Nieuws

T-mobile-klanten mailen privédata naar verkeerde 'klanteservice'

zondag 23 juni 2019, 18:05 door Redactie, 15 reacties

Klanten van telecomprovider T-Mobile die de klantenservice wilden bereiken hebben persoonlijke en gevoelige gegevens naar een andere klant gestuurd omdat ze het e-mailadres "klanteservice@" gebruikten. Dit adres was jaren geleden door beveiligingsonderzoeker Sander Lentink geregistreerd.

Lentink had al die tijd niet meer naar het account gekeken, maar besloot dat onlangs te doen. De mailbox bleek inmiddels 137 megabyte groot te zijn. "Dit kwam omdat veel e-mails die verstuurd werden documenten bevatten, zoals ingescande identiteitsbewijzen, bankgegevens, huur/koop-contracten en andere gevoelige informatie", zo laat de onderzoeker aan Security.NL weten. Zelf ontving de onderzoeker meer dan 200 e-mails op het adres klanteservice@vodafonethuis.nl, dat later overging in tmobilethuis.nl en t-mobilethuis.nl.

Volgens Lentink valt T-Mobile niets te verwijten, maar zijn het de klanten die de fout ingingen. "Deze typo is echter snel gemaakt, net zoals suport in plaats van support", zo laat de onderzoeker in een blog op zijn eigen website weten. Na de ontdekking waarschuwde hij T-Mobile, dat liet weten het e-mailadres te zullen gaan blokkeren. Tevens ontving de onderzoeker een bluetooth-speaker als bedankje voor zijn melding.

Gemeenten plaatsen toezichtcamera's bij afvalcontainers

TripAdvisor reset hergebruikte wachtwoorden van gebruikers

Reacties (15)

23-06-2019, 23:56 door Anoniem

Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?

24-06-2019, 06:39 door spatieman

oooh, meer als pijnlijk.
dit soort alliasses zou je eigenlijk al op de core moeten blokkeren dat aanmaken al niet mogelijk is.

24-06-2019, 08:15 door sjonniev

Door Anoniem: Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?

Uiteraard niet.

24-06-2019, 08:45 door Anoniem

De basis van het probleem is natuurlijk dat er mensen zijn die email gebruiken voor gegevens die daar niet thuis horen.
Zoals persoonlijke gegevens...

24-06-2019, 09:00 door jh81

Door Anoniem: Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?

Nee, want er is geen data gelekt.
T-Mobile is geen eigenaar van deze mailbox, en de onderzoeker heeft de data niet openbaar gemaakt.
Als iemand anders dan hijzelf zichzelf toegang had verschaft tot die mailbox DAN was er sprake van een datalek. Maar zelfs dan is het onwaarschijnlijk dat hij een melding moet doen, omdat hij een privepersoon is, en geen bedrijf (of handelde namens een bedrijf)

Dit valt gewoon onder het kopje "beter kijken de volgende keer".

Eigenlijk zouden klantenservice etc. sowieso niet bereikbaar moeten zijn per mail.
Richt een webportal in met een formulier, dan kan de eindgebruiker ook geen typfout maken, en kan het ook niet uitkomen bij klatneservice@ (typfout die ik alleen in dit bericht al twee keer gemaakt heb), klanteservice@, etc etc.

24-06-2019, 09:11 door Anoniem

Raar verhaal, het gaat erom wat er achter de @ staat, het domein dus. Het domein vodafonethuis.nl is volgens de SIDN geregistreerd door Vodafone, dus mail zou dus bij Vodafone uit moeten komen. Als klanteservice als mailadres niet bestaat zou de mail gebounced worden door de mailserver van Vodafone.

Hoe de mail dan bij Sander Lentink terecht komt is mij een raadsel, of het hele verhaal slaat nergens op of ontbreekt er nog ergens cruciale informatie?

24-06-2019, 10:04 door jh81

Volgens mij kon je een paar jaar geleden zelf een mailadres aanmaken als je een tmobile abbo had.

Eigenlijk hadden ze toen dergelijke adressen moeten blokkeren voor eindgebruikers, maar blijkbaar hebben ze dat niet gedaan :)

24-06-2019, 11:14 door Anoniem

Heb jarenlang een no-reply adres bij 'n Nederlandse provider gehad. Op die wijze tienduizenden naw-gegevens op een presenteerblaadje gekregen. Op een gegeven moment liet ik de mails maar forwarden naar adressen van de directie, toen duurde het nog een aantal weken voordat ze toch maar eens contact met me opnamen. En hun oplossing; het mailadres overnemen en de inbox vol laten stromen.

24-06-2019, 12:22 door Anoniem

Waarom is dit alias niet aan het primair email adres gekoppeld ?

Dat had in ieder geval dit issue voorkomen

24-06-2019, 12:27 door Briolet

Door Anoniem: Raar verhaal, …
Hoe de mail dan bij Sander Lentink terecht komt is mij een raadsel, of het hele verhaal slaat nergens op of ontbreekt er nog ergens cruciale informatie?

Niets raars. Hij heeft dat e-mail adres gewoon aangemaakt. Ik kan bij mijn provider ook gewoon een alias aanmaken als die naam nog niet bestaat.

Net even getest: klanteservice@ziggo.nl bestaat al. (:-

T-Mobile had direct alle foute variaties op "klantenservice" moeten blokkeren zodat die die te kiezen waren door klanten.

24-06-2019, 13:30 door Anoniem

Door spatieman: oooh, meer als pijnlijk.
dit soort alliasses zou je eigenlijk al op de core moeten blokkeren dat aanmaken al niet mogelijk is.

Hoe zou je dat willen doen? Er is altijd wel weer een ander woord wat je "achteraf gezien had moeten blokkeren".

Het beste is om geen domein wat gebruikt wordt voor mail van- en naar het bedrijf zelf tevens te gebruiken als domein
voor mail voor klanten. Dus klanten geeft je een ander domein, waarvan het duidelijk is dat dat niet bedoeld is voor
mails naar het bedrijf zelf.
Maar dat is ook "met de kennis va nu", de meeste internetproviders hebben daar indertijd niet aan gedacht.

24-06-2019, 16:38 door Anoniem

Over spelling en T-mobile gesproken:

op https://thuisservice.t-mobile.nl/ vind je o.a. de volgende tekst.

Let op!

Momenteel ervaren we problemen met TMobsile Klantvoordeel.

TMobsile... Wat een mob.
Lachuh hoor. ;)

24-06-2019, 20:20 door spatieman

Door Anoniem:

Door spatieman: oooh, meer als pijnlijk.
dit soort alliasses zou je eigenlijk al op de core moeten blokkeren dat aanmaken al niet mogelijk is.

ok, dat is ook weer waar.

24-06-2019, 23:01 door Anoniem

Toch niet die van KPN he ;-)

25-06-2019, 07:07 door Anoniem

Door Anoniem: Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?

De mensen die de e-mail hebben gestuurd zijn privé personen, dus die kunnen geen data lekken.
De AVG gaat alleen over ondernemingen (rechtspersonen) die data kunnen lekken.
De ontvanger is wel gehouden al deze gegevens te verwijderen, ze zijn niet voor hem bedoeld.
Wat de ontvanger wel kan doen is hier een melding van maken bij de autoriteit.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer