Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ethiek: Grote ISP wil wachtwoorden niet beveiligen

07-04-2012, 16:54 door Anoniem, 20 reacties
Ik werk bij een bekende nederlandse consumentenprovider waarvan ik de de naam niet ga noemen. Op de eerste lijns helpdesk, dus niet echt een functie waar je geacht wordt veel input te geven.

Al vanaf dag 1 viel het me op dat alle wachtwoorden onbeveiligd in het systeem staan. Elke klant heeft (naast NAW+bankrekening, wat nog enigzins begrijpbaar is) dus ook wachtwoorden voor de account, email en andere diensten zichtbaar. Hier kijkt dus iedere uitzendkracht die administratieve of technische vragen moet beantwoorden naar. Volgens mij ook zonder geheimhoudingsverklaring oid.

Het is standaard procedure om oa. op email in te loggen (ctrl+c, ctrl+v) als er problemen zijn (controleren wat er aan de hand is). Er zijn ook echt wel wat situaties aan te wijzen waar mensen sneller geholpen kunnen worden met dat wachtwoord. En als ik klanten zo hoor vinden de meesten dit ook heel normaal (sommigen worden zelfs boos als we dit wachtwoord niet over de telefoon aan hun kunnen zeggen zonder verificatie). Het is dus te begrijpen dat hier voor gekozen is.

Toch zou het zonder veel moeite te voorkomen zijn, procedures en systemen kunnen ingericht worden zodat het niet nodig is. Zelfs als ze niet zouden willen hashen is er nog wel iets te bedenken waardoor de medewerker niet zelf het wachtwoord hoeft te copypasten maar dat dit server-side gebeurd.

Mijn leidinggevenden kunnen/willen hier niets aan doen. Ik krijg de indruk dat dit probleem al jaren bekend is maar dat de systemen niet aangepast kunnen worden. Volgens mij weet ook de juridische afdeling hier al van maar is het een bewuste keuze om dit niet aan te passen, vanwege geld.


Hoe kan ik nu handelen? Ik ben niet in de positie om al te veel druk te zetten want dan verlies ik mijn simpele baan ongetwijfeld.
Anoniem mijn werkgever erbij lappen in de media wil ik ook niet.
We hebben ongetwijfeld wel iets van een security officer, maar betwijfel of dit gaat helpen.

Moet ik me hier trouwens wel zo'n zorgen over maken? Hoe doen andere providers of bedrijven dit?
Is dit normaal?
Reacties (20)
07-04-2012, 19:25 door [Account Verwijderd]
[Verwijderd]
07-04-2012, 19:43 door Nietsnut
Gewoon wat gegevens en bewijs naar Tweakers lekken dat wel via Tor doen.
Er blijven altijd wel wat risico's aan verbonden bij een onderzoek is de tekst die je hier neerplenst al genoeg om achter je identiteit te komen en daar een onderzoek naar te starten.
Het kan allemaal wel maar dan moet je er wel nergens over praten en zo anoniem mogelijk je verhaal doen bij het liefst zo groot mogelijke website dus hier of geenstijl tweakers zo zijn er nog wel een paar.

Maar eigenlijk is dat station al gepasseerd dus in dit geval eens met 19:25 door
unbalanced
07-04-2012, 20:06 door Anoniem
Lekker advies. "effe wat gegevens lekken"
Gegevens lekken, waarvan je weet dat ze vertrouwelijk zijn of een vertrouwelijk karakter hebben, is ook een strafbaar feit.
Met of zonder geheimhoudingsverklaring.
07-04-2012, 23:04 door Cybercrimepreventie.com
Ik zou een melding maken bij het College Bescherming Persoonsgegevens.

Verder neemt jou wergever zelf een groot risico op gebied van aansprakelijkheid bij misbruik. Deze keuze is aan hem. Het beste is om bewustwording te kweken bij het hogere management en niet bij de lijnmanagers. Het hogere management heeft vast geen exact beeld over de imago en reputatie schade en het verlies van business wanneer dit bekend wordt gemaakt(door eigen medewerkers of aan de hand van een beveiligingsincident). Kosten van de maatregelen vallen dan in het niet tov het verlies aan business na het uitkomen van deze informatie.

De juridische afdeling is tevens niet de afdeling die hier over moet oordelen. Vaak gaan die er van uit dat jou bedrijf adequate maatregelen treft om gegevens te beschermen maar hebben vaak niet de kennis of ervaring om de maatregelen technisch te beoordelen. Het feit dat er geen geheimhoudingsverklaring ondertekend moet worden zegt al genoeg over het kennis niveau van jullie juristen op gebied van het verwerken van persoonsgegevens binnen jou organisatie.

Alleen het hogere management moet en kan bepalen of het treffen van maatregelen minder zal kosten dan de imago schade.

