Managed hosting door True

Vodafone gaat door het stof na lek in voicemail

Leverancier schaft beveiliging met standaard pincode af

 

Directeur Jens Schulte-Bockum van Vodafone Nederland biedt zijn persoonlijke excuses aan voor een lek in de beveiliging van de voicemaildienst van het telecombedrijf. De aanbieder heeft direct de beveiliging van de spraakberichten aangepast. Een Vodafone-dienst waarbij vanaf een ander toestel de voicemail van een gsm kan worden afgeluisterd, was met een standaardcode beveiligd. Daardoor konden voicemailboxen eenvoudig worden afgeluisterd. Zo kwamen onder andere de berichten van politici op straat te liggen.

'Wij zijn enorm geschrokken van het bericht dat Een Vandaag de voicemails van politici heeft afgeluisterd', schrijft Schulte-Bockum. 'Toen wij het bericht kregen, hebben wij direct alles in het werk gesteld om de techniek zo aan te passen dat het niet meer mogelijk is om vanaf een andere telefoon een voicemail af te luisteren zonder persoonlijke pincode.'

'Graag wil ik aan de bewindslieden die zijn afgeluisterd persoonlijk mijn excuses aanbieden. Dat had nooit mogen gebeuren', schrijft de directeur.

Standaardcode

Tv-programma Een Vandaag legde in de uitzending van 23 maart 2011 bloot dat de voicemails van Vodafone-klanten eenvoudig af te luisteren zijn. Het telecombedrijf biedt de mogelijkheid om via een telefoonnummer in te bellen op de voicemail van een mobiele telefoon. De beller wordt gevraagd om het telefoonnummer van de voicemailbox die hij wil afluisteren te bellen en voert vervolgens een viercijferige beveiligingscode in.

Die code was standaard ingesteld op 3333. Daarmee lag de voicemailbox van iedere klant die de standaardcode niet had gewijzigd, open. Een beller moet dan natuurlijk wel op de hoogte zijn van het nummer van de Vodafone-klant.

Leverancier overheid

De redactie van het tv-programma achterhaalde voicemailberichten van politici als premier Mark Rutte, minister van Buitenlandse Zaken Uri Rosenthal en PVV-leider Geert Wilders, maar maakt die berichten uit privacy-overwegingen niet bekend.

Vodafone won in september 2010 de aanbesteding voor de levering van mobiele telefonie bij overheidsinstellingen. Ongeveer tienduizend ambtenaren hebben een contract bij de leverancier. Daaronder zijn ook De Nederlandsche Bank, rechtbanken en de Belastingdienst. Vodafone heeft in Nederland 5,1 miljoen particuliere klanten.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/3852020). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Is het aanpassen van je persoonlijke pincode geen kwestie van "eigen verantwoordelijkheid" en zegt dit genoeg over de incompetentie van de gebruiker, ook in dit geval de politici. Vodafone hoeft zich nergens voor te verontschuldigen!

Dit is werkelijk de omgekeerde wereld... Dat Vodafone het boetekleed aantrekt voor iets wat door de gebruiker geregeld moet worden... ongelooflijk.

Vodafone zet in ALLE documentatie die de gebruiker ontvangt dat de pincode direct gewijzigd moet worden. De goed bedoelde extra service dat voicemails op afstand en vanaf een andere telefoon beluisterd (is wat anders dan afgeluisterd) kunnen worden, komt hiermee onterecht in een kwaad daglicht te staan.

Het is duidelijk dat er weer een (politieke) zondebok gezocht wordt, voor eindgebruikers die wel moderne middelen willen gebruiken maar totaal niet weten hoe hiermee om te gaan.

Ben ik het niet mee eens; ze moeten de default waarde natuurlijk niet op '0000' zetten. Gewoon standaard disabelen van de functie en alleen enablen als de gebruiker zijn/haar default waarde heeft veranderd.

Als dienstverlener moet je er van op de hoogte zijn dat eindgebruikers dingen NIET doen. Vandaar dat de standaard code 3333, als deze niet gewijzigd wordt, na een bepaalde tijd - zeg, 1 week - moet vervallen. Dit moet natuurlijk wel in de gebruiksaanwijzing vermeld worden. Als de eindgebruiker dan toch van de functionaliteit gebruik wil maken moet hij/zij opnieuw een code aanvragen.

@Rogier, je mag het er niet mee eens zijn. Twee opmerkingen: 1) het is niet '0000' maar een andere waarde, 2) Vodafone levert een dienst en heeft een keuze gemaakt om het zo te doen. Als dit nergens duidelijk was uitgelegd heb je gelijk, maar in dit geval wordt de gebruiker netjes verteld hoe hiermee om te gaan. Wijzigen dus.
Je kunt moeilijk alle gemaakte keuzes in het leven op deze manier ter discussie stellen of zelfs veroordelen. Juridisch gezien heeft Vodafone juist gehandeld, naar gebruiksgemak gekeken m.i. eveneens.

PS: nee, ik werk niet bij Vodafone ;-)

Naar mijn mening zou de pincode random gegenereerd moeten worden, die je vervolgens naderhand kunt wijzigen. Heel Nederland heeft destijds toch ook niet dezelfde pincode op de pinpas gekregen?

Het is volkomen terecht dat Vodafone zo wordt aangepakt. Een dergelijke dienst hoort niet standaard aan te staan met een default 'beveiliging'! Moeilijk is het niet: de klant moet dit zelf expliciet willen en inschakelen, en dan pas is de klant inderdaad verantwoordelijk voor een eigen code.

En dan te denken dat zij ook leveren bij de politie... hoe gemakkelijk wil je het tegenwoordig maken voor criminelen journalisten en sensatiezoekers... eigenverantwoordlijkheid? Beetje te simpel excuus voor dergelijke omgevingen... we hebben het hier over regeringsfunctionarissen en politiemensen.

Het ministerie mag zich dit wèl aantrekken. Bij het vertrekken van een bedrijfstelefoon (praten we hier over neem ik aan) hoort een beveiligingsbeleid wat hier minimaal op stuurt. Voor de rest: ik ben zelf Vodafone klant, bij het verstrekken van de telefoon en het installeren wordt volstrekt duidelijk dat de code standaard is ingesteld en dat je die moet wijzigen. Of die policy voor iedereen toereikend is, misschien dat mijn vader van 87 hier problemen mee heeft. Maar onze uitstekend betaalde en voro het merendeel goed opgeleide politici? Kom op, hoe naïef en wereldvreemd kun je zijn. Ik mag hopen dat ze ook een password hebben ingesteld op hun telefoon en hu n PC’s.
Om daar als directeur voor door het stof te gaan, wat mij betreft volstrekt overbodig. Dit is DOMHEId.

Ik mag toch hopen dat bewindslieden een veiligheidsbriefing krijgen en dat er iemand met verstand van techniek de communicatiemiddelen regelt?

We hoeven ministers toch ook niet te vertellen dat ze geen usb-sticks rond laten slingeren, geen vertrouwelijke stukken mailen naar hotmail en dat ze niet hardop praten in de kroeg als ze geheime plannen bespreken?

@Eric,

Ik ben het volledig met u ONeens. Juist uw manier van denken is de omgekeerde wereld. Het mag nooit PER DEFAULT zo zijn dat als een gebruiker niet ZELF een wachtwoord of code instelt, dat de boel dan letterlijk voor de hele wereld openstaat. Dat is echt heel, héél erg fout!
Als een belangrijke/invloedrijke dienst afhankelijk is van een persoonlijke code, dan mag die code niet al actief zijn voordat de gebruiker ook werkelijk een persoonlijke code heeft ingesteld. Dat is tegen alle veiligheidsregels en best practices in.

"Vodafone levert een dienst en heeft een keuze gemaakt om het zo te doen"
Een zondermeer 100% foute keuze.

"Als dit nergens duidelijk was uitgelegd heb je gelijk, maar in dit geval wordt de gebruiker netjes verteld hoe hiermee om te gaan."
Dat iets uitgelegd wordt, ook al wordt het 10x uitgelegd, is op zich NIET een geldige reden om per default iets uitermate onveiligs te doen.
En je ziet trouwens ook dat Vodafone 't direct heeft kunnen aanpassen. Dus dat stelde ook niet veel voor. Oftewel, het was puur gemakzucht van Vodafone om een default-code op de voicemails te zetten.
Belangrijke zaken waarvoor normaal gesproken authorisatie nodig is: daar mag je nimmer een standaardwachtwoord op zetten. Dat is gewoon 100% fout. Stel het als fabrikant dan minstens zo in, dat het systeem niet werkt voordat er een gebruikerswachtwoord is op gezet.

Het is BEKEND dat velen de handleidingen ook helemaal niet lezen: als 't apparaat werkt door zelf logisch na te denken, dan is men tevree: handleiding ongeopend in de kast en klaar is Kees. Dit mag als fout gezien worden, maar het is iets waar fabrikanten absoluut rekening mee moeten houden. Sterker nog, het is juist doel van veel fabrikanten dat alles direct werkt zonder dat er een handleiding aan te pas komt.

@frans:
"...en zegt dit genoeg over de incompetentie van de gebruiker, ook in dit geval de politici."
Je doet net alsof het NIEUW is dat mensen incompetent zijn. Dat is het pertinent NIET. Elke fabrikant moet zoveel mogelijk uitgaan van zo incompetent mogelijke gebruikers. Anders krijg je de grootste rampen.

Stel dat een kerncentrale per default op internet wordt aangesloten en een default wachtwoord heeft om op afstand via internet te kunnen bedienen. De gevolgen kunnen dan natuurlijk véél erger zijn, maar het principe is exact hetzelfde.

"Vodafone hoeft zich nergens voor te verontschuldigen!"
Wel degelijk.

Een goede les dat apparaten (ook pc's en accounts van applicaties) nooit met een standaard password ingesteld moeten worden zoals 1233, 0000, password of welkom.

Het blijkt maar al te vaak dat wanneer je deze verantwoordelijkheid aan de "gebruiker" overlaat dat deze maar al te vaak verzuimt om dit aan te passen.

Wanneer je een onwerkbare code instelt dan verandert de gebruiker deze vanzelf wel terug naar iets werkbaars voor hem/haar.

@Leo:
"Maar onze uitstekend betaalde en voro het merendeel goed opgeleide politici? Kom op, hoe naïef en wereldvreemd kun je zijn."
Zo werkt het vaak niet. Het uitpakken en klaarmaken van een mobieltje is niet iets wat mensen 'hoog in de gelederen' zelf doen: dat laten ze bijv. door een secretaresse doen.

@Sysadmin:
Het maakt voor een hacker of cracker niks uit of 't een 'onwerkbare code' is of niet. En als iemand nooit voicemail gebruikt, en er staat een default onwerkbare standaardcode op, dan is 't systeem nog steeds zo lek als een mandje. Het mag wel een onwerkbare code zijn, als ie maar in elk geval niet standaard is. (Random dus. Maar misschien bedoelde je dat ook.)

In een ander artikel staat:

" De Tweede Kamer liet weten dat het risico sinds half januari bij het parlement bekend was. Fracties en Kamerpersoneel zijn gewaarschuwd, maar kennelijk heeft niet iedereen hier gehoor aan gegeven."

Eigen schuld! Zelfs als het niet aangekondigd was. Kamerleden dienden zich bewust te zijn van communicatiemediums waarmee ze communiceren toen ze de politiek ingingen. Geheime/ zeer vertrouwelijke documenten gaan toch ook niet zomaar over de (reguliere) post.

Motie van Wantrouwen tegen diegenen die zo onverantwoordelijk met een mobiele telefoon (en bijbehorende diensten) omgaan. Zet die voicemail uit!! Lees je contractvoorwaarden, maar geef niet de dienst (voicemail) en de leverancier de schuld.

Er wordt hier en daar wat kort door de bocht gereageerd.
Ten eerste moeten we ons realiseren dat Vodafoon een klantrelatie heeft en dan is het soms nodig dat je je klant uit de wind houdt. Zoals een aantal van jullie hebben opgemerkt heeft Vodafoon genoeg redenen om de verantwoordelijkheid bij de eindgebruikers te leggen.

Ik ben van mening dat iedere eindgebruiker een eigen verantwoordelijkheid heeft. We moeten ze echter wel wijzen op de mogelijkheden. Vodafoon heeft dat in dit geval gedaan. Dit vanuit een afweging tussen klantvriendelijkheid en security. Ik denk dat de eindgebruikers zich niet altijd even bewust zijn van de risico's die ze open. Via bluetooth kan je hun telefoons ook helemaal leeg halen. Voorwaarde is dat je beschikt over de juiste programmatuur en binnen bereik bent. Dit is laatst al gedemonstreerd in een programma van de VPRO.

@sysadmin
Een van de meest gebruikte hackmethode is het gebruik van default passwords voor users / services met admin bevoegdheden. Het ligt dus niet alleen bij de eindgebruiker maar met name bij admins. Ben overigens benieuwd of je nu op internet zit met je admin bevoegdheden.

Inderdaad misschien iets te kort door de bocht. Hopelijk is dit voor elke bedrijf een les:

Default waarde en beveiling gaan in deze tijd niet meer samen. Dus bedenkt een oplossing zoals MM en sysadmin voorstellen (nog wel high-level).

het enige wat ik graag "standaard/default" wil zien is Voicemail default=UIT tenzij gebruiker expliciet de dienst aanvraagt en dan moet deze middels een unieke code geactiveerd worden en dan een eigen pincode opgeven. Codes zoals "0000", "3333", "1234" niet toestaan.

Een aantal collega's laat zien dat ze klanten in hun waarde laten als die geen gevorderde gebruiker zijn. Zo hoort het.

Helaas spelen anderen weer eens voor arrogante nurd en katten klanten af wegens hun gebrek aan kennis van techniek en van bijvoorbeeld de door Vodafone gebruikte procedure.

Nurds, ik wed dat veel ICT-ers hun Vodafone voicemailbox niet beveiligd hadden omdat ze er niet vanuit gingen dat deze min of meer open stond tenzij je zelf een pincode opgaf.
Veel ICT-ers hebben namelijk een broertje dood aan het lezen van manuals voordat zij apparatuur en software gaan gebruiken. Het gevolg; veel datacommunicatieapparatuur en beveiligingssoftware in beheer van onze ICT-collega's is zo te kraken, want de standaardwachtwoorden blijven gewoon in gebruik (Read The Bloody Manual).
En ook onze ICT-collega's laten wel eens USB sticks slingeren. Heb er al tientallen gevonden en ja zelfs hele laptops en externe USB-schijven.

Natuurlijk hadden ICT-collega’s van de desbetreffende overheden bij de uitgifte van apparatuur meer aandacht aan het beveiligingsgat moeten schenken. Het primaire beheer ligt immers bij hen, net als bij de uitgifte van Laptops. En wellicht hadden andere ICT-collega’s dit al bij de tender beter kunnen en moeten regelen.

Maar de primaire oorzaak ligt bij de ICT-ers van Vodafone en hun bazen. Zoals Cavewalker, al heeft gezegd. “Heel Nederland heeft destijds toch ook niet dezelfde pincode op de pinpas gekregen?”

Domme gebruikers? Nee, eerder een beetje domme collega’s.

Opvallend:

Dat voice mail berichten, achter gelaten door personen (bewindspersonen)in de voicemail box van een ander (onduidelijk wie) ten gehore worden gebracht,

en dat vervolgens degene die de voicemail achter laat wordt aangeproken op de slechte beveiliging van de voicemailbox van de ander.

Dus het is niet zozeer dat (alleen) de bewindspersonen slordig zijn met de beveiliging van hun eigen mailbox, maar zeer zeker ook de ontvangers van het voicemail bericht.

Wel kun je je afvragen of het verstandig is vertrouwelijke mededelingen achter te laten in een voicemail box van een derde, waar je geen zicht hebt op de beveiliging etc. Als je dat (beleidsmatig) niet doet, is dit allemaal eigenlijk wel erg opgeblazen.

De beste manier om een geheim te bewaren is nog altijd door het niet (verder) te vertellen!

Het valt me wel op dat politici pas reageren op een schending van privacy als het hun eigen privacy betreft. Is het niet juist veel veiliger als hun mailbox uitgelezen kan worden? Ze hebben toch zeker niets te verbergen, want ze doen niks verkeerd? Dat is toch ook altijd het argument om inbreuk op onze privacy te maken?

Typisch gevalletje van een aanbesteding waarbij alleen op de prijs is gelet en niet op kwaliteit.
De functionarissen die dit intern hadden kunnen beoordelen waren waarschijnlijk net wegbezuinigd naar Roemenie oid.
Tsja het mot goedkoop, dan moet je ook op de blaren zitten.

En ze zijn nog steeds eenvoudig te beluisteren...

Begin jaren 90 (van het vorige decennium) had Vodafone al een standaard pincode op haar voicemail boxen. Hoe kan het zo zijn dat we anno 2011 doen alsof dit iets nieuws is?

Vodafone biedt haar excuses aan aan de ministers..... Betere reclame kun je je mijns inziens niet wensen!

Inderdaad via een nummerspoofing zonder pincode. je hebt alleen het telefoonummer nodig.

Vodafone wil niet spreken van een lek, maar van een “aanscherping van de voicemailbeveiliging in strijd tegen cybercrime”.

Zie http://webwereld.nl/nieuws/106139/vodafone-voicemail-ook-lek-via-nummerspoofing---update.html. Op een andere website geven ze nog veel meer technische informatie, maar daar wil ik niet naar verwijzen omdat het lek nog gedicht zou zijn.

Als gebruiker moet je op je klompen aanvoelen dat iedereen jouw berichten kan beluisteren als je de standaardcode niet verandert. Tenzij je niet weet waar je mee bezig bent. Voor mensen op zulke topposities vind ik deze achteloosheid onbegrijpelijk.

@Leonardo, lees de berichten niet zo achteloos. Het tweede lek, dat Vodafone pas na druk van de media wilde dichten, had helemaal geen pincode nodig!

Overigens is ook de beveiliging met een 4-cijferige cijfercode maar zeer beperkt. Het is een beveiligingsmethode uit de jaren zestig, bedoeld voor ATM’s en deurvergrendelingen waar de code handmatig moet worden ingevoerd.
Als je wilt beveiligen tegen een simpele brute force attack, dan moet je de voicemail dienst na een aantal mislukte pogingen blokkeren. En dat moet wel op een slimme wijze gebeuren, want anders kan de eigenaar van de voicemail box er zelf ook niet meer bij.
Het zou wel een blunder zijn als men de voicemail van bekende Nederlanders heel simpel kan blokkeren.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×