Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieën Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 110, views: 30.632 •

De beheeraccounts van 120.000 tot 140.000 zakelijke KPN-klanten waren eenvoudig te benaderen door onbevoegden, omdat gebruikers niet verplicht waren het standaardwachtwoord aan te passen. Onder meer waren wachtwoorden te wijzigen.

KPN gebruikte het standaardwachtwoord 'welkom01', waarmee zakelijke adsl-klanten konden inloggen op het Customer Self Center, maar eiste niet dat klanten dit wachtwoord wijzigden. Onbevoegden konden dus eenvoudig inloggen op het Customer Self Center. Daar konden ze bijvoorbeeld het e-mailadres wijzigen, de verbindingssnelheid aanpassen, extra diensten aanvragen of opheffen, en bankrekeningnummer en wachtwoord wijzigen. Robert Schagen van ict-bedrijf Robert 4U IT ontdekte de beveiligingskwetsbaarheid en meldde deze aan Webwereld.

Volgens KPN zelf hadden 120.000 van de 180.000 Z-adsl-klanten niet de moeite genomen het standaardwachtwoord te wijzigen, daarnaast waren nog eens 20.000 accounts kwetsbaar omdat klanten hun gebruikersnaam ook als wachtwoord gebruikten. De gebruikersnaam bestaat uit de combinatie 'postcode+huisnummer' en was daarmee eenvoudig te achterhalen.

KPN heeft dinsdag, na op de kwetsbaarheden gewezen te zijn, het Customer Self Center voor Z-adsl onbereikbaar gemaakt en de wachtwoorden vervangen. De provider gaat de desbetreffende 140.000 klanten waarschuwen dat ze hun wachtwoord moeten wijzigen. Donderdagmiddag moet de site weer bereikbaar zijn. 

Reacties (110)

Reactiefilter:-11100107+177+25+30
Erg knullig zeg. Ik ben benieuwd hoeveel geld dit de gedupeerde bedrijven heeft gekost.
Gedupeerde bedrijven? Volgens mij bestaat er nog altijd zoiets als 'eigen verantwoordelijkheid'. Ja, KPN had meer kunnen eisen van de klanten, maar aan de andere kant hadden de ruim 20.000 klanten ook de moeite kunnen nemen om een behoorlijk wachtwoord in te stellen.
Inderdaad. Hoe vaak moet men er nog op gewezen worden om geen default wachtwoorden te gebruiken. Helemaal als zakelijke klant zou je dat besef toch wel moeten hebben
Maar een groot deel van de zakelijke klanten heeft zelf 0,0 verstand van dit soort zaken, dus dan vind ik het toch meer de verantwoordelijkheid van de ISP dan van de klant zelf...
Juist van de zakelijke klanten mag je een beetje inteligentie verwachten.
Vanuit het oogpunt van een tweaker is dat een logische wijze van beredeneren. Kijken we naar de realiteit, dan belanden we in een andere wereld. Een ondernemer is niet gelijk een enorme onderneming, maar ook de eenmanszaak, een bescheiden B.V. of de maatschap die zich richt op het voeren van een kleinschalige tandartsenpraktijk.

Er zijn genoeg 'entiteiten' die op papier klinken als enorme bedrijven, maar zakelijke klanten kunnen ook het midden- en kleinbedrijf betreffen. Bij deze bedrijven moet het 'gewoon werken'. Het zijn van een zakelijke klant maakt de eindgebruiker niet veel intelligenter.

Vanuit de ICT moet je er vanuit gaan dat de gebruiker ontwetend is, anders loop je zoals nu het geval is imagoschade op. Medisch personeel verwacht ook niet van ons dat we ons inlezen op een ziekte die we eventueel hebben. De gebruiker moet kunnen vertrouwen op een product, simpelweg omdat ze zich bezig moeten kunnen houden met hun core business.
Inderdaad. En juist zakelijke klanten staan geregistreerd in allerlei databases, gidsen en lijsten. Hun postcodes en huisnummers staan erbij, eventueel hun rekeningnummers ook (KvK). Het uitgeven van toegangsinformatie dat volgens een algemeen bekend algoritme gegenereerd is uit deze publiek beschikbare gegevens is uit den boze in mijn visie.

Onwetendheid of laksheid bij de gebruiker heeft er weinig mee te maken bij deze zaken. Het account bestaat al een tijd vóór de klant de bewuste brief en gegevens heeft ontvangen of er zelfs op heeft kunnen reageren door bijvoorbeeld het wachtwoord aan te passen, en tot die tijd heeft een kwaadwillende vrije hand. Dan probeert de klant met de aan hem verstrekte gegevens aan te melden en komt er of achter dat het niet lukt, of dat er misbruik is gemaakt van de dienst.

