Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Submitter: bobwarley

Vodafone is in verlegenheid gebracht nu een klantendatabase met gegevens van miljoenen Australische klanten op straat ligt. Een werknemer of dealer heeft het wachtwoord van een via internet toegankelijke portal gedeeld met derden.

In het systeem zijn gegevens van klanten opgeslagen, waaronder namen, adressen, creditcardgegevens en factuurgegevens. Volgens diverse Australische media zouden criminelen de gegevens verhandelen, zo meldt de Australische nieuwssite ABC News.

Vodafone Australië zegt de zaak hoog op te nemen en een onderzoek in te stellen. In de tussentijd zal het bedrijf alle wachtwoorden resetten. Het is niet bekend of het hier alleen om de systeemwachtwoorden gaat of dat ook de wachtwoorden van klanten worden gereset.

In een publieke reactie heeft Vodafone zondag gemeld dat klantgegevens 'niet publiek benaderbaar zijn op het internet'. Volgens het bedrijf worden gegevens op interne systemen van Vodafone opgeslagen en zijn deze alleen toegankelijk via een portal die met een inlognaam en wachtwoord is beveiligd.

Vodafone meldt niet of die bewuste portal alleen vanaf Vodafone-systemen beschikbaar is of dat er vanaf elke computer met internetverbinding op kan worden ingelogd. Evenmin is bekend of Vodafone per land een eigen systeem hanteert en of dat systeem in alle landen identiek werkt.

Het is niet de eerste keer dat een provider door een werknemer of dealer in verlegenheid wordt gebracht. Eind 2009 kwam er een zaak aan het licht waarbij personeelsleden van de Britse tak van telecombedrijf T-Mobile op grote schaal klantgegevens bleken te hebben verkocht aan concurrerende bedrijven, die de klanten dan opbelden voor een nieuw contract als hun oude verliep.

Moderatie-faq Wijzig weergave

Reacties (55)

Als een werknemer zijn wachtwoord deelt met een derde, dan kan dat niet gezien worden als professioneel gedrag. Sterker nog, het neigt naar dom, zoniet misdadig gedrag.
Hoe hard kun je zijn... Jij weet niet hoe de situatie was. Je kunt niet stellen dat iemand die zijn/haar wachtwoord deelt met iemand anders onprofessioneel bezig is. Dat het onverstandig is vind ik wel. Maar stel je voor dat je onderweg bent naar een klant en een belangrijk document vergeten bent mee te nemen. Omdat alleen jij bij je eigen documenten kunt, bel je iemand die onder jouw account het document kan mailen naar jouw mailadres zodat je 'm op je mobiel binnen kunt halen. Is dit onprofessioneel? In mijn ogen niet, maar het laat ook gelijk de zwakheden van wachtwoorden zien.

Al jaren wijs ik mijn cursisten erop dat enkel naam/wachtwoord verificatie onvoldoende is. Zeker in het licht van de huidige rainbowtables, databases die uitlekken (zoals nu bij Vodafone AU), social engineering technieken etc.

Het is beter om naar een andere manier van authenticatie te gaan en te zoeken naar een goede combinatie van authenticatiemethoden. Je kunt kiezen uit bijvoorbeeld biometrie en tokens. Nou heeft biometrie ook zo zijn nadelen en zwakheden, maar een combinatie van biometrie met een wachtwoord kan een oplossing zijn. Wellicht beter is het gebruik van goede tokens i.c.m. een wachtwoord.

Tot slot vind ik het verouderde systeem van creditcards nog steeds bizar. Je hoeft alleen maar een paar gegevens te hebben van een creditcard en je kunt er overal mee betalen. Wanneer je een winkel hebt en een klant betaalt met creditcard dan heb je al voldoende gegevens om zelf bij een andere winkel te gaan shoppen. Da's toch gek? Of ben ik nou gek?
Ik weet dat cc maatschappijen bij fraude de schade vergoeden, maar dat is eigenlijk de verkeerde aanpak, je kunt het beter voorkómen dan genezen zoals nu steeds het geval is.
Hoe hard kun je zijn... Jij weet niet hoe de situatie was. Je kunt niet stellen dat iemand die zijn/haar wachtwoord deelt met iemand anders onprofessioneel bezig is. Dat het onverstandig is vind ik wel. Maar stel je voor dat je onderweg bent naar een klant en een belangrijk document vergeten bent mee te nemen. Omdat alleen jij bij je eigen documenten kunt, bel je iemand die onder jouw account het document kan mailen naar jouw mailadres zodat je 'm op je mobiel binnen kunt halen. Is dit onprofessioneel? In mijn ogen niet, maar het laat ook gelijk de zwakheden van wachtwoorden zien.
Sorry hoor, maar het betreft hier blijkbaar een database waar alles tot en met creditcardgegevens in staat en
1) bij de meeste klanten kan je wel even op internet om dat document alsnog op te halen,
2) als je naar je eigen kantoor belt, kunnen die mensen normaal wel onder hun eigen account aan die gegevens,
3) als je dan toch echt echt echt je password moet doorgeven, verander je dat zo snel mogelijk.

Op deze manier omgaan met passwords waarmee creditcardgegevens van miljoenen klanten 'beveiligd' zijn is tenminste ronduit onprofessioneel (zoniet crimineel), ongeacht de omstandigheden.
Maar een werkgever die zijn veiligheids-beleid zo inricht dat 1 werknemer al deze informatie openbaar kan maken, is ook niet goed bezig. Vanwege de verschillende belangen vind ik dat het bedrijf hierin"meer "schuld" heeft dan het individu dat het password heeft gedeelt.
Alweer een lek. Dan wel niet in NL, maar toch weer toegang tot miljoenen gegevens. Wanneer snappen mensen nou dat zij zelf de zwakste schakel zijn als het gaat om beveiliging. >.<

Ik ga ervanuit dat deze werknemer sancties zal krijgen, zo niet wordt ontslagen. Lijkt me niet erg fijn als bedrijf als er zon probleem wordt getraceerd.
Ik ga ervanuit dat deze werknemer sancties zal krijgen, zo niet wordt ontslagen. Lijkt me niet erg fijn als bedrijf als er zon probleem wordt getraceerd.
Dat hangt er vanaf. Moet je iemand om iedere fout maar gelijk ontslaan? als er opzet in het spel was: ja. dan kun je d'r ook nog een forse rechtzaak achteraan doen. Maar anders is het gewoon een onschuldige fout, en als je daarom al mensen gaat ontslaan .... zou niemand nog een baan hebben. Mensen maken fouten, zonder uitzondering.
Daarom is het ook onbegrijpelijk dat het systeem niet bestand is tegen het feit dat mensen fouten maken. Ook al heb je inloggegevens dan is het nogal raar dat je van alles en nog wat uit kan spoken zonder dat dit gelogd wordt. Maw geen security by design.
Een lek...? Leuk in deze tijd van overstromingen daar?
Ik vraag mij af in hoeverre dit voorkomen had kunnen worden, en hoe hoog dit risico is bij de providers in Nederland. Zou iedere medewerker (denk bijvoorbeeld ook aan klantenservice medewerkers) alle data van klanten op elk gewenst moment kunnen opvragen, of zit hier nog een soort van controle-mechanisme op? En kunnen de medewerkers hier in Nederland deze gegevens dan ook via internet ophalen via een beveiligde portal?

Dit lijkt mij al fout nummer één bij de Australische tak van Vodafone. Wanneer je met zoveel persoonlijke gegevens te maken hebt, ga je deze gegevens niet via een op internet toegankelijke (beveiligde) portal beschikbaar stellen. Dat zou alleen mogen via een gecontroleerde interne omgeving.

[edit]
Twee quotes uit het artikel, ze spreken elkaar nogal tegen:
Vodafone meldt niet of die bewuste portal alleen vanaf Vodafone-systemen beschikbaar is of dat er vanaf elke computer met internetverbinding op kan worden ingelogd.
Vreemd, in de eerste alinea staat toch duidelijk het volgende:
Een werknemer of dealer heeft het wachtwoord van een via internet toegankelijke portal gedeeld met derden.

[Reactie gewijzigd door Erikvl87 op 10 januari 2011 10:13]

De Australische tak van telecomgigant Vodafone heeft de privégegevens van miljoenen klanten gelekt. Het zou gaan om adresgegevens, rijbewijsnummers, creditcardgegevens, locatiegegevens en gespreksgegevens.
De omvang van het incident is nog niet bekend, maar het is mogelijk dat duizenden mensen inloggegevens hebben die rondgaan en waarmee iedereen toegang tot de gegevens van de vier miljoen Australische Vodafone-klanten kan krijgen.
Volgens een woordvoerder zijn de klantgegevens via een beveiligde webportal alleen voor geautoriseerde werknemers en dealers toegankelijk. "Ongeautoriseerde toegang tot de portal wordt zeer serieus genomen en zou contractbreuk en mogelijk zelfs een misdrijf zijn." Naast het onderzoek dat is ingesteld zal Vodafone ook alle wachtwoorden resetten en trainingen en andere procedures herzien.
Handig om voortaan even je bron te vermelden. Ik heb het even voor je gedaan, ik neem aan http://security.nl/artike...joenen_klantgegevens.html ?
Volgens een woordvoerder zijn de klantgegevens via een beveiligde webportal alleen voor geautoriseerde werknemers en dealers toegankelijk.
Om dan even op je bericht te reageren, dan vraag ik mij af om welke werknemers en dealers dit gaat. Zoveel informatie op dezelfde plek, is hopelijk niet voor velen toegankelijk.
een username en password waarschijnlijk.. erg veilig is dat niet , maarja hoe veilig wil je het maken ? aan de achterkant zijn er zowieso altijd mensen die erbij kunnen (systeembeheerders ik noem maar wat)

de komende jaren zullen dit soort 'incidenten' nog wel vaker op gaan treden..
is er een goede reden waarom een doorsnee medewerker aan creditcardgegevens van klanten kan?
Hoe is men op dit lek uit gekomen? Doordat de medewerker zij account extreem veel gebruikt werd? Dan is die toch niet moeilijk te vinden?
Naar mijn weten is dat normaal gesporken mogelijk. Zeker als het gaat om iemand van de servicedesk of iets dergelijks.

Hoe dit lek is uitgekomen zal hoogstwaarschijnlijk bekendgemaakt worden. Hierop speculeren zal ons niet helpen om te begrijpen hoe het is gebeurd, ben ik bang.
Bij mijn weten niet, die gegevens horen achter slot en grendel, een doorsnee medewerker heeft met de creditcardgegevens van een klant geen zaken toch? Kzie geen reden waarom wel

[Reactie gewijzigd door MClaeys op 10 januari 2011 11:34]

Als SPICE net zo brak is als dit (wat het na mijn ervaringen niet is) dan voorspel ik een leuke toekomst voor Vodafone NL

[Reactie gewijzigd door TelefoniQ op 10 januari 2011 23:15]

Het feit dat jij hier op Tweakers over een intern systeem zit te blaten geeft al aan hoe fijn het met jouw veiligheidsbesef zit. Dit soort informatie kan voor jou triviaal lijken maar is het eerste begin van een social hack voor anderen. Nog een paar van dit soort 'weetjes' en iemand gaat er met de Nederlandse database vandoor.

Wat jij allemaal kunt opvragen in interne systemen hoor je lekker voor jezelf te houden, dat gaat de buitenwereld niets aan.
Spice is gelimiteerd systeem dat door alle externe dealers gebruikt wordt (zoals telefoniq zal zijn). Je kunt er geen betaalgegevens o.i.d. in bekijken.

Het nieuwsbericht zal over een ander systeem gaan met meer mogelijkheden, maar het lijkt me inderdaad geen goed idee daar informatie over te verschaffen.
*edit* Dat andere systeem is overigens niet zomaar vanaf buiten bereikbaar.

[Reactie gewijzigd door Tacow op 10 januari 2011 11:57]

Dat is een manier van zien, maar neigt dit niet naar de "security through obscurity" perceptie?In een instelling of bedrijf waar per jaar 1 persoon weggaat en bijkomt kan dit misschien werken. Hoe hoog is het verloop bij Vodafone op de afdelingen die met deze systemen werken? Als dat hoog is lopen er een heleboel mensen buiten Vodafone rond die ook die kennis hebben.
Weet niet hoe spice heden dag in elkaar zit, 'vroeger' kon je d'r gemakkelijk 06 nummers van BN'ers opvragen :+
Buitenlandse nummers is nooit mogelijk geweest
BNers opvragen kan nu nog steeds. Waarschijnlijk werkt wel elk land met een eigen systeem, maar het kan zijn dat dit aan basis gelijk is. I het geval van SPCIE moet je een certificaat downloaden en installeeren op de computer, onafhankelijk van het IP-adres van deze computer. Dit certificaat is te downloaden vanaf de distributiesupport website van Vodafone. Deze distributiesupport website is beveiligd met een wachtwoord. Vervolgens is SPICE ook weer beveiligd met een (ander) wachtwoord. Tot slot moet je nog een keer inloggen met een derde wachtwoord. Het is dus redelijk dichtgebouwd, maar als je alle drie de inlognamen en wachtwoorden weet kun je alles. Een vergelijkbare situatie zal zich in Australië hebben voorgedaan.
Als je internationaal grip toegang hebt op jouw account kan dat wel.
Ik denk dat iedereen de trend wel ziet, hoe vaak lees je tegenwoordig dat er weer een database vol gevoelige informatie op straat/in de verkeerde handen valt.

Weer een mooi typevoorbeeld, de beveiliging is zo sterk als de zwakste schakel, en die zwakste schakel is 9/10 keer de mens.

Op naar de volgende zullen we dan maar weer zeggen...
"Mobile phone dealers have also admitted that anyone with full access to the system can look up a customer's bills and make changes to accounts."

Bizar dat dankzij een lekkende Vodafone medewerker op deze manier criminelen toegang hebben tot credit card gegevens van klanten. Dit gaat Vodafone heel veel klanten kosten...

[Reactie gewijzigd door tweaker2010 op 10 januari 2011 09:20]

Dit is een gevolg van doorgedreven kapitalisme. Mensen denken alleen maar aan geld verdienen en schuiven verantwoordelijkheden af. Kijk naar banken. Mensen denken alleen maar aan hun eigen bonus op korter termijn. Als de bezuiniging zo door gaan leeft het socialisme dadelijk weer hoogtij in Nederland, let maar op. De PVV stemmers zien over een paar jaar wel dat het niks oplevert voor hunzelf (meestal de de lagere klasse). SP en Groenlinks FTW.

[Reactie gewijzigd door bobwarley op 10 januari 2011 09:19]

Vodafone meldt niet of die bewuste portal alleen vanaf Vodafone-systemen beschikbaar is of dat er vanaf elke computer met internetverbinding op kan worden ingelogd. Evenmin is bekend of Vodafone per land een eigen systeem hanteert en of dat systeem in alle landen identiek werkt.
De klantsystemen en de toegang hiertoe zijn per land verschillend.. In de toekomst zal dit vast veranderen maar dat gaat nog jaren duren door de verschillende it omgevingen en achterlingende systemen. Op IT gebied werkt Vodafone pas enkele jaren samen met andere landen.

[Reactie gewijzigd door m3gA op 10 januari 2011 09:54]

Ik begin mij nu toch wel kwaad te maken over de hoeveelheid gegevens die te pas en te onpas op straat komen te liggen. Dit is alweer het zoveelste schandaal. Wanneer gaan we bedrijven nu eens een keurmerk geven voor het beveiligen van klantgegevens? Ga je als bedrijf x keer de fout in dan mag je gewoonweg geen klantgegevens meer verzamelen totdat je kunt aantonen dat je procedures en systemen er klaar voor zijn. Als het mijn gegevens waren zou ik eisen: een nieuw e-mailadres op kosten van Vodafone, een nieuwe creditcard op kosten van Vodafone en de mogelijkheid mijn contract direct te verbreken zonder boete te betalen en dat ik complete verwijdering van al mijn gegevens bij Vodafone kan opeisen. Misschien dat bedrijven het op die manier maar eens gaan leren...
een medewerker die slordig omspringt met data, een medewerker die een database meeneemt naar huis (voor de verkoop), een lek op de site, ongeoorloofde toegang tot systemen of database-servers etc etc etc.

je registreert je tegenwoordig op zoveel sites, vaak met een alias, maar dat is helaas niet altijd mogelijk.

en zo is het een kwestie van tijd voordat alle prive-gegevens van elke aardbewoner met internet op straat liggen ...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True