Login-gegevens Telenet Yelo-klanten eenvoudig te achterhalen

Telenet verzendt de login-gegevens van gebruikers van zijn Yelo-dienst onversleuteld, waardoor deze eenvoudig door kwaadwillenden te onderscheppen zijn. Met de Yelo-dienst kunnen Telenet-klanten tv kijken op pc, iPhone en iPad.

Telenet heeft Yelo vorige week geïntroduceerd en biedt daarmee de mogelijkheid om via pc, iPad of iPhone live online tv te kijken en een televisiegids te raadplegen. Binnenkort moet bovendien video-on-demand onderdeel van de dienst worden. Als iemand echter mobiel inlogt, worden de inloggegevens onversleuteld verstuurd, wat een man-in-the-middle-aanval kinderlijk eenvoudig zou maken.

Een kwaadwillende kan vervolgens persoonlijke gegevens van de klant inzien, facturen bekijken en wijzigingen doorvoeren wat de afname van diensten betreft. Via de Yelo-app zou hij zelfs de dvd-recorder van de betreffende klant kunnen bedienen.

Telenet heeft het bestaan van het lek erkend, maar acht het risico op misbruik klein. "Yelo is bedoeld voor residentieel gebruik. De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk. Voor hen is er geen enkel probleem", aldus Telenet-woordvoerder Stefan Coenjaerts tegen De Standaard.

Eind januari moet er een update komen die het lek dicht en voor versleuteling van de gegevens zorgt. Gebruikers moeten dan hun iPad- of iPhone-applicatie updaten, zo luidt het advies.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 21-01-2011 18:00
34 • submitter: ieperlingetje

21-01-2011 • 18:00

34

Submitter: ieperlingetje

Lees meer

Telenet introduceert Yelo TV begin 2013
Telenet introduceert Yelo TV begin 2013 Nieuws van 18 oktober 2012
'Telenet knijpt bittorrent-verkeer' - update
'Telenet knijpt bittorrent-verkeer' - update Nieuws van 21 juni 2011
Telenet ontkent forse prijsverhoging voor kabelabonnees
Telenet ontkent forse prijsverhoging voor kabelabonnees Nieuws van 1 mei 2011
Belgacom gaat iptv-settopboxen voorzien van nieuwe firmware
Belgacom gaat iptv-settopboxen voorzien van nieuwe firmware Nieuws van 13 maart 2011
Telenet mag niet met 'lichtsnelheid' adverteren
Telenet mag niet met 'lichtsnelheid' adverteren Nieuws van 25 februari 2011
Testversie Yelo Live TV van Telenet maakt content per ongeluk openbaar
Testversie Yelo Live TV van Telenet maakt content per ongeluk openbaar Nieuws van 24 februari 2011
Apparaten met iOS vatbaar voor aanval op keychain
Apparaten met iOS vatbaar voor aanval op keychain Nieuws van 10 februari 2011
Telenet biedt niet langer zelfinstallatiepakketten aan voor Fibernet
Telenet biedt niet langer zelfinstallatiepakketten aan voor Fibernet Nieuws van 23 januari 2011
Telenet maakt hotspotgebruik gratis voor klanten
Telenet maakt hotspotgebruik gratis voor klanten Nieuws van 18 januari 2011
Telenet komt met twee nieuwe FiberNet-abonnementen - update
Telenet komt met twee nieuwe FiberNet-abonnementen - update Nieuws van 13 januari 2011
Telenet introduceert streamingdienst voor digitale televisie
Telenet introduceert streamingdienst voor digitale televisie Nieuws van 19 december 2010
Telenet verhoogt internetsnelheden twee triple play-pakketten
Telenet verhoogt internetsnelheden twee triple play-pakketten Nieuws van 17 november 2010
Meer producten en artikelen
Netwerk en systeembeheer Internettoegang Apple Telenet iPhone iPad Beveiliging Datalek

Reacties (34)

-Moderatie-faq
34
34
23
0
0
5
Wijzig sortering

Sorteer op:

Weergave:
yabbanoname 21 januari 2011 18:03
" De meeste klanten gebruiken Yelo dan ook thuis", best wel apart, zonder een telenet decoder in je netwerk is er bar weinig te kijken behalve misschien programmagegevens. Wat doen die anderen dan (even kijken of t ook buiten t thuisnetwerk werkt zeker) ?
Verwijderd @yabbanoname21 januari 2011 18:08
De login wordt ook gebruikt om in te loggen op Mijn Telenet, waar alle persoonlijke gegevens te vinden zijn.
flamingworm @Verwijderd21 januari 2011 22:53
Ja, maar deze wordt niet onversleuteld verzonden, enkel wanneer ingelogd wordt via de Yelo app.
Verwijderd @yabbanoname21 januari 2011 23:12
Dat is niet waar. Je kan op een publiek netwerk of gelijk welk een netwerk kijken naar de zenders. Het enige dat je moet hebben is een abbonement op Digitale Televisie bij Telenet. De login is dan genoeg om overal te kijken.
Fire69 @Verwijderd22 januari 2011 00:16
Ik heb het getest op de iPad via een Belgacom vldsl-lijn en ik kreeg de melding dat Live-tv niet werkte omdat het over een Telenet-lijn moet. ;)
Enige wat je wel kon doen, was de tv-gids bekijken (en misschien je decoder programmeren, dat heb ik niet getest...)
pim 21 januari 2011 19:55
Nou heb ik er weinig verstand van.. maar hoe eenvoudig is het dan om die gegevens te onderscheppen??
freggy @pim21 januari 2011 20:11
Een van de mogelijkheden: je maakt verbinding op een computer op hetzelfde onbeveiligde netwerk als de yelo-client, en je voert tcpdump of wireshark uit, terwijl de yelo-client inlogt. Login en wachtwood zijn dan uit te lezen in de gegevens die opgevangen worden.
telenut @freggy21 januari 2011 20:19
nog net niet, die gegevens zijn geen multicast.
Je moet als arp-poisoning toepassen, wifi data opvangen of het verkeer naar de router onderscheppen met een hub ofzo.
IStealYourGun @telenut21 januari 2011 21:17
True, het is eigenlijk enkel gevaarlijk als je gebruik maakt van onbekende/onbeveiligde WIFI hot-spots. Maar dan beperkt het zich niet tot telenet gegevens, maar tot al je paswoorden die je ingeeft op een website die geen SSL verbinding heeft.
Oeroeg @pim21 januari 2011 20:08
Dat vraag ik mij ook af.
Ik dacht dat onversleutelde gegevens allen zichtbaar waren voor iedereen die je onderweg tegenkomt (zegmaar iedereen uit het tracert rijtje), dus voornamelijk internetproviders.

En misschien is het nog af te luisteren via je onbeveiligde netwerkverbinding (googlesteetviewauto?)

Of zit ik er nu naast?
Verwijderd 21 januari 2011 20:16
TBh de meeste wifi netwerken van telenet zijn beveiligt tenzij de mensen een harde reset ervan hebben uitgevoerd. En daarna niet niet meer hebben beveiligd.

De nieuwe wifi ap's en modems zijn standaard gewoon beveiligd.

En ja om het niet te versleutelen is idd geen slimme keus van telenet geweest.
Petervanakelyen @Verwijderd21 januari 2011 22:27
De D-Link AP's die ze jaren hebben geplaatst zijn WEP-beveiligd. De nieuwe Motorola modem/routers zijn WPA-beveiligd, maar zijn toch nog te kraken als je er wat moeite in steekt.
Kosty @Petervanakelyen21 januari 2011 23:46
Dat maakt op zich niet uit, er is een encryptie van elke client naar de router, iets wat er niet is bij een onbeveiligd netwerk. Het wachtwoord weten maakt dus niets uit, het gaat er om of er sowieso een wachtwoord opstond.
Caelestis @Kosty23 januari 2011 07:07
encryptie heb je pas als je een VPN opzet.
Ik kan 1000 non ITers vragen wat een VPN doet en er zal er geen enkel een antwoord kunnen geven laat staan het ook daadwerkelijk gebruiken.
En nee modem/routers hebben nooit zulke instelliggingen aanstaan om mee te beginnen anders zou er nooit een PC/laptop of wat dan ook toegevoegd kunnen worden.

Wat ze hooguit doen is een voor geprogrammeerde WPA2 key als sticker op je apparaat plakken zodat je in ieder geval niet kan inloggen met 0000 of 1243 ofzo.

uitzondering tegenwoordig is de hardware matig knop om verbinding te maken die op somige moderne routers aanwezig zijn en zelfs die zijn niks anders dan een MAC adres lock en dus weer geen encryptie.
Verwijderd @Verwijderd21 januari 2011 20:33
gewoon ronduit idioot als het gaat om persoonlijke gegevens.
Telnet geeft aan ervan te weten. Als telnet zou ik de App offline halen en niet eerder publiceren tot dit in orde is.
freggy 21 januari 2011 20:05
En toch snap ik niet waarom mensen hier nu moord en brand over schreeuwen, terwijl Telenet al sinds zijn bestaan geen encryptie toestaat op de POP3-mailserver. Laten ze eerst daar maar iets aan doen, want dat wordt toch ook wel door veel mensen gebruikt, ook over onbeveiligde publieke draadloze netwerken (zoals hun eigen Telenet hotspots vermoed ik?).
mouse256 @freggy21 januari 2011 20:28
Dat was ook mijn eerste wat in mij op kwam, dus ging ik een checken of dit nog wel klopt.
En wat blijkt? SSL is tegenwoordig toegelaten. Het certificaat zit zelf op imap.telenet.be ipv pop.telenet.be, imap kan nu ook.
depeje @mouse25622 januari 2011 11:22
Mij zegt kmail: account does not have imap enabled en ik kan nergens vinden waar ik dat kan enablen. En googlen op "telenet imap" levert ook niet zo veel op. (telenet lijkt veel te hard op telnet (wat _wel_ populair is :P )).
bwynants 21 januari 2011 18:54
"De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk"

programmeren van de decoder doe ik nochtans meestal als ik op een ander netwerk zit...

slordig
Falcon10 21 januari 2011 19:08
Weer typisch telenet met hun struisvogelpolitiek.
Ik zie het nut van hun Yelo niet echt in, ik kijk wel TV op mijn TV.
Ipad gebruik ik wel voor Youtube of andere gein.

Innovatief is het wel, daar niet van, maar als je eerlijk bent, is het niet meer dan een zoveelste gimmick die je eenmaal de proefperiode voorbij is geld kost.
Verwijderd 21 januari 2011 19:16
"De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk."

Wie was het ook al weer die overal "gratis" onbeveiligde draadloze netwerken "installeerde"? En bij welke provider zitten de mensen met, nog steeds, een onbeveiligd netwerk vandaag de dag voornamelijk? En wat gaat het oh zo nuttige BIPT hier over zeggen? Wie waakt er eigenlijk over zulke wanpraktijken? Juist ja de consument (die er meestal niks van kent) en niemand anders. Dat is de kracht en drijfveer van die bedrijven.
IStealYourGun 21 januari 2011 19:46
Niets nieuws onder de zon, voor je lokale telemeter word er al jaren dag gebruik gemaakt van SOAP en worden je login gegevens ook gewoon in plain-text doorgestuurd. Nu is de groep die een lokale telemeter gebruikt misschien niet zo groot, maar maakt dat wat uit?

[Reactie gewijzigd door IStealYourGun op 29 juli 2024 12:51]

Verwijderd @IStealYourGun23 januari 2011 19:12
Geen idee hoe dat tegenwoordig is, maar vroeger ging die SOAP wel over HTTS...
Petervanakelyen 21 januari 2011 20:53
De logingegevens van iedereen die gebruik maakt van een onbeveiligd netwerk liggen op straat. Dit is niet alleen bij Telenet-klanten zo en is ook niet specifiek aan Yelo. Ik heb het in de Standaard onlangs ook gelezen, het is jammer dat Tweakers.net dit zomaar overneemt.

Waar echter wel wat aandacht aan geschonken mag worden is dit:
"Yelo is bedoeld voor residentieel gebruik. De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk. Voor hen is er geen enkel probleem"
Het grootste gedeelte van de Telenet "gratis draadloze installaties" is namelijk WEP-beveiligd (en dan nog 64-bit). Officieel een beveiliging, voor iedereen die er iets van kent net zo gemakkelijk te gebruiken als een netwerk zonder. De nieuwe all-in-one Motorola modem/routers van Telenet zijn standaard WPA(1) beveiligd, dat is beter, maar omdat de passphrase overal dezelfde lengte heeft, is die met wat CUDA geknutsel ook redelijk snel te kraken.

[Reactie gewijzigd door Petervanakelyen op 29 juli 2024 12:51]

Verwijderd 21 januari 2011 22:18
En waar zit het verschil, als je bij telenet je mail op vraagt, via pop3 stuur je ook in clear text diezelfde username, en datzelfde passwoord door. Gelijk wie, dat er met een sniffer tussen zit, kan dat uitlezen.

Dat probleem bestaat al jaren, maar over die yelow gaat men nu ineens moeilijk doen ? Rare jongens.
bwynants @Verwijderd21 januari 2011 23:36
vandaar dat ik mijn telenet mailbox NIET gebruik!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq