Nieuws

MediaMarkt weer de fout in met wachtwoorden dealerportaal

vrijdag 26 januari 2018, 08:24 door Redactie, 10 reacties

Een vestiging van de MediaMarkt had wachtwoorden die toegang tot de gegevens van Nederlandse telecomklanten gaven slecht beveiligd, zo ontdekte beveiligingsonderzoeker Sijmen Ruwhof, die eind 2015 hetzelfde probleem ook al aan de kaak stelde. Net als drie jaar geleden werd er binnen de MediaMarkt-vestiging nog steeds met een Excel-sheet gewerkt die inloggegevens voor de dealerportalen van verschillende telecomaanbieders bevatte.

De werknemer opent in het bijzijn van Ruwhof de Excel-sheet, die zo alle wachtwoorden kan zien en een foto hiervan maakt. Het Excel-bestand is via Google Docs opgeslagen en bevat allerlei zwakke wachtwoorden. Ook de gebruikersnaam en het wachtwoord voor het Google Docs-account zijn zichtbaar in de sheet. De onderzoeker is verbaasd, aangezien hetzelfde probleem zoals gezegd drie jaar geleden ook al speelde. Destijds besloot de MediaMarkt het wachtwoordbeleid aan te passen en wijzigde KPN het wachtwoord van het dealerportaal.

"Klaarblijkelijk vonden niet alle individuele winkeleigenaren van de MediaMarkt-franchise dat het belangrijk genoeg was om de telecomwachtwoordendatabase te beveiligen en hebben letterlijk niets gedaan. Niemand heeft gecontroleerd of alle winkels zich aan het nieuwe beveiligingsbeleid hielden", aldus de onderzoeker in een blogposting. Verder blijkt dat de winkelmedewerkers de computers die voor het inloggen op de dealerportalen worden gebruikt nooit vergrendelen.

Na te zijn ingelicht heeft MediaMarkt de wachtwoorden bij alle vestigingen aangepast en is het wachtwoordbeleid aangescherpt. Tevens zijn medewerkers opnieuw geïnformeerd dat klanten niet met wachtwoorden moeten kunnen meekijken. KPN heeft daarnaast besloten om tweefactorauthenticatie voor hun dealerportaal te implementeren.

Mozilla patcht kwetsbaarheden in e-mailclient Thunderbird

Volkskrant: AIVD keek mee met Russische hackersgroep

Reacties (10)

26-01-2018, 09:06 door Anoniem

Er wordt een beleidsdocument aangepast, er wordt een memo rondgestuurd waarin wordt benadrukt dat het belangrijk is, en daarmee heeft het hogere management zijn ding gedaan. Alleen zijn er veel meer memo's die benadrukken hoe belangrijk ze zijn en heeft op zijn minst een deel van de mensen bij wie het terecht komt het zo druk-druk-druk dat het ondoenlijk is om overal volle aandacht aan te geven. Dat er niet (of niet voldoende) gecontroleerd is of het beleid wel wordt nageleefd klopt, maar daar geldt net zo goed dat veel mensen het te druk hebben om alles goed te doen.

Dit soort dingen gebeurt in elke organisatie waar werkdruk bestaat, werkdruk bestaat overal waar op kosten gelet moet worden, en dat is zo'n beetje overal.

26-01-2018, 11:34 door Anoniem

Door Anoniem: Er wordt een beleidsdocument aangepast, er wordt een memo rondgestuurd waarin wordt benadrukt dat het belangrijk is, en daarmee heeft het hogere management zijn ding gedaan. Alleen zijn er veel meer memo's die benadrukken hoe belangrijk ze zijn en heeft op zijn minst een deel van de mensen bij wie het terecht komt het zo druk-druk-druk dat het ondoenlijk is om overal volle aandacht aan te geven. Dat er niet (of niet voldoende) gecontroleerd is of het beleid wel wordt nageleefd klopt, maar daar geldt net zo goed dat veel mensen het te druk hebben om alles goed te doen.

Dit soort dingen gebeurt in elke organisatie waar werkdruk bestaat, werkdruk bestaat overal waar op kosten gelet moet worden, en dat is zo'n beetje overal.

Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft. Denk ook zeker niet dat de mensen op de werkvloer hiervoor verantwoordelijk zijn maar het hoger management zeker wel, het management had moeten borgen dat deze gegevens wel goed afgeschermd zijn en hiervoor zijn meerdere middelen te verzinnen (controleren beleid, technische oplossingen waarbij het scherm automatisch gelockt wordt, PC niet in een publieke ruimte zetten, ect). Snap dat dit geld kost maar hiervoor was het management niet bereid voor om in te investeren, een boete lijkt me dan ook zeker op zijn plaats.

26-01-2018, 12:21 door Tha Cleaner

Door Anoniem:Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft. Denk ook zeker niet dat de mensen op de werkvloer hiervoor verantwoordelijk zijn maar het hoger management zeker wel, het management had moeten borgen dat deze gegevens wel goed afgeschermd zijn en hiervoor zijn meerdere middelen te verzinnen (controleren beleid, technische oplossingen waarbij het scherm automatisch gelockt wordt, PC niet in een publieke ruimte zetten, ect). Snap dat dit geld kost maar hiervoor was het management niet bereid voor om in te investeren, een boete lijkt me dan ook zeker op zijn plaats.

Het lastigste hierbij is.... Je kan alles perfect bedenken en controleren. Maar als de werkvloer het niet doet, om wat voor redenen ook, kan is het verdomde lastige te voorkomen.

En juist wachtwoorden vallen daar onder. Diverse personen moeten deze uit hun hoofd weten, en als ze te moeilijk zijn.... Tja wat ga je dan doen...... Dan schrijf je het op.... Of je neemt een heel gemakkelijk wachtwoord dat iedereen kan onthouden.

Een betere methode zou zijn, client certifcaat based authenticatie icm een in code op de webportal, of een gekoppeld systeem aan het MM eigen systeem, zodat de communicatie met de backend plaats vind en niet bij de gebruikers.

26-01-2018, 12:32 door Anoniem

Een interne controle starten binnen deze mediamarkt vestiging op corruptie kan geen kwaad,
intern even gaan onderzoeken.

Rudolf.

26-01-2018, 16:09 door Anoniem

Door Tha Cleaner:

Het lastigste hierbij is.... Je kan alles perfect bedenken en controleren. Maar als de werkvloer het niet doet, om wat voor redenen ook, kan is het verdomde lastige te voorkomen.

Dit geeft ook wel een deelse oorzaak van het structurele probleem aan; bij grotere organisaties is de sociale/collegiale controle veel minder aanwezig. Het management raakt het overzicht makkelijker kwijt, met als gevolg dat dit soort problemen kunnen ontstaan.

Eigenlijk moet er een werkomgeving ontstaan, waar veiligheidsbewustzijn geen nagedachte is. Op zo'n manier dat de gewenste weg uitnodigend is voor de werknemers, of in ieder geval niet alleen maar extra moeite oplevert. Wellicht moeten ze dan een nieuwe POS omgeving in gebruik nemen, of een persoon op de werkvloer zetten die werknemers help dit soort zaken aan te leren.

26-01-2018, 16:37 door Anoniem

Het betreft een shop-in-shop situatie. De verantwoordelijke partij is niet de MafiaMarkt zelf, maar het telecombedrijf dat het contract afsloot en daarvoor de juiste gegevens en documenten nodig had.

27-01-2018, 11:06 door Anoniem

Door Anoniem: Het betreft een shop-in-shop situatie. De verantwoordelijke partij is niet de MafiaMarkt zelf, maar het telecombedrijf dat het contract afsloot en daarvoor de juiste gegevens en documenten nodig had.

Dat maakt de onderzoeker, de populaire media en de kijkers echt niets uit. En een paar minuten later, een paar weken later of een paar maanden later maakt het de kijkers, de populaire media en de onderzoeker het al helemaal niets meer uit want dan zijn ze andere onderwerpen interessanter. Tot iemand er bij toeval weer even aan terug denkt en dan begint het feestje opnieuw. Zo werken onderzoekers, populaire media en de kijkers.

27-01-2018, 15:11 door Anoniem

Door Anoniem: Helemaal eens, maar dit praat nog niet goed dat Mediamarkt de zaken nog steeds niet onder controle heeft.

Zo bedoelde ik het ook niet. :-)

27-01-2018, 17:41 door karma4

Grootste probleem een journalist die uit is op aandacht laten zien hoe er gewerkt wordt.
Gewoon alle journalisten buiten de deur houden probleem opgelost. Is er in dit geval een probleem?
NEE er zijn geen persoonsgevens aan de orde. De journalist is het enkel niet eens met de ICT aanvulling. Dat is een keuze van mediamarkt met de auditor als controleur.

Waar je eerder echte problemen hebt zijn de schaduw-ict oplossingen waar een externe partij ineens via een RDP alle toegang tot het interne netwerk gegeven wordt. Minder zichtbaar maar veel gangbaarder en risicovoller.

27-01-2018, 21:10 door Anoniem

Reactie Media Markt:
https://www.mediamarkt.nl/nl/shop/mm-reactie-nos.html

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer