image

Dixons-klanten moeten wachtwoord wijzigen door nieuwe site

woensdag 16 juli 2014, 17:05 door Redactie, 16 reacties

Alle klanten van Dixons moeten hun wachtwoord wijzigen nu het bedrijf een nieuwe website heeft gelanceerd, zo blijkt uit een verstuurde e-mail. "Uit beveiligingsoverweging hebben we ervoor gekozen om al onze klanten op de nieuwe website opnieuw hun wachtwoord in te laten stellen", zo laat de mail weten.

Lub ten Napel, CIO van de Bas Group, de organisatie waar Dixons onder valt, zegt tegen Security.NL dat er besloten is om de oude database met wachtwoordhashes niet naar het nieuwe platform over te zetten. Het oude platform draaide op Magento en gebruikte MD5 als algoritme voor het hashen van de wachtwoorden. Een hash is een gecodeerde versie van het wachtwoord.

Ten Napel merkt op dat gezien de gevoeligheid om met wachtwoorden van gebruikers aan de slag te gaan er bewust voor is gekozen de wachtwoorden niet om te zetten. "Dat zou hebben ingehouden dat we de wachtwoorden eerst moesten decoderen en dan in de nieuwe database moesten importeren, dat wilden we gewoon niet." Daarnaast liggen de beveiligingsopties van het nieuwe platform "weer een aantal tandjes hoger", aldus Ten Napel. Zo wordt het Bcrypt-algoritme voor de klantenkant gebruikt en SHA256 voor de systemen intern, waarbij de hashes ook worden gestretcht en gesalt.

Trackinglink

De e-mail van Dixons bevat een link waarmee klanten hun wachtwoord kunnen wijzigen, maar deze link wijst niet naar Dixons.nl, maar naar een ander domein dat afkomstig is van de partij die de mailing verstuurt. Dat zou klanten misschien kunnen laten denken dat het om een phishingaanval gaat, maar volgens Ten Napel is hier bewust voor gekozen. De IP-adressen van deze partij zouden namelijk door grote providers als Microsoft en Google zijn gewhitelist, waardoor de e-mails niet als spam worden aangemerkt.

Iets wat mogelijk wel het geval zou kunnen zijn als Dixons de berichten zelf zou versturen. Daarnaast kan er ook worden gevolgd hoeveel mensen op de link klikten en of er bijvoorbeeld nog vervolgstappen nodig zijn. Verder zou eerder onderzoek dat Dixons onder klanten over dit onderwerp uitvoerde hebben uitgewezen dat klanten de trackinglink geen probleem vinden.

Reacties (16)
16-07-2014, 18:02 door Anoniem
"Een hash is een gecodeerde versie van een wachtwoord". Sinds wanneer is dit zo? Of weet Dixons/de auteur niet waar ze het over hebben?
16-07-2014, 18:02 door mcb
De e-mail van Dixons bevat een link waarmee klanten hun wachtwoord kunnen wijzigen, maar deze link wijst niet naar Dixons.nl, maar naar een ander domein dat afkomstig is van de partij die de mailing verstuurt. Dat zou klanten misschien kunnen laten denken dat het om een phishingaanval gaat, maar volgens Ten Napel is hier bewust voor gekozen. De IP-adressen van deze partij zouden namelijk door grote providers als Microsoft en Google zijn gewhitelist, waardoor de e-mails niet als spam worden aangemerkt.
Dat excuus is niet relevant.
De spamfilters zouden deze mailtjes misschien wel doorlaten, maar iemand die een beetje verstand heeft over computerveiligheid, zal zal dit nog steeds als phising (moeten) zien.

Wel slim dat ze (eindelijk) van md5 afstappen.
16-07-2014, 18:32 door Wim ten Brink
Het probleem voor Dixons is dat ik die link niet zal volgen als de email niet van Dixons afkomstig is. Sterker nog, ik zou de email rapporteren als "phishing" en omdat de email op een alias binnenkomt en niet mijn echte mail-account zou ik ook meteen de alias blokkeren en alles wat erop binnenkomt vanaf dat moment als spam beschouwen.
Ik wil Dixons er ook eventjes op wijzen dat het doorgeven van mijn email adres aan een bedrijf dat mailings rondstuurt in mijn ogen een zware schending is van mijn persoonsgegevens. Dit mogen ze niet zomaar doen want ik geen hen geen toestemming om mijn adres door te geven aan derden.
Maar goed, ik heb geen Dixons account dus is er niets aan de hand. Doorlopen, AUB... :-)
16-07-2014, 18:56 door Anoniem

De e-mail van Dixons bevat een link waarmee klanten hun wachtwoord kunnen wijzigen, maar deze link wijst niet naar Dixons.nl, maar naar een ander domein dat afkomstig is van de partij die de mailing verstuurt. Dat zou klanten misschien kunnen laten denken dat het om een phishingaanval gaat, maar volgens Ten Napel is hier bewust voor gekozen. De IP-adressen van deze partij zouden namelijk door grote providers als Microsoft en Google zijn gewhitelist, waardoor de e-mails niet als spam worden aangemerkt.

Dat men een erkende bonafide mailer gebruikt om berichten te versturen, dat kan ik me nog voorstellen. Ook vanuit het oogpunt van Spamfilters.
Maar waarom kan men dan niet gewoon een link naar de dixonsite in het bericht zetten? Daar gaan de spamfilters toch niet over vallen? Moet dit per se van het zelfde domein als de afzender zijn?

Misschien ontbreekt het mij aan de juiste kennis, dus vandaar de vraag... :)
16-07-2014, 21:00 door Anoniem
Niet heel moeilijk om een methode te verzinnen waarbij bestaande hashes nog eens gehast worden (met een ander algorithme graag) en het resultaat opgeslagen. Meerdere methodes doorelkaar gebruiken in een enkel wachtwoordbestand is niet ongebruikelijk; een markering in het opgeslagene geeft dan aan welke methode voor welk wachtwoord te gebruiken. Precies zodat oudere methodes langzaamaan kunnen uitsterven. Dan hoef je niet heel je gebruikersbestand te dwingen onmiddelijk een nieuw wachtwoord te kiezen.

Aan de andere kant, dat is maar technisch en stilletjes enzo. Daar haal je de krant dus niet mee.
17-07-2014, 08:45 door Wadjinn
Dixons heeft dit op een heel nette manier aangepakt. Er zijn legio voorbeelden zoals het niet moet. De (slapende) klant laat een impuls horen via een link en daarvoor krijgt hij €5 korting op de bestelling. Hiermee haal je weer mensen naar je webshop in de hoop dat ze actiever blijven. Ik heb er geen moeite mee. Als ik ergens iets bestel dan mogen ze gegevens weten waar ze iets moeten leveren. Ga je paranoia spelen op internet kun je beter door de koopgoot gaan slenteren.
17-07-2014, 10:12 door Anoniem
Wat een blunder en om problemen te onder vagen door conflicterende domeinen in de email hadden ze beter kunnen aangeven dat klanten alleen naar de Dixons site kunnen gaan en geen link plaatsen. De landingspagina geeft een vermelding te met daarin dezelfde melding en dan kan de klant gerust hun gegevens invullen. Wel eerst controleren of je ook werkelijk op de juiste site bent.
17-07-2014, 11:58 door Anoniem
Ach,had ook zo'n mail.
Ik heb geen actie ondernomen en vind alles gewoon wel prima,en laat erbij wat het is.
Ik heb de mail gewoon verwijderd.
17-07-2014, 12:28 door Anoniem
Ik heb ook zo'n mail ontvangen en direct via een mail aan dixons.nl mijn account opgezegd.

Ben niet van plan op een of andere louche link te kliekken: http://vicinity.picsrv.net/535/........../.........

Onbegrijpelijk dat ze dit zo hebben aangepakt.
Heb het ook bij spamcop gemeld, dat doe ik met alle spam die toch nog door het (zeer goede) spamfilter van mijn provider komt.
17-07-2014, 12:32 door Whacko
Klinkt eerder als een soort cover-up ;) Misschien is Dixons wel gehackt, en denken ze door de nieuwe site snel online te brengen en iedereen het wachtwoord te laten veranderen er wel mee weg te komen.
17-07-2014, 13:56 door Anoniem
Door Whacko: Klinkt eerder als een soort cover-up ;) Misschien is Dixons wel gehackt, en denken ze door de nieuwe site snel online te brengen en iedereen het wachtwoord te laten veranderen er wel mee weg te komen.

Niet eens zo'n slechte gedachte idd...

Even voor mijn begrip: een gehashed WW hoeft toch niet gedecrypt te worden om het over te zetten? Gewoon RAW 1op1? of.. begrijp ik het verkeerd?

ps: ik begrijp dat je dan geen SHA encryptie hebt, maar het argument decrypten slaat volgens mij nergens op. (tenzij ik het gewoon verkeerd begrijp, best goed mogelijk)
17-07-2014, 15:35 door Anoniem
Door Wim ten Brink:Ik wil Dixons er ook eventjes op wijzen dat het doorgeven van mijn email adres aan een bedrijf dat mailings rondstuurt in mijn ogen een zware schending is van mijn persoonsgegevens. Dit mogen ze niet zomaar doen want ik geen hen geen toestemming om mijn adres door te geven aan derden.

Dit valt gewoon binnen de wet. Dixons mag jouw e-mail adres gebruiken om je een mail over de site te sturen. Dixons mag hiervoor ook een externe partij inschakelen als ze een goede opdrachtomschrijving, beschrijving van de te verstrekken persoonsgegevens en een verwerkersovereenkomst hebben afgesloten. Mijn ervaring met de meeste grote (Nederlandse) partijen is dat die zoiets op de plank hebben liggen voor hun klanten.

Door Anoniem:Dat men een erkende bonafide mailer gebruikt om berichten te versturen, dat kan ik me nog voorstellen. Ook vanuit het oogpunt van Spamfilters.
Maar waarom kan men dan niet gewoon een link naar de dixonsite in het bericht zetten? Daar gaan de spamfilters toch niet over vallen? Moet dit per se van het zelfde domein als de afzender zijn?

Misschien ontbreekt het mij aan de juiste kennis, dus vandaar de vraag... :)

Ik heb te maken gehad met een aantal van dergelijke partijen en die gebruiken allemaal standaard software voor dergelijke mailings. Die zorgt automatisch voor opschonen van de database (als gevolg van bounces e.d.) en voor tracking van kliks. Dixons wil misschien wel dat iedereen die nog niet heeft geklikt een nieuwe herinnering krijgt. Dat is zeer lastig buiten de standaard software te implementeren. (zeer lastig = duur).

Peter
18-07-2014, 09:36 door Anoniem

De e-mail van Dixons bevat een link waarmee klanten hun wachtwoord kunnen wijzigen, maar deze link wijst niet naar Dixons.nl, maar naar een ander domein dat afkomstig is van de partij die de mailing verstuurt. Dat zou klanten misschien kunnen laten denken dat het om een phishingaanval gaat, maar volgens Ten Napel is hier bewust voor gekozen. De IP-adressen van deze partij zouden namelijk door grote providers als Microsoft en Google zijn gewhitelist, waardoor de e-mails niet als spam worden aangemerkt.

Even onthouden: mail van Dixons bevat altijd linkjes die niet naar dixons.nl zijn. Want ik kan als oplettende consument zo echt merken of iets vertrouwd is of niet.... (want tja, gmail zet het toch in m'n inbox?)

Als het dan toch Phising blijkt de zijn (nog een keer wachtwoord reset waarvoor ik 5 euro krijg) zal dat wel niet zo zijn... anders bel ik Ten Napel wel even en die fixt het dan?

Sorry, de rationele achter dat soort beslissingen...... Account bij deze opgezegd, meteen m'n vertrouwen in de rest van die site kwijt.
18-07-2014, 09:38 door Anoniem
Misschien even stomme vraag: maar hoe goed is dat Bcrypt wat ze nu gebruiken dan?
Lees online twijfelachtige titels als "Unlimited Novelty: Don't use crypt".
18-07-2014, 11:01 door Anoniem
Het wordt nog leuker: ze hebben op mijn verzoek mijn account gedeactiveerd.
Maar mijn emailadres blijft eraan vast zitten (dus account wordt niet verwijderd).

Gevolg: ik kan mijn emailadres niet meer gebruiken als ik me opnieuw wil aanmelden om een bestelling te doen.

Ik heb toch het idee dat ze verplicht zijn mijn gegevens te verwijderen als ik daarom vraag. Of ben ik daarmee abuis?

Fijn bedrijf, daar bestel ik dus maar niet meer. Er zijn gelukkig zat andere webshops.
Ze zijn trouwens ook helemaal niet zo goedkoop...
18-07-2014, 11:11 door Anoniem

Ik heb te maken gehad met een aantal van dergelijke partijen en die gebruiken allemaal standaard software voor dergelijke mailings. Die zorgt automatisch voor opschonen van de database (als gevolg van bounces e.d.) en voor tracking van kliks. Dixons wil misschien wel dat iedereen die nog niet heeft geklikt een nieuwe herinnering krijgt. Dat is zeer lastig buiten de standaard software te implementeren. (zeer lastig = duur).

Hoe lastig is het om een subdomein daarvoor in te richten.... ik denk dan: blijkbaar koop je iets in, dan moet je gewoon het juiste vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.