image

T-mobile-klanten mailen privédata naar verkeerde 'klanteservice'

zondag 23 juni 2019, 18:05 door Redactie, 15 reacties

Klanten van telecomprovider T-Mobile die de klantenservice wilden bereiken hebben persoonlijke en gevoelige gegevens naar een andere klant gestuurd omdat ze het e-mailadres "klanteservice@" gebruikten. Dit adres was jaren geleden door beveiligingsonderzoeker Sander Lentink geregistreerd.

Lentink had al die tijd niet meer naar het account gekeken, maar besloot dat onlangs te doen. De mailbox bleek inmiddels 137 megabyte groot te zijn. "Dit kwam omdat veel e-mails die verstuurd werden documenten bevatten, zoals ingescande identiteitsbewijzen, bankgegevens, huur/koop-contracten en andere gevoelige informatie", zo laat de onderzoeker aan Security.NL weten. Zelf ontving de onderzoeker meer dan 200 e-mails op het adres klanteservice@vodafonethuis.nl, dat later overging in tmobilethuis.nl en t-mobilethuis.nl.

Volgens Lentink valt T-Mobile niets te verwijten, maar zijn het de klanten die de fout ingingen. "Deze typo is echter snel gemaakt, net zoals suport in plaats van support", zo laat de onderzoeker in een blog op zijn eigen website weten. Na de ontdekking waarschuwde hij T-Mobile, dat liet weten het e-mailadres te zullen gaan blokkeren. Tevens ontving de onderzoeker een bluetooth-speaker als bedankje voor zijn melding.

Reacties (15)
23-06-2019, 23:56 door Anoniem
Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?
24-06-2019, 06:39 door spatieman
oooh, meer als pijnlijk.
dit soort alliasses zou je eigenlijk al op de core moeten blokkeren dat aanmaken al niet mogelijk is.
24-06-2019, 08:15 door sjonniev
Door Anoniem: Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?

Uiteraard niet.
24-06-2019, 08:45 door Anoniem
De basis van het probleem is natuurlijk dat er mensen zijn die email gebruiken voor gegevens die daar niet thuis horen.
Zoals persoonlijke gegevens...
24-06-2019, 09:00 door jh81
Door Anoniem: Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?

Nee, want er is geen data gelekt.
T-Mobile is geen eigenaar van deze mailbox, en de onderzoeker heeft de data niet openbaar gemaakt.
Als iemand anders dan hijzelf zichzelf toegang had verschaft tot die mailbox DAN was er sprake van een datalek. Maar zelfs dan is het onwaarschijnlijk dat hij een melding moet doen, omdat hij een privepersoon is, en geen bedrijf (of handelde namens een bedrijf)

Dit valt gewoon onder het kopje "beter kijken de volgende keer".

Eigenlijk zouden klantenservice etc. sowieso niet bereikbaar moeten zijn per mail.
Richt een webportal in met een formulier, dan kan de eindgebruiker ook geen typfout maken, en kan het ook niet uitkomen bij klatneservice@ (typfout die ik alleen in dit bericht al twee keer gemaakt heb), klanteservice@, etc etc.
24-06-2019, 09:11 door Anoniem
Raar verhaal, het gaat erom wat er achter de @ staat, het domein dus. Het domein vodafonethuis.nl is volgens de SIDN geregistreerd door Vodafone, dus mail zou dus bij Vodafone uit moeten komen. Als klanteservice als mailadres niet bestaat zou de mail gebounced worden door de mailserver van Vodafone.

Hoe de mail dan bij Sander Lentink terecht komt is mij een raadsel, of het hele verhaal slaat nergens op of ontbreekt er nog ergens cruciale informatie?
24-06-2019, 10:04 door jh81
Volgens mij kon je een paar jaar geleden zelf een mailadres aanmaken als je een tmobile abbo had.

Eigenlijk hadden ze toen dergelijke adressen moeten blokkeren voor eindgebruikers, maar blijkbaar hebben ze dat niet gedaan :)
24-06-2019, 11:14 door Anoniem
Heb jarenlang een no-reply adres bij 'n Nederlandse provider gehad. Op die wijze tienduizenden naw-gegevens op een presenteerblaadje gekregen. Op een gegeven moment liet ik de mails maar forwarden naar adressen van de directie, toen duurde het nog een aantal weken voordat ze toch maar eens contact met me opnamen. En hun oplossing; het mailadres overnemen en de inbox vol laten stromen.
24-06-2019, 12:22 door Anoniem
Waarom is dit alias niet aan het primair email adres gekoppeld ?

Dat had in ieder geval dit issue voorkomen
24-06-2019, 12:27 door Briolet
Door Anoniem: Raar verhaal, …
Hoe de mail dan bij Sander Lentink terecht komt is mij een raadsel, of het hele verhaal slaat nergens op of ontbreekt er nog ergens cruciale informatie?

Niets raars. Hij heeft dat e-mail adres gewoon aangemaakt. Ik kan bij mijn provider ook gewoon een alias aanmaken als die naam nog niet bestaat.

Net even getest: klanteservice@ziggo.nl bestaat al. (:-

T-Mobile had direct alle foute variaties op "klantenservice" moeten blokkeren zodat die die te kiezen waren door klanten.
24-06-2019, 13:30 door Anoniem
Door spatieman: oooh, meer als pijnlijk.
dit soort alliasses zou je eigenlijk al op de core moeten blokkeren dat aanmaken al niet mogelijk is.
Hoe zou je dat willen doen? Er is altijd wel weer een ander woord wat je "achteraf gezien had moeten blokkeren".

Het beste is om geen domein wat gebruikt wordt voor mail van- en naar het bedrijf zelf tevens te gebruiken als domein
voor mail voor klanten. Dus klanten geeft je een ander domein, waarvan het duidelijk is dat dat niet bedoeld is voor
mails naar het bedrijf zelf.
Maar dat is ook "met de kennis va nu", de meeste internetproviders hebben daar indertijd niet aan gedacht.
24-06-2019, 16:38 door Anoniem
Over spelling en T-mobile gesproken:

op https://thuisservice.t-mobile.nl/ vind je o.a. de volgende tekst.

Let op!

Momenteel ervaren we problemen met TMobsile Klantvoordeel.

TMobsile... Wat een mob.
Lachuh hoor. ;)
24-06-2019, 20:20 door spatieman
Door Anoniem:
Door spatieman: oooh, meer als pijnlijk.
dit soort alliasses zou je eigenlijk al op de core moeten blokkeren dat aanmaken al niet mogelijk is.
Hoe zou je dat willen doen? Er is altijd wel weer een ander woord wat je "achteraf gezien had moeten blokkeren".

Het beste is om geen domein wat gebruikt wordt voor mail van- en naar het bedrijf zelf tevens te gebruiken als domein
voor mail voor klanten. Dus klanten geeft je een ander domein, waarvan het duidelijk is dat dat niet bedoeld is voor
mails naar het bedrijf zelf.
Maar dat is ook "met de kennis va nu", de meeste internetproviders hebben daar indertijd niet aan gedacht.

ok, dat is ook weer waar.
24-06-2019, 23:01 door Anoniem
Toch niet die van KPN he ;-)
25-06-2019, 07:07 door Anoniem
Door Anoniem: Juridische vraag: Is deze pipo nu gehouden een melding datalek te doen?
De mensen die de e-mail hebben gestuurd zijn privé personen, dus die kunnen geen data lekken.
De AVG gaat alleen over ondernemingen (rechtspersonen) die data kunnen lekken.
De ontvanger is wel gehouden al deze gegevens te verwijderen, ze zijn niet voor hem bedoeld.
Wat de ontvanger wel kan doen is hier een melding van maken bij de autoriteit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.