Een vestiging van de MediaMarkt had wachtwoorden die toegang tot de gegevens van Nederlandse telecomklanten gaven slecht beveiligd, zo ontdekte beveiligingsonderzoeker Sijmen Ruwhof, die eind 2015 hetzelfde probleem ook al aan de kaak stelde. Net als drie jaar geleden werd er binnen de MediaMarkt-vestiging nog steeds met een Excel-sheet gewerkt die inloggegevens voor de dealerportalen van verschillende telecomaanbieders bevatte.
De werknemer opent in het bijzijn van Ruwhof de Excel-sheet, die zo alle wachtwoorden kan zien en een foto hiervan maakt. Het Excel-bestand is via Google Docs opgeslagen en bevat allerlei zwakke wachtwoorden. Ook de gebruikersnaam en het wachtwoord voor het Google Docs-account zijn zichtbaar in de sheet. De onderzoeker is verbaasd, aangezien hetzelfde probleem zoals gezegd drie jaar geleden ook al speelde. Destijds besloot de MediaMarkt het wachtwoordbeleid aan te passen en wijzigde KPN het wachtwoord van het dealerportaal.
"Klaarblijkelijk vonden niet alle individuele winkeleigenaren van de MediaMarkt-franchise dat het belangrijk genoeg was om de telecomwachtwoordendatabase te beveiligen en hebben letterlijk niets gedaan. Niemand heeft gecontroleerd of alle winkels zich aan het nieuwe beveiligingsbeleid hielden", aldus de onderzoeker in een blogposting. Verder blijkt dat de winkelmedewerkers de computers die voor het inloggen op de dealerportalen worden gebruikt nooit vergrendelen.
Na te zijn ingelicht heeft MediaMarkt de wachtwoorden bij alle vestigingen aangepast en is het wachtwoordbeleid aangescherpt. Tevens zijn medewerkers opnieuw geïnformeerd dat klanten niet met wachtwoorden moeten kunnen meekijken. KPN heeft daarnaast besloten om tweefactorauthenticatie voor hun dealerportaal te implementeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.