Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 31, views: 14.264 •

Vodafone Australië heeft medewerkers ontslagen en aangegeven bij de politie nadat de gegevens van miljoenen klanten op straat kwamen te liggen. De provider wil niet zeggen om hoeveel medewerkers het gaat of welke functies ze hadden.

Behalve het ontslaan van de medewerkers neemt het bedrijf nog meer stappen om ervoor te zorgen dat dergelijke datalekken in de toekomst niet meer kunnen plaatsvinden, zegt ceo Nigel Dews. Een aantal initiatieven op beveiligingsgebied die voor later dit jaar waren gepland, wordt naar voren geschoven. Daarnaast schakelt het bedrijf een externe partij in om zijn beveiligingssysteem te laten beoordelen. Het onderzoek dat Vodafone startte nadat bekend werd dat gegevens waren uitgelekt, is nog steeds aan de gang.

Eerder deze week werd bekend dat gegevens van miljoenen Vodafone-klanten in Australië via een webportal bereikbaar waren geweest. De portal is exclusief bedoeld voor medewerkers en dealers, maar de inloggegevens zouden zijn uitgelekt, waarna een grote groep mensen toegang had tot de gegevens van vier miljoen klanten. De database bevatte onder andere naam- en adresgegevens, alsmede creditcardinformatie. Het bedrijf heeft daarop alle wachtwoorden veranderd en is een onderzoek naar de oorzaak gestart.

Reacties (31)

Dat is echt een keer een serieuze aanpak van een security probleem! meeste bedrijven doen alsof het allemaal wel meevalt.
Volgens mij doet Vodafone juist niet alsof er niets aan de hand is..
Ontslagen alle pascodes veranderd!

al heb ik wel zelf de vraag waarom dit soort systemen nog steeds met een openbare webportal opereren. en dan als auth alleen een username passwd gebruiken??

Iemand RSA?
Volgens mij doet Vodafone juist niet alsof er niets aan de hand is..
Idd, ze veranderen uit voorzorg alle wachtwoorden, ze ontslaan medewerkers, hebben aangifte gedaan, zijn een onderzoek gestart en laten derden hun beveiliging beoordelen. Inderdaad zeg, alsof hun neus bloedt zeg ik je!
en de wachtwoorden niet te vergeten encrypten met een one-way enctyptie methode
Het probleem lag niet echt bij de encryptie of hoe de gegevens beveiligd waren. Maar bij het feit dat iemand zijn inlog gegevens om toegang te krijgen gedeeld heeft met derden. Dan mag je nog zoveel encrypteren dat je wil die gegevens bevinden zich gewoon op straat.
Dan nog, het is niet meer van deze tijd om zulke gevoelige data met enkel een password te beveiligen. Gewoon met een RSA / VASCO digipass.
Noem dat ding gewoon bij z'n naam: security token
ik denk dat dat ze ook wel een beveiligings-certificaat hebben hoor op die portal, die overeen moet komen natuurlijk, en SSL - encryptie.

Maar hoe dan ook, ik vind dat degene die de security / of in het management zit, dit wel goed aanpakt.
Ze zijn in ieder geval gewoon eerlijk over de zaken die gebeurt zijn en geeft aan wat er aan te gaan doen + wat er al gebeurt is (mensen ontslagen en beveiligingsplannen van het aankomend jaar naar voren geschoven)

*dit is wel wat anders dan onze geweldige overheid met het brandje bij chemiepak - moerdijk..- met tegenstrijdige berichten en mensen niks aan de hand roepen terwijl er tientallen mensen met echte gezondheidsklachten lopen...*

[Reactie gewijzigd door 3DDude op 14 januari 2011 12:09]

Waar To_Tall het over had was een security token. Niet het RSA algoritme. Met een security token zorg je er voor dat je het lekken van een user/pass nauwelijks impact heeft, want je hebt nog een 3e invoer: het resultaat van de security tooken. Dit is meestal een getal van 6 cijfers die elke paar minuten veranderd. Dus zonder dat token kan je niet inloggen.
Ze zullen wel moeten willen ze al hun certificering op dat gebied behouden.
Ik denk dat het niet zozeer een 'gewoon security' probleem is gezien de aangifte bij de politie. Het lijkt eerder iets waar kwaad opzet mee gemoeid is.

[Reactie gewijzigd door LURHESCH op 14 januari 2011 14:11]

Precies, dit is terecht wat hier gebeurd.

Zou zelf ook behoorlijk balen als ik er achter kwam dat mijn gegevens werden gelekt of het nou met opzet of per ongeluk is, het is toch een groot falen.
Kan ik melemaal in vinden, als ik op mijn werk gegevens lek wordt ik ook ontslagen en met ik een boete betalen, waarom niet anders voor deze jongens. Natuurlijk wel wanneer bewezen is dat zij daar verantwoordelijk voor zijn.
Jammer dat dit soort dingen altijd pas gebeuren nádat het misgegaan is, en niet voordat het misgaat (al was het hier wel al gepland, wat weer een pluspunt is).
Als het gebeurt voor het mis gaat hoor je er niks van, want er is geen nieuws...
Inderdaad, om de 3 maanden al je medewerkers uit voorzorg ontslaan, aangeven bij de politie en nieuwe aannemen is een hele goede stap in de richting!
Een beetje moeilijk om mensen te ontslaan voordat er gelekt kan worden he? :)

Maar dit is volgens mij gewoon nooit te voorkomen. Als elke dealer toegang moet hebben tot een heel bestand met daarin alle naam, adresgegevens en creditcardinfo van klanten, dan moet het wel een keer mis gaan.
hoogst waarschijnlijk worden de dingen die voordat het misgaat vaak al voordat het misgaat opgelost :) met andere worden dan haden we het nooit gehoord want dan was het niet gebeurd.
grrr dat uitlekken wordt je ook niet goed van zeg. Ik zelf ook niet van het uitlekken van nieuwe films die nog niet eens in bioscoop draaien.
Dus er komen nieuwe mensen die bij het systeem kunnen, dealers lekken kennelijk niet, en als klap op de vuurpijl wordt het volledig opengezet door een derde (vierde?) partij die het hele systeem door moet lichten...
In elk bedrijf komen en vertrekken continue mensen. En de partij die de doorlichting doet moet niet noodzakelijk toegang hebben tot de productieomgeving. Een beetje systeem word ontwikkeld en getest in een aparte omgeving.
Ik dacht "Ontslagen bij Vodafone Australië na doorlekken inloggegevens"

Nee zwarte humor sorry.


Maar wat voor baat heb je als medewerker nou bij het lekken van gegevens? Als je nou lijsten doorverkoopt aan hackers/spammers ok, maar gewoon onbeveiligd op straat gooien heb je toch niets aan? Vind het ook vreemd dat ze worden aangegeven, alsof ze het bewust hebben gedaan.

[Reactie gewijzigd door Bulls op 14 januari 2011 12:29]

Misschien heeft hij wel geld gekregen voor de inlog namen.
Overigens is het natuurlijk niet zo alsje van het bedrijf niets hoort wat ze er aan gaan doen, dat er dan ook niks gebeurd. Meestal is er wel een intern onderzoek, maar daar hoor je zelfs als medewerker nauwelijks iets van. misschien aleen een verklaring of geruchten waarom de persoon op de andere afdeling er opeens niet meer is.
Het valt me op dat iedereen het heeft over het gegeven dat die gegevens uitgelekt zijn, maar niet over de mogelijkheid daartoe. Is het wel zo verstandig dat het allemaal via een webapplet geregeld wordt? In Nederland is het systeem waarlangs abonnementen verlengt worden ook gewoon via een webapplet. Er zijn wel de nodige gegevens nodig ter verificatie, maar mensen die je kent (telno en geboortedatum) kun je zo vinden. Wanneer je in Nederland een lijst van die twee gegevens al hebt, kun je met een login van de Vodafone distributie portal ook over alles beschikken dat interessant is voor doorverkoop. En die login is vrij makkelijk te krijgen. Wanneer een login gedeeld wordt onder verschilende medewerkers wordt deze in de regel altijd vrij simpel gehouden (123456, oid) en is deze dus makkelijk af te kijken.

[Reactie gewijzigd door RaJitsu op 14 januari 2011 13:07]

Elke login hoort persoonlijk te zijn. Het delen van die gegevens zal meestal zowiezo tegen de regels zijn net om dit soort van zaken te voorkomen. Aangezien Vodafone spreekt van meerdere werknemers is het mogelijk dat zij idd allemaal gebruik maakten van 1 login.
Dat lekken in Australië moeten ze maar een keer een halt toeroepen, je ziet wat voor overstromingen daar van komen.
dat is een heel ander soort lek 8)7
ik snap bepaalde personen/bedrijven toegang moeten hebben tot een database. maar wat ik niet snap is dat ze dus met een inlog bij alle gegevens kunnen komen..
je kan toch allen bepaalde delen vrijgeven voor bepaalde personen. dan is er misschien wel een lek maar dan niet dat alles op straat ligt.
iemand die wel toegang heeft tot alle gegevens moet je anders gewoon nog een token en/of andere hardwarematige dingen geven zodat het extra moeilijk wordt
Een verkoper in de winkel of een telefonist op de helpdesk moet toch toegang hebben tot alle klantengegevens. Het enige wat ik me dan wel nog afvraag is hoe het mogelijk is dat men de volledige lijst zomaar kan dumpen.
Goed van die Australiërs. Dat is nou daadkracht die je hier niet ziet. Als iemand op straat in elkaar wordt geslagen, kijken de Nederlanders toe en doen niets. Maar wel altijd een grote bek hebben in een beschermde omgeving, dat wel. Maarja, typisch Nederlands.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013