Klanten Tele2 mogen niet langer telefonisch wachtwoord mailadres laten wijzigen

Klanten van Tele2 kunnen niet langer toegang krijgen tot de eigen mailbox door een medewerker van de klantenservice het wachtwoord te laten resetten. RTL Nieuws kwam erachter dat de klantenservice de identiteit van klanten onvoldoende controleerde.

Tele2 vroeg klanten alleen om geboortedatum en woonadres, claimt RTL Nieuws. Een criminele hacker met de nickname Oliver tipte RTL over het makkelijk kunnen binnendringen van de mailbox van klanten met een e-mailadres op @tele2.nl, @versatel.nl of @zonnet.nl. Het gaat in totaal om 296.801 mailadressen. RTL kon het reproduceren door alleen een geboortedatum te geven, al zei de klantenservicemedewerker toen wel dat het 'eigenlijk niet mocht', waaruit blijkt dat de provider al strengere regels had opgesteld dan medewerkers volgden.

De provider heeft gereageerd dat het medewerkers heeft geïnstrueerd dat het niet langer het wachtwoord van mailadressen mag wijzigen. Ook gaat het medewerkers erop wijzen om voorzichtiger te zijn en om meer gegevens te vragen bij het toegang geven tot de mailbox van klanten.

De Autoriteit Persoonsgegevens zegt tegen RTL dat het de signalen over de beperkte beveiliging bij Tele2 serieus neemt. "Deze vorm van beveiliging is volstrekt onvoldoende", aldus woordvoerder Pauline Gras.

IT-banen

Reacties (85)

CAPSLOCK2000

Privacy
Nederland
Internet

21 februari 2019 18:24

Om maar even de knuppel in het hoenderhok te gooien: hoe moet het wel?
Ik snap namelijk best dat mensen geholpen willen worden door de telefonische helpdesk, maar jezelf betrouwbaar identificeren over de telefoon is eigenlijk niet echt mogelijk. Geboortedatum en woonadres is natuurlijk erg makkelijk, maar wat kunnen ze nog meer vragen? Je klantnummer is ook niet bepaald geheim. Je wachtwoord via de telefoon doorgeven is niet alleen niet veilig maar gewoon geen optie, het is nu net een wachtwoord-reset.

De beste manier die ik ken is om het nieuwe wachtwoord per brief op te sturen. Dan duurt het wel (minstens) een dag voor je weer bij je mail kan, maar dat moet dan maar.

Ik kan me voorstellen dat mensen dat helemaal niet leuk vinden en bij de servicedesk gaan bedelen. Aangezien dat waarschijnlijk goedkope krachten zijn zonder band met het bedrijf of het onderwerp zullen die daar niet al te moeilijk over doen. Alles om zo'n telefoontje snel af te ronden en vijf sterren van de klant te krijgen. Verstandig zou dus zijn om de servicdesk de mogelijkheid te ontnemen om wachtwoorden te veranderen.

Het roept ook wel de vraag op of het mogelijk is om telefonisch een adreswijziging door te geven aan tele2. In principe is het natuurlijk vrij onzinnig omdat je internetverbinding meestal 1:1 verbonden is met je woonhuis, maar het hoeft natuurlijk niet, en mensen verhuizen ook nog wel eens.
Als ze slim zijn (misschien zijn ze dat wel) laten ze adreswijzigingen alleen toe via de webinterface zodat je eerst moet bewijzen dat je het wachtwoord hebt.

slijkie @CAPSLOCK2000 • 21 februari 2019 18:46

Gewoon 2FA, een code naar het vaste telnr (gesproken bericht) of sms naar bekende 06nr. Zo moeilijk is dat niet. Als een Klantenservice wachtwoorden gaat wijzigen is er al iets niet in orde.

Tokkes @slijkie • 22 februari 2019 00:24

2FA over SMS, neen, dank je.

[Reactie gewijzigd door Tokkes op 23 juli 2024 01:14]

ari

@Tokkes • 22 februari 2019 11:18

Interessante link. Het leek me in eerste instantie vreemd, want een niet 100 % waterdichte methode als extra factor lijkt me beter dan geen tweede factor. Het probleem zit niet zozeer in de tweede factor, maar in de wachtwoordhersteloptie van Google. Die stuurt een code per sms en die wordt onderschept, zodat het wachtwoord bekend wordt. De sms van de tweede factor wordt op dezelfde manier afgevangen en men is binnen.

Ik denk nog steeds dat sms als tweede factor beter is dan geen tweede factor, zo lang wachtwoordherstel via een ander medium (zoals de post) verloopt. Je hebt er wel zeker gelijk in dat andere factoren beter zijn dan sms.

Caelestis @Tokkes • 23 februari 2019 06:38

Je moet eerst directe toegang hebben tot het SS7 backbone om misbruik te maken van het lek en daarna hopen dat je slachtoffer geen backup email gekoppeld heeft aan zijn Gmail account.

Hoewel het technisch mogelijk zie ik dit niet als een bedreiging omdat het gewoon moeilijk uitvoerbaar is en niet gebruikt zal worden om de account van een gebruiker te resetten.

Je verge link laat veel info weg en doet alsof het makkelijk is om clickbait BS op het internet te gooien.

peize9 @slijkie • 23 februari 2019 14:35

Ja... dat is erg leuk en aardig, maar er is vaak geen nummer bekend voor emails, vooral niet van oude adressen.

Ook worden de oude mails niet echt gebruikt door jongeren. Vooral door wat ouderen... een groot deel heeft uberhaupt geen 06 nummer.

slijkie @peize9 • 23 februari 2019 15:29

Zoals ik aangaf, ouderen hebben dan een vaste lijn. En als het er niet is, dan maar een oudewetse brief als 2fa. Simpel.

peize9 @slijkie • 23 februari 2019 15:35

Ja... maar als deze niet is ingevoerd toen het adres werd gemaakt 10-20 jaar geleden... dan word het moeilijk. Ook kunnen nummers verouderd zijn, want als een klant weg gaat behoud hij zijn mail.

[Reactie gewijzigd door peize9 op 23 juli 2024 01:14]

M14 @slijkie • 21 februari 2019 21:31

Het zou al beter zijn geweest als de klantenservice gebruik maakte van 2fa: 'beste klant, er is per sms een nummer naar uw telefoon gestuurd, kunt u dit even opnoemen'

Erikvl87

@M14 • 22 februari 2019 09:30

En in dat geval hopen dat de procedure om je telefoonnummer te wijzigen ook voldoende veilig is...

Pimmetje16 @slijkie • 21 februari 2019 22:16

Bedenk wel dat @zonnet al van de vorige eeuw is ofzo. Ik verwacht niet dat iedereen toen netjes alle gegevens doorgaf. Laat staan dat ze nu nog actueel zijn.
Voor @tele2 addressen kun je inderdaad wel verwachten dat er actuele gegevens bekend zijn.

Je kunt ook zeggen wachtwoord kwijt is pech gehad. En dan alleen voor de klanten waarbij een telefoonnummer bekend is alleen met dit nummer communiceren en het nieuwe wachtwoord per SMS/Post versturen. Al kun je bij beide ook vraagtekens zetten.

WhatsappHack

Internet
Privacy
Nederland
Tele2

@CAPSLOCK2000 • 21 februari 2019 18:34

Een optie die bijvoorbeeld al zou kunnen helpen is om een support pincode te introduceren die klanten kunnen instellen. Het is verre van waterdicht, maar enkel een geboortedatum is wel extreem makkelijk te achterhalen. Bij een “pin” zijn mensen wat sneller geneigd die te beschermen. Ernaast kan je nog een pagina inrichten waarop je het verzoek aan de KS kan bevestigen, die enkel vanaf je thuis IP (die je van Tele2 krijgt dus) wordt toegestaan te bevestigen. Of laat de klant een SMSje ontvangen met een code, ook niet superveilig: maar beter dan noppes. Lukt een of meerderen niet; jammer, dan idd maar per brief. Het is omslachtiger, maar beter dan of helemaal niets of het andere uiterste: bijna geen verificatie nodig.

Zo zijn er wel meer dingen te verzinnen lijkt me.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 01:14]

Jordyz @WhatsappHack • 21 februari 2019 19:06

Zoiets gebruikt Vodafone, je krijgt een sms'je wanneer je contact opneemt met de klantenservice. Deze moet je vervolgens oplezen, daarmee bevestig je dat het om het telefoonnummer gaat waarmee je belt gelijk is aan de gegevens van contractant.

KPN is anders ook best wel streng in de controle, die vragen niet alleen NAW gegevens maar die willen ook de laatste 4 cijfers van bankrekening weten en soms een e-mailadres wat op het contract staat.

Dragonheart-03 @Jordyz • 21 februari 2019 19:25

Ze zien gewoon met welk nummer je belt hoor.
En verder zijn al die gegevens in principe te achterhalen.
Het enige wat werkt is per brief en met behulp van iets online. Er is geen enkel waterdicht systeem.
En nu wil het natuurlijk zo zijn dat mensen zo niet per direct geholpen zijn en in principe willen ze wel per direct geholpen worden.
En als je je dan beroept op hun veiligheid om Ze niet te helpen dan worden ze hele.aal pissed. Dus tja.
En wat doe je met problemen waarbij de klant aangeeft dat een webmailbox niet werkt en de oorzaak niet in het wachtwoord zit.
Een techneut die dat wil oplossen wil wel weten wat het gebruikte wachtwoord is. En ja, die problemen komen in de praktijk voor. 😁 Moet je dan aan de gebruiker het we vragen. ? Bij Ziggo vonden ze dat een half jaar geleden nog 'normaal'. En er zijn altijd mensen die een ww kunnen resetten of aanpassen met een klik op een knop (al is het met de normale procedure omdat men inzage heeft i. De hele klantadministratie. Of gewoon met een tool om we te overschrijven (mdbx). En der zijn ook altijd mensen die de mailbox compleet kunnen restoren na een complete removal (als dat zelfs gedaan is door de eindgebruiker /klant). Maw 'alles kan' , de vraag is eerder wat doe je als bedrijf en welke afweging maak je tussen klantvriendelijkheid en veiligheid.

[Reactie gewijzigd door Dragonheart-03 op 23 juli 2024 01:14]

jordynegen11 @Dragonheart-03 • 22 februari 2019 00:57

“Ze zien gewoon met welk nummer je belt hoor. ”

je moet is weten hoe makkelijk het is om een nummer te spoofen.....

kielkiel @jordynegen11 • 22 februari 2019 13:13

Ja telefoonnummers zijn idd makkelijk te spoofen. Vroeguh gebruikte ik regelmatig voipbuster en daar kon je via de app allerlei 06 telefoonnummers als afzendnummer meegeven. Uiteraard alleen nadat dit geverifieerd was dmv een telefoontje vanuit voipbuster of een controle nummer die als sms was verstuurd.

mae-t.net @jordynegen11 • 22 februari 2019 15:12

Ja en nee. Als jij een 0800- of 0900- nummer of 112 bezit, dan krijg je dezelfde ID te zien die de telecommaatschappijen gebruiken voor verrekening. Die is een stuk lastiger te spoofen.

jordynegen11 @Dragonheart-03 • 22 februari 2019 08:42

Een beetje respectloze reactie wat totaal niet te maken heeft met wat hierboven gezegd is..

Dragonheart-03 @jordynegen11 • 22 februari 2019 10:38

Je nummer is steeds te achterhalen. En in casu heb ik het dreigement ooit eens ontvangen van een slimmerik die het zo probeerde. Men vond het niet leuk om vervolgens toch de politie aan de deur te krijgen binnen no time. Dus, vandaar het voorbeeld. Je kunt het respectloos noemen, maar als je begint met het uiten van dreigementen tegen centraal gelegen gebouwen in utrecht of den haag, dan lacht men er niet mee kan ik je uit ervaring vertellen en dan is het dus, we pakken je en dan helpt het niet om 'te spoofen'.

Krulliebol @Jordyz • 21 februari 2019 20:29

KPN is anders ook best wel streng in de controle, die vragen niet alleen NAW gegevens maar die willen ook de laatste 4 cijfers van bankrekening weten en soms een e-mailadres wat op het contract staat.

Ook niet de meest geheime gegevens. Maar beter dan niks.

darkboy76 @CAPSLOCK2000 • 21 februari 2019 18:43

Als ik bel naar bedrijven waar ik klant ben vragen ze normaal gesproken naar mijn naam, adres, klantnummer, e-mailadres en laatste 4 cijfers van mijn bankrekeningnummer.

CAPSLOCK2000

Privacy
Nederland
Internet

@darkboy76 • 21 februari 2019 19:33

Als ik bel naar bedrijven waar ik klant ben vragen ze normaal gesproken naar mijn naam, adres, klantnummer, e-mailadres en laatste 4 cijfers van mijn bankrekeningnummer.

Dat blijven lapmiddelen, geen van die datapunten is echt geheim.

DDX @CAPSLOCK2000 • 21 februari 2019 19:09

Een brief is ook niet echt veilig natuurlijk, kan redelijk eenvoudig onderschept worden.
Ik weet eigenlijk ook niet wat een veilige methode zou zijn, ja persoonlijk overhandigen oid maar dat is vrij lastig te regelen.

wjn @DDX • 21 februari 2019 22:00

AMP Groep, is redelijk waterdicht. Die kunnen de opdracht krijgen je ID te scannen en te checken op de geldigheid etc., voordat ze iets afleveren.
(T-Mobile sim kaarten en chauffeurskaart zijn 2 voorbeelden die ik persoonlijk ken. Kunnen ze je ID niet verifieren, krijg je de spullen niet.)

ZakKa.dev @CAPSLOCK2000 • 22 februari 2019 00:25

Hele simpele oplossing die ik niemand zie opnoemen:

Wij belden terug op het 06 nummer dat bij ons in het systeem bekend was, zonder deze op te noemen. Beoordeel maar zelf of dat voldoende is, maar het is beter dan wat tele2 deed.

[Reactie gewijzigd door ZakKa.dev op 23 juli 2024 01:14]

peize9 @ZakKa.dev • 23 februari 2019 14:33

Ja... dat is erg leuk en aardig, maar er is vaak geen nummer bekend voor emails, vooral niet van oude adressen.

Jasper Janssen @CAPSLOCK2000 • 21 februari 2019 18:32

“Postadres” anders dan “leveradres” komt vrij veel voor in de ISP wereld. Denk aan huisbazen, curatele, postbussen..

Bensimpel @CAPSLOCK2000 • 21 februari 2019 18:46

Wat is wel de beste manier? Op werk (servicedesk) bellen we altijd naar een bekend nummer in het systeem (regged in AD of mobile iron) anders gaat het via een security officer. Maar ik ken zat servicedesken waar men gewoon meteen het ww reset.

D-Raven @CAPSLOCK2000 • 21 februari 2019 19:13

Als je ook telefonie bij tele2 afneemt, dan zou men het wachtwoord kunnen sturen via sms naar het telefoonnummer welke bij hun bekend is.

Naast dat is, zoals eerder in een reactie al gezegd is, via briefpost de enige andere optie.

mr_evil08 @CAPSLOCK2000 • 21 februari 2019 19:15

alleen helpen wanneer je belt namens het telefoon nr wat geregistreerd staat bij Tele2.
En ze kunnen nog vragen wat was je laatst betaalde factuurbedrag en/of rekeningnr.

Terug naar "brievenpost" is een slecht idee dan kan je "dagen" wachten op het wachtwoord.

Coffee2Code @CAPSLOCK2000 • 21 februari 2019 19:20

Time-based One Time Password

Muncher @CAPSLOCK2000 • 21 februari 2019 22:06

Bij de oude Rabo-digikluis moest je zelf een pincode opgeven bij het aanmelden. Als je dan iets wilde laten wijzigen dan werd er altijd naar die code gevraagd. Zonder die pincode, kon er niets worden aangepast. Ook niet 100% waterdicht, maar beter dan niets. High-tech is niet altijd beter.

frickY @CAPSLOCK2000 • 22 februari 2019 00:46

Ik weet van een andere ISP dat het nieuwe wachtwoord, dat ook niet door de medewerker kan worden gekozen of gezien, naar de klant wordt verzonden per SMS of brief als er geen mobiel nummer bekend is.

henk717 @CAPSLOCK2000 • 22 februari 2019 01:44

Op de helpdesk waar ik werk bellen we een bij ons bekend nummer van een geauthoriseerd persoon. Bij de meeste klanten is dat de gebruiker zelf. Voor hen makkelijk gezien het meestal om de telefoon gaat waar ze al mee bellen en voor ons als stem bevestiging meteen een hoorbare verificatie van eigendom. Combineer dat met een bekend gegeven en je hebt een eenvoudige two factor.

BrutalDave @CAPSLOCK2000 • 21 februari 2019 19:48

Meestal vragen ze de combinatie postcode, huisnummer en laatste 4 cijfers van je IBAN nummer. Dat is opzich nog wel redelijk.

DocMac

@BrutalDave • 21 februari 2019 21:12

De laatste cijfers van IBAN kun je ook zien op kassabonnen. Lijkt me niet veilig.

Jerie

@CAPSLOCK2000 • 21 februari 2019 21:39

Per post, in een gesloten enveloppe.

234FaTaLiTy @CAPSLOCK2000 • 22 februari 2019 15:29

Naar een link laten surfen vanaf hun (bekende) thuis IP-adres, ná verificatie via telefoon.

jghesell 21 februari 2019 21:12

Ik ken Tele2 niet maar ga er vanuit dat je internet moet hebben van hun voor je een mailbox kan hebben?
Dan kunnen ze toch perfect een wachtwoord reset pagina maken die enkel werkt als je het doet via de modem van het abonnement gekoppeld aan de mailbox.
Op die pagina kan je dan nog gegevens van de klant vragen die bevestigen dat de klant de klant is (laatste factuur referentie, bedrag van de factuur, ...). Voor de ISP zijn er genoeg gegevens die gevraagd kunnen worden die de klant uniek kan identificeren.
En voor de rest geen resets meer toelaten via telefoon.

Tokkes @jghesell • 22 februari 2019 00:32

Maar als ik dan op een of andere manier met mijn laptopje in de wagen voor je deur sta, in het bereik van je crappy beveiligde wireless network...

Zo had mijn zus ooit het wonderlijke idee de WPA2 sleutel van het AP van mijn moeder te veranderen in het adres en het (broadcasted) SSID in de familienaam ... Ja, weten ze meteen welk huisnummer het wireless netwerk en wie er woont.
Hoef je niet te vertellen dat ze er best beteuterd bijstond toen ik klaar was met mijn rant.

jghesell @Tokkes • 22 februari 2019 09:19

Dan moet je al een heel interessant account hebben om de moeite te doen om naar het adres te rijden. Daar de wifi te hacken en dan nog de extra info te hebben van de ISP die ze vragen op die webpagina.

Alles is te omzeilen/hacken natuurlijk. Maar hoe moeilijker je het maakt hoe minder kans er is natuurlijk.

Nijl 21 februari 2019 18:13

Tele2 is belgisch toch?

wildhagen

Beveiliging
Nederland
Internet
Privacy

@Nijl • 21 februari 2019 18:16

Nope, van oorsprong kwamen ze uit Zweden, en tegenwoordig zijn ze eigendom van het Duitse T-Mobile.

Vind het wel een heel groot lek dit.... je geeft NOOIT wachtwoorden door als je niet 100 procent zeker bent met de juiste persoon te spreken. Alleen verifieren van geboortedatum en adres is ruimschoots onvoldoende, dat is immers publiek op te zoeken informatie.

Chinco @wildhagen • 21 februari 2019 18:48

Nope, van oorsprong komen ze uit Nederland. Zonnet werd Versatel werd Tele2. De Nederlandse tak is van oorsprong Nederlands.

Manmanman, wie herinnert zich nog Internet, gratis als de zon!

Jerie

@Chinco • 21 februari 2019 19:09

Manmanman, wie herinnert zich nog Internet, gratis als de zon!

Zonnet, TMFweb (Freesurf), en Superweb. Helaas was de kwaliteit ook ver te zoeken.

Webgnome @wildhagen • 21 februari 2019 18:58

Tele 2 is nu groot in het nieuws maar wie weet welke andere bedrijven dit nog steeds gewoon doen?

Andros @Webgnome • 21 februari 2019 19:19

Genoeg. Toen ik helpdeskdel was iig, genoeg collega's die wachtwoorden uitdeelde als snoepjes.

stewie @wildhagen • 21 februari 2019 18:24

Alleen Tele2 Nederland, en Tele2 AB heeft nu 25% aandeel in t-mobile nederland.
Tele2 Sweden gaat nog gewoon door, en als t-mobile het goed doet in nederland dan gaat het ook goed met tele2 "Kinnevik AB"

Jerie

@wildhagen • 21 februari 2019 19:08

je geeft NOOIT wachtwoorden door als je niet 100 procent zeker bent met de juiste persoon te spreken

Als het goed is zijn de wachtwoorden versleuteld, en weet men het wachtwoord niet. Er is volgens het artikel ook geen sprake van het doorgeven van wachtwoorden maar het resetten van wachtwoorden (daarmee heeft men wel toegang tot de e-mail hetgeen nog steeds ernstig is).

Johan9711 @Nijl • 21 februari 2019 18:16

Nope, Zweeds.

totaalgeenhard @Johan9711 • 21 februari 2019 18:23

Duits.... tmobile.

Johan9711 @totaalgeenhard • 21 februari 2019 18:36

Na de overname inderdaad ja

AmigaWolf @Johan9711 • 21 februari 2019 21:14

Ga de 28ste deze maand overstapten naar Tele2, gebruik toch nooit de email adres die bij mij internet provider kwam, maar hoop dat alles goed gaat met de overname, ben overgestapt omdat zij de goedkoopste waren een maand terug, ik betaal maar een heel jaar €27,00 per maand, en dat voor 60 Mb/s down en 6 Mb/s up, dat vind ik een hele mooie prijs als ik eerlijk moet wezen.

WimmieV @Nijl • 22 februari 2019 22:19

Tele2 is belgisch toch?

Waarin deze vraag?
Als ik vragen mag?

m_snel 21 februari 2019 18:22

Meestal vragen bedrijven meer, bv van welke rekening wordt de factuur betaald, etc.

pauldaytona 21 februari 2019 19:22

Het is niet alleen emailadres dat met geboortedatum en naam beveiligd is, toen ik voor m'n moeder met allerlei instanties moest bellen om dingen voor haar te regelen, was geboortedatum/ postcode en voorletters wel voldoende. Ook bij de huisarts over medische gegevens.

Aiii 21 februari 2019 20:02

In 2007 werd er bij Wehkamp op mijn naam onder afbetaling voor 2000 Euro aan elektronica besteld. Ter bezorging bij de lokale videotheek. Tegelijk werd mijn telefoonnummer gewijzigd.

Ik kwam daar met veel geluk achter omdat ik toevallig op die dag inlogde op hun website en kon het nog terugdraaien.

Toen ik vroeg hoe het kon dat iemand mijn gegevens kon wijzigen en voor 2000 Euro bestellingen op afbetaling kon doen werd mij verteld dat slechts de geboortedatum voldoende was. Nu had ik de week ervoor een brief gekregen van Interpolis met daarin mijn geboortedatum, mijn drugsverslaafde bovenbuurman (studentenwoningen in Arnhem, goede buurt) was ook mijn postbode. Zo makkelijk was het dus om dit soort beveiliging te omzeilen.

En dat was voordat iedereen dit soort info op Facebook in hun profiel had staan. Wat mij betreft mogen er hiervoor de nodige koppen rollen bij Tele2, want dit is w.m.b. een mega grote blunder die zware gevolgen kon hebben. Dat mag gewoon niet een realiteit zijn.

darknessblade 21 februari 2019 22:15

waarom geeft de provider dan niet een code per brief waarmee je een nieuw wachtwoord kan opvragen {heb je wel je andere data nodig}

hierdoor is het vrijwel onmogelijk om een nieuw wachtwoord aan te vragen via social-engineering

ANdrode

21 februari 2019 18:17

Hier blijkt dus dat de protocollen al niet gevolgd worden. Hier zou ik de conclusie uit trekken dat strictere protocollen niet helpen. Meestal zijn technische oplossingen geen oplossing maar in deze situatie is het wel de manier om een beter proces af te dwingen.

Het alternatief voor een proces waar één medewerker alles doet (en compliant wordt) is biivoorbeeld om dit voor de klantenservice niet mogelijk te maken zonder verificatie via bijvoorbeeld post.

Niet onfeilbaar, wel een redelijke tweede factor.

Ronnerd @ANdrode • 21 februari 2019 19:16

Precies dat! Een helpdesk medewerker moet helemaal niet de mogelijkheid hebben om een nieuw wachtwoord in te stellen voor iemands e-mail account, en een bedrijf is verantwoordelijk om ervoor te zorgen dat die beperking er is. Of sterker nog, dat er geen functionaliteit is om door een ander een nieuw wachtwoord in te kunnen laten stellen.

Ik val echt stijl achterover van m'n stoel bij het lezen van dit nieuwsbericht. Hoe vreselijk dom kun je als bedrijf zijn? Een e-mailadres wachtwoord opnieuw in laten stellen door iemand anders dan van wie het e-mailadres is. Wauw.... echt wauw... Zo dom... Hoeveel deuren dat wel niet opent.

Er zijn genoeg alternatieven om dit op een manier te doen om er zeker van te zijn dat het de eigenaar is van het e-mailadres is die een nieuw wachtwoord instelt, maar simpelweg geboortedatum, postcode en huisnummer is toch echt van de zotte.

Dit geldt overigens echt niet alleen voor iets als het wachtwoord van een e-mailadres. Simpelweg iemands geboortedatum, postcode en huisnummer weten is al voldoende om via telefonische helpdesks heel veel schade aan te richten voor iemand.

.oisyn Moderator Devschuur®

Beveiliging

@ANdrode • 21 februari 2019 18:22

Hier blijkt dus dat de protocollen al niet gevolgd worden. Hier zou ik de conclusie uit trekken dat strictere protocollen niet helpen.

Dat vind ik wat kort door de bocht, je zou ook kunnen werken aan de bewustwording van de medewerkers. Ze doen het uiteindelijk uit klantvriendelijkheid, waarschijnlijk zonder besef dat ze daar juist problemen mee veroorzaken.

ANdrode

@.oisyn • 21 februari 2019 20:35

Precies. Dit gebeurt uit klantvriendelijkheid terwijl medewerkers alleen willen helpen.

Het threat model is hier social engineering. Dan kan een medewerker altijd nog om de tuin geleid worden. Sterker nog: dat gebeurde hier eigenlijk ook. Dat valt vrijwel niet te voorkomen en is ook niet iets waar je medewerkers op moet afrekenen.

Daarom is het proces anders inrichten in mijn ogen de beste oplossing

frickY @ANdrode • 21 februari 2019 18:27

Technisch is zoiets prima op te lossen
Zoals de medewerker de laatste 3 cijfers van het IBAN laten invullen om het wachtwoord te kunnen wijzigen, en die niet in de klantgegevens te tonen.
Dan moet hij wel worden uitgevraagd.

ANdrode

@frickY • 21 februari 2019 20:37

Het is lastig om daarvoor een goed 'gedeeld geheim' te vinden!

Een rekeningnummer kan je social engineeren door een vraag over facturen te stellen. Bij bijna alles kan dit wanneer het nuttig is. De geboortedatum is een uitzondering (hoeft niet zichtbaar te zijn aan helpdesk kant) en zou je dus "blind" kunnen ingeven. Maar dat is juist weer geen geheim feit.

Het is de combinatie die het lastig maakt. Veel partijen zitten hiermee. Denk aan de 'geheime vragen' die je overal ziet

altorf 21 februari 2019 20:13

Tele2 is op dat gebied al heel raar bezig. Vorige maand een goedkoop toestel + abonnement besteld met nummerbehoud voor mijn schoonvader via de telefoon. Omdat zijn zus alle financiële zaken doet daar de factuur naar toe laten sturen, en het toestel naar mijn adres. Zonder enige controle van gegevens alleen een kopie bankpas + id bewijs.

Vond raar dat het mogelijk was op deze manier, maar blij dat het gelukt was.

Alex3 @altorf • 22 februari 2019 01:47

Ik moest voor nummerbehoud toen een sms terugsturen vanaf het oude toestel.

altorf @Alex3 • 22 februari 2019 12:00

Ja dat klopt, maar als dat de enige controlle is vind ik die vrij zwak.

8mile13 21 februari 2019 18:25

Ik heb ooit eens Tele2 mail box gehad. Toen die gebruikt werd om vele spammails te verspreiden door criminelen is dat geblokkeerd. Ik zou volgens Tele2 een professioneel de computer moeten laten zuiveren eer ik een nieuwe box kreeg...(alsof ik dat niet zelf kan). Dat heb ik niet gedaan. Ik maak nu al jaren gebruik van Gmail. Ook hebben ze een toen aantal dagen mijn internetverbinding geblokkeerd.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: