image

MediaMarkt weer de fout in met wachtwoorden dealerportaal

vrijdag 26 januari 2018, 08:24 door Redactie, 10 reacties

Een vestiging van de MediaMarkt had wachtwoorden die toegang tot de gegevens van Nederlandse telecomklanten gaven slecht beveiligd, zo ontdekte beveiligingsonderzoeker Sijmen Ruwhof, die eind 2015 hetzelfde probleem ook al aan de kaak stelde. Net als drie jaar geleden werd er binnen de MediaMarkt-vestiging nog steeds met een Excel-sheet gewerkt die inloggegevens voor de dealerportalen van verschillende telecomaanbieders bevatte.

De werknemer opent in het bijzijn van Ruwhof de Excel-sheet, die zo alle wachtwoorden kan zien en een foto hiervan maakt. Het Excel-bestand is via Google Docs opgeslagen en bevat allerlei zwakke wachtwoorden. Ook de gebruikersnaam en het wachtwoord voor het Google Docs-account zijn zichtbaar in de sheet. De onderzoeker is verbaasd, aangezien hetzelfde probleem zoals gezegd drie jaar geleden ook al speelde. Destijds besloot de MediaMarkt het wachtwoordbeleid aan te passen en wijzigde KPN het wachtwoord van het dealerportaal.

"Klaarblijkelijk vonden niet alle individuele winkeleigenaren van de MediaMarkt-franchise dat het belangrijk genoeg was om de telecomwachtwoordendatabase te beveiligen en hebben letterlijk niets gedaan. Niemand heeft gecontroleerd of alle winkels zich aan het nieuwe beveiligingsbeleid hielden", aldus de onderzoeker in een blogposting. Verder blijkt dat de winkelmedewerkers de computers die voor het inloggen op de dealerportalen worden gebruikt nooit vergrendelen.

Na te zijn ingelicht heeft MediaMarkt de wachtwoorden bij alle vestigingen aangepast en is het wachtwoordbeleid aangescherpt. Tevens zijn medewerkers opnieuw geïnformeerd dat klanten niet met wachtwoorden moeten kunnen meekijken. KPN heeft daarnaast besloten om tweefactorauthenticatie voor hun dealerportaal te implementeren.

Reacties (10)
26-01-2018, 09:06 door Anoniem
Er wordt een beleidsdocument aangepast, er wordt een memo rondgestuurd waarin wordt benadrukt dat het belangrijk is, en daarmee heeft het hogere management zijn ding gedaan. Alleen zijn er veel meer memo's die benadrukken hoe belangrijk ze zijn en heeft op zijn minst een deel van de mensen bij wie het terecht komt het zo druk-druk-druk dat het ondoenlijk is om overal volle aandacht aan te geven. Dat er niet (of niet voldoende) gecontroleerd is of het beleid wel wordt nageleefd klopt, maar daar geldt net zo goed dat veel mensen het te druk hebben om alles goed te doen.

Dit soort dingen gebeurt in elke organisatie waar werkdruk bestaat, werkdruk bestaat overal waar op kosten gelet moet worden, en dat is zo'n beetje overal.
26-01-2018, 11:34 door Anoniem
Door Anoniem: Er wordt een beleidsdocument aangepast, er wordt een memo rondgestuurd waarin wordt benadrukt dat het belangrijk is, en daarmee heeft het hogere management zijn ding gedaan. Alleen zijn er veel meer memo's die benadrukken hoe belangrijk ze zijn en heeft op zijn minst een deel van de mensen bij wie het terecht komt het zo druk-druk-druk dat het ondoenlijk is om overal volle aandacht aan te geven. Dat er niet (of niet voldoende) gecontroleerd is of het beleid wel wordt nageleefd klopt, maar daar geldt net zo goed dat veel mensen het te druk hebben om alles goed te doen.

Dit soort dingen gebeurt in elke organisatie waar werkdruk bestaat, werkdruk bestaat overal waar op kosten gelet moet worden, en dat is zo'n beetje overal.

Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft. Denk ook zeker niet dat de mensen op de werkvloer hiervoor verantwoordelijk zijn maar het hoger management zeker wel, het management had moeten borgen dat deze gegevens wel goed afgeschermd zijn en hiervoor zijn meerdere middelen te verzinnen (controleren beleid, technische oplossingen waarbij het scherm automatisch gelockt wordt, PC niet in een publieke ruimte zetten, ect). Snap dat dit geld kost maar hiervoor was het management niet bereid voor om in te investeren, een boete lijkt me dan ook zeker op zijn plaats.
26-01-2018, 12:21 door Tha Cleaner
Door Anoniem:Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft. Denk ook zeker niet dat de mensen op de werkvloer hiervoor verantwoordelijk zijn maar het hoger management zeker wel, het management had moeten borgen dat deze gegevens wel goed afgeschermd zijn en hiervoor zijn meerdere middelen te verzinnen (controleren beleid, technische oplossingen waarbij het scherm automatisch gelockt wordt, PC niet in een publieke ruimte zetten, ect). Snap dat dit geld kost maar hiervoor was het management niet bereid voor om in te investeren, een boete lijkt me dan ook zeker op zijn plaats.

Het lastigste hierbij is.... Je kan alles perfect bedenken en controleren. Maar als de werkvloer het niet doet, om wat voor redenen ook, kan is het verdomde lastige te voorkomen.

En juist wachtwoorden vallen daar onder. Diverse personen moeten deze uit hun hoofd weten, en als ze te moeilijk zijn.... Tja wat ga je dan doen...... Dan schrijf je het op.... Of je neemt een heel gemakkelijk wachtwoord dat iedereen kan onthouden.

Een betere methode zou zijn, client certifcaat based authenticatie icm een in code op de webportal, of een gekoppeld systeem aan het MM eigen systeem, zodat de communicatie met de backend plaats vind en niet bij de gebruikers.
26-01-2018, 12:32 door Anoniem
Een interne controle starten binnen deze mediamarkt vestiging op corruptie kan geen kwaad,
intern even gaan onderzoeken.


Rudolf.
26-01-2018, 16:09 door Anoniem
Door Tha Cleaner:
Door Anoniem:Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft. Denk ook zeker niet dat de mensen op de werkvloer hiervoor verantwoordelijk zijn maar het hoger management zeker wel, het management had moeten borgen dat deze gegevens wel goed afgeschermd zijn en hiervoor zijn meerdere middelen te verzinnen (controleren beleid, technische oplossingen waarbij het scherm automatisch gelockt wordt, PC niet in een publieke ruimte zetten, ect). Snap dat dit geld kost maar hiervoor was het management niet bereid voor om in te investeren, een boete lijkt me dan ook zeker op zijn plaats.

Het lastigste hierbij is.... Je kan alles perfect bedenken en controleren. Maar als de werkvloer het niet doet, om wat voor redenen ook, kan is het verdomde lastige te voorkomen.

Dit geeft ook wel een deelse oorzaak van het structurele probleem aan; bij grotere organisaties is de sociale/collegiale controle veel minder aanwezig. Het management raakt het overzicht makkelijker kwijt, met als gevolg dat dit soort problemen kunnen ontstaan.

Eigenlijk moet er een werkomgeving ontstaan, waar veiligheidsbewustzijn geen nagedachte is. Op zo'n manier dat de gewenste weg uitnodigend is voor de werknemers, of in ieder geval niet alleen maar extra moeite oplevert. Wellicht moeten ze dan een nieuwe POS omgeving in gebruik nemen, of een persoon op de werkvloer zetten die werknemers help dit soort zaken aan te leren.
26-01-2018, 16:37 door Anoniem
Het betreft een shop-in-shop situatie. De verantwoordelijke partij is niet de MafiaMarkt zelf, maar het telecombedrijf dat het contract afsloot en daarvoor de juiste gegevens en documenten nodig had.
27-01-2018, 11:06 door Anoniem
Door Anoniem: Het betreft een shop-in-shop situatie. De verantwoordelijke partij is niet de MafiaMarkt zelf, maar het telecombedrijf dat het contract afsloot en daarvoor de juiste gegevens en documenten nodig had.
Dat maakt de onderzoeker, de populaire media en de kijkers echt niets uit. En een paar minuten later, een paar weken later of een paar maanden later maakt het de kijkers, de populaire media en de onderzoeker het al helemaal niets meer uit want dan zijn ze andere onderwerpen interessanter. Tot iemand er bij toeval weer even aan terug denkt en dan begint het feestje opnieuw. Zo werken onderzoekers, populaire media en de kijkers.
27-01-2018, 15:11 door Anoniem
Door Anoniem: Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft.
Zo bedoelde ik het ook niet. :-)
27-01-2018, 17:41 door karma4
Grootste probleem een journalist die uit is op aandacht laten zien hoe er gewerkt wordt.
Gewoon alle journalisten buiten de deur houden probleem opgelost. Is er in dit geval een probleem?
NEE er zijn geen persoonsgevens aan de orde. De journalist is het enkel niet eens met de ICT aanvulling. Dat is een keuze van mediamarkt met de auditor als controleur.

Waar je eerder echte problemen hebt zijn de schaduw-ict oplossingen waar een externe partij ineens via een RDP alle toegang tot het interne netwerk gegeven wordt. Minder zichtbaar maar veel gangbaarder en risicovoller.
27-01-2018, 21:10 door Anoniem
Reactie Media Markt:
https://www.mediamarkt.nl/nl/shop/mm-reactie-nos.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.