Dus moet het van de leverancier uit al goed beveiligd worden. Voordat ik die eerste keer met mijn auto wegrij bij de dealer moet de sleutel al uniek zijn, anders kan de auto terwijl het wacht op mij al 'meegenomen' worden door een ander!
Wat mij betreft ben je als zelfstandig ondernemer een onderneming niet echt waardig, als je diverse aspecten van je onderneming onderschat. En ICT/automatisering is nou net dàt onderdeel van de ondermening die onmisbaar is en ZEER onderschat wordt. In ieder geval in de kleine ondernemingen.

Een goed ondernemer laat zich adviseren over de onderdelen van de zaak waar hij geen verstand van heeft. Maar de meesten doen dat niet want dat kost geld. Wat zij echter niet realiseren dat iets geld in je automatisering steken meestal een goede investering is.

[Reactie gewijzigd door Pmf1971 op 5 juli 2012 10:56]

En ICT/automatisering is nou net dàt onderdeel van de ondermening die onmisbaar is en ZEER onderschat wordt
Ook dat is maar helemaal de vraag. Hoe vaak zal het bij kleine(re) bedrijven niet nog steeds voorkomen dat "de zoon van de baas", "die kennis van vroeger" of "de buurman die handig is met computers" verantwoordelijk is voor de gehele ICT-voorziening. En zelfs bij bedrijven tot 150 man heb ik dikwijls twee systeembeheerders aan het werk gezien die tot over hun oren in het werk zitten en al blij zijn als alles draait.

Vergeet niet dat veel ondernemers vooral bezig zijn met ondernemen: ICT valt niet onder de core business en wordt soms zelfs gezien als noodzakelijk kwaad. Een glazenwassersbedrijf ziet ICT echt niet als zeer onmisbaar, zo dunkt mij. Het is handig voor klantcontact en facturatie en als ze modern en hip zijn zoeken ze adressen op bij Google Maps. Maar daar houdt het dan ook wel op. Echt niet elk bedrijf heeft het geld om een professionele systeembeheerder / systeembeheerfirma aan het werk te zetten.

Je kunt wel stellen dat iemand zich moet laten informeren, maar goed laten informeren kost geld. Er zijn tal van risico's die een ondernemer moet accepteren: denk aan risico's op het gebied van arbeidsongeschiktheid, pensioenen, brand- en inbraakschade, (belasting) wet- en regelgeving. Als een kleine V.O.F. voor al deze vakgebieden een blik consultants open moet trekken is het snel gedaan met de business.

De verantwoording moet van twee kanten komen maar dat neemt niet weg dat de provider, in mijn ogen, een zorgplicht heeft. De fout die KPN hier gemaakt heeft is een knullige. Evenals het überhaupt toestaan van het instellen van een wachtwoord dat gelijk is aan de gebruikersnaam. Security staat dan niet gestructureerd genoeg op het programma, willen dergelijke zaken niet opgemerkt worden.

Deze designspecificaties zijn ooit eens toegevoegd omdat het in het verleden blijkbaar te vaak is misgegaan. Dat het hier om zakelijke aansluitingen gaat en niet om privégebruikers doet in mijn ogen daar weinig aan af :).

[Reactie gewijzigd door Eagle Creek op 5 juli 2012 11:22]

Ik heb het over die giga berg kleine ondernemingen met hooguit enkele mensen in dienst. En die zoon van de baas die de ICT doet? Die weet vaak van toeten noch blazen, die dènkt het te kunnen.

Je hebt gelijk wat betreft die blik consultants. Maar ICT is toch wel een hele belangrijke. Al is het maar een helf uurtje iemand laten zien wat je hebt. Vaak wordt gezegd dat wat hij heeft voldoende is en worden er slechts enkele kanttekeningen gemaakt, dingen waarop hij kan letten. Veel consultants houden tegenwoordig ook rekening met de portemonnee van de onderneming.

Je hoeft niet een ICT-er in dienst te nemen, wat ik bedoelde is dat je als ondernemer in ieder geval op de hoogte bent van de status van je automatisering.

[Reactie gewijzigd door Pmf1971 op 5 juli 2012 11:37]

Ook dat is maar helemaal de vraag. Hoe vaak zal het bij kleine(re) bedrijven niet nog steeds voorkomen dat "de zoon van de baas", "die kennis van vroeger" of "de buurman die handig is met computers" verantwoordelijk is voor de gehele ICT-voorziening. En zelfs bij bedrijven tot 150 man heb ik dikwijls twee systeembeheerders aan het werk gezien die tot over hun oren in het werk zitten en al blij zijn als alles draait.
Die zoon of die twee systeembeheerders weten dan volgens mij wel het belang van wachtwoorden. Als zij het standaardwachtwoord niet wijzigen is dat gewoonweg dom.

Verder is het regelmatig in het nieuws dat sites en bedrijfsgegevens gehackt worden. In die berichtgeving wordt altijd de nadruk gelegd op het belang van goeie wachtwoorden. Ook niet it-ers weten dit inmiddels. Een ondernemer is op andere vlakken ook voorzichtig met zijn gegevens. Zeker in 2012 (eigenlijk eerder al) zou ie dat ook op it-vlak moeten zijn.
De standaard wachtwoorden zouden in het beginsel niet eens standaard mogen zijn. Bij een zakelijke dienst behoort het initiele wachtwoord random te worden aangemaakt. Je stuurt toch al een brief naar de klant met daarin een standaard wachtwoord, kleine moeite om die zo aan te passen dat er een random wachtwoord in komt te staan.

Daarmee los je 99% van de problemen die er nu zijn al op. Dan hoef je ook niet meer te eisen of er vanuit te gaan dat mensen toch wel hun wachtwoord veranderen
Onwetend tot welk niveau?

Iedereen die met enig vorm van automatisering te maken heeft is volledig bekend met het concept "wachtwoord".
En dan heb je het over zaken als inloggen in je PC, email account, twitter, facebook, telefoon, alarm systeem, pinpas en dergelijken. Je kan zelfs zover gaan dat je het door trekt naar het gebruik van sleutels voor je huis, schuur, auto, fiets en ga zo maar door.

Op een begeven moment kan je niet meer zeggen dat je onwetend bent maar meer laks.
Als je een nieuwe auto koopt dan verwacht je toch ook niet dat de dealer je een lectuur geeft over hoe je de auto op slot doet en hoe om te gaan met de sleutel zodra het zover is?

Als men het heeft over onwetend in ICT dan denk ik toch echt meer aan software installaties, instellen, updates, advies en onderhoud maar niet aan je wachtwoorden veilig gebruiken.
Dat excuus kon je nog in 2000 gebruiken maar 12 jaar later is het toch echt wel gemeen goed, natuurlijk heb je wat oudere mensen die er moeite mee hebben maar het hele grap is juist die mensen het vragen aan de "experts" of kennissen en zijn niet het probleem doelgroep.
Vanuit het oogpunt van een ondernemende vijftiger kan je ook anders redeneren. Bijvoorbeeld: "Mijn vaste telefoon heeft geen wachtwoord. Internet komt via dezelfde draad binnen. Waarom zou er een wachtwoord op internet zitten?"
Natuurlijk denkt niemand zo, maar ik kan me goed voorstellen dat het idee dat ergens een (goed) wachtwoord op zou kunnen/moeten zitten niet bij iedereen als vanzelf opkomt. Als zelfs ministers hun voicemail niet beveiligen, hoe kan je dat dan van de gemiddelde kleine ondernemer verwachten?
Ik vraag me toch echt af hoeveel mensen de sloten van hun nieuwe auto of tweedehands auto vervangen. Je weet maar nooit of de dealer of respectievelijk de vorige eigenaar je auto komt lenen...

Gegenereerd password moet gewoon uniek zijn per (zakelijke) gebruiker. Helaas, zijn er nog steeds passwords die je krijgt die niet aan te passen zijn.
Bij zakelijke klanten vind ik dan dat je juist geen onnodig risico mag lopen, en zeker geen aannames mag maken wanneer het gaat om beveiliging en de intelligentie van de gebruiker.

Het moeten veranderen van het standaard wachtwoord is op veel meer plekken te vinden, het is dusdanig "standaard" dat je dat toch wel van een ISP kan verwachten?
Dat vind ik een kort door de bocht opmerking. De zakelijk klant sluit niet voor niet een zakelijk contract af bij KPN. Hij wil namelijk zo snel mogelijk internet op zijn locatie, zonder zelf iets te hoeven doen.
Dat KPN het aan de gebruiker over laat vind ik een slechte zaak, de monteur had dat dan op zijn minst aan moeten geven.
Ik vind dat de ISP hier maar deels verantwoordelijkheid voor heeft. Tuurlijk is het slordig dat ze deze klanten niet hebben geforceerd om een ander wachtwoord in te stellen maar wanneer je als bedrijf/zelfstandig ondernemer niet het besef hebt dat je een gepersonaliseerd wachtwoord moet instellen verdien of roep je het ook wel een beetje op jezelf af.
Dus als de aannemer in alle nieuwbouwhuizen in de wijk dezelfde sloten heeft gemonteerd is het ook mijn schuld dat ik mijn slot niet heb vervangen, want ik had moeten weten dat alle nieuwbouwhuizen dezelfde slot hebben? De volledige verantwoordelijkheid ligt hier bij KPN. 10 jaar terug hadden dit soort knullige fouten door de vingers gezien kunnen worden, omdat toen internet nog op komst was en er weinig kennis was. Maar tegenwoordig, juist met alle hack aanvallen en beveiligingslekken mogen dit soort knullige fouten niet meer voorkomen. Kleinste moeite om bij eerste gebruik van internetverbinding het wachtwoord te laten wijzigen, zo ging het ook bij mijn isp, eerste keer gebruik van modem en je komt op een pagina van isp waar je o.a. je wachtwoord moet wijzigen.

Je moet beseffen dat het overgrote deel van de mensen nog niet door heeft hoe belangrijk een sterk wachtwoord is, of het besef wel heeft, maar het moeilijk vindt om een sterk wachtwoord te onthouden. Je zou eens moeten weten wat voor wachtwoorden op de werkvloer worden ingesteld. Daar is welkom01 zelfs sterker dan de meesten verwacht ik.

[Reactie gewijzigd door shenr op 5 juli 2012 10:42]

leuke analogie maar... Dus als de aannemer in alle nieuwbouwhuizen in de wijk dezelfde sloten heeft gemonteerd is het ook mijn schuld dat ik mijn slot niet heb vervangen, want ik had moeten weten dat alle nieuwbouwhuizen dezelfde slot hebben? is niet hetzelfde als welkom01

Zou zoiets zijn als huizen met een cijferslot dat allemaal 0000 is ( net zoals veel niet veranderde GSM's)
Dan weet je dat je zelf een andere code moet kiezen, of je vond het fijn dat de buurvrouw regelmatig op bezoek kwam in je nieuwbouwwijk ;)
Je moet beseffen dat het overgrote deel van de mensen nog niet door heeft hoe belangrijk een sterk wachtwoord is, of het besef wel heeft, maar het moeilijk vindt om een sterk wachtwoord te onthouden. Je zou eens moeten weten wat voor wachtwoorden op de werkvloer worden ingesteld. Daar is welkom01 zelfs sterker dan de meesten verwacht ik.
Het gaat hier niet om of het wachtwoord sterk is maar dat iedereen hetzelfde standaardwachtwoord heeft. Als een ondernemer had gekozen voor Welkom02 dan was er bij hem niet zo makkelijk binnen te dringen als bij die andere honderduizend.
zo ging het ook bij mijn isp, eerste keer gebruik van modem en je komt op een pagina van isp waar je o.a. je wachtwoord moet wijzigen.
Sorry moest even lachen met dit :)
Je moest je wachtwoord aanpassen van je modem ja maar dat is de regel die opgelegd wordt door het fabrikant van je modem.(en lang niet alle modems vereisen dit)
Als je kijkt naar inloggevens voor je ISP zal je misschien verbaasd staan dat alle login gegevens van iedereen die bij dezelfde ISP exact hetzelfde is.
ISP's weten het verschil tussen "account" door het lijn waarmee je verbonden bent aangezien elk huis zijn eigen verbinding heeft (adsl) of via het MAC adres van je modem (kabel)
In beide gevallen hoef ik in alleen maar even een gat te graven om bij je kabel te komen en even een splitter er tussen te leggen en ik heb gratis inet op jouw kosten. (werkt niet met glas verbindingen)

Aangezien wij hier in nederland niet zo heel moeilijk doen over een fairuse policy heeft het verder weinig invloed op jouw inet en vandaar dan men geen moeite doet om elke huishouden in nederland te voorzien van login gegevens.
Nee niet van je modem. Bij het eerste keer gebruiken van je modem kom je direct op de pagina van de isp terecht waar je o.a. je wachtwoord moet veranderen van je account, maar ook je modem moet activeren. Pas hierna doet je internet het, dus geen internet zonder nieuw wachtwoord van je account.
Dus de wereld op zijn kop, je mag bij de bank ook de sleutels op je kluisje laten hangen met andere woorden?
Het is tegenwoordig zo makkelijk de verantwoordelijkheid ergens anders te leggen.
mjah, ik vind de titel ook nogal suggestief hier. Alsof KPN hier geblunderd heeft, de security mensen van de bedrijven hebben behoorlijk geblunderd, ze moeten gewoon het password aanpassen
KPN had ook kunnen zorgen dat een klant na eerste keer inloggen verplicht het wachtwoord moet wijzigen, dan waren er geen problemen geweest.

Dus ipv de verwachting dat je duizende klanten het wel zelf oplossen, hadden ze zelf ook het initiatief kunnen nemen.

[Reactie gewijzigd door Fealine op 5 juli 2012 10:07]

Daar heeft KPN voor kpn gedaan want de klant moest namelijk zeker in het verleden 2010.
zelf een login en wachtwoord verzinnen bij het aanvragen.

En daar kiezen veel gebruikers uit gemak welkom01 of hun login als wachtwoord omdat ze dit makkelijke kunnen onthouden. ik vindt dus 100% de schuld van de gebruikers zelf en niet van KPN.

Denk eens na heb jij zelf ooit een brief gehad van kpn met je login als wachtwoord of welkom01 waarom zouden ze dat dan wel bij bedrijven doen.
Ja, dat werkt dan voor de mensen die daadwerkelijk inloggen.
Maar voor de mensen die van deze service nog nooit gebruikt gemaakt hebben?
mjah, ik vind de titel ook nogal suggestief hier. Alsof KPN hier geblunderd heeft
Er heeft zich hier ook een blunder voorgedaan. En een grotere blunder dan dat vermeld is. Namelijk het uberhaupt gebruiken van een standaardwachtwoord. Ik vind dat een veel grotere fout dan de gebruiker niet verplichten een eigen wachtwoord te maken. Want als je een random wachtwoord hebt, is die noodzaak sowieso veel minder. Als je dan toch zo onnozel bent een standaard wachtwoord te installeren, dan uiteraard wel verplichten dat men direct het wachtwoord wijzigt. Maar dat blijft dweilen met de kraan open: er zijn zat mensen die helemaal nooit inloggen en waarbij een standaardwachtwoord dus gewoon actief blijft totdat een hacker erop inlogt.

[Reactie gewijzigd door kimborntobewild op 5 juli 2012 10:52]

Akkoord, elke telecom provider waar ik reeds met gewerkt heb geeft een volledig random wachtwoord van meestal 8 karakters.

Dan zou dit probleem helemaal niet bestaan hebben.
Ja hoor, want hoe kon KPN nou verwachtten dat niet alle 180.000 klanten, waarvan het grootste deel nitwits op gebied van ICT, hun wachtwoorden zouden veranderen zonder dat dat verplicht is. 8)7 Dat terwijl de meesten eigenlijk helemaal nooit inloggen op zo'n account en dus ook totaal vergeten zijn dat ze dat account uberhaupt hebben (ik heb ook wel wat accounts bij bepaalde diensten gekregen die ik nog nooit gebruikt heb).

De titel suggereert gewoon de werkelijkheid. Default-wachtwoorden zijn gewoon niet goed, je hoort te zorgen dat iedereen een (nagenoeg) uniek wachtwoord heeft. Of je dat nou random genereert of je laat de klant zelf iets kiezen bij de eerste keer inloggen (ook niet geweldig).

Als nou 3 van de 180.000 klanten vergeten waren hun wachtwoord te veranderen, dan kun je misschien nog volhouden dat het stom was van die 3 klanten. Maar het feit dat 2/3 dit niet gedaan heeft zegt al genoeg, KPN heeft ze hier niet goed genoeg van op de hoogte gesteld en had van een domme gebruiker uit moeten gaan waarvoor ze dat goed hadden moeten regelen (immers, 2/3 van alle gebruikers blijkt "dom").

[Reactie gewijzigd door bwerg op 5 juli 2012 17:13]

Een klant wil gewoon internet hebben, en dat is alles. Vooral kleine bedrijfjes met een paar mensen aan personeel willen niet veel geld nog eens een systeembeheerder inhuren.
Virusscanner? Firewall? Updates? DoS? Backup? AntiSpyware? Wachtwoorden (met viltstift op het toetsenbord)? DMZ? VPN? NAT? Alleen internet en de veiligheid maakt niet uit. Het enige wat een klant wil is dat het internet werkt, en hoe maakt niet uit!

[Reactie gewijzigd door Onbekend op 5 juli 2012 11:30]

Kan wel zo zijn, maar dan moet je ook niet huilen en gewoon betalen als het verkeerd gaat.

Savonds grote vent, sochtends ook een grote vent.
En dan moet KPN ook niet huilen als de klanten hier woedend over zijn als er misbruik van gemaakt is, ook al zijn er een paar tweakers van mening dat het de schuld is van de gebruikers.
KPN levert een internetverbinding hoor, niet de dienst je eigen router wachtwoord aanpassen.
KPN is wel degelijk verantwoordelijk; je huurt dat kreng ook nog.
Het is in Nederland ook werkelijk helemaal van de gekken...
Inderdaad als je zo'n wachtwoord krijgt dan snap je toch zelf ook wel dat dat geen uniek random gegenereerd wachtwoord is?! |:(
De gebruikers zijn zelf stom geweest. Ze hadden gewoon het wachtwoord moeten veranderen, wat een kleine moeite is.

Ik neem aan, als jij een wachtwoord krijgt van iets welke 'welkom01' is, dat je deze ook meteen veranderd? Dan misschien niet omdat het een algemeen wachtwoord is, maar dan puur omdat hij veel te makkelijk is.

Gebruikers hebben hier geblunderd, KPN niet. KPN had enkel misschien hun systeem iets moeten aanpassen dat gebruikers of hun wachtwoord de 1e keer inloggen moesten veranderen, of dat ze gewoon een random wachtwoord kregen.

Tevens vind ik het ook niet netjes van die meneer Robert, meld het dan eerst aan KPN, en breng het daarna pas de publiciteit in o.i.d.
Ik neem aan, als jij een wachtwoord krijgt van iets welke 'welkom01' is, dat je deze ook meteen veranderd?
Ik weet niet of je het artikel gelezen hebt, maar dat is dus een verkeerde aanname.
De allergrootste meerderheid doet dat dus NIET.
Dit is helemaal niet knullig van KPN want dit doen de bedrijven toch echt zelf.

Bij Zakelijk ADSL moet de gebruiker ter plekken bij het bestellen een login en wachtwoord verzinnen veel mensen hebben daar inderdaad geen zin in en bedenken welkom01 of gebruiken hun login naam als wacht woord

Echt pure luiheid van de gebruiker of desinteresse qua beveiliging.

Prima actie dat KPN nu de Verantwoording neemt voor deze gebruikers en selfcare dicht zet.
Misschien even het artikel lezen:
KPN gebruikte het standaardwachtwoord 'welkom01', waarmee zakelijke adsl-klanten konden inloggen op het Customer Self Center, maar eiste niet dat klanten dit wachtwoord wijzigden
Al iemand die vaak accounts moet aanmaken vind ik dat KPN wel degelijk heeft geblunderd. In een goed systeem is het maar een vinkje extra om er voor te zorgen dat het password na eerste keer in te loggen veranderd moet worden. Dan hadden die bedrijven het password waarschijnlijk niet standaard gelaten. Daarnaast is een standaard password als welkom01 een HEEL slecht password, hoe moeilijk is het om er standaard Welk0m2KPN van te maken, of beter nog voor iedere klant een apart password.
'Welk0m2KPN' is een nog slechter wachtwoord. Dat het moeilijker te raden is, is een tamelijk overbodige luxe als het, zoals hier, een toch al bekend standaardwachtwoord betreft. Als het vreemden toch al niet buiten houdt, prefeer ik een wachtwoord dat de legitieme gebruiker in ieder geval nog kan onthouden en intypen.
Mee eens, echter wil je als leverancier een zo goed mogelijke dienst leveren. Dat houdt ook in dat als je het vermoeden hebt dat sommige van je klanten geholpen zijn met een verplichte password change, je daar voor zorgt.
Inderdaad..

Maar het had KPN gesierd hadden ze gezorgd dat mensen verplicht een moeilijk wachtwoord namen.. Zelfs bij het aanmaken van een mail adres is dit al verplicht bij sommige providers (?).
hmm dus ik ben ook gedupeerd als iemand inbreekt op mijn mail omdat mijn gebruikersnaam en wachtwoord allebei pietje1 zijn? Dat is toch echt hun verantwoordelijkheid.

Er zijn een hoop bedrijven die enorm laks zijn met dit soort dingen. Dan daarna roepen ze ik wil miljoenen hebben want jullie hebben niet goed voorgelicht. Dat werkt niet zo, mensen moeten zelf nadenken. Als je te stom bent om te bedenken dat welkom01 een standaard wachtwoord voor iedereen is dan is het misschien niet slecht als je het een keer merkt doordat iemand dingen voor je aanpast.
En hetgene dat ik dan vind, is dat KPN meer moet forceren dat de klanten een moeilijkere combinatie van gebruikersnaam en wachtwoord gebruiken.

Maar dat doen ze ook niet...

Als dat wel gebeurd was, had dit hele probleem nooit kunnen ontstaan en was gewoon iedereen "goed" beschermd geweest...
Eigenlijk niet te verstaan, ik ben bezig met een soort template in Mvc 4.0 te maken als hobbyprojectje en mijn basis authenticatie is hashed en salted (8 karakters). Heb momenteel nog AES 512 maar dit verander ik naar bcrypt (bcrypt => trager om te bruteforcen).

Als ik een account aanmaak, wordt er willekeurig een wachtwoord gegenereerd, die ze zelf kunnen veranderen achteraf (de meesten zullen het wel doen, want ik onthou niet graag een willekeurig wachtwoord van 8 tekens [a-z,A-Z,0-9]

Hoe kun je zoiets dan permitteren voor maar liefst 180.000 mensen!

[Reactie gewijzigd door NicoJuicy op 5 juli 2012 09:45]

Het maakt niets uit als je je wachtwoorden hashed en salt wanneer ze allemaal het zelfde zijn. Dan kan alsnog iedereen inloggen.
Het gaat me meer over het feit dat er "als hobbyproject" op vlak van security er al meer over nagedacht is dan een bedrijfseigen systeem voor 180.000 mensen.
Dit heeft niets te maken met salten of hashen.

Al salt en hash je je een ongeluk, als je een standaardwachtwoord instelt dat voor iedereen hetzelfde is (al een enorme security flaw) én je verplicht ze niet na een eerste keer inloggen het wachtwoord te wijzigen dan is ook jouw gesalte en gehashte systeem niet veilig.
Alleen heeft kpn deze wachtwoorden niet aangemaakt.
Bij zakelijk ADSL moet de gebruiker deze bij de aanvraag ter plekken verzinnen.

Dit is het zelfde als dat de meest gebruike wachtwoorden op iphone.
http://www.bright.nl/1234...wachtwoord-voor-de-iphone
dat is toch ook geen beveiligings fout van appel! dit precies het zelfde voor kpn.
die kunnen hier niets aan doen

[Reactie gewijzigd door xbeam op 5 juli 2012 10:15]

Heb je het artikel niet gelezen?
In veel gevallen verstrekt KPN aan nieuwe Z-ADSL-klanten bij het afsluiten van het abonnement een standaardwachtwoord voor toegang tot de online self care omgeving (varianten op de term ‘welkom1’). Klanten kunnen dit dan zelf wijzigen in een eigen wachtwoord. Na de tip van Webwereld heeft KPN geconstateerd dat een kleine 120.000 van de in totaal 180.000 Z-ADSL klanten dit standaardwachtwoord niet hebben gewijzigd. Daarnaast blijkt dat circa 20.000 klanten de gebruikersnaam óók als wachtwoord gebruiken.
Best knap. Aangezien AES max 256 bit sleutels gebruikt.

Daarnaast is AES geen hash algoritme maar een symmetrische encryptie.
vind t eigenlijk niet eens zozeer een blunder van KPN. jij als eibdgebruiker bent zelf verantwoordelijk voor je wachtwoorden...
Inderdaad! Dit bewijst dus dat 2/3 van de (zakelijke!) gebruikers sukkels zijn. Klein foutje van KPN, grote fout van de eindgebruiker. Wie gebruikt er nu het standaard wachtwoord?
De gebruiker is zo lui mogelijk. Veel it-analfabeten weten waarschijnlijk ook van niet beter.
Maar we hebben het hier over zakelijke gebruikers. Daar mag je toch wel wat meer van verwachten, ze hebben immers ook meer te verliezen. Voor een consument is het niet meteen een ramp als iemand meelift op z'n Wifi, maar een zakelijke gebruiker die opeens niet meer kan bellen of internetten loopt inkomsten mis. Daar moet hij dus rekening mee houden.

Daarbij, het geeft mij helemaal geen fijn gevoel. Als ik een bedrijf inhuur verwacht ik dat er zorgvuldig met mijn gegevens wordt omgegaan. Als een ondernemer al niet eens de moeite neemt om een fatsoenlijk wachtwoord te kiezen...
Een schrijnwerker kan niet persé goed met een pc werken, net zoals een elektricien en dergelijke.

Dat wij lijden aan beroepsmisvorming door onze uitgebreidere kennis van IT wilt niet zeggen dat een willekeurige ondernemer er iets van kent / hoeft te kennen.

Een ondernemer kan ook 55+ zijn en daarbij zelden een pc gebruiken, lijkt me niet ongewoon. Mijn vader werkt bv. heel de tijd, mijn ma doet de administratie. Als ze een brief krijgt met een gebruikersnaam en wachtwoord van het labo (dierenarts), dan gaat ze het gebruikersnaam en wachtwoord opschrijven en telkens daarmee inloggen.

Ze gebruikt de webapplicatie enkel waarvoor het nodig is, als ze me nodig heeft voor een probleem roept ze mij gewoon. Ook om bv. foto's op de pc te plaatsen en dergelijke.

Waarschijnlijk weet ze niet eens dat ze erop haar wachtwoord kan veranderen, voor ons lijkt dat evident ;)

[Reactie gewijzigd door NicoJuicy op 5 juli 2012 11:01]

Je hebt natuurlijk wel gelijk dat niet alle ondernemers verstand hebben van IT. Dat hoeft in principe ook niet. Maar een zeker basisnivo qua kennis hoort er tegenwoordig gewoon bij.

Je stapt ook niet in de auto zonder rijbewijs. Tijdens je rijopleiding leer je gevaarlijke situaties herkennen en oplossen. Zo is het ook met IT. Er bestaat weliswaar geen opleiding voor, maar iedereen die het internet op gaat zou zich tenminste de basisvaardigheden eigen moeten maken.
Vandaag de dag gaat die vlieger niet meer op. Het is bekend hoe lui mensen omspringen met accounts en na vele waarschuwen passen deze mensen het eigen wachtwoordbeleid niet aan. Dan is het aan de bedrijven om dit voor de mensen te doen. Ook dat is een verantwooordelijkheid van een bedrijf.

Het bedrijf moet immers weten dat een zwak wachtwoord een hoog risico met zich meebrengt. Ze moeten ook weten dat dit in combinatie met mensen die niet kunnen omgaan met wachtwoordwijzigingen nog slechter is.

Waarom dan alsnog met "welkom01" op de proppen komen? Het is zo eenvoudig om random passwords te genereren. Ik snap dit niet.
Hier ben ik het helemaal mee eens.

Gebruikers zijn niet zonder meer verantwoordelijk te nemen voor de eigen beveiliging, omdat ze hier ten eerste niks over weten (de meeste mensen zijn niet erg tech-savvy) en ten tweede gewoon geen zin hebben om zich hiermee bezig te houden.

In dit geval moest KPN gewoon de veiligheidseisen van haar gebruikers vastleggen, en de gebruikers forceren om hieraan te voldoen. Zeker dit laatste is duidelijk niet gebeurd.
als het om gebruikers gaat kan ik het er enigszins mee eens zijn, maar dit zijn bedrijfaccounts, bedrijven zouden gewoon mensen in dienst moeten hebben die verstand van dit soort dingen hebben. Als kpn wel enforced had dat ze hem zouden veranderen zouden precies deze klanten er waarschijnlijk allemaal alsnog iets van welkom ofzo van gemaakt hebben
Dit en niks anders! Dat je als zakelijke gebruiken niet de moeite neemt om het standaard wachtwoord te veranderen, zegt natuurlijk al veel. Je bent dan gewoon ongelofelijk dom bezig
De service provider (KPN in dit geval) komt dit toch installeren bij de zakelijke klant? Dan is het echt wel de taak van de service provider om dit te wijzigen of op z'n minst te vertellen dat het gewijzigd moet worden.
Wel een beetje jammer dat dhr Schagen direct naar Webwereld stapt zonder dit eerst aan KPN te melden.

Lijkt me eerder op publiciteit scoren dan daadwerkelijk het probleem opgelost willen hebben.

Ja, KPN zat hier fout en had dit moeten voorkomen, maar dat neemt niet weg dat ik het onbeschoft vind om direct naar Webwereld te stappen (Wat sensatie zoekers zijn) in plaats van éérst naar KPN.
Tjongejonge, je zou toch verwachten dat de security officers bij KPN die dit beslissen toch wel van enig niveau zijn...
Het was inderdaad niet handig dat KPN het niet verplicht heeft gesteld om het wachtwoord te wijzigen, of dat ze zo'n enorm standaard wachtwoord gekozen hadden. Het lijkt me toch eigenlijk echter wel meer de verantwoordelijkheid nog van de gebruikers om dit te fixen. We hebben het hier niet over thuisgebruikers, dus ik mag toch wel hopen dat een zakelijke gebruiker wel beseft dat als het wachtwoord "welkom01" is, dat hij dat beter wel zsm kan veranderen...
Permiteren, de klanten zijn dan ook niet zo slim om daar zelf over na te denken zeg ik dan. Een bedrijf moet dit aangeven, maar de mensen die het afnemen moeten het zelf ook wel in de gaten hebben. Daarbij zijn mensen vaak lui.
Hoe kan het toch dat bedrijven hier zo laks mee om blijven gaan. Een password change kun je toch gemakkelijk afdwingen? Als je na een week je password nog niet hebt veranderd in iets anders (uiteraard wel naar bepaalde maatstaven) dan zal je account niet meer werken?

Alleen op die manier kunnen ze blijkbaar de veiligheid blijven garanderen.

Het zou toch bijna tijd worden dat de overheid gaat ingrijpen en richtlijnen op dit gebied gaat aanmaken of aanscherpen...
Het zou toch bijna tijd worden dat de overheid gaat ingrijpen en richtlijnen op dit gebied gaat aanmaken of aanscherpen...
Goed plan, laten we nog meer regels maken en bedrijven dingen verplichten. Als we toch bezig zijn, laten we direct bij wet vast leggen waar wachtwoorden aan moeten voldoen, hoe vaak ze veranderd moeten worden en dat je ze niet mag opschrijven, want dan ben je strafbaar.

Dit zijn dingen die volledig de verantwoordelijkheid zijn van gebruikers, niet van de bedrijven en al helemaal niet van de overheid.
Inderdaad een goed plan, laten we regels maken waar auto's aan moeten voldoen, hoe hard je maximaal mag rijden en welk profiel de banden minimaal moeten hebben.

Net zoals bij verkeersveiligheid geldt dat je niet alleen verantwoordelijk bent voor je eigen veiligheid maar ook voor die van andere verkeersdeelnemers. Iemand met een internetaansluiting is ook niet alleen verantwoordelijk voor zijn eigen verbinding maar moet ook zorgen dat zijn verbinding geen overlast veroorzaakt voor andere internetgebruikers. Daar mag van mij ultiem straf op staan, maar minimaal persoonlijk aansprakelijkheid indien de beveiliging door nalatigheid schade veroorzaakt aan derden.

Niets weten van computer/internet-beveiliging is geen excuus. Ik weet ook niet hoe ik de remmen van mijn auto in goede conditie houdt. Daarom verplicht de wetgever mij middels APK onderhoud uit te besteden. Mensen die zelf hun IT-infrastructuur niet veilig kunnen houden zullen dit werk moeten uitbesteden.
Verantwoordelijkheden van gebruikers. Klopt. Maar hoeveel verantwoordelijkheid kun je leggen bij een gebruiker als deze geen enkel benul heeft van hetgeen dat er speelt?
Waarom is dit een blunder van kpn en niet van de systeembeheerder in kwestie die die dingen beheert? Volgens mij is dat stap 1 na installatie, maar dat kan aan mij liggen.
Vraag me af hoeveel accounts hun bankrekening nummer aangepast hebben.

"Ik ben hacker en ga nu mijn bankrekening invullen waar de rekening van betaald moet worden... Muhahahha" 8)7
Als je een bepaald bedrijf alles wilt laten betalen bijvoorbeeld de KPN zelf, dan kan het best wel 'leuk' zijn als hacker er voor te zorgen dat 1 bedrijf voor de kosten van ongeveer 120.000 zakelijke klanten kan laten betalen.. Ik kan met niet voorstellen dat jij het leuk vind om bijvoorbeeld 120.000 zakelijke account te betalen.
Wat dacht je van KPN's eigen bankrekeningnummer? :+

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013