Gegevens Nederlandse telecomklanten slecht beveiligd
Elektronicaketen Media Markt en telecomketen Phone House hebben het wachtwoordbeleid aangepast en verschillende andere maatregelen doorgevoerd nadat een beveiligingsonderzoeker ontdekte dat de gegevens van miljoenen Nederlandse telecomklanten slecht waren beveiligd.
Sijmen Ruwhof bezocht afgelopen september de Media Markt in Utrecht om zijn telefoonabonnement te vernieuwen. Dat deed hij via Phone House, dat vanuit de Media Markt opereert. Om het abonnement te verlengen opende de werknemer een Excel-bestand met allerlei wachtwoorden. Het ging om inloggegevens voor de dealerportalen van verschillende telecomaanbieders, zoals KPN en Vodafone. De wachtwoorden bleken zeer zwak te zijn en het bestand was in Google Docs opgeslagen.
Een paar weken later keerde Ruwhof terug om te zien of hij een werknemer het wachtwoordbestand kon laten openen. Dit keer maakte hij een foto waarop de wachtwoorden duidelijk te zien zijn. Via internet vond hij verschillende portalen die vanaf het internet voor iedereen toegankelijk waren en waar hij waarschijnlijk de wachtwoorden uit de Excel-sheet kon gebruiken. Iets wat hij uiteindelijk niet deed, omdat dit strafbaar is.
De onderzoeker benaderde de Media Markt. In eerste instantie reageerde het bedrijf vijandig, maar nadat Ruwhof zijn intenties duidelijk maakte werd ernaar een oplossing gewerkt. Tevens lichtte hij ook de betrokken telecomproviders in. Zo veranderde KPN het wachtwoordbeleid voor de dealerportaal. Media Markt en Phone wijzigden uiteindelijk ook het wachtwoordbeleid, besloten een digitale wachtwoordkluis te gebruiken en privacyschermen te installeren, zodat anderen niet kunnen meekijken.
- m
- vodafone14454
- Welkom03
- beginnen01
- msh0041
Jep. Een éénletterig wachtwoord ("m") werd bij KPN geaccepteerd als wachtwoord voor een portaal met NAW gegevens van bijna alle Nederlandse inwoners. Eén letter.
En dat allemaal óók nog eens in, jawel, Google Drive.
Bron: https://ic.tweakimg.net/ext/i/2000874186.png (feitelijke screenshot van de spreadsheet, afkomstig van Tweakers.net)
Het is gewoon echt diep triest. Security heeft prioriteit 0. Hier faalt management en ICT van zowel KPN, MediaMarkt als ThePhoneHouse. En niet één medewerker die hier ooit vraagtekens bij heeft gezet? Het is een grove schande.
Al vele jaren zijn die dealers portals van telecomproviders slecht beveiligd.
En dat is niet het enige.
Zo was enkele jaren geleden een webservice van een telecomprovider voor een behoorlijke tijd onbeveiligd omdat een certificaat niet wilde werken.
Iedereen kon zo met wat simple handelingen van alles doen, mits je de deeplink had.
Maar zodra er maar iets fout gaat bij een dealer, dan werd je nog net niet voor een vuurpeleton gezet.
Zo ook die prijswijzigingen van abbo's in de afgelopen jaren..
Wist van alle providers al weken, soms zelfs enkele maanden van te voren dat de prijzen werden verhoogd.
Maar er is geen sprake van prijsafspraken volgens onderzoeken...bullshit...corrupte bende die telecomwereld.
Zolang snelle verwerkbaarheid voor alle werknemers prevaleert, boven tijd/geldrovende inlog procedures.
Word het nooit wat met data sanity in Nederland.
Ik verwacht dat het grosso modo van MKB ook gebruikt maakt van luizige wachtwoorden.
Veiligheids denken zit niet ingebakken in de cultuur, Ook niet in veel individuele gebruikers.
Inloggen wordt gezien als een vervelende/tijdrovende bezigheid.
Eenmaal ingelogd hou je dus je venster open.
Als je veilig en niet tijdrovend kan krijgen tegen acceptable kosten dan kan het wat worden. Begin met risico/impact....
Waar blijft die benadering?
Als je veilig en niet tijdrovend kan krijgen tegen acceptable kosten dan kan het wat worden. Begin met risico/impact....
Waar blijft die benadering?
Om dat te realiseren zou men echter nog 2 tellen langer na moeten denken, en dat is voor de standaardgebruiker helaas óók al te veel gevraagd om te doen vóórdat iets in de soep loopt.
"Wij" zijn veel meer gewend preventief op te moeten treden, deze mensen re-ageren alleen op de rest van het proces.
Kijk eens als simpel voorbeeld naar hoe veel mensen lijken te realiseren hoe wachtwoord-entropie werkt, een van de basisonderdelen van het wachtwoordsysteem...
Met die aparte regeling is het boetebedrag op de helft van die wat het CBP hanteert gelimiteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.