt voor je info ben er ontzettend klaar mee.
02-08-2012, 12:11 door Anoniem
Gelukkig is het /resources/js/validatie.js die het wachtwoord controleert

rege = /^((?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[._!@#$%]).{8,50})$/i;
Even wat javascript aanpassen en een 1 char wachtwoord werkt ook. Wel makkelijk, want ik vergeet mijn wachtwoorden altijd.
02-08-2012, 13:14 door Anoniem
Door Anoniem: Gelukkig is het /resources/js/validatie.js die het wachtwoord controleert

rege = /^((?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[._!@#$%]).{8,50})$/i;
Even wat javascript aanpassen en een 1 char wachtwoord werkt ook. Wel makkelijk, want ik vergeet mijn wachtwoorden altijd.
Gevorderde gebruikers zouden dus eventueel met de nodige moeite dus een zwak wachtwoord instellen, zodat hun eigen wachtwoord onveilig is mocht de hash ooit door een ander bemachtigd worden? Wow!
02-08-2012, 14:00 door Anoniem
Volgens mij geeft dit de kwaliteit weer van diegene die de oplossing geprogrameerd heeft.
Falend SDLC in mijn ogen.

UItspraken doen over de beveiligingexperts gaan mij echt te ver, gebaseerd op bovenstaand voorbeeld.
02-08-2012, 14:04 door Victor69
Is inmiddels wel https geworden...

https://www.mijnsimpel.nl/changetemppassword.aspx

Cerificaatje uitgegeven door Comodo, als dat niet veilig is ;-)
02-08-2012, 14:50 door Anoniem
@12:11 Anoniem
Als dat zo is: ROFLMAO ;)
02-08-2012, 15:58 door Anoniem
Door Anoniem: Gelukkig is het /resources/js/validatie.js die het wachtwoord controleert

rege = /^((?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[._!@#$%]).{8,50})$/i;
Even wat javascript aanpassen en een 1 char wachtwoord werkt ook. Wel makkelijk, want ik vergeet mijn wachtwoorden altijd.
Heb je dat ook getest? Of is dat een conclusie die je trekt, puur op het zien van die JS code?
02-08-2012, 16:30 door Anoniem
"Hallo hier ben ik het helemaal mee eens. het zijn gewoon grote oplichters."

Misschien zijn ze knullig, en technisch niet erg bekwaam. Met oplichting heeft dat echter helemaal niets van doen.

Kennelijk verwachten mensen van een kleine telco reseller met enkele tientallen werknemers en zonder eigen netwerk hetzelfde niveau van beveiliging en professionaliteit als van een grote telco. Je kunt je afvragen hoe realistisch dat verwachtingspatroon is.

"De naam Simpel geeft duidelijk het niveau van de beveiligingsexperts van het bedrijf aan, maar heeft beslist geen betrekking op het krijgen van dienstverlening. "

Hoeveel "beveiligingsexperts" zouden er werken in een bedrijfje van 45 man ? En hoeveel ervaren en bekwame beveiligers zouden uberhaupt geinteresseerd zijn om te werken bij een simkaart resellertje ?

Ik neem overigens uit principe bij dit soort partijen nooit een telefoon. Naast de vraag of de beveiliging op orde is, kan je je afvragen of je het risico wilt lopen dat zo'n partij bijvoorbeeld de betalingsverplichtingen niet kan nakomen, waardoor je als klant opeens wordt afgesloten door de telco bij wie ze hun belminuten bulk inkopen.

Wat dat betreft neem je zelf als consument risico wanneer je bij telco resellers zonder eigen netwerk simkaarten afneemt, met dat soort zaken moet je rekening houden op het moment dat je kiest voor een provider.
02-08-2012, 19:00 door Anoniem
Klein bedrijfje? Volgens mij is Simpel.nl eigendom van T-Mobile. Net als Ben dat ook is. Net als dat Telfort,Hi,Simyo merken zijn van KPN en HollandsNieuwe een merk is van Vodafone.
02-08-2012, 22:35 door Bitwiper
Door Anoniem op 2012-08-02 16:30: Hoeveel "beveiligingsexperts" zouden er werken in een bedrijfje van 45 man ? En hoeveel ervaren en bekwame beveiligers zouden uberhaupt geinteresseerd zijn om te werken bij een simkaart resellertje ?
Dus omdat er weinig mensen werken mag het minder veilig?

Trouwens, beveiligers kun je ook tijdelijk inhuren hoor. Ik neem aan dat Simpel ook geen camera- en geluidmensen in dienst heeft om hun TV commercials mee te schieten.

De term oplichters gaat ook mij te ver. Maar de vraag is natuurlijk wel of er sprake is van eerlijk zakendoen als je, als leverancier, de prijs laag houdt door op kosten te besparen, maar niet aan je klanten vertelt dat je hun gegevens onvoldoende beveiligt (en gokt dat je daarmee wegkomt + bagatelliseert als die gegevens toch op straat komen te liggen, zie http://www.security.nl/artikel/42337/1/Uitzender_Accord_-_privacy_moron.html).

Potentiële klanten die een beetje zoeken kunnen een faire afweging maken als (op sites als deze) informatie te vinden is over leveranciers die het niet zo nauw nemen met security. Daarom chapeau voor de TS dat hij of zij dit heeft aangekaart!
02-08-2012, 23:31 door Anoniem
Ik vermoed dat het budget voor beveiliging bij simpel zo laag is dat ze enkel geld willen investeren in veiligheid als iemand er pas in het publiek over begint te piepen. Het verklaart de blunders die ze gemaakt hebben en hoe ze alleen zaken oplossen die publiek bekend worden. Hoe simpel ben je als manager als je dat niveau van schijnveiligheid accepteerd voor je bedrijf en je klanten. Zulke personen zitten niet op de juiste plek en horen een flinke draai om de oren te krijgen voor amateurisme en onprofessioneel handelen. Ze zijn wat mij betreft hun plaats niet waardig. Heel vreemd als personen in een bedrijf dit accepteren en er geen maatregelen volgen.
03-08-2012, 09:37 door Anoniem
"Dus omdat er weinig mensen werken mag het minder veilig?"

Dat zei ik helemaal niet. Dit soort reseller clubs zouden hun zaken op orde moeten hebben, maar dit wil niet zeggen dat ik niet verbaasd ben dat dat niet het geval is.
03-08-2012, 11:09 door Anoniem
na ver schillende co des ingevoerd te hebben, krijg je steeds dat het niet gelukt is
03-08-2012, 19:23 door Anoniem
Het is schandalig, hoeveel keer ik heb geprobeerd in te loggen, ik heb er zelfs over opgebeld naar simpel, maar die doen of er niets aan de hand is, Dit moet u doen en dat moet u doen en dan komt het voor elkaar. Nou geloof het maar niet.
03-08-2012, 22:59 door Anoniem
Hoe kan ik het wachtwoord instellen bij simpel volgens de weg van simpel lukt het niet
04-08-2012, 12:31 door Anoniem
Oké, het https-deel is iets dat je mag verwachten. Het deel over de foutmeldingen is puur speculatief. Het is wel heel erg kort door de bocht om aan de hand van de tekst die jij als gebruiker te zien krijgt te concluderen dat er een beveiligingsprobleem zou zijn. De foutmelding is niet consistent en ik ben het ermee eens dat het verwarrend is, maar dat zegt totaal niets over de achterliggende wachtwoordcontrole.
04-08-2012, 15:51 door Anoniem
Het is gewoon een grote doffe ellende om iets te wijzigen daar, de service is heel slecht, duurt allemaal uren voordat iemand wakker word, en om een wachtwoord te wijzigen moet je onderhand voor gestudeerd hebben en krijg steeds dezelfde foutmelding, met een woord waardeloos
04-08-2012, 22:48 door Anoniem
Wat een waardeloze manier van wijzigen,ik ben al drie dagen bezig en het lukt nog steeds niet,WAARDELOOS

Ben van Dijk.
05-08-2012, 08:55 door Anoniem
Onbegrijpelijk nog steeds geen mogelijkheid om in te loggen ik heb het al 30 keer geprobeerd,Schande Simpel
Tel 0648248132
06-08-2012, 07:12 door flyingsoccer
Ook hier geld simpel we hebben geen geld voor veiligheid we moeten het toch goedkoop en simpel houden tja daar mag je het mee doen stelletje losers zijn en iedereen gewoon je abonnement beëindigen.
06-08-2012, 12:32 door Anoniem
Probeer al 10 keer in te loggen , lukt voor geen meter ! WAARDELOZE Provider is dit.Al 4 dagen bezig en nog steeds nada.Hopeloos.

Bert.
07-08-2012, 13:38 door Anoniem
Was altijd een tevreden klant van simpel en zeer tevreden,...tot nu
Ook mij lukt het niet meer om op mijn persoonlijke pagina te komen.
Ook mails sturen naar simpel helpt helemaal niet ze geven niet thuis !
Vrienden hadden me hadden me al gewaarschuwd voor simpel,..maar ook waren er positieve geluiden.
en daar heb ik naar geluisterd,...ieder mens maakt wel eens een fout,...ook ik!
08-10-2012, 13:51 door Anoniem
Ik kan mijn wachtwoord na talloze pogingen niet wijzigen. Ik krijg ook een foutmelding.Mijn telefoon met Simkaart is tijdens mijn vakantie in de Ooster Schelde gevallen.Nieuwe kaart aangevraagd maar tot op heden niets ontvangen.( 6 weken geleden).Doffe ellende bij deze provider.
19-10-2012, 09:18 door Anoniem
Ga nooit in zee met simpel. Rekeningen voor al maanden eerder opgezegde abonnement blijven binnenkomen, aangevuld met incasso dreigementen.
21-10-2012, 21:10 door Anoniem
Ben is net zo lek als Simpel hoor,
Loop niet zo te brullen, eerst een analyse dan pas je commentaar graag.
22-10-2012, 16:41 door Anoniem
Door Anoniem: Ga nooit in zee met simpel. Rekeningen voor al maanden eerder opgezegde abonnement blijven binnenkomen, aangevuld met incasso dreigementen.

En dit heeft wat met security te maken of iets met de originele post?
Voor algemeen klagen => Kassa.nl/Radar.nl
19-01-2013, 11:00 door Anoniem
onlangs is mijn 06 nummer gebruikt om een parkeeractie van (parkmobile) te starten in R.dam van vele uren, dus hoge parkeerkosten.
Aangezien het niet door mij met mijn telefoon is gestart , moet hier sprake zijn van hacken van mijn gegevens
De (in)-belhistorie bij Simpel en Parkmobile geeft aan dat mijn 06 gebruikt is
Al dagen geprobeerd ik Simpel te bellen krijg geen contact.
11-02-2013, 12:16 door Anoniem
Hier heb ik inderdaad ook last van!
simpel heeft mij alleen nog maar frustratie opgeleverd!
Heb echt spijt dat ik er ooit aan begonnen ben!
11-02-2013, 14:15 door WesleySmalls
Gebaseerd op het grote hoeveelheid "Anoniem" met dezelfde beroerde opmaak en belabberde berichten ga ik ervan uit dat het hetzelfde genie is telkens die die posts maakt

Door Anoniem: Onbegrijpelijk nog steeds geen mogelijkheid om in te loggen ik heb het al 30 keer geprobeerd,Schande Simpel
Tel 0648248132

Je plaatst je telefoon nummer gewoon zo in het openbaar en je bent ervan verbaasd dat er misbruik van gemaakt word? Serieus?

Daarbuiten, op welke manier is het simpel zijn fout dat er misbruik word gemaakt van je nummer? Simpel int gewoon de rekening voor welke bedragen er via jou nummer binnenkomen. Dat er misbruik van gemaakt is, dat moet je bij de politie melden, niet bij Simpel.

Maar ff OT: Ben zelf ook klant bij Simpel. De support is niet erg super en ook het inloggen is erg vreemd(of het onveilig is laat ik erbuiten), er moet eerst echt een vinkje staan in het veld voordat je kunt inloggen, erg vervelend.

Verder, tja wat verwacht je voor de prijs? Het is toch wat goedkoper dan andere providers, en tja, dan is de service ook gewoon minder. Je verwacht toch ook geen 5 sterren service in een 1 ster restaurant of wel?
11-02-2013, 18:00 door Anoniem
Door Anoniem: Gelukkig is het /resources/js/validatie.js die het wachtwoord controleert

rege = /^((?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[._!@#$%]).{8,50})$/i;
Even wat javascript aanpassen en een 1 char wachtwoord werkt ook. Wel makkelijk, want ik vergeet mijn wachtwoorden altijd.

Ik zou de i vlag niet gebruiken. Als i (case insensitive) er staat, dan is de aanwezigheid in het wachtwoord van een of meer hoofdletters niet verplicht.
25-06-2013, 14:30 door Anoniem
ik stuur aan de lopende band e-mails naar Simpel en ontvang eveneens aan de lopende band e-mails terug. Het een en ander heeft te maken dat ik de Simpelfakturen niet kan inzien omdat mijn (waarom eigenlijk?) wachtwoord (nogmaals: niet door mij) is gewijzigd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.