Amerikaanse nutsbedrijven slaan wachtwoorden in plain text op
Ruim honderd Amerikaanse nutsbedrijven hebben de afgelopen jaren de wachtwoorden van hun klanten in plain text opgeslagen en doen dit mogelijk nog steeds. Een beveiligingsonderzoeker ontdekte afgelopen september dat zijn nutsbedrijf zijn wachtwoord in plain text in de database had opgeslagen.
In plaats van een wachtwoordresetfunctie bleek het nutsbedrijf gebruikers hun bestaande wachtwoord te mailen als ze de laatste vier cijfers van hun telefoonnummer invoerden. De website was ontwikkeld door een Amerikaans it-bedrijf. Daarop besloot de onderzoeker naar meer websites van nutsbedrijven te zoeken die door hetzelfde bedrijf waren gemaakt en over dezelfde wachtwoordherstelfunctie beschikten.
Volgens Ars Technica gaat het om 139 nutsbedrijven die naar schatting meer dan 15 miljoen klanten hebben. De onderzoeker waarschuwde het it-bedrijf, maar dat negeerde de meldingen. Uiteindelijk ontving de onderzoeker zelfs een e-mail van een advocaat waarin werd gevraagd om het personeel niet meer te benaderen. Ook stelde het bedrijf dat de onderzoeker het bij het verkeerde eind had.
De afgelopen weken zijn verschillende websites inmiddels gepatcht, waarbij gebruikers een resetlink in hun e-mail ontvangen in plaats van het wachtwoord. Hoe de websites de wachtwoorden opslaan is echter niet bekend. Het risico van het opslaan van wachtwoorden in plain text is dat als een aanvaller toegang tot de database weet te krijgen, hij meteen alle wachtwoorden in handen heeft. Al jaren worden dergelijke bedrijven via de website PlainTextOffenders.com aan de schandpaal genageld.
Met een gecrypt wachtwoord kan je nooit deze conclusie trekken.
Op navraag mij MS over dit "probleem" heb ik nooit een echt antwoord gehad.
Dus maar even wachten tot daar de boel gehacked wordt en er liggen opeens een paar miljard paswoorden op tafel.
Ik weet niet er in jouw situatie precies gedaan wordt, maar er zijn mogelijkheden om vergelijkingen te maken zonder plaintext-wachtwoorden op te slaan.
Ze kunnen dus alleen checken mbt "lijkt op" je vorige wachtwoord en daarnaast op "gelijk aan" een aantal vorige
wachtwoorden.
Met een gecrypt wachtwoord kan je nooit deze conclusie trekken.
.....
Of je na aanloggen met een token propagatie krijgt, of dat je via een decryptie naar een extern systeem doorgeschakeld wordt, het blijft op een punt kwetsbaar maar is in ieder geval herleidbaar tot een persoon.
Het gebruik van shared accounts, hard coded user passwords, certificaten is veel erger. Niet traceerbaar of herleidbaar.
Dat laatste is in open source, denk aan iot, gangbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
