Bank wijzigt beledigend wachtwoord van klant
De Britse bank Lloyds TSB heeft het wachtwoord van een klant gewijzigd omdat die beledigend zou zijn. Uit onvrede over de dienstverlening van de bank veranderde Steve Jetley zijn wachtwoord in "Lloyds is pants". Toen hij niet meer kon inloggen ontdekte hij dat een medewerker van de bank het wachtwoord had veranderd in "no it's not". Als reactie daarop wilde Jetley een ander wachtwoord instellen, maar dat stond de bank niet toe. Uiteindelijk bood de bank excuses aan en liet weten dat de medewerker er niet meer werkte.
Jetley was woedend toen hij hoorde dat hij zou oude wachtwoord niet meer mocht gebruiken omdat het ongepast zou zijn. "Ik vroeg ze of ze 'pants' niet leuk vonden, en of 'Lloyds is waardeloos' wel ok was? Maar ze vonden van niet. Dus probeerde ik 'Barclays is beter' en ook dat viel niet in goede aarde. Ook wijzigden ze de regels en vertelde me dat het één woord moest zijn. Ik probeerde censuur, maar ook dat kwam er niet door heen. Toen lieten ze weten dat het woord niet langer dan zes letters mocht zijn."
De bank liet in een reactie weten dat ze teleurgesteld was dat Jetley op deze manier zijn onvrede over de dienstverlening uitte. "Klanten kunnen elk wachtwoord kiezen dat ze willen en het is niet ons beleid om personeel de wachtwoorden van klanten zonder hun toestemming te laten wijzigen." Bij normale rekeningen zou het personeel de wachtwoorden niet kunnen inzien. In het geval van Jetley betrof het een zakelijke rekening waar de accountmanager het hele wachtwoord kan lezen.
Waarom zou de bank in vredesnaam de wachtwoorden van haar klanten leesbaar bewaren, beoordelen en op eigen initiatief wijzigen. Daar zou je geen klant willen zijn.
Dus kort gezegd hoef je als crimineel alleen de accountgegevens van de accountmanager te ontfutselen en je kan de wachtwoorden van al zijn klanten lezen en wijzigen. Kan je daarna ook transacties verrichten? Al met al een geweldige security...voor een bank!
Wat is de reden van een medewerker om uberhaupt een wachtwoord te weten van een klant?
Scary....
Ik dacht dat Admin inzage in gebruikerswachtwoorden dateerde van de jaren stillekes...
Niet dus...
Bewijst nogmaals mijn stelling dat banken niet te vertrouwen zijn ...
't verbaast mij dat de Britse toezichthouder niet ingrijpt op dit soort kafkaiaanse praktijken. Om nog maar te zwijgen van de prehistorische beveiligingspraktijken
Dus het is zelfs erg praktisch en vergt slechts 1 stapje meer dan thashing alleen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.