image

NS blokkeert 2200 klantenaccounts na verdachte inlogpogingen

vrijdag 17 juli 2020, 13:26 door Redactie, 10 reacties

De NS heeft 2200 accounts van klanten wegens verdachte inlogpogingen geblokkeerd, zo heeft de vervoerder via de eigen website bekendgemaakt. Aanvallers wisten mogelijk via hergebruikte wachtwoorden op de accounts in te loggen.

"Om toegang te krijgen tot de accounts is ingelogd met het e-mailadres en wachtwoord van de klant. Door de wijze waarop is ingelogd, neemt NS echter aan dat dit niet de klant zelf is geweest. Mogelijk wordt de combinatie van e-mailadres en wachtwoord ook voor andere websites gebruikt en is deze daar in verkeerde handen terechtgekomen", aldus een verklaring van het bedrijf.

Uit onderzoek dat naar de verdachte inlogpogingen werd ingesteld is gebleken dat aanvallers de betreffende NS-accounts mogelijk hebben ingezien. Uit voorzorg zijn de accounts door de NS geblokkeerd. De vervoerder adviseert deze klanten om een sterk nieuw wachtwoord in te stellen en hetzelfde wachtwoord niet voor meerdere accounts te gebruiken.

Alle getroffen klanten zijn inmiddels geïnformeerd. De NS heeft aangifte van computervredebreuk gedaan bij de politie en de aanval gemeld bij de Autoriteit Persoonsgegevens. Vooralsnog zijn er geen aanwijzingen dat gegevens van reizigers zijn misbruikt.

Reacties (10)
17-07-2020, 13:33 door [Account Verwijderd]
Bedankt nog redactie voor het oppikken van het bericht.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
17-07-2020, 14:10 door Anoniem
Door Advanced Encryption Standard: Bedankt nog redactie voor het oppikken van het bericht.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.

Je kunt de Redactie ook tippen! https://www.security.nl/about
17-07-2020, 14:18 door Anoniem
Door Anoniem:
Door Advanced Encryption Standard: Bedankt nog redactie voor het oppikken van het bericht.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.

Je kunt de Redactie ook tippen! https://www.security.nl/about
Zeker, dat kan ook.
17-07-2020, 14:19 door Anoniem
Regel 1: gebruik NIET het e-mail adres van de klant als accountnaam. laat de klant zelf een accountnaam kiezen waarin
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
17-07-2020, 20:50 door Anoniem
Door Anoniem: Regel 1: gebruik NIET het e-mail adres van de klant als accountnaam. laat de klant zelf een accountnaam kiezen waarin
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
Andere username levert vooral schijnveiligheid. Beter is om multi-factor authenticatie aan te bieden. Wel alert dat ze bij NS gesignaleerd hebben dat het hier om niet legitieme inlogpogingen ging. Dan hebben ze in elk geval goede monitoring draaien. Compliment aan NS.
17-07-2020, 21:03 door Anoniem
En wie krijgen de schuld van de hacks,de trump-aanhangers of toch niet?
17-07-2020, 22:53 door Anoniem
Door Anoniem: En wie krijgen de schuld van de hacks,de trump-aanhangers of toch niet?
Ik zou een hacker de schuld geven.
18-07-2020, 01:14 door Anoniem
Door Anoniem:
Andere username levert vooral schijnveiligheid. Beter is om multi-factor authenticatie aan te bieden.
Dat ligt er aan wat het belang is van die login. Er zijn zat situaties waar je wel een account nodig hebt om jezelf te
identificeren maar er geen belang is om te beveiligen dat echt niemand anders daar in kan.
(ik weet niet of dat bij een NS account het geval is, ik heb er geen dus ik weet niet wat daar mee kan)

In dat geval is een nietszeggende accountnaam in ieder geval een beveiliging tegen de scenario's die ik schetste,
en wellicht ook tegen het "lekken van persoonsgegevens" in bepaalde situaties.
(bijvoorbeeld als je op een platform wel kunt inloggen maar geen persoonsgegevens zoals een e-mail adres wilt
opgeven of opslaan)
19-07-2020, 14:10 door Anoniem
Door Anoniem: Regel 1: gebruik NIET het e-mail adres van de klant als accountnaam. laat de klant zelf een accountnaam kiezen waarin
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.

Je praat alsof je vindt dat _jouw_ platform het enige is voor gebruikers. En je je hebt meteen federated authentication onmogelijk gemaakt .

Er zijn meer hondjes die fikkie heten - als gebruiker is het enorm vervelend om eindeloos te moeten proberen een unieke maar herkenbare usernaam te maken op een weer een ander platform . jansen . gjansen. gjansen86 gjansen1286 etc etc.

Een usernaam in de vorm van naam@maildomein is meteen globaal uniek .

En maakt het 'inloggen met gmail/facebook/ander OAUTH2' platform simpel .

Dus jouw regel 1 : heel beperkt voordeel en heel groot nadeel. Niet Doen.
19-07-2020, 22:55 door Anoniem
En wie krijgen de schuld van de hacks,de trump-aanhangers of toch niet?

Wat dacht je van degenen, die de hack hebben gepleegd. Misschien kan je met je onzin reacties ergens anders mensen vervelen. Dit forum gaat niet over Trump.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.