Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 15 reacties

Een datalek bij de Britse provider Three heeft onder meer geleid tot scampogingen en pogingen tot inbraak in telecomwinkels. Kwaadwillenden konden vrijelijk beschikken over de login van een werknemer om abonnementen aan te passen.

De politie heeft drie verdachten gearresteerd voor de zaak, meldt de Britse krant The Telegraph. De kwaadwillenden hadden volgens de krant toegang tot het systeem voor upgrades van abonnementen van Three-klanten via de logingegevens van een medewerker. Hoe ze daaraan kwamen, is onbekend. Three heeft negen miljoen klanten, waarvan zes miljoen abonnees. The Telegraph meldt dat de criminelen bij de naw-gegevens konden van zes miljoen mensen.

Vermoedelijk konden de criminelen zonder tussenkomst van de abonnees hun abonnementen verlengen en toestellen bestellen. The Telegraph meldt dat er telefoons zijn gestolen bij inbraken in telefoonwinkels en een woordvoerder van Three erkent dat ze probeerden de toestellen te onderscheppen. Bovendien gebruikten de kwaadwillenden de gegevens om scampogingen te ondernemen. Door het toegenomen aantal scampogingen kwam de provider de fraude op het spoor.

Als de criminelen alleen toegang hadden tot het abonnementssysteem, konden ze niet bij bank- of creditcardgegevens. Het datalek komt enige tijd na een hack bij een andere Britse provider, TalkTalk. Een 17-jarige jongen bekende onlangs dat hij indruk wilde maken op vrienden met de hack.

Moderatie-faq Wijzig weergave

Reacties (15)

das netjes dat je alleen met logins jezelf toegang kan verschaffen tot die systemen van op afstand (ik ga er niet van uit dat ze ook daadwerkelijk werkten daar). Je zou toch ook nog een token ofzo moeten hebben om vanop afstand in te loggen? En logins horen na een bepaalde tijd ook van paswoord te veranderen, of hadden ze die ook na elke verandering?
nope - in nld, werkt (met uitzondering van vodafone) dat een abbo aangesloten kan worden met login via website (user+pass). Daarmee kun je overal een abbonnament actief maken. Bij vodafone (spice) maakt men gebruik van een citrix omgeving.
Ik kan niet vertellen hoe dat in UK werkt, maar kan me voorstellen dat niet heel veel anders gaat.
Je zou toch hopen dat zulke omgevingen achter een IP white list zouden zitten. Blijkbaar niet dus. Bij ons op het werk komt niemand op onze servers wanneer je niet op kantoor bent.
helaas - ongeacht lokatie geen restrictie (sterker vertellen - werkt zelfs vanuit het buitenland is toegang mogelijk) > waarom zou een winkel/retailer een t-mobile aansluiting in nld activeren vanuit spanje .... maar goed, ga niet over de security daarvan :+
Het werkt ook vanuit het ISS en open zee!
Je hebt een whitelist/blacklist of gewoon geen list. ;)
Er worden gewoon geen hoge eisen gesteld aan de veiligheid, door de overheden. Dat willen we ook niet; immers dat zou de vrije marktwerking maar hinderen. We kijken liever naar een grotere beurs dan naar grotere veiligheid of een beter milieu.
Totdat CBP er achter komt, al dan niet na een hack. En dan blijkt er dus weldegelijk regelgeving te zijn voor veilige toegang tot data.
Het aantal boetes valt vergeleken met 't aantal overtredingen in het niet. En de hoogte van de boetes stelt ook niet veel voor.
De mens is toch vaak de zwakste schakel in een beveiliging.
Een goede beveiliging is ook niet meer op een login met username+password gebaseerd. Met een extra code per sms, vingerafdruk of gezichtsherkenning maak je een login met weinig moeite veel veiliger. Een login bij kritische systemen (ook die met privacy gegevens) moet altijd gelogd worden. Het liefst wordt gecontroleerd waar de login vandaan komt en worden alleen logins van bekende lokaties geaccepteerd.
klopt - maar wanneer een gebruiker langetijd bezig is, of inlog procedure complex wordt, kan dit er voor zorgen dat aanvragen langer duren om te verwerken > minder productie > minder omzet. Uiteindelijk hangt alles af van euro's.
Een vingerscan (of ander fysiek kenmerk) is snel gedaan. Dat maakt het nauwelijks lastiger. Van een SMS, WhatsApp of email verificatie ben ik ook geen voorstander Dat is inderdaad al snel te veel werk.

Een systeem mag nooit zomaar open blijven staan. Na hooguit 15 minuten geen actie moet men gewoon uitgelogged worden. Om het niet al te lastig te maken voor de gebruikers kan je bijvoorbeeld iets inbouwen dat je nog een tijdje (uur) kunt inloggen met alleen een fysiek kenmerk.

Als fysiek kenmerk is de vingerscan het meest betrouwbaar, maar gezichtsherkenning voldoet ook en als je toch al voor het scherm zit hoef je daar niets eens wat van te merken. De druppel of pas die je toch al voor de toegangsdeur gebruikt is ook een optie maar die mag dan niet op het bureau blijven liggen!
Ponden in dit geval ;)
Vreemd... Ik las Dalek......
Dat zou leiden tot exterminate problemen, niet tot scampogingen. Tenzij Davros weer eens een paar jaar langer wil leven.
Ze zullen de komende 3 maanden zeker storing hebben omdat men in India nieuwe software moet laten schrijven. Dit riekt naar nalatigheid van IT om bepaalde accounts te deactiveren. Net zoals het $admin account op windows alle bevoegdheden heeft zonder gericht doel voor de meeste consumenten.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True