Ziggo roept klanten op om wachtwoord Wifibooster te wijzigen
Klanten van Ziggo die over een Wifibooster C7 beschikken worden door de provider opgeroepen om het standaard wachtwoord en de netwerknaam te wijzigen mochten ze dat nog niet hebben gedaan. De wifibooster is een apparaat dat het wifi-signaal van de modem versterkt.
Volgens de provider, die klanten via e-mail, Twitter en het eigen forum waarschuwde, bevat de wifi-versterker een "kwetsbare plek". Een aanvaller kan hierdoor toegang krijgen tot het wifi-netwerk en de informatie die hierop wordt uitgewisseld. "Als een hacker toegang heeft tot je netwerk, heeft hij toegang tot de gegevens op je netwerk en is de informatie die via je netwerk wordt verzonden niet veilig", aldus de uitleg van Ziggo.
Het lijkt dat dit mogelijk is doordat de C7 van een standaardwachtwoord gebruikmaakt. Ziggo laat namelijk weten dat gebruikers bij andere wifiboosters tijdens de installatie zelf een wachtwoord instellen en er geen sprake van een standaardinstelling is. Daarnaast hoeven klanten die het wachtwoord al hebben aangepast niet opnieuw hun wachtwoord te wijzigen, hoewel Ziggo het wel aanraadt dit te doen.
Verdere details worden niet gegeven. Een woordvoerder laat aan Security.NL weten dat het geen inhoudelijke uitspraken over kwetsbaarheden doet. De provider zegt verder niet bekend te zijn met misbruik van de kwetsbaarheid.
Verschillende klanten twijfelden echter over de authenticiteit van de e-mail waarin werd opgeroepen het wachtwoord te wijzigen en dachten dat het om phishing ging.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Probleem bij KPN is dat je je WiFi wachtwoord kan opslaan bij de servers van KPN en dat die dan automatisch teruggezet worden bij een nieuw modem. Tenminste. Ik kan mij herinneren dat KPN daar een programmaatje (.exe) voor had.
Zelf heb ik dat nooit gebruikt omdat ik dit soort dingen liever in eigen beheer hou.
Ik moet zeggen dat dit ook een probleem was bij de Thomson Speedtouch routers van XS4All. Ik heb er zelf een gehad met WiFi uitgeschakeld.
Het probleem bij die dingen was niet een vast wachtwoord, maar een default wachtwoord wat gegenereerd werd met een
"moeilijke hash functie" uit het MAC adres van de router. Toen die functie bekend werd kon je het wachtwoord raden
door het MAC adres door die functie te halen, als de gebruiker het niet veranderd had dan werkte dat.
Dit is trouwens een aanval die bij heel wat routers ooit gewerkt heeft.
Toch wel dus. XS4All had zelfs een eigen firmware voor VoIP telefonie.
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Ziggo Go deelt data met onder andere Facebook, reactie Ziggo: niets aan de hand, jouw data wordt niet gedeeld met derden, wij voldoen aan de AVG. Mij niet gezien dat ik dan nog ooit contact opnemen met Ziggo wanneer het om privacy gaat, terwijl ik dat wel zou moeten doen. Aangezien Ziggo persoonsgegevens van klanten lekt.
De zwakte is het apparaat dat niet afdwingt dat je het wachtwoord wijzigt bij ingebruikname. Je weet als designer wie de gebruikers gaan zijn - als je daar geen rekening mee houdt ben je een slechte designer.
Nee, het betreft alleen dit model en type en geen andere apparatuur. Maar door altijd het standaard wachtwoord van je apparaat te wijzigen, geef je hackers geen schijn van kans.
Het standaard wachtwoord wijzigen is goed advies, maar dat hackers dan 'geen schijn van kans' hebben is nogal stellige uitspraak. Als je het standaard wachtwoord hebt aangepast en je wordt gehackt, kan je de schade bij Ziggo claimen. Zij garanderen met deze zin immers aan dat als je het standaard wachtwoord aanpast, hackers geen schijn van kans hebben.
Dan ligt de fout bij de fabrikant/ leverancier die dat bij de setup aan had moeten geven en een wijziging af had moeten dwingen. Het zou mooi zijn om de gebruiker in het ongewisse te laten over het bestaan van een standaard wachtwoord, om vervolgens de gebruiker de zwakte toe te schrijven.
De zwakte is het apparaat dat niet afdwingt dat je het wachtwoord wijzigt bij ingebruikname. Je weet als designer wie de gebruikers gaan zijn - als je daar geen rekening mee houdt ben je een slechte designer.
Helemaal mee eens!
Ik denk dat wachtwoord aanpassen genoeg is. Laat anderen het maar bevestigen, maar ik verwacht dat elk apparaat een uniek wachtwoord heeft dat op de onderkant van het apparaat staat. Omdat het al een ingewikkeld wachtwoord is, denken velen dat ze het wel zo kunnen laten omdat niemand dat toch raad.
Het wacht woord zal echter, net als de SSID, uit een serienummer of mac waarde berekend zijn. Als die berekening niet goed gedaan is, kun je dan uit de SSID het serienummer terug rekenen en van daar uit het wachtwoord wat onderop de booster staat. (Speculatief van mijn kant)
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Verklaar je nader, want Ziggo doet het de laatste jaren juist zeer goed. De meeste mededelingen komen al weer een paar jaar vanuit een speciaal domein "e.ziggo.nl". Op dit domein zit de maximale beveiliging met een reject policy bij dmarc. Normaal gesproken krijg je die niet in je postbus, dus is hij echt als je hem ontvangt.
Meer kan ziggo niet doen. Verder stond, zoals altijd, het klantnummer onderaan in dat mailje. Dat behoren phishers niet te kennen. (Ik heb hem zelf niet gehad, maar iemand anders liet hem zien toen die op zijn telefoon binnenkwam)
Dit probleem komt bij meer mails van Ziggo voor. Oplossing hiervoor is simpel, helaas staat ook Ziggo niet open voor feedback.
Verklaar je nader, want Ziggo doet het de laatste jaren juist zeer goed. De meeste mededelingen komen al weer een paar jaar vanuit een speciaal domein "e.ziggo.nl". Op dit domein zit de maximale beveiliging met een reject policy bij dmarc. Normaal gesproken krijg je die niet in je postbus, dus is hij echt als je hem ontvangt.
Meer kan ziggo niet doen. Verder stond, zoals altijd, het klantnummer onderaan in dat mailje. Dat behoren phishers niet te kennen. (Ik heb hem zelf niet gehad, maar iemand anders liet hem zien toen die op zijn telefoon binnenkwam)
gebruikt wordt dus een andere SSID voegt niks toe!
Ik denk dat die mensen adviseren om het ding in minstens 5 stukken te zagen en in te leveren bij de afvalscheiding want
"hij is toch al gecomprimitteerd". De SSID veranderen maakt dan niks uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.