NS blokkeert 2200 klantenaccounts na verdachte inlogpogingen
De NS heeft 2200 accounts van klanten wegens verdachte inlogpogingen geblokkeerd, zo heeft de vervoerder via de eigen website bekendgemaakt. Aanvallers wisten mogelijk via hergebruikte wachtwoorden op de accounts in te loggen.
"Om toegang te krijgen tot de accounts is ingelogd met het e-mailadres en wachtwoord van de klant. Door de wijze waarop is ingelogd, neemt NS echter aan dat dit niet de klant zelf is geweest. Mogelijk wordt de combinatie van e-mailadres en wachtwoord ook voor andere websites gebruikt en is deze daar in verkeerde handen terechtgekomen", aldus een verklaring van het bedrijf.
Uit onderzoek dat naar de verdachte inlogpogingen werd ingesteld is gebleken dat aanvallers de betreffende NS-accounts mogelijk hebben ingezien. Uit voorzorg zijn de accounts door de NS geblokkeerd. De vervoerder adviseert deze klanten om een sterk nieuw wachtwoord in te stellen en hetzelfde wachtwoord niet voor meerdere accounts te gebruiken.
Alle getroffen klanten zijn inmiddels geïnformeerd. De NS heeft aangifte van computervredebreuk gedaan bij de politie en de aanval gemeld bij de Autoriteit Persoonsgegevens. Vooralsnog zijn er geen aanwijzingen dat gegevens van reizigers zijn misbruikt.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
Je kunt de Redactie ook tippen! https://www.security.nl/about
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
Je kunt de Redactie ook tippen! https://www.security.nl/about
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
Andere username levert vooral schijnveiligheid. Beter is om multi-factor authenticatie aan te bieden.
identificeren maar er geen belang is om te beveiligen dat echt niemand anders daar in kan.
(ik weet niet of dat bij een NS account het geval is, ik heb er geen dus ik weet niet wat daar mee kan)
In dat geval is een nietszeggende accountnaam in ieder geval een beveiliging tegen de scenario's die ik schetste,
en wellicht ook tegen het "lekken van persoonsgegevens" in bepaalde situaties.
(bijvoorbeeld als je op een platform wel kunt inloggen maar geen persoonsgegevens zoals een e-mail adres wilt
opgeven of opslaan)
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
Je praat alsof je vindt dat _jouw_ platform het enige is voor gebruikers. En je je hebt meteen federated authentication onmogelijk gemaakt .
Er zijn meer hondjes die fikkie heten - als gebruiker is het enorm vervelend om eindeloos te moeten proberen een unieke maar herkenbare usernaam te maken op een weer een ander platform . jansen . gjansen. gjansen86 gjansen1286 etc etc.
Een usernaam in de vorm van naam@maildomein is meteen globaal uniek .
En maakt het 'inloggen met gmail/facebook/ander OAUTH2' platform simpel .
Dus jouw regel 1 : heel beperkt voordeel en heel groot nadeel. Niet Doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
