KPN blundert met wachtwoordbeveiliging

05-07-2012 11:47 | Door Sander Hulsman | Lees meer artikelen over: Authenticatie, ADSL | Lees meer over het bedrijf: KPN | Er zijn 8 reacties op dit artikel | Permalink
Slecht resultaat

KPN heeft noodgedwongen maatregelen moeten nemen om de inlogbeveiliging rondom de self care-omgeving op internet voor zakelijke adsl-klanten te verbeteren. Na een tip bleek dat 180.000 zakelijke adsl-klanten 'welkom1' of een afgeleide daarvan als standaardwachtwoord hadden gekregen. Bijna 120.000 klanten pasten dit wachtwoord niet aan. KPN heeft direct de omgeving uit de lucht gehaald en heeft alle niet gewijzigde wachtwoorden automatisch gereset.

KPN-klanten kunnen op de online self care-omgeving inloggen om zelf bepaalde administratieve taken rondom hun account te regelen. Hier vallen onder het wijzigen van het e-mailadres, wijzigen van de verbindingssnelheid en het aanvragen of opheffen van extra diensten. Een tip bracht de beveiligingskwetsbaarheid rondom de inlogprocedure aan het licht.

Standaardwachtwoord

In veel gevallen verstrekt KPN aan nieuwe zakelijke adsl-klanten bij het afsluiten van het abonnement een standaardwachtwoord voor toegang tot de online self care-omgeving (varianten op de term ‘welkom1'). Klanten kunnen dit dan zelf wijzigen in een eigen wachtwoord. Na de tip heeft KPN geconstateerd dat een kleine 120.000 van de in totaal 180.000 klanten dit standaardwachtwoord niet heeft gewijzigd. Daarnaast blijkt dat circa 20.000 klanten de gebruikersnaam óók als wachtwoord gebruikt. Klanten lopen hierdoor het risico dat onbevoegden tamelijk eenvoudig op hun self care-pagina zouden kunnen inloggen. KPN heeft geen aanwijzingen dat dit ooit is gebeurd, maar heeft meteen maatregelen genomen om de klanten te beschermen.

Op donderdag 5 juli 2012 gaat de online self care-omgeving van KPN rond 12.00 uur weer live. Klanten hebben een e-mail ontvangen met uitleg over de situatie, instructie voor het aanmaken van een nieuw wachtwoord en tips over hoe een veilig wachtwoord te kiezen. Klanten kunnen vanaf dat moment weer inloggen. Voor ongeveer 40.000 klanten is dit met hun bekende, zelfgekozen wachtwoord, de andere 140.000 klanten moeten een nieuw wachtwoord aanmaken.

Reacties op dit artikel
De redactie vindt deze reactie: OKFrank Brechts, 05-07-2012 12:08
KPN maakt zich zelf tevens schuldig aan computervredebreuk door alle accounts te checken op gebruikersnaam = wachtwoord. Deze wachtwoorden zijn immers door de gebruiker (of de hacker...) veranderd.
De redactie vindt deze reactie: OKm, 05-07-2012 12:31
Een standaardantwoord op dit soort problemen is dat men zelf verantwoordelijk is voor het aanmaken van een goed wachtwoord.
Of dat van de klant verwacht mag worden (mag dus niet - de cijfers _bewijzen_ het), doet niks af aan het feit dat het (bij alle belangrijke zaken) _altijd_ fout is om standaardwachtwoorden uit te delen. Als er een standaardwachtwoord actief is, staat het account sowieso een tijd (en soms heel lang) open voor alle nieuwsgierigen op deze aardbol (daar waar we spreken over online accounts natuurlijk).
 
Bedrijven die met standaardwachtwoorden werken, hebben sowieso niet de juiste veiligheidsprotocollen in werking.
De redactie vindt deze reactie: OKPeter, 05-07-2012 12:31
@Frank: Ik durf wel te stellen dat dit kletskoek is. Mooi woord, hoor, dat "computervredebreuk" maar het heeft hiermee niets te maken.
 
