Providers voeren beveiliging dealerportals op na melding over MediaMarkt

KPN en T-Mobile hebben de beveiliging van de aansluitsystemen voor nieuwe klanten vergroot na een melding van Sijmen Ruwhof. De beveiligingsonderzoeker zag dat een MediaMarkt-vestiging wachtwoorden voor dealerportals bewaart in een Google-document op een niet-vergrendelde pc.

De gebruikte wachtwoorden waren bovendien niet de sterkste wachtwoorden, zoals 12345678 en Vodafone 1, meldt Ruwhof. Hij merkte dat op bij de aankoop van een smartphone. Het incident vond plaats twee jaar nadat de beveiligingsonderzoeker precies hetzelfde had opgemerkt bij precies dezelfde winkel. Toen beloofde MediaMarkt beterschap.

KPN en T-Mobile zeggen tegen NOS naar aanleiding van het incident de beveiliging van hun dealerportalen te hebben opgeschroefd. Hoe dat precies is gebeurd, is onduidelijk. MediaMarkt heeft medewerkers aangesproken op zwak wachtwoordbeleid.

Dankzij het zwakke beleid kunnen medewerkers de dealerportalen makkelijk in. Medewerkers van telecomretailers hebben toegang tot dealerportalen van providers van welke zij abonnementen verkopen. In die dealerportalen kunnen zij informatie vinden over het mobiele abonnement van klanten, al zijn naar verluidt geen verdere persoonsgegevens in te zien. Bovendien zijn de portalen alleen te benaderen vanaf bepaalde ip-adressen, al is onbekend hoe dat precies werkt.

Google Sheet met MediaMarkt-wachtwoorden

IT-banen

Reacties (125)

Verwijderd 26 januari 2018 07:25

2 jaar terug was er toegezegd dat Keepass gebruikt zou gaan worden, en screenfilters zouden worden gebruikt. Vanuit wettelijk oogpunt zijn bedrijven die persoonsgegevens verwerken volgens artikel 13 Wbp verplicht deze gegevens te beschermen 'met passende technische en organisatorische maatregelen'. Als je dit na 1 tik op de vingers nog niet hebt doorgevoerd en weer door de mand valt verdien je wat mij betreft een fixe boette, en moet er op worden toegezien dat er binnen een afgesproken termijn maatregelen zijn getroffen.

n4m3l355 @Verwijderd • 26 januari 2018 07:48

Wat stel jij dan voor? Wanneer je meerdere gebruikers hebt voor een account zul je dit soort problemen altijd hebben zeker wanneer ze zich niet bewust zijn van het probleem. Wachtwoorden op computers zijn inherent aan dit soort situaties. Ik zie dat met mijn eigen collega's die soms twee dozijn wachtwoorden hebben voor allerlei platformen die schrijven dat keurig in een boekje en dan gaat het systeem ze ook nog eens vertellen na 90 dagen dat het wachtwoord moet worden verandert in iets nieuws met moeilijke tekens.

blissard @n4m3l355 • 26 januari 2018 08:13

Precies dit! Een systeem bedenken dat niet gebruiksvriendelijk is en het dan steeds moeilijker maken (meer bijzondere tekens, vaker wisselen) en dan verbaast zijn als mensen een Post-it op hun monitor plakken. Zoals jpfx al aangeeft: doe iets biometrische of een pasjes systeem. Dan combineer je veiligheid met gebruiksvriendelijkheid.
Ik heb ca. 15 verschillende wachtwoorden nodig voor mijn werk. Deze moet ik ook nog regelmatig vernieuwen. Als ik dan de instructie krijg dat ik geen wachtwoorden mag hergebruiken en ze niet mag opschrijven, kan ik alleen mijn schouders ophalen.

[Reactie gewijzigd door blissard op 24 juli 2024 02:54]

Blokker_1999

Netwerk en systeembeheer
Nederland

@blissard • 26 januari 2018 08:37

Ik zal nooit toestaan dat een bedrijf mijn biometrische data mag gebruiken. Een gestolen wachtwoord kan je wijzigen. Een gestolen vingerafdruk daarentegen...

Edwin @Blokker_1999 • 26 januari 2018 12:15

Een vingerafdruk is zeker geen wondermiddeltje qua beveiliging.
Je vingerafdruk kun je in principe zelfs (tijdelijk) onleesbaar maken.

De manier waarop is echter niet bepaald wenselijk.
Bij het gebruik van Capecitabine (behandeling van kanker) kunnen de vingerafdrukken tijdelijk onleesbaar worden.

EdvanAl @Blokker_1999 • 26 januari 2018 09:52

Dan vallen er hier en daar voor jouw al wat bedrijven af (zoals bijvoorbeeld Schiphol met platform permissie)

Dus als jij bij een bedrijf werkt die middels biometric toegang gaan regelen (ook fysieke toegang) dan neem jij dus ontslag?

[Reactie gewijzigd door EdvanAl op 24 juli 2024 02:54]

rkeet @EdvanAl • 26 januari 2018 14:06

Ik wel. Wat had ze tegen gehouden om een niet-biometrisch systeem te gebruiken?

Goedkoper en veiliger.

(rfid & nfc pasjes/sleutelhangers/etc zijn heel goedkoop en je kunt ze gemakkelijk deactiveren/vervangen - probeer maar met je vingerafdrukt)

Fireshade @Blokker_1999 • 26 januari 2018 11:44

In supermarkten, banken en andere grotere winkels ook worden ook wel eens nfc passen gebruikt die alleen bepaalde bevoegde personen dragen. Als zo'n pas kwijt is, kan die eventueel centraal gedeactiveerd worden. Misschien is dat een oplossing.

jessegeerts @Fireshade • 26 januari 2018 12:46

Bij een supermarkt (Jumbo) gebruikt een gemiddelde filiaal een RFID tag die aan de uren registratie systeem aangesloten die tevens je functie vrijgeeft.

Bijvoorbeeld ik ben een hulpkracht, Ik kan door alle algemene personeelsdeuren van de winkel. Met uitzondering van het kassakantoor. Ben ik een afdelingschef? Dan kan ik door die deur.

Mocht het offtopic zijn.. Excuses

AndromedaM31 @Blokker_1999 • 26 januari 2018 11:02

Nou, dit:

Impact of leak
My personal estimation is that Phone House, via dealerships, has access to personal data of basically all Dutch citizens who own a mobile phone. That would be somewhere between 10 and 14 million people.

Some of the dealer portals only display customer details after specific information about that person is supplied, such as a telephone number and corresponding birth date. This prevents the mass downloading of data, which is a good thing.

Nonetheless, even individual access to personal data such as full name, home address, postal code, city and phone subscription details is a goldmine for cyber criminals and intelligence agencies. With this password database in hand you could easily performing identity theft and trace individuals and VIPs. Stalkers and fraudsters would love to have direct internet access to such a treasure trove of personal data. The telephone subscriptions of customers can be viewed and changed via these portals. New orders can be entered into the system.

So it’s of the utmost importance that passwords that give acces to these dealer portals are protected very well!

IS HEEL ERNSTIG.

sprankel @Blokker_1999 • 26 januari 2018 11:06

Bedrijven mogen toch geen biometrische data opslagen? (of gelden er andere regels in NL?) Ze mogen het gebruiken voor authentificatie maar de biometrische data moet bij de persoon zelf blijven. Bijvoorbeeld een vingerafdruk die ingeladen word op een smartcard zelf die in het bezit blijft van de werknemer. Die vingerafdruk op gelijk welk bedrijfs systeem bijhouden is verboden voor zover ik weet.

[Reactie gewijzigd door sprankel op 24 juli 2024 02:54]

nl noob @Blokker_1999 • 26 januari 2018 12:13

Volgens mij zie jij niet helemaal in hoe biometrische data gebruikt wordt. Er wordt gebruik gemaakt van asymetrische encryptie. Van jou vingerafdruk wordt een private key gemaakt. Op hun systemen staat alleen de public key.

blissard @Blokker_1999 • 26 januari 2018 09:50

Biometrie is niet perse vingerafdruk he

3raser @blissard • 26 januari 2018 11:08

Noem dan een voorbeeld van biometrie wat WEL wijzigbaar is?

mmjjb @3raser • 26 januari 2018 12:06

je vingerafdruk en wat schuurpapier

#OT:
In deze situatie had mediamarkt gewoon iedereen smartcard pasjes moeten geven als authenticatie. Was het hele probleem oplost

Verwijderd @mmjjb • 26 januari 2018 12:29

Exact. Pasje, liefst met je foto, naam en titel erop. Om te voorkomen dat passen vergeten of geleend worden zorg je dat het inklokken/uitklokken met dezelfde pas gebeurd en dat de toilet zonder pas niet opengaat. Heb je waarschijnlijk 1 a 2 weken wat gesputter van oude werknemers en daarna is iedereen weer gewend.

Een goede uitvoering is daarbij wel belangrijk: kaartlezers en passen moeten binnen een dag vervangen kunnen worden. Als iemand een week zonder pas zit, of een kaartlezer een paar dagen niet werkt dan gaan mensen daar omheen werken, krijgt iedereen het voordeel van de twijfel en valt de boel niet meer te handhaven.

FvdM @3raser • 26 januari 2018 12:01

Wellicht de stem? Een wachtwoordzin zingen op een bepaalde melodie. Zit je alleen wel met verkoudheid en kopiëren middels audio opname.

mutley69 @Blokker_1999 • 26 januari 2018 13:04

U heeft gelijk - uw vingerafdrukken zijn uw eigendom. Ik heb mijn bank eenzijdig opgelegd dat ze biometrie nooit zullen mogen opslaan, verwerken of gebruiken ongeacht de situatie.
Men zal mij dan inderdaad moeten buitenzetten. Iets wat overal rondslingerd kan je niet gebruiken als toegangscontrolemechanisme - dat is gewoon dom.

Jeoh @Blokker_1999 • 26 januari 2018 10:47

Fix je zo met een stanleymes.

FreshMaker @blissard • 26 januari 2018 08:19

Ik kwam bij zo'n bedrijf, wat inderdaad keepass aanraadde.
Alleen stond die gedeelde keyfile wel in de profielen, dus werd een kip/ei verhaal.

Uiteindelijk had het merendeel inderdaad 1234Abc! als eerste wachtwoord

JDx @FreshMaker • 26 januari 2018 10:20

Ik heb ergens gewerkt waar het wachtwoord WELKOM01 was en elke maand moest dat gewijzigd worden, dus in februari was het WELKOM02, etc... op alle vestigingen op alle computers was dit zo!

Edwin @blissard • 26 januari 2018 12:29

Een bekend trucje is om een basis wachtwoord te nemen en daar tokens aan toe te voegen.

blissard_!Hartje_Passwords@ED-8X72#61

Het eerste deel heb je nu waarschijnlijk al onthouden

Het ED deel kan een afkorting van je favoriete medewerker bij die klant zijn, dat moet ook wel lukken.
Het laatste deel 8X72#61 zou dan per keer veranderen en voor elke klant uniek zijn.

Op deze manier heb je iets dat voor jou goed te onthouden is.
Vind iemand je lijstje waar het laatste token op staat dan kunnen ze er nog niets mee gezien ze de rest niet weten.

Is dit 100% veilig? Nee dat is niets

gjmi @Edwin • 26 januari 2018 13:17

Zoiets gebruik ik ook. Alleen dan kom je na 20 systemen bij een login waar je geen @ mag gebruiken. Dus heb ik daar weer iets anders voor moeten verzinnen.
Het blijft lastig.

[Reactie gewijzigd door gjmi op 24 juli 2024 02:54]

Aeternum @blissard • 26 januari 2018 13:01

Biometrisch valt af en terecht, want met een keycard kan je miljoen andere dingen verzinnen (en bij verlies zijn ze makkelijk in te trekken). Je loopt dan heel snel tegen de avg aan. Biometrisch zijn bijzondere persoonsgegevens die je niet (zomaar) mag verwerken. Ik vermoed sterk dat een werkgever die toegang tot een server wil verlenen daar geen grondslag voor kan vinden.

blissard @Aeternum • 26 januari 2018 13:55

Waarom zeg je dat biometrische gegevens niet zomaar verwerkt mogen worden? Uiteraard is er regelgeving voor de opslag van vinger afdrukken etc, maar dat is niet wat nodig is om biometrie toe te passen voor servertoegang. Het toepassen van Irisscan of vingerafdruk is toch niet voor niets gemeengoed?

Verwijderd @blissard • 26 januari 2018 10:28

Ik zet ze allemaal in Keepass en het is goed. Dan hoef ik te knoeien op briefjes als er een wachtwoord verandert.

THE_BASE @blissard • 26 januari 2018 09:22

Wat voor werk is dat, dat je het met 15 werkwoorden kunt doen?

Daniel_Elessar @THE_BASE • 26 januari 2018 09:48

Zeg gewoon een netwerk beheerder met verschillende servers/klanten? Dan ben je er zo bij die 15 verschillende sterke wachtwoorden.

blissard @THE_BASE • 26 januari 2018 09:51

Ha, dat valt nog heel niet mee inderdaad.

[Reactie gewijzigd door blissard op 24 juli 2024 02:54]

i-chat @n4m3l355 • 26 januari 2018 11:55

in winkelketens als de MM lijkt het me vrij makkelijk om dit te realiseren.
1: richt een goede Active-Directory in.
2: laat mensen inloggen via een smartcard + pin (iets wat je hebt + iets dat je weet).
3: gebruik tools zoals een wachtwoord manager om de inloggegevens in op te slaan.
--- kopel de passwordmanager aan het windows account .... op die manier kan men ook niet meer inloggen zodra het windows account wordt gelocked door een sysadmin (bijv bij ontslag).
---- verder kun je nog denken aan delegatie van logingegevens zodat je bij de dealerportal kunt aangeven welke accounts van server x toegang hebben tot welke gegevens ...

er zijn zo enorm veel technische mogelijkheden die geheel niet moeilijk, of duur, zijn om te implementeren, dat het werkelijk schokkend te noemen is dat dit niet al minstens 5 jaar geleden is gebeurd.

z1rconium @n4m3l355 • 26 januari 2018 07:57

Er zijn zoveel mogelijkheden. Nu is het schijnbeveiliging en kun je net zo goed geen accounts gebruiken.

Je kunt authoriseren met vingers, kaartjes etc etc, het bedrijf moet hier in voorzien en moet het niet het probleem van de gebruiker maken. Maar dit vereist wel eerst kennis binnen het bedrijf, een afdeling die deze zaken op orde brengt.

Je kunt de beveiling van je bedrijf maar tot bepaalde hoogte in de handen van je werknemers stoppen. Een mailtje sturen "jongens we schrijven geen passwords op" houd geen stand.

Yoshi @z1rconium • 26 januari 2018 09:31

De meeste accounts voor dit soort zaken zijn algemene accounts. Dus dan moet je al een database aanmaken met biometrische gegevens en er maar vanuit gaan dat de aanbieder van de service er goed mee omgaat. Dus dat liever niet. Kaartjes worden veel te gemakkelijk verloren en gestolen dus geniet een paswoord met een manager toch de voorkeur. Gebonden aan je ad account waarvan je het paswoord wel dient te onthouden. En liefst 2fa. Lijkt me dat het soms veel te ingewikkeld wordt gemaakt om goed te zijn.

jpfx @n4m3l355 • 26 januari 2018 07:58

Biometrisch? En meerdere gebruikers op een account is uiteindelijk niets anders dan geen tijd willen steken in de beveiliging. Profielen zijn te kopiëren.

Stoelpoot @jpfx • 26 januari 2018 09:02

Meerdere gebruikers op een account is daarnaast ook nog een ramp voor accountability.

xs4me @n4m3l355 • 26 januari 2018 09:36

Gewoon iedere user een account geven. Is het voor elk individu makkelijker, voorkom je deze problemen, en kun je bovendien altijd nog achterhalen wie wat gedaan heeft.
Probleem is volgens mij dat ze met gedeelde account werken.

HakanX @n4m3l355 • 26 januari 2018 11:19

Ik heb zelf bij één van de providers gewerkt. Elke 30 dagen nieuwe wachtwoord en mag niet zelfde zijn als de laatste 10. Minimaal 1 hoofdletter en één cijfer. Rara wat het wachtwoord is. 'Provider1' tm 12. 2 jaar uit dienst en kon nog steeds inloggen. Gebruikersnaam is meestal de dealercode, welke geen geheim is. Dus als je via de ene niet binnen kan komen, lukt het via de andere vast wel. Er is altijd iemand die Provider1 als wachtwoord heeft.

Henk Poley @n4m3l355 • 26 januari 2018 08:28

Pasje, vingerafdruk, en dan zelfs nog een eenvoudig wachtwoord.

Mit-46 @n4m3l355 • 26 januari 2018 11:43

Geen meerdere gebruikers op 1 account gebruiken.

Dat is niet slim.

MarcoC @n4m3l355 • 26 januari 2018 16:23

Authenticatieproblemen zijn al decennia oud en ook al heel vaak opgelost. Het is geen complex probleem. Het probleem is dat de veiligheid van persoonsgegevens niet belangrijk is voor MediaMarkt en ze zich niet aan de wet houden.

[Reactie gewijzigd door MarcoC op 24 juli 2024 02:54]

Noresponse @Verwijderd • 26 januari 2018 09:45

Dit is niet handig en onverantwoordelijk. Je kan zo op postcode, emails, 06 nummers etc. gaan zoeken naar klantgegevens.

Advies gebruik wachtwoorden met minimaal twee tekens en om het makkelijk te maken gebruik een stop woord zoals kooi,huis etc met daarvoor een naam van bedrijf, dier, automerk etc. en daarbij een aantal getallen. Voorbeeld is ; !mercedeshuis@9754 of !citroenhuis@492563 en zo borduur je dat verder met hetzelfde stop woordje en automerk en verander het wachtwoord regelmatig eens per maand.

[Reactie gewijzigd door Noresponse op 24 juli 2024 02:54]

Verwijderd @Noresponse • 26 januari 2018 10:26

en verander het wachtwoord regelmatig eens per maand.

Zodat mensen het of opschrijven of een reeks beginnen als <standaarddeel wachtwoord>01, <standaarddeel wachtwoord>02, etc. Lekker veilig is dat.

TERW_DAN @Verwijderd • 26 januari 2018 10:44

Inderdaad, gebruik liever een password manager. Met 2FA. Dan hoef je maar 1 wachtwoord te onthouden om overal bij te kunnen. Daar gooi je een lange passphrase op, dan kun je het prima onthouden, maar dat is lastig te raden. Al die rare tekens gaan niet helpen om het goed te onthouden.

xiphoid @Noresponse • 26 januari 2018 10:54

Wachtwoord patroonherkenning is makkelijker voor brute forcing natuurlijk.

ajolla @Verwijderd • 26 januari 2018 14:32

En de opmerking "MediaMarkt heeft medewerkers aangesproken op zwak wachtwoordbeleid." belooft ook het nodige.
Het is duidelijk dat beveiliging vanuit het MediaMarkt management totaal niet serieus wordt genomen.

MarcoC @ajolla • 26 januari 2018 16:28

Inderdaad. Beveiliging faciliteer je door gebruikers een methode aan te bieden die veilig en handig is, niet door mensen op de vingers te tikken die regel 1.32.3B van het beveiligingsprotocol overtreden.

GEi @Verwijderd • 26 januari 2018 08:20

Amen. Ik vind ook dat het tijd wordt voor de toezichthouder om de tanden te laten zien. Het blijft bij waarschuwen. Nu na herhaling blijkt dat er niets is veranderd denk ik dat er vast een grondslag is voor een boete. Bedrijven moeten dit niet willen en wij als consumenten moeten dit niet accepteren. Boetes zal meer (leer)effect en opvolgactie teweeg brengen dan een herhaalde waarschuwing is het eerstvolgende afdelingsoverleg.

tja @Verwijderd • 26 januari 2018 09:11

je hebt het niet goed begrepen.
"
Artikel 13 Wbp,
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
"
uit het artikel kan ik niet opmaken of ze ook bij klantgegevens van niet media markt klanten kunnen komen, wat ze kunnen zien of aanpassen. ik kan niet opmaken welke schade ze kunnen aanrichten. om je een idee te geven. er zijn geen boetes uitgedeeld door het AP op basis van artikel 13 van het WBp. er zijn geen boetes uitgedeeld op basis van de wet meldplicht datalekken. en als je nagaat dat zowel microsoft, facebook als whatsapp volgens het AP in overtreding zijn van het Wbp en ook die geen boetes krijgen dan is er nog al wat voor nodig om een boete op te lopen. ik hoop zelf dat ze strenger zullen optreden met het nieuwe GDPR.

SSDtje

@Verwijderd • 26 januari 2018 09:45

En als toevoeging op je reactie, is hier zo'n beetje alles over artikel 13 Wbp = wet beveiliging persoonsgegevens, na te lezen.

Ik heb er hieronder alvast een stukje uitgepakt wat hier op van toepassing is:
"Passende maatregelen: In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Dit is in eerste aanleg een vraag van professionele ethiek van personen belast met de informatiebeveiliging. De normen van deze ethiek worden in deze bepaling van een juridisch sluitstuk voorzien, in die zin dat daaraan een wettelijke verplichting voor de verantwoordelijke is verbonden. Het is niet aan de wetgever om nadere details te geven over de aard van de beveiliging. Dergelijke details zouden sterk tijdgebonden zijn en daarmee afbreuk doen aan het nagestreefde niveau van beveiliging. Het begrip 'passend' duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens. Naarmate bij voorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging."

[Reactie gewijzigd door SSDtje op 24 juli 2024 02:54]

S401 @Verwijderd • 26 januari 2018 09:54

En dat is toen ook gebeurd bij de vestiging waar ik toen der tijd voor werkte, het werken met Keepass was al een stuk betere oplossing dan het werken met die excel sheet. Maar nog steeds niet de meest gebruiksvriendelijke oplossing.

Verwijderd @Verwijderd • 26 januari 2018 11:16

fixe boette?

Slavy 26 januari 2018 07:20

Je zou toch wel verwachten dat een bedrijf als MM qua IT "een soort van" zijn zaken op orde heeft? Snap niet dat ze 1. KeePass niet gebruiken en 2. Niet een vergrendelpolicy hebben aan staan als de machine bijv. 1 minuut niet gebruikt wordt.

Luinwethion @Slavy • 26 januari 2018 08:37

Je zou toch wel verwachten dat een bedrijf als MM qua IT "een soort van" zijn zaken op orde heeft?

Helemaal niet.

Dit zijn juist die gigantische bedrijven waar zodra iets een beetje werkt, wordt nooit meer wat aan gedaan, medewerkers (met alle respect) hebben vaak nauwelijks kennis van diegene wat ze verkopen, laat staan algemeen IT kennis.

Heb al meerdere keren gehad dat een medewerker mijn klant gegevens naar boven wilt halen op basis van postcode, en daar komen ook andere klanten naar boven terwijl ik gewoon mee mag kijken, naast dat zoals andere aangekaart hebben, soms staan de wachtwoorden van de terminals in een post-it.

Een andere voorbeeld van hoe slecht het IT afdeling van MM is, is hun website en dat anno 2018 lukt MM nog steeds niet om nauwkeurig voorraad informatie in de website te vermelden, zie je iets dat je direct kan ophalen, koop je het, ga je op de zelfde dag nog naar de winkel en blijkt dat ze al weken dat product niet op voorraad hebben.

Zelfs de Bigbazar gebruikt kassa's met vingerafdruk scanners zodat medewerkers zich aanmelden kunnen, dat kan een MM prima implementeren, desnoods als 2FA i.c.m een keycard of zo.

[Reactie gewijzigd door Luinwethion op 24 juli 2024 02:54]

Verwijderd @Luinwethion • 26 januari 2018 08:49

Ik zag paar weken geleden een MM systeem UNLOCKED open staan zonder dat er ook maar 1 medewerker oplette...

Noresponse @Verwijderd • 26 januari 2018 09:51

Zie ik ook regelmatig. Ik heb zelf eens gebruik gemaakt om iets te lezen op het internet. Duurde toch even voordat iemand kwam en vroeg of ik geholpen werd en uitleg kreeg dat dit niet voor klanten was.

Ik gaf aan dat ik het vermoeden al had, maar even iets wilde opzoeken op het internet en dat ze dan beter de pc konden locken

MarcoC @Luinwethion • 26 januari 2018 16:29

Je spreek jezelf tegen. Als Big Bazar zijn zaakjes op orde heeft, dan mag je dat van een grote speler als MediaMarkt toch ook verwachten?

Luinwethion @MarcoC • 26 januari 2018 16:33

Mijn commentaar was gericht op de verwachting dat een " computer zaak" zoals Mediamarkt hun zaken in orden hebben.

aikebah @Luinwethion • 26 januari 2018 17:36

Daar zit dan ook je denkfout. Media Markt is geen computerzaak, maar een kennisloze dozenschuiver voor wit- en bruingoed

jsnl @Luinwethion • 26 januari 2018 13:44

Lag in juli 2017 in ziekenhuis, laptop staat gewoon open op je kamer, lockscreen pas na verscheidene minuten; laptop stond eenmaal > 1 uur op mijn kamer, waarbij ik via usb had kunnen aansluiten wat ik maar wou. USB stick met toetsenbord aanslagen lezer kon zo ingeprikt worden, valt ook zeker niemand op van personeel. Op laptop in elk geval aanwezig medische gegevens van patienten op gehele afdeling.

Kreeg van ziekenhuis na enkele weken een enquete formulier, heb in bijlage uitgebreid omschreven wat ik aantrof, dat was in augustus, tot nu toe nooit antwoord ontvangen. Enquete in dit geval duidelijk ondertekend, naam etc., email adres.
N.B.: had ook al mondeling mijn opmerkingen richting personeel geventileerd, daar krijg je uiteraard geen boeh of bah teken op.

djiwie @Slavy • 26 januari 2018 09:19

Het verbaast me juist helemaal niet. Een winkel als Mediamarkt is zeer commercieel en de core business is het verkopen van apparaten en bijbehorende diensten, niet het vertrouwelijk verwerken van persoonsgegevens. Die pc's worden continue gedeeld met andere medewerkers, het verloop is hoog en de mensen die in de winkel staan zullen echt niet continue bezig zijn met informatiebeveiliging. De meeste verkopers zullen ook geen IT'ers zijn, ook al verkopen ze laptops en smartphones. (Net zo min als iemand in de Gamma een handige klusser is etc.)

Neemt natuurlijk niet weg dat dit een slechte zaak is en kennelijk zijn ze ook hardleers aangezien dit jaar geleden vrijwel letterlijk hetzelfde gemeld is. Mediamarkt zou zich beter moeten realiseren welke risico's er verbonden zijn om op deze manier om te gaan met vertrouwelijke informatie, niet alleen voor de dealerportals maar in algemene zin. En er is best een oplossing te bedenken waarbij iedereen met zijn eigen (MM-)account inlogt zonder dat je wachtwoorden van collega's hoeft te lenen, en waarbij het zaakje wat beter beveiligd is dan alleen een (simpel) password.

Cowamundo @Slavy • 26 januari 2018 07:31

Het feit dat de meeste MM filialen franchise zijn draagt niet bij aan dit soort zaken natuurlijk.
Ook het hoge aantal tijdelijke werknemers en weekend-hulpen maakt het gebruik van aparte accounts/wwoorden lastiger.
En na mijn eigen ervaringen met de MM (

) zie ik hun hier niet veel tijd en energie in steken.

Davidshadow13 @Cowamundo • 26 januari 2018 08:37

Iedere werknemer heeft gewoon zijn eigen account om in te loggen op de verkoopsystemen. Echter zijn de accounts op de terminals in de winkel wel gewoon lokale account met hetzelfde wachtwoord voor alle terminals behalve die van de telecomafdeling. Die hebben eigen terminals, met eigen accounts en eigen wachtwoorden.

Het was in het verleden ook gewoon beleid om de PC te locken als je er klaar mee was. Dus als iedereen gewoon de moeite neemt om zijnn terminal te locken nadat een bon is uitgedraaid dan is er gewoon geen probleem.

Heb helaas zelf laatst ook meegemaakt dat de hele afdeling uitgestorven was en de PC met UE open stond, ik kon zo een bon uitdraaien met een fikse korting voor mezelf zonder problemen. Dat is wel iets waar ze om moeten letten.

S1xtuS @Davidshadow13 • 26 januari 2018 09:20

Iedereen heeft inderdaad een eigen account, maar volgens mij staat standaard een account met hogere rechten ingelogd. Met het basis account kon je nog net de prijs zien namelijk. Bij de MediaMarkt kan ik me bijna geen cultuur omslag voorstellen, maar het zou kunnen dat het gewijzigd is.

Verwijderd @Cowamundo • 26 januari 2018 09:00

Hoe kom je daar bij? Geen enkele MM filiaal is een franchise, wordt allemaal gestuurd vanuit 1 holding.

PcDealer @Verwijderd • 26 januari 2018 09:56

Ik heb bij de oprichting van MM Eindhoven een gesprek aldaar gehad. Toen was het al duidelijk dat het om een franchise ging. Op de website zie ik daar niets over, maar dit helpt wellicht: Random stuff enzo...: MediaMarkt... DAT IS NIET MIJN WINKEL!

Verwijderd @PcDealer • 26 januari 2018 09:58

Ik kan je vertellen dat het geen franchise winkels zijn. Ik heb er zelf gewerkt en lever nu ook aan de Mediamarkt.

Iblies @PcDealer • 26 januari 2018 12:55

Geen franchise, zijn allemaal aparte BV’s.

Cowamundo @Verwijderd • 26 januari 2018 11:20

De leiding van MediaMarkt is grotendeels gedecentraliseerd. Per land bestaat een MediaMarkt-holding en iedere vestiging is een zelfstandig opererende onderneming met een eigen rechtspersoon. Elke vestiging geeft een eigen reclamefolder uit, maar de vestigingen gezamenlijk geven ook een folder uit.

Je kan bij de MM ook niet zomaar alle producten ruilen/terug brengen die in een ander filiaal gekocht zijn.

[Reactie gewijzigd door Cowamundo op 24 juli 2024 02:54]

Verwijderd @Cowamundo • 26 januari 2018 11:53

Dit klopt niet, vestigingen brengen geen lokale folders meer uit. Dit gebeurt allemaal centraal, het klopt dat een vestiging een vestigingsdirecteur heeft met een eigen profit en lost. Maar het wordt gewoon door de centrale holding aangestuurd.

uname -r @Slavy • 26 januari 2018 07:28

De dealerportal had überhaupt een strenge wachtwoord policy moeten hebben. En auto logout bij inactiviteit.
Wat MM met de installatie verder doet is hun pakkie an, imo.
Hoewel dit natuurlijk vreemd is dat er na 2 jaar na de eerste melding niet aangepakt is aan beide kanten (dealer en provider).

Stoelpoot @uname -r • 26 januari 2018 09:06

Een goede password policy is niet per se streng. Een strenge password policy is ook niet altijd goed. Vaak niet, zelfs.

Verder bevat 'Vodafone 1' een hoofdletter, kleine letters, een speciaal teken (spatie) en een nummer. Dat zijn best strenge wachtwoordvoorwaarden. Maar het bewijs is er dus dat het geen *goede* voorwaarden zijn.

Carlos0_0 26 januari 2018 07:31

Haha ik heb dit 3 jaar geleden ook al gezien, dus voor dit 1ste artikel van 2 jaar terug.
Ik ging abbo met telefoon halen toen, en inderdaad password werd gewoon uit een excel gehaald(ie6 ook nog eens virtueel anders werkte portal niet).

Ik zij nog tegen de medewerker waarom zet je zoiets niet in keepass of iets, dat is ook niet alles maar wel beter dan een Office documentje.

Ik laten zien en dat je kan beveiligen enzo zal die doorgeven, best ernstig 3 jaar later nog steeds het zelfde gebleven is.

WhatsappHack

Netwerk en systeembeheer
Nederland

@Carlos0_0 • 26 januari 2018 07:37

T valt nog mee als ze die terminals locken. Heb wel eens gezien dat heb op een post-it aan ‘t scherm was geschreven. Mja... Dan sluit je daar geen abo af dus.

Maar heb wel gekkere dingen meegemaakt zoals een medewerker die liet zien hoe t systeem werkt, door privégegevens van random klanten te laden. Dan voel je je zo veilig he.

ATS @WhatsappHack • 26 januari 2018 08:04

Probleem is wel: ze kunnen daar dus óók gegevens inzien van mensen die daar geen abbo afgesloten hebben. Dus ook jouw en mijn gegevens liggen op straat via dit soort prutsers.

WhatsappHack

Netwerk en systeembeheer
Nederland

@ATS • 26 januari 2018 18:50

Dat was ook mijn punt. Geloof dat het sarcasme mbt veilig voelen niet helemaal lekker is overgekomen.

Carlos0_0 @WhatsappHack • 26 januari 2018 07:54

O maar ik mocht ook gewoon alles zien, er was geen schermpje waarbij die vroeg of ok even wou weg kijken(dus ook het document met het wachtwoord niet).

jpfx @WhatsappHack • 26 januari 2018 08:00

Ware het niet dat het niet enkel gaat om gegevens van wat bij MM is afgesloten. Dan moet je stellen helemaal geen abonnement af te sluiten.

Thefonz73 @WhatsappHack • 26 januari 2018 08:45

Heb ooit gehad dat een medewerker mijn emailadres en paswoord vroeg "om te kunnen checken of ik na een wijziging een bevestigingsmail had ontvangen". Doh ...

Verwijderd @WhatsappHack • 26 januari 2018 08:47

Koop eens een product bij Mediamarkt en laat er een factuur van opmaken.. dan moet jij je gegevens opgeven ZONDER paspoort/ID kaart en terwijl jij bijvoorbeeld je naam opgeeft zie je met de medewerker steeds meer gegevens van mensen..

ajolla @Carlos0_0 • 26 januari 2018 14:33

Ook dronken? Of gewoon dislexie...

Edit: work in progress.

[Reactie gewijzigd door ajolla op 24 juli 2024 02:54]

Carlos0_0 @ajolla • 26 januari 2018 14:58

Op de telefoon tikken gaat niet echt altijd geweldig

ajolla @Carlos0_0 • 26 januari 2018 15:00

Ja, dat kan ik volgen.

53645714n 26 januari 2018 07:20

Onhandig. Eigenlijk sowieso slecht dat niet iedere medewerker zijn eigen password heeft ivm traceability.

Martinspire @53645714n • 26 januari 2018 09:06

En waarom wachtwoorden. Pasjes, NFC of whatever is toch veel makkelijker in zo'n winkel. Dan heb je ook geen probleem met te makkelijke wachtwoorden

arbraxas @Martinspire • 26 januari 2018 09:30

Nee, maar wel weer met gestolen / verloren pasjes. Dat maakt het nog gemakkelijker als makkelijk te raden wachtwoorden.

robvanwijk

Netwerk en systeembeheer

@arbraxas • 26 januari 2018 12:32

Als je pasje gestolen wordt kun je je werk niet meer doen, dus je hebt geen keuze; dat kun je niet onder het tapijt vegen, dat moet je wel meteen melden. En zodra het gemeld is (en er een nieuw pasje is aangemaakt) kan de oude geblokkeerd worden en kunnen alle wachtwoorden die daar (op de achtergrond) aan gekoppeld waren automatisch gereset worden. Dat voorkomt de situatie dat een medewerker passwords heeft voor zowel KPN als T-Mobile, maar omdat ie op de KPN-afdeling werkt alleen dat password aanpast en het gestolen T-Mobile password (dat die medewerker eigenlijk nooit gebruikt) geldig blijft.

AmigaWolf @robvanwijk • 26 januari 2018 16:50

Precies, snap ook niet waarom ze zo moeilijk doen, of beter gezegd te makkelijk doen, hoe stom moet je wezen om het op de cloud/internet te gooien, en dat nog wel bij een Google account .

Bart ® Moderator Spielerij

26 januari 2018 07:22

Ik snap dat niet iedere Mediamarktmedewerker intelligent genoeg is om een regelmatig wijzigend complex wachtwoord van minimaal 16 tekens te onthouden, maar ga dan gewoon lekker met vingerafdrukscanners werken. Kunnen de bevoegde medewerkers nog steeds snel en makkelijk inloggen op de pc's.

WhatsappHack

Netwerk en systeembeheer
Nederland

@Bart ® • 26 januari 2018 07:26

Regelmatig wijzigend is niet eens perse nodig, gewoon een eigen unieke user en wachtwoord per medewerker zou al een bizar grote verbetering zijn over het huidige belachelijke beleid... Over wijzigen hebben we t dan later wel, eerst de basis maar eens leggen.

Wailing_Banshee

@Bart ® • 26 januari 2018 07:56

Pasjes, was mijn eerste gedachte. Gewoon je medewerkerspas (waar je ook mee door deuren heen komt) gebruiken. Je kunt alleen de PC gebruiken als de pas in de lezer zit. En als je van je werkplek afgaat, moet je je pas meenemen, en wordt je PC automatisch gelocked.

Andros 26 januari 2018 07:32

Ach, dit gebeurt overal. Er zijn voor een werknemer tegenwoordig zoveel systemen van zoveel verschillende partners nodig die allemaal beveiligd zijn. Werknemers hebben gewoon geen tijd/zin om dit fatsoenlijk te beveiligen. Tel daarbij op dat al die systemen elke X periode vragen om het wachtwoord te veranderen en het wordt alleen als last gezien. Met dit soort acties tot gevolg. De medewerker mist gewoon een verkoop als het systeem tegen werkt en daardoor ook commissie. Overigens was het niet anders toen ik bij KPN zelf werkte, het gebeurt overal zo.

Verwijderd @Andros • 26 januari 2018 09:13

Dus dat maakt het goed? Winkels mogen hierom IMHO gewoon KEIHARD gestraft worden! Helemaal gezien de nieuwe wet AVG (Algemene Verordening Gegevensbescherming) vanaf 25 mei ingaat. Met boetes tot 20 miljoen of 4% van de wereldwijde jaaromzet (wat de hoogste is).

Andros @Verwijderd • 26 januari 2018 11:42

Ik zeg niet dat het goed is, ik zeg dat het massaal gebeurt omdat werknemers die er mee te maken hebben zo belemmert worden in hun werkzaamheden dat ze oplossingen gaan zoeken om gewoon hun werk te kunnen doen. Wachtwoorden werken dus duidelijk niet, maak dan gewoon een systeem dat alleen in te schakelen is met een pasje of stick oid. Bij banken zie ik dat vaker, een toetsenbord met cardreader om het systeem te unlocken.

ajolla @Andros • 26 januari 2018 14:34

Ja, dit is het.

Johnkict 26 januari 2018 09:04

Kunnen ze niet gewoon een single sign on systeem implementeren. Dan moeten ze maar 1 complex wachtwoord onthouden.

Wij hadden dit van Microsoft. Moest je enkel maar je office 365 account/AD account onthouden. En via de portal kon je dan automatisch inloggen op andere sites die als button toegevoegd waren in portal.

[Reactie gewijzigd door Johnkict op 24 juli 2024 02:54]

Verwijderd @Johnkict • 26 januari 2018 10:11

En iedereen hetzelfde wachtwoord zeker, dat alle ex-medewerkers ook nog kennen.

Johnkict @Verwijderd • 26 januari 2018 12:23

Nee dat zeker niet. Het voordeel met dat systeem is dat de users de wachtwoorden van de andere sites niet moeten kennen. En als iemand ontslag neemt of krijgt wordt zijn account gedisabled en kan die gewoon nergens meer aan.

SSDtje

26 januari 2018 11:04

Nu zit ik me net wat te bedenken he, alleen gebruik ik het zelf niet, maar vraag ik me wel af of dit wellicht een optie is/mogelijkheid is voor de MM medewerkers/medewerksters. Als ze alle medewerkers bij binnenkomst nu eens voorzien van een simpele smartphone, die ze aan het begin van elke dienst kunnen meekrijgen. En deze voorzien is van NFC chip, kunnen ze de NFC chip dan niet gebruiken om een systeem te kunnen unlocken, en wanneer het betreffende toestel eenmaal buiten bereik komt, dat het systeem zich dan weer automatisch lockt. En dit alles in de vorm van een draadloze lader bij elke systeem ofzo, die dus ook de NFC chip kan uitlezen om zo het systeem te kunnen unlocken. Of is dit niet mogelijk met NFC ?

Mocht iemand mij hier wellicht een andwoord op kan geven, dan hoor ik het graag.
(En alvast bij voorbaat dank natuurlijk)

Sunderfield @SSDtje • 26 januari 2018 11:36

In het filiaal waar ik gewerkt heb was iedereen al uitgerust met een unieke RFID tag voor het klokken en toegang tot kantine/magazijn. Het zou niet moeilijk zijn om dit om te zetten tot een 2FA solution met een pincode.

SSDtje

@Sunderfield • 26 januari 2018 12:41

Oké duidelijk.
En een twee stap's authenticatie (2FA) zou inderdaad dan nog een idee zijn.
Zoals jezelf al aangeeft met behulp van bijvoorbeeld een pincode, of een vingerafdruk, enz...
Anyhow, thx voor je reactie, verklaart het een en ander, top

[Reactie gewijzigd door SSDtje op 24 juli 2024 02:54]

Verwijderd 26 januari 2018 07:23

Bovendien zijn de portalen alleen te benaderen vanaf bepaalde ip-adressen, al is onbekend hoe dat precies werkt.

Met IP whitelisting natuurlijk. Duh!

WhatsappHack

Netwerk en systeembeheer
Nederland

@Verwijderd • 26 januari 2018 07:26

Als ze hetzelfde wachtwoord beleid hebben op hun VPN’s bijvoorbeeld dan maakt dat weinig verschil.

robster! 26 januari 2018 08:54

Ik heb een tijdje gewerkt bij T-mobile. Dealers kunnen de basale klantgegevens opzoeken in het systeem zoals einddatum van het contract en persoonsgegevens. Het systeem maakt een automatische log aan als dat gebeurd. Gegevens als id-kaartnummer zijn voor hen niet beschikbaar, bsn-nummers worden niet opgeslagen in het systeem.

djiwie @robster! • 26 januari 2018 09:13

Aan zo'n logmelding heb je weinig als een heel mediamarkt-filiaal hetzelfde account gebruikt en de inloggegevens daarvoor kennelijk open en bloot rondzwerven. Qua accountability volledig waardeloos.

Op dit item kan niet meer gereageerd worden.

Providers voeren beveiliging dealerportals op na melding over MediaMarkt

Lees meer

IT-banen

Reacties (125)

Sorteer op:

Weergave: