KPN blundert met wachtwoordbeveiliging
KPN heeft noodgedwongen maatregelen moeten nemen om de inlogbeveiliging rondom de self care-omgeving op internet voor zakelijke adsl-klanten te verbeteren. Na een tip bleek dat 180.000 zakelijke adsl-klanten 'welkom1' of een afgeleide daarvan als standaardwachtwoord hadden gekregen. Bijna 120.000 klanten pasten dit wachtwoord niet aan. KPN heeft direct de omgeving uit de lucht gehaald en heeft alle niet gewijzigde wachtwoorden automatisch gereset.
KPN-klanten kunnen op de online self care-omgeving inloggen om zelf bepaalde administratieve taken rondom hun account te regelen. Hier vallen onder het wijzigen van het e-mailadres, wijzigen van de verbindingssnelheid en het aanvragen of opheffen van extra diensten. Een tip bracht de beveiligingskwetsbaarheid rondom de inlogprocedure aan het licht.
Standaardwachtwoord
In veel gevallen verstrekt KPN aan nieuwe zakelijke adsl-klanten bij het afsluiten van het abonnement een standaardwachtwoord voor toegang tot de online self care-omgeving (varianten op de term ‘welkom1'). Klanten kunnen dit dan zelf wijzigen in een eigen wachtwoord. Na de tip heeft KPN geconstateerd dat een kleine 120.000 van de in totaal 180.000 klanten dit standaardwachtwoord niet heeft gewijzigd. Daarnaast blijkt dat circa 20.000 klanten de gebruikersnaam óók als wachtwoord gebruikt. Klanten lopen hierdoor het risico dat onbevoegden tamelijk eenvoudig op hun self care-pagina zouden kunnen inloggen. KPN heeft geen aanwijzingen dat dit ooit is gebeurd, maar heeft meteen maatregelen genomen om de klanten te beschermen.
Op donderdag 5 juli 2012 gaat de online self care-omgeving van KPN rond 12.00 uur weer live. Klanten hebben een e-mail ontvangen met uitleg over de situatie, instructie voor het aanmaken van een nieuw wachtwoord en tips over hoe een veilig wachtwoord te kiezen. Klanten kunnen vanaf dat moment weer inloggen. Voor ongeveer 40.000 klanten is dit met hun bekende, zelfgekozen wachtwoord, de andere 140.000 klanten moeten een nieuw wachtwoord aanmaken.
Frank Brechts, 05-07-2012 12:08
m, 05-07-2012 12:31
Of dat van de klant verwacht mag worden (mag dus niet - de cijfers _bewijzen_ het), doet niks af aan het feit dat het (bij alle belangrijke zaken) _altijd_ fout is om standaardwachtwoorden uit te delen. Als er een standaardwachtwoord actief is, staat het account sowieso een tijd (en soms heel lang) open voor alle nieuwsgierigen op deze aardbol (daar waar we spreken over online accounts natuurlijk).
Bedrijven die met standaardwachtwoorden werken, hebben sowieso niet de juiste veiligheidsprotocollen in werking.
Peter, 05-07-2012 12:31
Ik controleer op ons bedrijfsnetwerk regelmatig de hashes van de wachtwoorden en controleer ook de laatste wijzigingsdatum. Mensen met "oude" wachtwoorden worden verplicht om hun wachtwoord te wijzigen. ALs ik zie dat meerdere mensen dezelfde hash in hun account hebben dan weet ik dat ze hun wachtwoord met elkaar delen en laat ik ze onafhankelijk van elkaar eveneens hun wachtwoord veranderen.
Een simple testje, zoals de hash over iemands usernaam uitrekenen en die vervolgens met de wachtwoord hash vergelijken heeft natuurlijk helemaal niets met computervredebreuk te maken.
Het heeft natuurlijk wel alles met het voorkomen van computervredebreuk te maken. Hèhè...
Frank Brechts, 05-07-2012 12:42
Overigens had ik het slimmer gevonden dat alle accounts een nieuw wachtwoord zouden moeten krijgen. KPN weet immers niet wat er exact met de 40.000 accounts gebeurd is, waarbij "welkom1" wél werd gewijzigd (maar niet in de gebruikersnaam).
Mijn indruk is dus dat KPN welwillend is, maar blijkbaar nog steeds niet doordrongen is van de ernst en/of de juiste kennis niet aan boord heeft.
Johannes B, 05-07-2012 13:07
Daarnaast kan het geen kwaad voor de zekerheid een mailtje te sturen naar het oorspronkelijk ingestelde e-mail adres zodra er iemand inlogd op de beheerpagina, zie ook Facebook dat dergelijke mails stuurt. Per wijziging zou je ook een update mailtje moeten sturen ter bevestiging.
Dat verkleint de kans op (ongemerkt) misbruik aanzienlijk.
Jaap Lelie, 05-07-2012 13:09
M van Mierlo, 05-07-2012 16:19
Achterdocht is mogelijk de nieuwe standaard met al die sneaky zaken die er met ons uitgehaald worden.
willem oorschot, 05-07-2012 20:42
24-05 Peak-IT stuurt ICT’er 2 weken naar Turkije
23-05 Prevent-IT neemt NetEyes over
23-05 XA neemt Xerox-tak over van BührmannUbbens
23-05 PON kent subsidie toe aan onderzoeken CGI en UvA
23-05 Evinova Datacenter opent deuren in Meppel
23-05 Nederland houdt voorsprong in UCC-technologie
23-05 Computable zoekt testers voor HP ElitePad
23-05 Adviseur Peakvalue treedt uit The Future Group
22-05 Norman Shark ontdekt Indiase cyberspionage
22-05 ITPH organiseert regionale IT-branchedag...
23-05 Evinova Datacenter opent deuren in Meppel
23-05 Quick Heal beveiliging nu ook in de Benelux
22-05 Norman Shark ontdekt Indiase cyberspionage
22-05 Documenten dubbel zien in de cloud
22-05 IntraData biedt CTB Flex handtekening via cloud
22-05 Eaton 5P UPS ondersteunt virtuele omgevingen
22-05 Vasco Data Security neemt Cronto over
21-05 Beveilig je site tegen DDoS-aanval
21-05 McAfee en Intel in digitale beveiliging
21-05 SpicyLemon
|
|
10-09-12 KPN-personeel eist strategie voor lange termijn
27-03-12 Politie verdenkt KPN-hacker van meer
19-03-12 KPN neemt anti-hackmaatregelen
14-02-12 Pronkende hacker dwong KPN tot maatregelen
13-02-12 KPN maakt balans op na hack
DoS-aanvallen: strategieen om de schade te beperken
 |
De kans dat organisaties getroffen worden door een DoS-aanval is helaas reëel. Omdat er allerlei soorten......
Vivare , Arnhem
Dionach bv , Amersfoort
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 752 | 6.1 | |
 | 2 | 657 | 6.3 | |
 | 3 | 620 | 6.4 | |
 | 4 | 589 | 6.3 | |
 | 5 | 537 | 6.3 | |
 | 6 | 521 | 6.2 | |
 | 7 | 277 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 157 | 6.1 | |
| 10 | 122 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep