Minister start onderzoek naar beveiligingslekken Vodafone-voicemail

Minister Piet-Hein Donner van Binnenlandse Zaken is een onderzoek gestart naar de beveiligingsproblemen bij Vodafones voicemaildienst, die deze week aan het licht kwamen. Een van de problemen bestond pas sinds november, aldus Donner.

De voicemails van bewindslieden en medewerkers van de meerderheid van de ministeries bleken op meerdere manieren af te luisteren: door in te bellen op het voicemailnummer en de standaardcode 3333 in te voeren of door middel van spoofing, waarbij via een programma wordt gedaan alsof je de beller zelf bent.

Het probleem met de standaardcode bestaat pas sinds november, beweert minister Donner van Binnenlandse Zaken in een brief aan de Tweede Kamer. Door een fout bij Vodafone werd het misbruik mogelijk. "Vodafone was niet op de hoogte van deze fout totdat Een Vandaag dit publiekelijk maakte. Ook de overheid was van deze fout niet op de hoogte."

Van het spoofing-probleem waren de overheid en Vodafone allebei wel op de hoogte. Dat de provider het wist, erkende een Vodafone-woordvoerder al eerder tegenover Tweakers.net. Donner: "Deze geconstateerde kwetsbaarheid is in strijd met het contract dat met Vodafone is afgesloten dat te allen tijde voorziet in externe veilige toegang tot de voicemail door middel van een pincode." Het spoofing-probleem werkt, doordat een kwaadwillende via een computerprogramma naar de voicemail belt en voorwendt alsof gebeld wordt met een Vodafone-nummer. Sinds donderdag checkt Vodafone of de oproep van het eigen netwerk komt, waardoor spoofing niet meer mogelijk is.

Donner gaat onderzoeken of er op grote schaal bewindslieden zijn afgeluisterd en of de staatsveiligheid in het geding is geweest. Dat lijkt onwaarschijnlijk; staatsgeheimen worden vermoedelijk niet op grote schaal gedeeld via de mobiele telefoon, laat staan via voicemail. Het is onduidelijk in hoeverre Donner openbaarlijk de conclusies van het onderzoek zal delen. Als spionage door politieke bondgenoten heeft plaatsgevonden, kan Donner ervoor kiezen een diplomatiek conflict te vermijden door de informatie niet openbaar te maken.

Reacties (26)

alt-92 26 maart 2011 10:42

Nou ja, een optie zou zijn geweest de toegang vanaf niet-eigen nummer pas open te zetten na het aanpassen van de initiele code.
Iets wat evengoed afgedwongen mag worden voor de SIM zelf bijvoorbeeld (hoe vaak je wel niet rondslingerende SIMs met default PIN kan leegtrekken)

Maar ja, achteraf kiek oe een koe in de kont.

[Reactie gewijzigd door alt-92 op 23 juli 2024 16:25]

Nazanir @alt-92 • 26 maart 2011 10:59

Was er niet een dergelijk probleem jaren terug ook met KPN? All hun simkaarten hadden standaard 0000 of 1234 dacht ik. Betekende dat als je een KPN telefoon + SIM vond, deze 2 altijd kon proberen en in veel gevallen nog redelijk succes had ook. Daarna heeft KPN ook onder druk random pincodes aan hun klanten moeten geven. Een stukje eigen verantwoordelijkheid is er natuurlijk ook bij, maar men vind het nog steeds makkelijker om de schuld bij een ander neer te leggen. Zo nu ook bij Vodafone. Mensen willen gewoon aan het handje genomen worden, gebeurt dat niet, is het zeuren.

Dat een minister er nu in gemengd word, vind ik persoonlijk een beetje een zwaktebod. Dat betekend inderdaad dat men liever het laatste stukje eigen verantwoordelijkheid liever afschuift, dan deze gewoon te nemen.

Verwijderd @Nazanir • 26 maart 2011 11:10

KPN simkaarten hebben, als je ze nieuw koopt, altijd pincode 0000. Je wordt ook geacht die te veranderen. Veel virtuele providers doen dat trouwens ook.

Wat betreft voicemail, de meeste mensen willen daar gewoonlijk helemaal vanaf maar hoe dat kan maakt men meestal lastig te vinden omdat er gigantisch verdiend wordt aan mensen die voicemail aan de lijn krijgen en meteen weer opgooien. Bij Vodafone kun je bellen met 12330, bij KPN met 12339. Bij veel anderen kan het niet gratis en makkelijk en moet je de klantenservice bellen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 16:25]

Finraziel

@Verwijderd • 26 maart 2011 11:55

Lastig gemaakt? Gebruik gewoon het toestel menu om je doorschakelingen uit te zetten

Maar ja, mensen zijn te lui om de handleiding te lezen he...

nextkiller 26 maart 2011 10:38

als de kalf verdronken is...

daarnaast is het gewoon dom dat ze de standaard code niet veranderd hebben of dat vodafone de standaard code niet in iets willekeurigs veranderd en de gebruiker hier d.m.v. een brief van op de hoogte stelt...

donny007 @nextkiller • 28 maart 2011 09:42

Misschien moet Vodafone de voicemail-gebruikers alleen identificeren aan de simkaart, probleem opgelost, geen spoofing/extern afluisteren meer....

Finraziel

@nextkiller • 26 maart 2011 11:50

Dat soort dingen is altijd een afweging. Een willekeurige code gaat een flink hogere belasting op je support organisatie veroorzaken want mensen raken dat ding ALTIJD kwijt. Nu het echter in de openbaarheid komt heb je enerzijds dat meer mensen er van op de hoogte zijn en het dus kunnen misbruiken en anderzijds dat mensen ineens moord en brand schreeuwen dat vodafone ze niet tegen zichzelf beschermd heeft, dus nu passen ze het wel aan.

Verwijderd @Finraziel • 26 maart 2011 12:19

Als beheerder moet je er gewoon vanuit gaan dat jouw gebruikers lui, dom en achterlijk zijn en als er iets fout gaat ben jij de eerste die zij de schuld gaan geven. Dat heeft Vodafone niet gedaan omdat ze geld wilden besparen maar na dit alles blijkt dat het ze zoveel slechte publiciteit oplevert dat alles wat ze uitgespaard hebben waarschijnlijk al lang weer op gegaan is aan het fixen.

Zoijar 26 maart 2011 10:51

Donner: "Deze geconstateerde kwetsbaarheid is in strijd met het contract dat met Vodafone is afgesloten dat te allen tijde voorziet in externe veilige toegang tot de voicemail door middel van een pincode."

Ja, dat was er toch ook? Dat je nou zo stom bent om je pincode op 3333 te laten staan als security belangrijk voor je is...

Ik erger me al weer flink aan dit hele gedoe. Je kon voicemails afluisteren met een standaard pincode. Omdat dit toevallig bij een paar politici is gebeurd is alles meteen in rep en roer. Helaas wordt er over andere beveiliging of privacy niet zo moeilijk gedaan; vingerafdrukken databases, ov chipkaarten, dat kan allemaal, want dan is het slechts de privacy van de burger die wordt aangetast. Nee, de voicemail van Rutte, dan moet er direct onderzoek volgen. Misschien geen staatsgeheimen op je voicemail laten inspreken? En als je niks te verbergen hebt is het toch niet erg als je afgeluisterd wordt? Een VVD-er zou dit juist moeten toejuigen! En even je code aanpassen helpt natuurlijk ook al een stuk.

[Reactie gewijzigd door Zoijar op 23 juli 2024 16:25]

Finraziel

@Zoijar • 26 maart 2011 12:00

Dat stuk ging over de spoofing, je kon vanaf andere netwerken naar de vodafone voicemail bellen en het mobiele nummer van de gebruiker meezenden als beller ipv je eigen nummer, dan werd er helemaal geen pincode gevraagd. Of dat echter inderdaad in strijd met het contract is hangt natuurlijk af van hoe het opgesteld is, dat iets te hacken is is niet hetzelfde als dat het niet beveiligd is. Aan de andere kant stelt de overheid altijd wel contracten op waar je u tegen zegt, dus zou best kunnen dat ze afgedekt hebben dat als vodafone er van op de hoogte was dat ze het gat ook hadden moeten dichten. Maar dat mogen de legal afdelingen van de overheid en vodafone met elkaar uitvechten lijkt me, dat Donner dat nu de media in slingert is gewoon zwak en grof, gewoon meteen het beschuldigende vingertje naar vodafone wijzen om zelf maar weer iets minder als zakkenwasser over te komen.

5mebibyte 26 maart 2011 11:10

Het probleem met de standaardcode bestaat pas sinds november, beweert minister Donner van Binnenlandse Zaken in een brief aan de Tweede Kamer....
Ook de overheid was van deze fout niet op de hoogte.

Op webwereld stond gisteren Govcert sinds januari op de hoogte vak een lek in de voicemail van Vodafone.
Dan zou je toch zeggen dat het verhaal van Donner niet 100% klopt.

PcDealer 26 maart 2011 11:27

"Vodafone was niet op de hoogte van deze fout totdat Een Vandaag dit publiekelijk maakte. Ook de overheid was van deze fout niet op de hoogte."

De minister is kennelijk slecht op de hoogte van wat Vodafone zelf naar buiten brengt over dit incident:

Vodafone was al langer bekend met het probleem, zegt woordvoerder Joost Galema tegen Tweakers.net. "We keken al eerder naar een oplossing. We moesten echter de implementatie versnellen nadat bleek dat hiervoor in de media aandacht zou komen." Donderdagavond, nog voordat het lek was gedicht, besteedde het tv-programma Nieuwsuur aandacht aan de zaak.
nieuws: Vodafone dicht spoofing-lek voicemail

Woy Moderator PRG/SEA @PcDealer • 26 maart 2011 11:56

Ze waren op de hoogte van het lek met de spoofing. Maar ze zeggen dat ze niet op de hoogte waren van het lek met de standaard pincode. Dat vind ik eigenlijk nogal raar, want op het moment dat je een standaard pin-code invoert weet je toch dat daar misbruik van gemaakt kan worden

Het instellen van de standaard pin-code voor voicemail is gewoon een afweging tussen veiligheid en gemak geweest. ( Die IMHO compleet verkeerd gemaakt is ).

djiwie 26 maart 2011 14:31

Veel mensen reageren dat de gebruikers zo dom waren om de pincode niet te veranderen. Nou is dat misschien niet heel slim, maar Vodafone was nog veel dommer bezig door überhaupt een standaard pincode in te stellen en de toegang standaard open te zetten. Veel verstandiger zou het geweest zijn om geen pincode in te stellen en om pas via een extern nummer toegang te geven tot de voicemail als er een pincode ingesteld is.

mrlammers 26 maart 2011 17:32

Het probleem met de standaardcode bestaat pas sinds november, beweert minister Donner van Binnenlandse Zaken

Fout van Vodafone? Zwetsneus.
Spoofing? Dat heeft hier helemaal niets mee te maken.

Natuurlijk levert Vodafone standaard Voicemail functionaliteit. Bij eerste gebruik moet je dan je welkomboodschap inspreken en je standaard pincode (1234, 0000 of iets dergelijks wijzigen. Doe je dat niiet. dan ben je gewoon een sufferd.

Meneer Donner kan dat dure onderzoek ook laten voor wat het is en een mail sturen naar alle medewerkers van het ministerie dat ze als de sodemieter hun pincode moeten wijzigen.
Probleem opgelost.

kipjr 26 maart 2011 18:36

Ik ontving om 17:29 dit SMS'je van Vodafone:

Vodafone verscherpt de beveiliging: u heeft een persoonlijke pincode nodig om uw voicemail vanaf een ander netwerk te beluisteren. Zie vodafone.nl/voicemailpin.

Offtopic: ik moest echt lachen toen ik dit binnenkreeg.

endemion 26 maart 2011 22:35

Wat een gezeur over niks zeg. Moet je toch wel heel dom zijn gevoelige informatie in een voicemail bericht achter te laten. Politici zijn dan niet bepaald slim maar zo dom acht ik ze toch ook weer niet, en geheimhouden / de doofpot gebruiken daar zijn ze toch wel goed in.

Bacchus 26 maart 2011 10:46

Het probleem hier is een onwetende gebruiker, om wat voor eden dan ook. Dat lijkt me vrij makkelijk. Die andere actuele vraag, over de evacuatie van de medewerker van Royal Haskoning, lijkt me eerder om een onderzoek vragen.

HoppyF

Vodafone

@Bacchus • 26 maart 2011 13:14

Het is voor een minister veel makkelijk zich om pietluttig zaken bezig te houden dan met de werkelijke problemen zoals met de evacuatie in Libië.
Misschien verdient Vodafone niet de schoonheidsprijs voor dit voicemail probleem maar je moet het probleem ook niet groter maken dan het is.
Vertrouwelijk en (gevoelige) persoonlijke informatie deel je niet per telefoon/SMS/voicemail. Dat weet iedereen. Zo niet, dan nu wel.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: