Nieuws

Gegevens Nederlandse telecomklanten slecht beveiligd

dinsdag 8 december 2015, 12:13 door Redactie, 12 reacties

Elektronicaketen Media Markt en telecomketen Phone House hebben het wachtwoordbeleid aangepast en verschillende andere maatregelen doorgevoerd nadat een beveiligingsonderzoeker ontdekte dat de gegevens van miljoenen Nederlandse telecomklanten slecht waren beveiligd.

Sijmen Ruwhof bezocht afgelopen september de Media Markt in Utrecht om zijn telefoonabonnement te vernieuwen. Dat deed hij via Phone House, dat vanuit de Media Markt opereert. Om het abonnement te verlengen opende de werknemer een Excel-bestand met allerlei wachtwoorden. Het ging om inloggegevens voor de dealerportalen van verschillende telecomaanbieders, zoals KPN en Vodafone. De wachtwoorden bleken zeer zwak te zijn en het bestand was in Google Docs opgeslagen.

Een paar weken later keerde Ruwhof terug om te zien of hij een werknemer het wachtwoordbestand kon laten openen. Dit keer maakte hij een foto waarop de wachtwoorden duidelijk te zien zijn. Via internet vond hij verschillende portalen die vanaf het internet voor iedereen toegankelijk waren en waar hij waarschijnlijk de wachtwoorden uit de Excel-sheet kon gebruiken. Iets wat hij uiteindelijk niet deed, omdat dit strafbaar is.

De onderzoeker benaderde de Media Markt. In eerste instantie reageerde het bedrijf vijandig, maar nadat Ruwhof zijn intenties duidelijk maakte werd ernaar een oplossing gewerkt. Tevens lichtte hij ook de betrokken telecomproviders in. Zo veranderde KPN het wachtwoordbeleid voor de dealerportaal. Media Markt en Phone wijzigden uiteindelijk ook het wachtwoordbeleid, besloten een digitale wachtwoordkluis te gebruiken en privacyschermen te installeren, zodat anderen niet kunnen meekijken.

Gartner: fitnesstracker gaat stressniveau werknemer meten

Google vernieuwt Authenticator voor Android

Reacties (12)

08-12-2015, 12:36 door Anoniem

Goed bezig ....

08-12-2015, 14:28 door Anoniem

Even voor de duidelijkheid, enkele gebruikte wachtwoorden waren:

- m
- vodafone14454
- Welkom03
- beginnen01
- msh0041

Jep. Een éénletterig wachtwoord ("m") werd bij KPN geaccepteerd als wachtwoord voor een portaal met NAW gegevens van bijna alle Nederlandse inwoners. Eén letter.

En dat allemaal óók nog eens in, jawel, Google Drive.

Bron: https://ic.tweakimg.net/ext/i/2000874186.png (feitelijke screenshot van de spreadsheet, afkomstig van Tweakers.net)

Het is gewoon echt diep triest. Security heeft prioriteit 0. Hier faalt management en ICT van zowel KPN, MediaMarkt als ThePhoneHouse. En niet één medewerker die hier ooit vraagtekens bij heeft gezet? Het is een grove schande.

08-12-2015, 14:30 door Anoniem

2FA scheelt..

08-12-2015, 15:23 door Anoniem

En dan adverteren met "ik ben toch niet gek..."

08-12-2015, 17:04 door [Account Verwijderd]

Het is een grove schande.

Glas, plas, was.

08-12-2015, 17:07 door Anoniem

Dat dit nu pas naar boven komt....
Al vele jaren zijn die dealers portals van telecomproviders slecht beveiligd.

En dat is niet het enige.
Zo was enkele jaren geleden een webservice van een telecomprovider voor een behoorlijke tijd onbeveiligd omdat een certificaat niet wilde werken.
Iedereen kon zo met wat simple handelingen van alles doen, mits je de deeplink had.
Maar zodra er maar iets fout gaat bij een dealer, dan werd je nog net niet voor een vuurpeleton gezet.

Zo ook die prijswijzigingen van abbo's in de afgelopen jaren..
Wist van alle providers al weken, soms zelfs enkele maanden van te voren dat de prijzen werden verhoogd.
Maar er is geen sprake van prijsafspraken volgens onderzoeken...bullshit...corrupte bende die telecomwereld.

08-12-2015, 17:07 door Anoniem

Moeilijk wachtwoord om in te loggen op mijn werk?..... Ik ben toch zeker niet gek!

Zolang snelle verwerkbaarheid voor alle werknemers prevaleert, boven tijd/geldrovende inlog procedures.
Word het nooit wat met data sanity in Nederland.

Ik verwacht dat het grosso modo van MKB ook gebruikt maakt van luizige wachtwoorden.
Veiligheids denken zit niet ingebakken in de cultuur, Ook niet in veel individuele gebruikers.
Inloggen wordt gezien als een vervelende/tijdrovende bezigheid.
Eenmaal ingelogd hou je dus je venster open.

08-12-2015, 21:17 door karma4

Door Anoniem:Zolang snelle verwerkbaarheid voor alle werknemers prevaleert, boven tijd/geldrovende inlog procedures. Word het nooit wat met data sanity in Nederland.

Je kaart exact de root-cause aan. Waarom moet security met tijd/geldrovende inlog procedures gepaard gaan?
Als je veilig en niet tijdrovend kan krijgen tegen acceptable kosten dan kan het wat worden. Begin met risico/impact....
Waar blijft die benadering?

08-12-2015, 21:40 door [Account Verwijderd]

Door Anoniem:... corrupte bende die telecomwereld.

08-12-2015, 23:36 door johanw

Afgezien van de waardeloze beveiliging betekend dit blijkbaar dat elke verkoper in een telecomwinkel de NAW gegevens van iedereen met een abonnement kan inzien? Dat lijkt me nog veel erger dan dit gebrek aan beveiliging.

09-12-2015, 07:52 door Anoniem

Door karma4:

Door Anoniem:Zolang snelle verwerkbaarheid voor alle werknemers prevaleert, boven tijd/geldrovende inlog procedures. Word het nooit wat met data sanity in Nederland.

Omdat je voor een veilig maar niet-tijdrovend stel procedures mensen moet hebben die geïnteresseerd zijn in de werking van die beveiliging, doordat aardig wat mensen het als een obstakel beschouwen zijn ze helaas niet geïnteresseerd "Nóg meer tijd in die onzin te steken", en steken zo uiteindelijk Méér tijd er in en zijn minder efficient.
Om dat te realiseren zou men echter nog 2 tellen langer na moeten denken, en dat is voor de standaardgebruiker helaas óók al te veel gevraagd om te doen vóórdat iets in de soep loopt.

"Wij" zijn veel meer gewend preventief op te moeten treden, deze mensen re-ageren alleen op de rest van het proces.
Kijk eens als simpel voorbeeld naar hoe veel mensen lijken te realiseren hoe wachtwoord-entropie werkt, een van de basisonderdelen van het wachtwoordsysteem...

09-12-2015, 20:41 door karma4

Ach best slimme jongens de telecomboeren. Ze hebben geregeld dat ze buiten de komende datalek blijven.
Met die aparte regeling is het boetebedrag op de helft van die wat het CBP hanteert gelimiteerd.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer