Ziggo roept klanten op om wachtwoord Wifibooster te wijzigen
Klanten van Ziggo die over een Wifibooster C7 beschikken worden door de provider opgeroepen om het standaard wachtwoord en de netwerknaam te wijzigen mochten ze dat nog niet hebben gedaan. De wifibooster is een apparaat dat het wifi-signaal van de modem versterkt.
Volgens de provider, die klanten via e-mail, Twitter en het eigen forum waarschuwde, bevat de wifi-versterker een "kwetsbare plek". Een aanvaller kan hierdoor toegang krijgen tot het wifi-netwerk en de informatie die hierop wordt uitgewisseld. "Als een hacker toegang heeft tot je netwerk, heeft hij toegang tot de gegevens op je netwerk en is de informatie die via je netwerk wordt verzonden niet veilig", aldus de uitleg van Ziggo.
Het lijkt dat dit mogelijk is doordat de C7 van een standaardwachtwoord gebruikmaakt. Ziggo laat namelijk weten dat gebruikers bij andere wifiboosters tijdens de installatie zelf een wachtwoord instellen en er geen sprake van een standaardinstelling is. Daarnaast hoeven klanten die het wachtwoord al hebben aangepast niet opnieuw hun wachtwoord te wijzigen, hoewel Ziggo het wel aanraadt dit te doen.
Verdere details worden niet gegeven. Een woordvoerder laat aan Security.NL weten dat het geen inhoudelijke uitspraken over kwetsbaarheden doet. De provider zegt verder niet bekend te zijn met misbruik van de kwetsbaarheid.
Verschillende klanten twijfelden echter over de authenticiteit van de e-mail waarin werd opgeroepen het wachtwoord te wijzigen en dachten dat het om phishing ging.
Reacties (20)
Klinkt als https://www.security.nl/posting/19131/KPN+SpeedTouch+routers+binnen+15+seconden+te+hacken.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Door Anoniem: Klinkt als https://www.security.nl/posting/19131/KPN+SpeedTouch+routers+binnen+15+seconden+te+hacken.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Ik heb bij XS4ALL nooit iets anders gekregen dan de Fritz!box.Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Door Anoniem: Ik heb bij XS4ALL nooit iets anders gekregen dan de Fritz!box.
Fritz!Box bestaat pas sinds 2004. XS4ALL bestaat al aanzienlijk langer en bood ook al langer ADSL aan, maar nog niet met de Fritz!Box.Door Anoniem:
Als je al wat langer meedraait dan ken je nog wel de SpeedTouch routers, eerst van Alcatel later Thomson (of Technicolor).Door Anoniem: Klinkt als https://www.security.nl/posting/19131/KPN+SpeedTouch+routers+binnen+15+seconden+te+hacken.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Ik heb bij XS4ALL nooit iets anders gekregen dan de Fritz!box.Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Het probleem bij die dingen was niet een vast wachtwoord, maar een default wachtwoord wat gegenereerd werd met een
"moeilijke hash functie" uit het MAC adres van de router. Toen die functie bekend werd kon je het wachtwoord raden
door het MAC adres door die functie te halen, als de gebruiker het niet veranderd had dan werkte dat.
Dit is trouwens een aanval die bij heel wat routers ooit gewerkt heeft.
Door Anoniem: Ik heb bij XS4ALL nooit iets anders gekregen dan de Fritz!box.
https://web.archive.org/web/20071118105803/http://www.xs4all.nl/helpdesk/abonnement/adsl/thomson/wireless_780/Toch wel dus. XS4All had zelfs een eigen firmware voor VoIP telefonie.
"Verschillende klanten twijfelden echter over de authenticiteit van de e-mail waarin werd opgeroepen het wachtwoord te wijzigen en dachten dat het om phishing ging."
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Ziggo Go deelt data met onder andere Facebook, reactie Ziggo: niets aan de hand, jouw data wordt niet gedeeld met derden, wij voldoen aan de AVG. Mij niet gezien dat ik dan nog ooit contact opnemen met Ziggo wanneer het om privacy gaat, terwijl ik dat wel zou moeten doen. Aangezien Ziggo persoonsgegevens van klanten lekt.
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Ziggo Go deelt data met onder andere Facebook, reactie Ziggo: niets aan de hand, jouw data wordt niet gedeeld met derden, wij voldoen aan de AVG. Mij niet gezien dat ik dan nog ooit contact opnemen met Ziggo wanneer het om privacy gaat, terwijl ik dat wel zou moeten doen. Aangezien Ziggo persoonsgegevens van klanten lekt.
De zwakte is dus eigenlijk de gebruiker die niet weet dat je een wachtwoord bij ingebruikname moet wijzigen.
Door Anoniem: De zwakte is dus eigenlijk de gebruiker die niet weet dat je een wachtwoord bij ingebruikname moet wijzigen.
De zwakte is het apparaat dat niet afdwingt dat je het wachtwoord wijzigt bij ingebruikname. Je weet als designer wie de gebruikers gaan zijn - als je daar geen rekening mee houdt ben je een slechte designer.
Uit het forum bericht van Ziggo:
Het standaard wachtwoord wijzigen is goed advies, maar dat hackers dan 'geen schijn van kans' hebben is nogal stellige uitspraak. Als je het standaard wachtwoord hebt aangepast en je wordt gehackt, kan je de schade bij Ziggo claimen. Zij garanderen met deze zin immers aan dat als je het standaard wachtwoord aanpast, hackers geen schijn van kans hebben.
Ik heb een andere wifibooster. Moet ik dan ook mijn wachtwoord wijzigen?
Nee, het betreft alleen dit model en type en geen andere apparatuur. Maar door altijd het standaard wachtwoord van je apparaat te wijzigen, geef je hackers geen schijn van kans.
Weer zo'n tenenkrommend antwoord van de marketingafdeling. Dit antwoord is vast niet afgestemd met de juridische afdeling.Nee, het betreft alleen dit model en type en geen andere apparatuur. Maar door altijd het standaard wachtwoord van je apparaat te wijzigen, geef je hackers geen schijn van kans.
Het standaard wachtwoord wijzigen is goed advies, maar dat hackers dan 'geen schijn van kans' hebben is nogal stellige uitspraak. Als je het standaard wachtwoord hebt aangepast en je wordt gehackt, kan je de schade bij Ziggo claimen. Zij garanderen met deze zin immers aan dat als je het standaard wachtwoord aanpast, hackers geen schijn van kans hebben.
Door Anoniem:
Xs4all levert al jaren lang een Fritz!box voor ADSL+ en VDSL. Vanuit security overwegingen zou ik maar eens contact opnemen met Xs4all en vragen naar de mogelijkheden voor een nieuwe Fritz!box.Door Anoniem: Ik heb bij XS4ALL nooit iets anders gekregen dan de Fritz!box.
Fritz!Box bestaat pas sinds 2004. XS4ALL bestaat al aanzienlijk langer en bood ook al langer ADSL aan, maar nog niet met de Fritz!Box.Door Anoniem: De zwakte is dus eigenlijk de gebruiker die niet weet dat je een wachtwoord bij ingebruikname moet wijzigen.
Dan ligt de fout bij de fabrikant/ leverancier die dat bij de setup aan had moeten geven en een wijziging af had moeten dwingen. Het zou mooi zijn om de gebruiker in het ongewisse te laten over het bestaan van een standaard wachtwoord, om vervolgens de gebruiker de zwakte toe te schrijven.
Toen ik dat ding binnen kreeg gelijk custom firmware erop geflasht, want het is gewoon een TP-Link.
Waarom moet je eigenlijk de SSID veranderen? Dat voegt toch niks toe aan de veiligheid, dat is hooguit voor het gemak.
Door Anoniem:
De zwakte is het apparaat dat niet afdwingt dat je het wachtwoord wijzigt bij ingebruikname. Je weet als designer wie de gebruikers gaan zijn - als je daar geen rekening mee houdt ben je een slechte designer.
Door Anoniem: De zwakte is dus eigenlijk de gebruiker die niet weet dat je een wachtwoord bij ingebruikname moet wijzigen.
De zwakte is het apparaat dat niet afdwingt dat je het wachtwoord wijzigt bij ingebruikname. Je weet als designer wie de gebruikers gaan zijn - als je daar geen rekening mee houdt ben je een slechte designer.
Helemaal mee eens!
Door Anoniem: Waarom moet je eigenlijk de SSID veranderen? Dat voegt toch niks toe aan de veiligheid, dat is hooguit voor het gemak.
Anders blijft je Ziggo-SSID een trigger voor bad actors die welbekend zijn met deze flaw. Brute-force attempts (al dan niet geslaagd) bijvoorbeeld, hebben altijd een negatieve impact op de performance van je netwerk.
30-07-2020, 16:24 door
Briolet
Door Anoniem: Waarom moet je eigenlijk de SSID veranderen? Dat voegt toch niks toe aan de veiligheid, dat is hooguit voor het gemak.
Ik denk dat wachtwoord aanpassen genoeg is. Laat anderen het maar bevestigen, maar ik verwacht dat elk apparaat een uniek wachtwoord heeft dat op de onderkant van het apparaat staat. Omdat het al een ingewikkeld wachtwoord is, denken velen dat ze het wel zo kunnen laten omdat niemand dat toch raad.
Het wacht woord zal echter, net als de SSID, uit een serienummer of mac waarde berekend zijn. Als die berekening niet goed gedaan is, kun je dan uit de SSID het serienummer terug rekenen en van daar uit het wachtwoord wat onderop de booster staat. (Speculatief van mijn kant)
Door Anoniem: "Verschillende klanten twijfelden echter over de authenticiteit van de e-mail waarin werd opgeroepen het wachtwoord te wijzigen en dachten dat het om phishing ging."
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Verklaar je nader, want Ziggo doet het de laatste jaren juist zeer goed. De meeste mededelingen komen al weer een paar jaar vanuit een speciaal domein "e.ziggo.nl". Op dit domein zit de maximale beveiliging met een reject policy bij dmarc. Normaal gesproken krijg je die niet in je postbus, dus is hij echt als je hem ontvangt.
Meer kan ziggo niet doen. Verder stond, zoals altijd, het klantnummer onderaan in dat mailje. Dat behoren phishers niet te kennen. (Ik heb hem zelf niet gehad, maar iemand anders liet hem zien toen die op zijn telefoon binnenkwam)
Door Briolet:
Verklaar je nader, want Ziggo doet het de laatste jaren juist zeer goed. De meeste mededelingen komen al weer een paar jaar vanuit een speciaal domein "e.ziggo.nl". Op dit domein zit de maximale beveiliging met een reject policy bij dmarc. Normaal gesproken krijg je die niet in je postbus, dus is hij echt als je hem ontvangt.
Meer kan ziggo niet doen. Verder stond, zoals altijd, het klantnummer onderaan in dat mailje. Dat behoren phishers niet te kennen. (Ik heb hem zelf niet gehad, maar iemand anders liet hem zien toen die op zijn telefoon binnenkwam)
Het is normaal hier op dit forum! Gezeik om het zeiken, vaak niet gehinderd door enige kennis over het item!Door Anoniem: "Verschillende klanten twijfelden echter over de authenticiteit van de e-mail waarin werd opgeroepen het wachtwoord te wijzigen en dachten dat het om phishing ging."
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Verklaar je nader, want Ziggo doet het de laatste jaren juist zeer goed. De meeste mededelingen komen al weer een paar jaar vanuit een speciaal domein "e.ziggo.nl". Op dit domein zit de maximale beveiliging met een reject policy bij dmarc. Normaal gesproken krijg je die niet in je postbus, dus is hij echt als je hem ontvangt.
Meer kan ziggo niet doen. Verder stond, zoals altijd, het klantnummer onderaan in dat mailje. Dat behoren phishers niet te kennen. (Ik heb hem zelf niet gehad, maar iemand anders liet hem zien toen die op zijn telefoon binnenkwam)
Door Anoniem:
Die bad actors waar half security.nl zo bevreesd voor is die weten echt wel welke MAC adres reeks door deze dingenDoor Anoniem: Waarom moet je eigenlijk de SSID veranderen? Dat voegt toch niks toe aan de veiligheid, dat is hooguit voor het gemak.
Anders blijft je Ziggo-SSID een trigger voor bad actors die welbekend zijn met deze flaw. Brute-force attempts (al dan niet geslaagd) bijvoorbeeld, hebben altijd een negatieve impact op de performance van je netwerk.gebruikt wordt dus een andere SSID voegt niks toe!
Ik denk dat die mensen adviseren om het ding in minstens 5 stukken te zagen en in te leveren bij de afvalscheiding want
"hij is toch al gecomprimitteerd". De SSID veranderen maakt dan niks uit.
Door Anoniem:
Toen XS4ALL de Fritz!Box begon te gebruiken was het nog ADSL, en dit ging erover dat er voorafgaand aan de Fritz!Box iets anders werd aangeboden. De Speedtouch-modellen waren voor ADSL-verbindingen. Ik had het niet over wat ik nu gebruik.Door Anoniem: Fritz!Box bestaat pas sinds 2004. XS4ALL bestaat al aanzienlijk langer en bood ook al langer ADSL aan, maar nog niet met de Fritz!Box.
Xs4all levert al jaren lang een Fritz!box voor ADSL+ en VDSL. Vanuit security overwegingen zou ik maar eens contact opnemen met Xs4all en vragen naar de mogelijkheden voor een nieuwe Fritz!box.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
