NS blokkeert 2200 klantenaccounts na verdachte inlogpogingen
De NS heeft 2200 accounts van klanten wegens verdachte inlogpogingen geblokkeerd, zo heeft de vervoerder via de eigen website bekendgemaakt. Aanvallers wisten mogelijk via hergebruikte wachtwoorden op de accounts in te loggen.
"Om toegang te krijgen tot de accounts is ingelogd met het e-mailadres en wachtwoord van de klant. Door de wijze waarop is ingelogd, neemt NS echter aan dat dit niet de klant zelf is geweest. Mogelijk wordt de combinatie van e-mailadres en wachtwoord ook voor andere websites gebruikt en is deze daar in verkeerde handen terechtgekomen", aldus een verklaring van het bedrijf.
Uit onderzoek dat naar de verdachte inlogpogingen werd ingesteld is gebleken dat aanvallers de betreffende NS-accounts mogelijk hebben ingezien. Uit voorzorg zijn de accounts door de NS geblokkeerd. De vervoerder adviseert deze klanten om een sterk nieuw wachtwoord in te stellen en hetzelfde wachtwoord niet voor meerdere accounts te gebruiken.
Alle getroffen klanten zijn inmiddels geïnformeerd. De NS heeft aangifte van computervredebreuk gedaan bij de politie en de aanval gemeld bij de Autoriteit Persoonsgegevens. Vooralsnog zijn er geen aanwijzingen dat gegevens van reizigers zijn misbruikt.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
Je kunt de Redactie ook tippen! https://www.security.nl/about
Ik kwam dit tegen tijdens een rondgang bij de Nederlandse kranten en heb dit om 13.07 uur op jullie forum gemeld.
Je kunt de Redactie ook tippen! https://www.security.nl/about
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
Andere username levert vooral schijnveiligheid. Beter is om multi-factor authenticatie aan te bieden.
identificeren maar er geen belang is om te beveiligen dat echt niemand anders daar in kan.
(ik weet niet of dat bij een NS account het geval is, ik heb er geen dus ik weet niet wat daar mee kan)
In dat geval is een nietszeggende accountnaam in ieder geval een beveiliging tegen de scenario's die ik schetste,
en wellicht ook tegen het "lekken van persoonsgegevens" in bepaalde situaties.
(bijvoorbeeld als je op een platform wel kunt inloggen maar geen persoonsgegevens zoals een e-mail adres wilt
opgeven of opslaan)
geen @ mag voorkomen, of genereer de accountnaam (bijvoorbeeld uit een klantnummer). dit maakt de kans op
inbraken via "hergebruikte wachtwoorden" veel kleiner omdat je de accounts dan minder gemakkelijk kunt matchen
tussen verschillende platformen.
Dit werkt ook in omgekeerde richting: als jouw platform gehacked wordt hoef je niet bang te zijn dat klanten die overal
hetzelfde wachtwoord gebruiken ook op andere platformen het slachtoffer worden.
Je praat alsof je vindt dat _jouw_ platform het enige is voor gebruikers. En je je hebt meteen federated authentication onmogelijk gemaakt .
Er zijn meer hondjes die fikkie heten - als gebruiker is het enorm vervelend om eindeloos te moeten proberen een unieke maar herkenbare usernaam te maken op een weer een ander platform . jansen . gjansen. gjansen86 gjansen1286 etc etc.
Een usernaam in de vorm van naam@maildomein is meteen globaal uniek .
En maakt het 'inloggen met gmail/facebook/ander OAUTH2' platform simpel .
Dus jouw regel 1 : heel beperkt voordeel en heel groot nadeel. Niet Doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.