Nieuws
image

Eurostar gaat fout in met verplichte wachtwoordreset en sluit klanten buiten

dinsdag 14 februari 2023, 10:05 door Redactie, 7 reacties

Eurostar heeft voor klanten met een Eurostar-account een wachtwoordreset verplicht, maar die blijkt niet te werken waardoor klanten niet meer op hun account kunnen inloggen. Op Twitter regent het klachten. In een e-mail aan klanten meldt Eurostar dat het bezig is om de veiligheid van accounts en persoonlijke gegevens "te upgraden". Om het Eurostar-account te kunnen blijven gebruiken moeten klanten een nieuw wachtwoord instellen.

De wachtwoordresetlink blijkt echter niet te werken. Klanten die een nieuw wachtwoord willen instellen krijgen een foutmelding te zien dat het resetten van het wachtwoord op dit moment niet mogelijk is. Op 10 februari bevestigde Eurostar via Twitter dat er problemen waren met het inloggen. Zo werd onder andere aangeraden cookies te verwijderen. Vier dagen later melden klanten echter nog steeds dat de wachtwoordreset niet werkt en ze geen toegang tot hun accounts hebben.

Image

Reacties (7)
Reageer met quote
14-02-2023, 10:41 door Anoniem
meldt Eurostar dat het bezig is om de veiligheid van accounts en persoonlijke gegevens "te upgraden".

Het doel is behaald, het is zo veilig geen enkele klant meer kan inloggen. ;-)
Reageer met quote
14-02-2023, 10:49 door Anoniem
klinkt als een oopsie...
jij had toch die database gebackupped?
ik dacht dat jij dat gedaan had..
ja, maar ik kan de backup niet meer lezen.
Reageer met quote
14-02-2023, 12:11 door Briolet
Altijd vervelend als zoiets niet vooraf goed getest is.

Ik heb iets vergelijkbaars. Bij een nutsbedrijf waar ik een account heb, is de website vernieuwd en moet ik ook een nieuw wachtwoord instellen via hun activatielink. Echter de mail komt nooit aan omdat onze mailserver hem blokkeert wegens een ssl-error bij de connectie. En verouderde ssl instellingen wil ik niet toelaten op de mailserver.

Een nieuw account aanmaken kan ook niet omdat dit aan het meternummer gekoppeld is, zodat ik de melding krijg, dat er al een account voor die meter bestaat. Gelukkig geen frustratie voor mij omdat ik alleen inlog om de digitale factuur op te halen, terwijl hij ook per post komt.
Reageer met quote
14-02-2023, 16:40 door Anoniem
Door Anoniem: klinkt als een oopsie...
jij had toch die database gebackupped?
ik dacht dat jij dat gedaan had..
ja, maar ik kan de backup niet meer lezen.

Klinkt meer als gedram van security om een deadline te halen .

Met werkelijke of vermeende noodzaak is besloten alle accounts te laten password resetten .
(misschien dat een deel een oudere stijl hash gebruikte, of niet door de requirements van lengte/karakterset gegaan was ) .
Of misschien een vermoede breach .
Of simpelweg een nieuw backend dat per x/x/2023 live moest om het project af te sluiten .

En dan wordt er zo'n update doorgeramd - zonder voldoende test en zonder uitgebreide impact analyse .

Nu is het inschatten van impact en representatief testen met een populatie "van alles op Internet" wel erg lastig - maar blijkbaar te weinig gedaan. "Het werkt bij mij, go live" .
En blijbaar niet gefaseerd ingevoerd .
Reageer met quote
14-02-2023, 18:55 door Anoniem
...meldt Eurostar dat het bezig is om de veiligheid van accounts en persoonlijke gegevens "te upgraden".
Ik krijg de indruk dat de upgrade meer dan alleen de veiligheid betreft. Twee tweets onder waar het artikel naar linkt meldt Eurostar:
We're aware that bookings are missing when accessing an account but can confirm that the bookings are still there and haven't been removed if were previously in the account. The account maintenance upgrade still has some finalisation work to complete and bookings will show again.
Verplichte wachtwoord-reset; ontbrekende data: dit klinkt als een migratie naar een compleet nieuw systeem, wellicht van een andere leverancier. Als het geen eigen systeem is kan ik me voorstellen dat een gefaseerde overgang in relatief kleine en veilige stappen niet mogelijk is maar dat het big bang export en import is, en dan proberen alle rommel op te ruimen van wat niet blijkt te werken.
Reageer met quote
15-02-2023, 11:15 door Anoniem
Door Briolet:
Ik heb iets vergelijkbaars. Bij een nutsbedrijf waar ik een account heb, is de website vernieuwd en moet ik ook een nieuw wachtwoord instellen via hun activatielink. Echter de mail komt nooit aan omdat onze mailserver hem blokkeert wegens een ssl-error bij de connectie. En verouderde ssl instellingen wil ik niet toelaten op de mailserver.
Dat lost zich neem ik aan vanzelf op omdat het nutsbedrijf ooit een keer hun server software gaat updaten, of de boel gaat uitbesteden bij een bedrijf wat het wel goed voor elkaar heeft.
(tenzij je draconische eisen stelt zoals "moet TLS 1.3 zijn" of "mag geen naar mijn idee zwak algorithme aanbieden" natuurlijk, dan kan het lang duren)
Reageer met quote
03-02-2024, 22:29 door Anoniem
Aan de berichtgeving hier kan ik vandaag bevestigen dat Eurostar na een jaar het probleem niet heeft opgelost. Vandaag geboekt voor de krokus vakantie. Account aangemaakt op laptop, dat leek goed te gaan. App op smartphone geïnstalleerd op advies dat gegeven werd. Ik voer mijn zelfde gebruikersnaam en wachtwoord in en het wordt niet herkend.
Incompetentie van het hooogste niveau!!! Maar goed, als die trein maar rijd wanneer ik ga
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search