'Gegevens miljoenen Vodafone-klanten in Australië liggen op straat'

Hoe hard kun je zijn... Jij weet niet hoe de situatie was. Je kunt niet stellen dat iemand die zijn/haar wachtwoord deelt met iemand anders onprofessioneel bezig is. Dat het onverstandig is vind ik wel. Maar stel je voor dat je onderweg bent naar een klant en een belangrijk document vergeten bent mee te nemen. Omdat alleen jij bij je eigen documenten kunt, bel je iemand die onder jouw account het document kan mailen naar jouw mailadres zodat je 'm op je mobiel binnen kunt halen. Is dit onprofessioneel? In mijn ogen niet, maar het laat ook gelijk de zwakheden van wachtwoorden zien.

Al jaren wijs ik mijn cursisten erop dat enkel naam/wachtwoord verificatie onvoldoende is. Zeker in het licht van de huidige rainbowtables, databases die uitlekken (zoals nu bij Vodafone AU), social engineering technieken etc.

Het is beter om naar een andere manier van authenticatie te gaan en te zoeken naar een goede combinatie van authenticatiemethoden. Je kunt kiezen uit bijvoorbeeld biometrie en tokens. Nou heeft biometrie ook zo zijn nadelen en zwakheden, maar een combinatie van biometrie met een wachtwoord kan een oplossing zijn. Wellicht beter is het gebruik van goede tokens i.c.m. een wachtwoord.

Tot slot vind ik het verouderde systeem van creditcards nog steeds bizar. Je hoeft alleen maar een paar gegevens te hebben van een creditcard en je kunt er overal mee betalen. Wanneer je een winkel hebt en een klant betaalt met creditcard dan heb je al voldoende gegevens om zelf bij een andere winkel te gaan shoppen. Da's toch gek? Of ben ik nou gek?
Ik weet dat cc maatschappijen bij fraude de schade vergoeden, maar dat is eigenlijk de verkeerde aanpak, je kunt het beter voorkómen dan genezen zoals nu steeds het geval is.

Ik ga ervanuit dat deze werknemer sancties zal krijgen, zo niet wordt ontslagen. Lijkt me niet erg fijn als bedrijf als er zon probleem wordt getraceerd.

Dat hangt er vanaf. Moet je iemand om iedere fout maar gelijk ontslaan? als er opzet in het spel was: ja. dan kun je d'r ook nog een forse rechtzaak achteraan doen. Maar anders is het gewoon een onschuldige fout, en als je daarom al mensen gaat ontslaan .... zou niemand nog een baan hebben. Mensen maken fouten, zonder uitzondering.

De Australische tak van telecomgigant Vodafone heeft de privégegevens van miljoenen klanten gelekt. Het zou gaan om adresgegevens, rijbewijsnummers, creditcardgegevens, locatiegegevens en gespreksgegevens.
De omvang van het incident is nog niet bekend, maar het is mogelijk dat duizenden mensen inloggegevens hebben die rondgaan en waarmee iedereen toegang tot de gegevens van de vier miljoen Australische Vodafone-klanten kan krijgen.
Volgens een woordvoerder zijn de klantgegevens via een beveiligde webportal alleen voor geautoriseerde werknemers en dealers toegankelijk. "Ongeautoriseerde toegang tot de portal wordt zeer serieus genomen en zou contractbreuk en mogelijk zelfs een misdrijf zijn." Naast het onderzoek dat is ingesteld zal Vodafone ook alle wachtwoorden resetten en trainingen en andere procedures herzien.

Naar mijn weten is dat normaal gesporken mogelijk. Zeker als het gaat om iemand van de servicedesk of iets dergelijks.

Hoe dit lek is uitgekomen zal hoogstwaarschijnlijk bekendgemaakt worden. Hierop speculeren zal ons niet helpen om te begrijpen hoe het is gebeurd, ben ik bang.

Het feit dat jij hier op Tweakers over een intern systeem zit te blaten geeft al aan hoe fijn het met jouw veiligheidsbesef zit. Dit soort informatie kan voor jou triviaal lijken maar is het eerste begin van een social hack voor anderen. Nog een paar van dit soort 'weetjes' en iemand gaat er met de Nederlandse database vandoor.

Wat jij allemaal kunt opvragen in interne systemen hoor je lekker voor jezelf te houden, dat gaat de buitenwereld niets aan.

Weet niet hoe spice heden dag in elkaar zit, 'vroeger' kon je d'r gemakkelijk 06 nummers van BN'ers opvragen
Buitenlandse nummers is nooit mogelijk geweest