Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

Vodafone heeft donderdagnacht een lek gedicht, waarmee kwaadwillenden de voicemail van Vodafone-klanten konden afluisteren door hun nummer te spoofen. Vodafone controleert vanaf nu of de oproep vanaf het eigen netwerk komt.

De spoofing werkte vooral makkelijk vanaf desktops en laptops, waar met bepaalde programma's de indruk kan worden gewekt dat er met het nummer van een Vodafone-klant naar de voicemail wordt gebeld. Vodafone controleerde tot donderdagnacht alleen het nummer van degene die inbelde op de voicemail. Met spoofing kon daardoor de voicemail worden afgeluisterd zonder dat een toegangscode nodig was.

Vodafone was al langer bekend met het probleem, zegt woordvoerder Joost Galema tegen Tweakers.net. "We keken al eerder naar een oplossing. We moesten echter de implementatie versnellen nadat bleek dat hiervoor in de media aandacht zou komen." Donderdagavond, nog voordat het lek was gedicht, besteedde het tv-programma Nieuwsuur aandacht aan de zaak.

Het lek komt naar boven daags nadat Vodafone door het stof moest vanwege een andere beveiligingsfout in de voicemail. Als een Vodafone-klant zijn toegangscode voor voicemail niet had gewijzigd, kon eenieder door in te bellen op het algemene voicemailnummer zijn voicemails horen door het telefoonnummer en de toegangscode 3333 in te toetsen. Daardoor kon tv-programma EenVandaag eerder deze week de voicemails van politici terugluisteren. Daarover vindt binnenkort een spoeddebat plaats.

Het gebruik van spoofing om voicemails af te luisteren is niet nieuw; in het buitenland gaan de verhalen daarover al enkele jaren. Een Nederlandse it-consultant wees bovendien in een blogpost vorig jaar al op het beveiligingslek bij Vodafone. Bij andere Nederlandse providers kunnen door middel van spoofing geen voicemails worden afgeluisterd.

Moderatie-faq Wijzig weergave

Reacties (37)

Het lek staat al een enorm lange tijd ( mei 2010 ! ) beschreven op verschillende locaties: Voorbeeld: http://blog.hendricksen.e...er-id-for-authentication/
Vodafone was al langer bekend met het probleem, zegt woordvoerder Joost Galema tegen Tweakers.net. "Het is echter geen groot en geen algemeen bekend probleem, waardoor het niet hoog op onze agenda stond. We moesten echter wel snel te werk gaan nadat bleek dat hiervoor in de media aandacht zou komen.
Het is een enorm spijtige zaak dat er eerst media-aandacht nodig is voordat beveiligingsfouten gedicht worden!
Met andere woorden: Indien de media dit niet had opgepikt was het lek nog niet gedicht,...
Het is echter geen groot en geen algemeen bekend probleem, waardoor het niet hoog op onze agenda stond.
@Vodafone:
  • Wie heeft mijn voicemail berichten beluisterd?
  • Hoeveel misbruiken waren er tijdens deze periode?
  • Waarom zijn beveiligingsproblemen niet prioritair?

[Reactie gewijzigd door _CedricS_ op 25 maart 2011 10:05]

Vodafone controleert vanaf nu of de oproep vanaf het eigen netwerk komt.
Dat zou dus betekenen dat je nog steeds de voicemail van Vodafone klanten kan afluisteren als je zelf ook op het netwerk zit (= klant bent bij Vodafone) d.m.v. spoofing?
Zo werkt dat dus niet. Op je eigen netwerk kun je in de netwerkapparatuur zien van welk nummer de oproep echt komt, ook als je de nummermelding geblokkeerd hebt. Vergelijk het met een ethernet-netwerk, waar je binnen het subnet ook steeds het MAC adres van de kaart kunt zien.
Voor wat betreft de telefopnie heb je vast gelijk (is niet zo mijn expertise gebied), maar juist in een (ethernet) netwerk kun je ook erg makkelijk je MAC adres spoofen en op die manier systemen om de tuin leiden.
We hebben het hier ook over telefonie....

Jij hebt nl. geen toegang tot het Vodafoen voice netwerk van buitenaf, anders dan via de interconnects. En die gesprekken die via de interconnects binnen komen zijn nu beveiligd.
Als ik het zo lees denk ik het wel, dus dat zou betekenen dat het lek niet gedicht is maar verkleind is!
Ik zit zelf ook bij Vodafone, maar maak geen gebruik van voicemail. Maar voor de mensen die dat wel doen lijkt me het wel vervelend als je voicemail afgeluisterd word.
Spoofing ging op basis van een buitenlandse telefonie-provider waar je een ander nummer mee mocht zenden, die provider stond vervolgens in voor de validiteit van dat nummer waardoor het geaccepteerd werd als het afzendernummer. Vodafone heeft geen dienst waarbij je een ander nummer mee mag zenden dan het aan je simkaart gekoppelde nummer dus is deze methode van spoofing niet meer mogelijk.
Spoofing ging op basis van een buitenlandse telefonie-provider waar je een ander nummer mee mocht zenden, die provider stond vervolgens in voor de validiteit van dat nummer waardoor het geaccepteerd werd als het afzendernummer.
Hoeft geen buitenlandse provider te zijn... Wij hebben zaken gedaan met een provider, en we konden elk nummer meesturen wat we wilden (voor een hosted telefonie-oplossing). We moesten wel tig documenten ondertekenen dat we alleen nummers mochten meesturen die waren uitgedeeld aan onze klanten, en geen enkel ander nummer... Maar dat weerhield mijn baas niet van een prank call naar een gsm van een vriend van hem, zogenaamd vanaf zijn thuisnummer. "Wat doe je bij mijn vriendin thuis?" "Nou..."
Vodafone zit daar niet om jou ten dienste te zijn maar om geld te verdienen, het liefst door zo min mogelijk uit te geven.

Misschien zit er een familielid in het bestuur van de ING, dat zijn ook al zo een stel prutsers en maar zeggen dat het een compromis is tusssen gebruikersgemak en veiligheid, hoeveel lulkoek kan je in 1 zin kwijt (behoudens deze zin natuurlijk :))
Als eerste is het natuurlijk zeer kwalijk omtrent het spoofen:
Vodafone was al langer bekend met het probleem, zegt woordvoerder Joost Galema tegen Tweakers.net. "Het is echter geen groot en geen algemeen bekend probleem, waardoor het niet hoog op onze agenda stond.
" Het gebruik van spoofing om voicemails af te luisteren is niet nieuw; in het buitenland gaan de verhalen daarover al enkele jaren. Een Nederlandse it-consultant wees bovendien in een blogpost vorig jaar al op het beveiligingslek bij Vodafone. ".

Oftewel is het niet bij het grote publiek bekend, dan is er niks aan de hand.

Dan steek je je kop als een struisvogel in het zand en gooi je je naam te grabbel !
Zeer vertrouwend wekkend als provider. !!
Zeer zeker als je dan nog gaat roepen: We moesten echter wel snel te werk gaan nadat bleek dat hiervoor in de media aandacht zou komen.

Hoe ondermijn je je eigen sales ?

Als tweede:
Het is natuurlijk op de eerste plaats je eigen verantwoordelijkheid om een wachtwoord te veranderen.
Maar ja, gemakzucht...
Het is bij andere bedrijven net zo, wanneer een gat onbekend is is het minder erg, zodra dit aandacht krijgt in de media wordt het gat opeens ook bij veel meer potentiŽle misbruikers bekend en wordt het dus voor het bedrijf vele malen belangrijker om te dichten. Microsoft werkt bijvoorbeeld precies hetzelfde.
En vaak werkt het ook nog.
Ze moeten gewoon dat als iemand zijn\haar VM activeert hun dwingen om een nieuw wachtwoord te gebruiken.

Change PWD at first logon policy. Minimaal 4 digits
"We keken al langer naar het probleem, maar als het in de media komt kan het binnen een paar uur gedicht worden." Het is in ieder geval duidelijk waar de prioriteiten bij Vodafone worden gelegd.
Ze zijn in ieder geval eerlijk en draaien er niet omheen. Maar gezien de korte tijd die nodig was om het op te lossen kan je je af vragen waarom ze dat niet eerder hebben gedaan. Het kan domweg niet veel geld kosten als je het in een paar dagen kunt oplossen.
Hoewel de kritiek op de rekening van Vodafone imo wel terecht is, vind ik dat die politici die hun code niet veranderen ook wel is wat meer betrokkken mogen zijn bij hun eigen informatiebeveiliging.

Ik zag die Pechtold in eenvandaag doodleuk zeggen dat ie 'niet wist' dat je die code kon veranderen.... sorry maar dan ben je wel een beetje een pannenkoek anno 2011. Ook dat iemand als Geert Wilders die code niet veranderd, of dat iig niemand van zijn team hem dat verteld is op zijn minst discutabel.

[Reactie gewijzigd door KoningL op 25 maart 2011 09:30]

Ik vind dat je iemand zijn team niet kan verwijten. Uiteraard zeggen ze wel dat je je wachtwoorden moet wijzigen om de zoveel tijd van je email, desktop etc, maar om alle codes/sleutels verplicht te moeten wijzigen en in de gaten moeten laten houden door het team, vind ik overbodig.
Inderdaad, die passcode blunder en de consequenties ervan kun je absoluut niet zonder meer bij de eindgebruiker leggen, met een: "maar we hadden je er een brief over gestuurd", of nog erger: "maar het staat in onze kleine lettertjes".

Even analyseren:
1.) Vodafone is degene die zonder klantverificatie (default!) de mogelijkheid heeft opengesteld om vanaf een ander toestel de voicemails van een Vodafone mobiel telefoonnummer te beluisteren.
2.) Vodafone zet op die door hunzelf opengezette 3rd-party voicemail afluisteroptie vervolgens wederom zonder klantverificatie (default!) een standaard (default!) passcode (3333).

Punt 1 is beveiligingstechnisch discutabel, maar nog wel passable... hoewel ik eigenlijk van mening ben dat de eindgebruiker dit actief zelf zou moeten aanzetten en er dan vervolgens meteen een eigen passcode bij moet definiŽren.
Punt 2 is vanuit beveiligingsoogpunt gewoon een doodzonde

Zou hetzelfde zijn als dat jouw emailprovider IMAP diensten gaat aanbieden, en dan vervolgens 1.) ongevraagd die dienst openzet voor al hun gebruikers en 2.) daarbij het password voor alle emailaccounts via IMAP instelt op "welkom".

Dit soort zaken hoort never nooit onder een default passcode/password beschikbaar te zijn. Ever.
En klanten mogen dus gewoon ook verwachten dat dat niet het geval is. Dat Vodafone de enige is in providerland die met dit soort stunts aankomt - en dan niet 1x maar 2x - is tekenend.


Die openstaande spoofmogelijkheid hierboven is nogzoiets. Wat vervolgens bijzonder tekenend is voor hoe Vodafone met privacy en beveiliging omgaat is de statement van hun woordvoorder:
"Het is echter geen groot en geen algemeen bekend probleem, waardoor het niet hoog op onze agenda stond. We moesten echter wel snel te werk gaan nadat bleek dat hiervoor in de media aandacht zou komen."
Ofwel, ff cru gesteld: "We wisten het al lang, maar maar het kan ons geen bal schelen dat derden kinderlijk eenvoudig jouw voicemail kunnen afluisteren... totdat er ophef over komt in de media".
Nice to know.

[Reactie gewijzigd door Cheetah op 25 maart 2011 10:33]

Volledig mee eens!
Ik vind niet dat je het mensen kunt verwijten dat ze niet weten dat er een functie is om op een andere telefoon je voicemail te beluisteren.
Roepen dat mensen hun wachtwoord moeten veranderen is een beetje kort door de bocht als ze niet eens over een bepaalde functionaliteit weten.

Niet iedereen leest alle handleidingen en lettertjes van zijn telefoon contract door, al helemaal niet als dat via het werk aangeboden is en ze er zelf helemaal geen omkijken naar hebben.
Tijdens de eerste keer dat je naar je voicemail belt moet je een menu doorlopen. Daarin moet je expliciet aangeven dat je geen eigen pincode in wilt stellen. Daarna krijg je te horen dat je vanaf een andere telefoon je je voicemail kunt benaderen door 3333 als pincode te gebruiken. Heeft dus niets met lezen van handleidingen of kleine lettertjes in contracten die je al dan niet gezien hebt te maken. Het gaat enkel om luisteren, iets wat je bij spraak telefonie normaal gesproken toch doet lijkt mij....
Want iedereen luistert het bericht ook even goed en stelt altijd alles in wat er gevraagd word in zo bericht. :)

En dan nog waarom een optie erin maken dat iedereen zelfde nummer krijgt als ze de instellen overslaan. En dan een andere optie maken zodat je met elke telefoon voicemail kan afluisteren met default paswoord. Was heel simpel op te lossen door vodafoon, als er default paswoord nog ingesteld staat dat je dan niet via andere telefoon kan inloggen, vodafoon heeft niet van die snuggere mensen in hun team zitten.

Maar eerste instantie zou je dus bij geen wachtwoord instelling hele voicemail moeten deactiveren tot mensen een eigen paswoord hebben ingesteld. Maar ja dat kost vodafoon geld, want elke voicemail die opneemt kost de beller geld en met het afrekenen per minuut levert voicemail dus veel geld op, ook wanneer die niet word ingesproken en gelijk opgehangen als voicemail aanspringt.

En erge is nog dat ze het al tijdje wist en niks tegen gedaan hebben, had gelijk geblokkeerd moeten worden. Mijn voicemail zijn niet zo interessant, maar die van rechter misschien wel voor sommige mensen en kunnen dus levens in gevaar brengen, om het maar even tot het extreme door te trekken!

[Reactie gewijzigd door mad_max234 op 25 maart 2011 13:53]

Ik probeer mijn voicemail altijd zo snel mogelijk uit te zetten (het is gewoon geldklopperij, want nu betaal je ook als de telefoon niet opgenomen wordt)

En ik heb dat menu nooit doorlopen terwijl er wel voicemailberichten ingesproken waren, deze berichten zijn dus voor iedereen toegankelijk geweest zonder dat ik daar van af wist/van af had kunnen weten.
Overbodig? Er worden mensen speciaal ingehuurd daar in Den Haag om dit soort dingen te 'regelen' voor de hoge heren. Je kan de ministers e.d. er niet persoonlijk op aanspreken, dat ligt toch echt aan de kwaliteit van de ondersteunende diensten in dit geval ICT/Telecom. Tis niet zo dat MP Rutte zijn telefoon zelf programmeerd, dat wordt voor hem gedaan. En al helemaal in het geval van Geert Wilders, de meest zwaar beveiligde politicus in Nederland ooit... dan is dit toch wel erg amateuristisch!

In het geval als in dit artikel, het spoofen van die nummers is toch wel een flinke fout bij Vodafone, zeker omdat blijkt dat dit al jaren mogelijk blijkt te zijn. Het artikel gaat er niet diep op in, ik krijg nu de indruk dat men dit heeft opgelost met een 'simpele' aanpassing, maar heeft dit niet oim een reden zo lang geduurd? Dat blijft er vaag imo. Staat overigens compleet los van het wachtwoorden drama, want ik blijf het schandelijk vinden dat Vodafone nu nog steeds in de berichten als de kwade partij wordt gezien... ik vind het puur nalatigheid van de gebuiker.
Ik denk inderdaad dat het niet raar is om ook naar de politici zelf te kijken.

Ik denk echter dat men zich vooral fysiek, voelbaar wil beveiligen. Sloten op deuren, beveiligers om zich heen en kogelvrije ruimtes. Echter, ook op niet-fysiek niveau is er beveiliging nodig. Een huis gaat ook niet vanzelf op slot, de mijne in ieder geval niet. Zo is het dus ook met computers, telefoons en dergelijken. Die dingen zijn niet per definitie veilig. Wat meer eigen inspanning zal dus niet schaden.

Ik wil hier echter niet de intentie wekken dat Vodafone geen blaam treft. Maar, er is dus ook een andere kant van het verhaal.
Erger zou het zijn als mensen geheime informatie op een voicemail inspreken. :9
zo werkt het helaas er moet eerst iets gebeuren en dan wordt het gefixed...allemaal fin. belangen wordt eerst uitgerekend of het wel uitkan........" Onder elke rotonde ligt ook een dode...."
Is toch logisch? Een onderneming heeft als doel geld te verdienen en voor een zo goed mogelijke cash flow te zorgen voor de continuiteit. Dat bereik je o.a. door investeringen uit te stellen.
Is toch logisch? Een onderneming heeft als doel geld te verdienen en voor een zo goed mogelijke cash flow te zorgen voor de continuiteit. Dat bereik je o.a. door investeringen uit te stellen.
Tot dat al je klanten weglopen na zo'n blunder.
De spoofing werkte vooral makkelijk vanaf desktops en laptops, waar met bepaalde programma's de indruk kan worden gewekt dat er met het nummer van een Vodafone-klant naar de voicemail wordt gebeld.
Dit is Tweakers toch? Waarom staan er geen enkele technische details hierover?
Ik weet dat het in Amerika eenvoudig kan, maar wist niet dat dat in Nederland ook werkte.
op webwereld staat dat het lek nog steeds NIET gedicht is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True