Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Onderzoeker kon toegang krijgen tot gegevens alle Nederlanders met mobiel abo'

De beveiligingsonderzoeker Sijmen Ruwhof heeft vastgesteld dat de inloggegevens van de dealerportals van Nederlandse telecombedrijven eenvoudig te bemachtigen waren. Hiermee zou toegang mogelijk zijn geweest tot de gegevens van elke Nederlander met een mobiele telefoon.

Hij beschrijft zijn bevindingen in een blogpost. Ruwhof was in september op zoek naar een nieuwe telefoon in de Utrechtse vestiging van de Media Markt. In deze winkel bevindt zich een vestiging van The Phone House, waar hij een medewerker sprak. Tijdens dit gesprek opende de medewerker een Excel-document met inloggegevens van de dealerportal van een provider om klantgegevens in te kunnen zien. Het bestand was opgeslagen in een Google Drive-map. Na deze opvallende ontdekking keerde Ruwhof op een later tijdstip terug naar dezelfde winkel en het lukte hem om de inloggegevens op foto en video vast te leggen.

Vervolgens vond hij na een korte zoektocht via Google een pagina van een vestiging van The Phone House in Joure waarop links naar alle dealerportals te vinden waren. Een groot deel van deze portals waren via internet te benaderen en boden de mogelijkheid om in te loggen met de bemachtigde gegevens. Ruwhof schat dat The Phone House via deze weg toegang had tot de gegevens van elke Nederlander met een mobiel abonnement, naar eigen schatting tussen de 10 en 14 miljoen.

Een woordvoerder van Relevant Holdings, het moederbedrijf van The Phone House, laat aan Tweakers weten dat er met de wachtwoorden in kwestie geen toegang mogelijk was tot klantgegevens. De gegevens zouden alleen aanmelding van een klant mogelijk maken. Volgens Ruwhof is deze bewering onjuist, omdat wel degelijk toegang tot naw-gegevens en mogelijke andere gegevens kon worden geboden, dit zou blijken uit contact tussen Ruwhof en een getroffen provider.

Media Markt en The Phone House reageerden volgens Ruwhof in eerste instantie niet nadat hij in oktober contact had gezocht. De woordvoerder van The Phone House stelt echter dat er geen poging tot contact is ondernomen door de onderzoeker. Dit zou pas tot stand zijn gekomen nadat The Phone House hiertoe het initiatief had genomen. Uiteindelijk zou er een positief gesprek zijn gevoerd.

Na enige tijd ontving Ruwhof een e-mail van een vestigingsmanager van de Media Markt waarin werd gedreigd met een juridische procedure wanneer hij zijn bevindingen publiek zou maken. Ook werd gesteld dat hij onmogelijk toegang kon hebben tot de dealerportals. De telecomproviders zelf waren een stuk ontvankelijker voor de informatie van Ruwhof. KPN verdient volgens hem een vermelding omdat de provider meteen actie ondernam.

Uiteindelijk lukte het Ruwhof om een ontmoeting met de vestigingsmanager van de Media Markt te regelen. Hierbij kwam naar voren dat zijn onthullingen in eerste instantie verkeerd waren geïnterpreteerd. De ontmoeting wierp haar vruchten af, omdat de Media Markt twee weken later de aanbevelingen van Ruwhof naar alle 50 Nederlandse vestigingen stuurde en schermfilters installeerde op de computers. Volgens The Phone House zijn ook alle wachtwoorden aangepast en worden zij tegenwoordig opgeslagen met behulp van KeePass.

Vanuit wettelijk oogpunt zijn bedrijven die persoonsgegevens verwerken volgens artikel 13 Wbp verplicht deze gegevens te beschermen 'met passende technische en organisatorische maatregelen'. Het CBP heeft hierover enkele richtsnoeren gepubliceerd. Incidenten zoals deze laten zien dat bedrijven niet altijd deze wettelijke verplichting nakomen. Ruwhof laat aan Tweakers weten dat hem tijdens het contact met de verschillende partijen opviel dat er een groot gebrek aan bewustzijn bestaat. Zo zijn er bij verschillende partijen geen gespecialiseerde securitymedewerkers aanwezig en ook onder de rest van het management en het personeel ontbreekt de nodige kennis en bewustzijn over beveiliging van gegevens.

Door Sander van Voorst

Nieuwsredacteur

08-12-2015 • 13:12

104 Linkedin Google+

Reacties (104)

Wijzig sortering
Was me inderdaad ook al eens opgevallen. Half november mijn contract verlengd bij TPH in de Media Markt en toen kwam er nog gewoon een Excel bestandje tevoorschijn hoor..
Vorige week gedaan en ook gewoon excel documentje. Vond het al wat apart maar lijkt er op dat ze het bij mijn media markt niet op een google drive hebben gedeeld. Wellicht intern op het netwerk.

Neemt niet weg dat dit ook zo zijn veiligheidsrisico's met zich mee brengt en tevens openen ze zo'n excel zonder blikken of blozen waar de klant naast staan.
Google Drive... Zo maken ze het voor de veiligheidsdiensten wel héél makkelijk om alles in te zien...
En? Als ze dit willen inzien (en das maar goed ook) krijgen ze er toch wel toegang tot, desnoods raiden ze het DC...
Waarom moet dat inloggen met enkel een password? Waarom geen pki-infrastructuur gecombineerd met een tweede factor?
Kost geld allemaal veel geld, moeite, en het allerbelangrijkste: het wordt niet geëist door de wet.
Waarom werken ze niet met tokens ipv wachtwoorden ?
En dat geldt voor veel meer sites waar strikt vertrouwe1lijke informatie wordt opgeslagen.
Het is toch te zot voor woorden dat je anno 2016 nog steeds met de hand een wachtwoord letter voor letter moet intikken en moet onthouden ?
Met bijv. internetbankieren werkt dat prima. Op mijn werk log ik ook in bij onze klanten met een token.
Kost duur man! Geen tijd voor, alles voor de omzet en de winst!
Security awareness kweken is een langzaam proces, en daarnaast staat beveiliging haaks op de belangen van de verkoper.

[Reactie gewijzigd door Ilyas op 9 december 2015 11:47]

Aah er is dus niets verandert sinds ik weg ben bij Phone House. Wat een geklooi was dat altijd met die wachtwoord-sheets ;)
Ik mag hopen dat alles ook daadwerkelijk is aangepast, want via de foto's kun je toch nog aardig wat achterhalen.
Moeilijke wachtwoorden ook! 8)7
Heb dan ook niet de illusie dat dit met andere digitale gegevens van mij/over mij wel beter gaat.
Het klopt helemaal trouwens het schiet mij nu te binnen ik zag dit ook in januari bij Mediamarkt Utrecht, gewoon een excel bestand met inlog gegevens en waren toen zelfs nog ie6 browsers dacht ik zelfs.

Ik was het al even vergeten maar ik zat toen ook al te kijken van huh, ik zij toen al tegen medewerker of gebruik van keepas enzo en hij schreef ook gelijk op zal eens door geven zij die.
Bij de KPN was/is (ken iemand die er heeft gewerkt tot augustus) het ook een rommel. Hun interne-klanteninformatieportalsoftware (nieuw woord van 2016!) is in Visual Basic 2010 geschreven (!). Hij zei ook dat hij in het systeem kon met een blank passwoord & username veld en om een of andere reden medium clearance had (low = kan gegevens inzien, medium = kan bestaande klantengegevens aanpassen, hoog = kan klanten inschrijven). Slechte zaak dus.
Login gegevens voor toegang tot zulke data op Google Drive? Wat zullen die Amerikanen ons toch hard uitlachen...

[Reactie gewijzigd door Mocro_Pimp® op 8 december 2015 17:31]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True