Ik controleer op ons bedrijfsnetwerk regelmatig de hashes van de wachtwoorden en controleer ook de laatste wijzigingsdatum. Mensen met "oude" wachtwoorden worden verplicht om hun wachtwoord te wijzigen. ALs ik zie dat meerdere mensen dezelfde hash in hun account hebben dan weet ik dat ze hun wachtwoord met elkaar delen en laat ik ze onafhankelijk van elkaar eveneens hun wachtwoord veranderen.
 
Een simple testje, zoals de hash over iemands usernaam uitrekenen en die vervolgens met de wachtwoord hash vergelijken heeft natuurlijk helemaal niets met computervredebreuk te maken.
 
Het heeft natuurlijk wel alles met het voorkomen van computervredebreuk te maken. Hèhè...
De redactie vindt deze reactie: OKFrank Brechts, 05-07-2012 12:42
@Peter, eens, de soep wordt vaak niet zo heet gegeten, ik kan echter niet uit het artikel opmaken hoe KPN e.e.a. checkt.
 
Overigens had ik het slimmer gevonden dat alle accounts een nieuw wachtwoord zouden moeten krijgen. KPN weet immers niet wat er exact met de 40.000 accounts gebeurd is, waarbij "welkom1" wél werd gewijzigd (maar niet in de gebruikersnaam).
 
Mijn indruk is dus dat KPN welwillend is, maar blijkbaar nog steeds niet doordrongen is van de ernst en/of de juiste kennis niet aan boord heeft.
De redactie vindt deze reactie: OKJohannes B, 05-07-2012 13:07
Gebruik gewoon een tool o.i.d. om goede wachtwoorden te genereren. Kijk bijvoorbeeld naar het gratis tooltje KeePass waarmee je wachtwoorden kan genereren en beveiligd opslaan.
 
Daarnaast kan het geen kwaad voor de zekerheid een mailtje te sturen naar het oorspronkelijk ingestelde e-mail adres zodra er iemand inlogd op de beheerpagina, zie ook Facebook dat dergelijke mails stuurt. Per wijziging zou je ook een update mailtje moeten sturen ter bevestiging.
 
Dat verkleint de kans op (ongemerkt) misbruik aanzienlijk.
De redactie vindt deze reactie: OKJaap Lelie, 05-07-2012 13:09
Ik snap de discussie niet... Alle gebruikers zijn met email geregistreerd. Hoe moeilijk is het nu om alle wachtwoorden door een randomizer te laten regenereren/resetten, en de gebruikers een reset-link te sturen? Net als een 'ik ben mijn wachtwoord vergeten' procedure die de meeste websites hebben? Ben je van alle geneuzel af.
De redactie vindt deze reactie: OKM van Mierlo, 05-07-2012 16:19
Nu we steeds vaker met die "Vredebreuk" te maken krijgen vraag ik me stellig af of die aardig gratis tools en randomizers ook geen handige manier is om makkelijk te kraken wachtwoorden te genereren...
Achterdocht is mogelijk de nieuwe standaard met al die sneaky zaken die er met ons uitgehaald worden.
De redactie vindt deze reactie: OKwillem oorschot, 05-07-2012 20:42
En dit is niet de eerste blunder, lijkt mij niet zo moeilijk om een gedwongen pasword change af te dwingen, nadat de gebruiker de zaak heeft geïnstalleerd!
3 vacatures
Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Senior ICT-Beheerder

Gemeente Breda , Breda

Systeembeheerder Kantoorautomatisering

SURFsara , Amsterdam

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1563 6.2
Klik voor meer info2 1299 6.0
Klik voor meer info3 1266 6.2
Klik voor meer info4 1069 6.2
Klik voor meer info5 976 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 521 6.1
Klik voor meer info9 397 6.0
Klik voor meer info10 391 6.2