Gekraakte telefooncentrale kost ondernemer NZ 17.000 euro
Een Nieuw-Zeelandse ondernemer moet waarschijnlijk 17.000 euro betalen nadat criminelen via een standaard wachtwoord toegang tot zijn bedrijfstelefooncentrale kregen en er vervolgens internationale telefoongesprekken via lieten lopen, wat voor een torenhoge rekening zorgde.
Volgens ondernemer Alan Ray was het standaardwachtwoord '0000' tijdens de installatie van het PABX-systeem door zijn telecomprovider niet gewijzigd. "De standaardwachtwoorden zijn zeer eenvoudig om te achterhalen, aangezien het algemeen bekend is wat de verschillende PABX-merken als wachtwoord gebruiken", aldus Ray tegenover Sun Live.
In een periode van slechts twee dagen werd er via het gekraakte voicemailsysteem voor 17.000 euro aan gesprekken gerouteerd. Ray ontdekte de fraude pas na twee maanden. Inmiddels zijn alle voicemaildiensten van de centrale verwijderd. Op dit moment is de ondernemer nog in gesprek met zijn telecomprovider om te kijken wat er met de rekening kan worden gedaan, maar hij zou al zijn verteld dat hij voor de kosten verantwoordelijk is.
Ik werk bij een beveiliging bedrijf en kan je uit een recent incident vertellen dat dit helaas wel het geval is. In mijn voorbeeld was de schade gelukkig beperkt voor de klant. Echter vertelde de vriendelijke helpdesk van de provider dat dit gemiddeld 5 ondernemers per week overkomt met een gemiddelde rekening van 2200 euro. En je bent geheel zelf aansprakelijk!
een speciaal nummer konden bellen en dan na ingave van wat codes bijvoorbeeld hun voicemail konden terugluisteren, hun
aanwezig/afwezig status konden aanpassen, en: hun telefoontjes konden doorschakelen naar een ander nummer.
Ik heb daar van de zijlijn de zorg geuit dat dit wel eens heel onveilig zou kunnen zijn en heel duur zou kunnen uitpakken,
maar het bleek al snel dat het grootste deel van de medewerkers van de leverancier dit maar gezeur vond en dat dit in de
praktijk nooit een probleem was. Er was er EEN die het helemaal met mij eens was en verschillende voorbeelden gaf van
gevallen waarin dit fout gegaan was. Er was zelfs een systeempincode waarmee je nog meer kon en die in de praktijk
nooit veranderd werd, en niemand was er zeker van dat er niet ook nog een fabrikantpincode was die we niet wisten en
niet konden veranderen.
Ik heb het aan de orde gesteld bij de verantwoordelijken maar zoals het meestal gaat wordt dit soort input van techneuten
toch nooit echt serieus verwerkt, het gaat ten onder in het enthousiasme over de prachtige nieuwe centrale en hoe die de
bereikbaarheid geweldig verbeterd heeft. Verkopers hoor je dan ook helemaal niet over dit soort issues.
Die bewuste medewerker heeft nog wel wat instellinkjes veranderd om het allemaal wat meer dicht te timmeren, maar het
zou me niks verbazen als er nog steeds een lek in zit.
Als ik er voor verantwoordelijk was dan zouden dat soort interfaces niet naar buiten open staan...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