Wat je ook kan opdragen aan het hogere management is het risico van een echte 'klokkenluider' die wel naam en werkwijze publiceert. Vaak is dit ook een goed argument om bewustwording te kweken.
08-04-2012, 04:08 door Anoniem
Moet ik me hier trouwens wel zo'n zorgen over maken? Hoe doen andere providers of bedrijven dit?
Ik werk ook voor een ISP en daar is alleen het standaardwachtwoord zichtbaar voor helpdeskmedewerkers.. dus het wachtwoord wat bij het aanmaken van het account automatisch is gegenereerd. Zodra de klant zijn of haar wachtwoord aanpast, wordt dat veld in de software niet geupdate; daar blijft het originele wachtwoord staan.

Nog steeds niet goed genoeg in mijn optiek, helpdeskmedewerkers zouden inderdaad nooit wachtwoorden moeten kunnen inzien. Ze mogen het sowieso nooit verstrekken aan klanten, dus ze hebben er niets aan.
We hebben ongetwijfeld wel iets van een security officer, maar betwijfel of dit gaat helpen.
Natuurlijk! Gewoon melden. Het is diegene zijn werk om zulke zaken te verbeteren, dus zulke input is altijd welkom bij zo iemand. Hij of zij kan het natuurlijk niet zomaar verhelpen. Als zoiets verwijderd moet worden uit de software is er doorgaans een code change nodig en dat kan zomaar een half jaar duren. Maargoed, dan heb jij in ieder geval je plicht gedaan.
08-04-2012, 08:22 door Anoniem
> Ik zou een melding maken bij het College Bescherming Persoonsgegevens.

Dit is inderdaad verstandig.

http://www.mijnprivacy.nl/signaal/Pages/Signaal_geven.aspx
08-04-2012, 13:14 door Anoniem
Ik lees dat bijna niemand het verschil ziet tussen wat de betreffende persoon op het scherm ziet en wat daadwerkelijk opgeslagen staat. Het kan zijn dat de betreffende persoon wel de gegevens decrypted op zijn scherm ziet, maar dat ze toch encrypted op het systeem staan.

Ook is niet bekend of er op de achtergrond enige logging aanwezig is. Ik zou vermoeden van wel, maar zonder analyse van de omgeving waar de persoon werkt, is het koffiedik kijken. Mocht er logging zijn, dan kan het zijn dat men ten allen tijde kunnen zien wanneer en wie welke informatie heeft benaderd dan wel bekeken.

Verder is nog de vraag of een wachtwoord ansich valt onder de definitie persoonsgegeven. Ik zou vermoeden dat het niet zo is.

Belangrijker is het dat men eigenlijk het wachtwoord helemaal niet hoeft te zien. Dit zou dan onderhuids gebruikt moeten kunnen worden als men bij problemen de klant probeert te helpen.
08-04-2012, 15:07 door [Account Verwijderd]
[Verwijderd]
08-04-2012, 15:44 door Cybercrimepreventie.com
Klopt helemaal.

De geheimhoudingsverklaring is puur op juridisch niveau en voorkomt niets. Echter geeft het wel aan dat een organisatie serieus met informatiebeveiliging bezig is of deze ambitie heeft.

Op juridisch niveau denkt met puur op contract niveau en maatregelen achteraf.

Tevens is het niet het OM alleen die bepaald of iemand vervolgt wordt, werkgever kan iemand ook vervolgen of aansprakelijk stellen voor eventuele schade bij het niet volgen van de geheimhoudingsverklaring.
09-04-2012, 00:16 door Anoniem
Ik vermoedt dat de ISP provider waarover hier wordt gesproken UPC is.Klopt dit,de ja of de nee? Dit vraag ik natuurlijk met name aan de Topic Starter.
09-04-2012, 04:48 door Anoniem
Telfort? Ik werk daar niet, maar weet wel dat ze gewoon in je mail kunnen.
09-04-2012, 10:44 door Cybercrimepreventie.com
@Topicstarter

Het is raadzaam voor jou om geen namen te noemen en/of publicaties te doen vanaf jou bedrijfsnetwerk.

Mijn advies is om dit via de officiele wegen te behandelen.
09-04-2012, 18:46 door Anoniem
Ik vraag hem niet om namen te noemen,ik vraag hem alleen met ja of de nee te antwoorden op de vraag of het hier dus upc betreft.Ik heb zo'n vermoeden dat het antwoord "ja" zou zijn.Ik ben zelf nl UPC-klant en ze weten daar idd mijn standaard e-mail wachtwoord,het is ook nog eens hetzelfde wachtwoord als vd hele upc account/aansluiting.
Door Cybercrimepreventie.com: @Topicstarter

Het is raadzaam voor jou om geen namen te noemen en/of publicaties te doen vanaf jou bedrijfsnetwerk.

Mijn advies is om dit via de officiele wegen te behandelen.

10-04-2012, 11:56 door Jvds1987
Volgens mij heb ik voor dezelfde ISP (nja 3rd party) gewerkt. Maar zover ik weet heeft iedereen daar (dus ook uitzendkrachten) een geheimhoudingsverklaring moeten tekenen.

Door Anoniem: Ik lees dat bijna niemand het verschil ziet tussen wat de betreffende persoon op het scherm ziet en wat daadwerkelijk opgeslagen staat. Het kan zijn dat de betreffende persoon wel de gegevens decrypted op zijn scherm ziet, maar dat ze toch encrypted op het systeem staan.

Als het om dezelfde ISP gaat dan wordt deze info uit een grote database gelezen waar deze naar mijn idee versleuteld werd opgeslagen.

Ook lijkt het me logisch dat er geen wachtwoorden telefonisch worden doorgegeven ook is dat soms makkelijker.

Daarnaast lijkt me niet dat jij hier zorgen over hoeft te maken gezien jij niet verantwoordelijk bent voor de integriteit van het klantenbestand. Wel zou ik het melden bij je security officier, dan heb jij alles gedaan wat je kon doen.
10-04-2012, 16:06 door Anoniem
ik weet precies welke isp dit is en ik ga deze dan ook met naam en toenaam noemen daar ik er 3 jaar terug al over geklaagd heb. Dit is UPC! Toen der tijd viel het mij op dat deze zo mijn wachtwoord opnoemde. Toen ik de (overigens zeer aardige en meewerkende dame) vroeg hoe zij hier aan kwam gaf zij de melding dat dit in het systeem stond.

dit is kwalijk omdat een kwaadwillende upc medewerker zo lekker door de mail zou kunnen spitten en ook mail verwijderen via de webmail. Dit lijkt mij niet privacybevorderend. na een klacht heb ik toen ook mijn contract met UPC be-eindigd.

ook ik heb bij een isp als 1e lijns gewerkt. Daar konden we echter alleen wachtwoorden wijzigen en geen oude wachtwoorden inzien.

Jeroen.
13-04-2012, 10:11 door Anoniem
Wat is er mis om de security officer aan te spreken? Beveiliging is een zaak van alle medewerkers, dus ook jij hebt daar een rol in. Als je iets constateerd dat niet in de haak is moet je dat gewoon melden. Je kunt vragen om op de hoogte gehouden te worden van het vervolg zodat je weet wanneer je eventueel moet escaleren daar het hogere management.
Directies zijn bijzonder gevoelig voor negatieve pers en lektober heeft wel bewezen dat zwijgen over beveiligingsfouten niet de juiste weg is.
Ik neem aan dat grote vriend Brenno inmiddels wel getriggerd is door dit topic ;-)
13-04-2012, 13:07 door Dev_Null
Blijkbaar zit jij op de verkeerde plek in de organisatie
Ze zouden je moeten promoten tot Chief Security
13-04-2012, 21:42 door tegenlicht
Ik neem aan dat een Security Officer dit allang weet. Maar er zal vast een 'zeer goede' reden zijn om het niet te doen met in het achterhoofd het vermoeden dat de digibeten de beslissingen nemen.

Je kunt als security specialist tig redenen hebben om het te beveiligen, maar uit ervaring weet ik dat de met emotie geladen niet logische redenering van de man of vrouw met de titel: Internal Management Consumer Service Technology Workflow Operations Director
vaak veel zwaarder weegt.
14-05-2012, 10:43 door StevenStip
Ben je toevallig zelf klant, geef dan aan dat je hiertegen bezwaar hebt. Je hoeft je er niet perse in de media bij te lappen dit kan je ook gewoon onder collega's kenbaar maken. Duidelijk hier tegen zijn en dit kenbaar maken heeft mogelijk nog wel wat invloed. Als een organisatie goed is opgezet zijn er vertrouwenspersonen en kun je misschien de security officer zelf vragen waarom hij besloten heeft dit op deze manier toe te staan.
14-05-2012, 17:01 door Anoniem
Ik denk dat het belang van veiligheid hier groter is dan jouw belang, neem eens contact op met Brenno de Winter.
Hij zal het dan misschien aankaarten zonder jouw naam te noemen waardoor je baan niet op het spel staat.

Dan ligt het er ook aan of hun systeem van buiten makkelijk te is "cracken" waardoor deze gegevens op straat zouden kunnen komen te liggen. Als deze ISP heel groot is vind ik toch dat jij dit kenbaar moet maken en niet enkel aan jouw
baan moet denken. Hoe zou jij het vinden als duizenden accounts waaronder het jouwe op straat zouden komen te liggen
dan de starheid van een bange medewerker. Daarvoor hebben we nu juist mensen als Brenno die jouw naam niet zullen noemen. Check even deze video: http://www.youtube.com/watch?v=goD7hrFqzyY


Vraag zijn telefoonnummer even via Twitter, hier bij de redactie of via Webwereld.nl op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.