Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties

KPN heeft een tijdlang gebruikers van zijn zakelijke voipdienst ÉÉN hetzelfde wachtwoord gegeven. Om hoeveel accounts het precies gaat, is niet precies duidelijk; KPN houdt het op een 'specifieke beperkte groep'.

KPNVolgens Jurgen Greven van ict-dienstverlener Creative Tools, die het beveiligingsprobleem ontdekte, lukte het om bij alle KPN ÉÉN-accounts in te loggen met het wachtwoord 'Qwerty=12'. KPN bevestigt dat een groep gebruikers hetzelfde wachtwoord heeft gekregen, maar ontkent dat dat voor alle gebruikers gold. "Het gaat om een specifieke, beperkte groep", zegt woordvoerder Maurice Piek, die echter weigert aan te geven om hoeveel accounts het precies gaat.

Gebruikers konden het standaardwachtwoord wel wijzigen, maar KPN spoorde ze er niet toe aan, waardoor veel mensen het wachtwoord niet veranderden. Met het standaardwachtwoord kon Greven inloggen op de zakelijke beheeromgeving van ÉÉN. Die beheeromgeving geeft toegang tot de accounts van medewerkers en de belhistorie. Ook was het mogelijk om te bellen.

Inmiddels heeft KPN alle wachtwoorden gereset. De telecomgigant wil niet aangeven waar het beveiligingsprobleem precies zat. Verder klaagt Greven dat hij niet goed op de hoogte is gehouden nadat hij het lek had gemeld; pas weken later vertelde KPN dat het probleem was opgelost, toen Greven daar zelf naar informeerde. Volgens KPN had de 'informatievoorziening inderdaad beter gekund'. "We zijn hem heel erkentelijk voor het melden van dit probleem", aldus woordvoerder Piek.

Moderatie-faq Wijzig weergave

Reacties (55)

KPN gebruikt dit wachtwoord volgens mij standaard overal.

KPN Business ADSL: Ook hetzelfde default wachtwoord.
Zelf geconstateerd op 3 verschillende lijnen in de periode 2007 t/m 2012.
Niet alleen op account, maar ook op de meegeleverde routers.
Inmiddels ben ik wel netjes te woord gestaand door KPN; beetje laat maar toch. Blijft jammer dat er zo laks met beveiliging wordt omgegaan. :(
Ook moet gezegd worden dat KPN EEN een mooi product is waar veel bedrijven een hoop gemak en (financieel) voordeel van kunnen hebben.
Bij een relatie van mijn bedrijf Creative Tools, waar we KPN EEN geïmplementeerd hebben, heeft het een besparing opgeleverd van ruim 40% op de belkosten en is de terugverdientijd maar een paar maanden. :)
Dus als de beveiliging helemaal op orde is, zou ik het zeker aanbevelen!
Vind ik echt een tof reactie! Wel de problemen aankaarten, maar gelijk ook de positieven melden. Geweldig!
Die zelfde besparing + meer had je kunnen halen met een goeie PBX .dan had je klant maar 1 keer hoeven inverteren en geen mannelijkste abbo kosten gehad voor KPN een/ one. Maat ja dat wil jij als kon partner niet omdat je KPN EEN maandelijks een percentage over het bel volume krijgt. Waardoor je blijft verdienen zolang hij niet over stapt.
Bij andere providers krijg je normaal alleen afsluit fee
Wat je ook bedenkt, hier is geen excuus voor.

Afgezien van het 'share' gehalte 8-) |:( is er tevens voor een populair wachtwoord gekozen.
'qwerty' staat in de top 10 van veelvoorkomende wachtwoorden, het zou dan natuurlijk ook heel onverstandig geweest zijn om erg van zo'n populair wachtwoord af te wijken...
Aan de andere kant begrijp ik best dat zo'n wachtwoord dat je overal voor gebruikt makkelijk moet zijn te onthouden...
Toch denk ik dat 'WijZijnOngelooflijkeSukkelsEnNemenBeveiligingNietSerieus=1' als wachtwoord beter en moelijker te raden was geweest, maar ik kan het natuurlijk ook mis hebben... ;)
Toch heeft KPN vaak problemen met wachtwoorden, zo heb ik laats voor de buren contact met de klantenservice moeten opnemen, toe moest IK hun het persoonlijke wachtwoord geven. Dit terwijl er door allerlei bedrijven juist wordt gezegd dat een werknemer nooit naar een wachtwoord zou vragen. Van een groot bedrijf als KPN kun je toch wel verwachten dat ze rekeninghouden met veiligheid...
Hier is wel een verschil, bedrijven bellen nooit naar hun klant met de vraag mag ik uw wachtwoord even.

Als jij hen belt kan dat wel, je weet wie je aan het bellen ben (mag ik hopen), en als het goed is kunnen zij ook jouw wachtwoord niet zien. Vaak kunnen ze ook niet zomaar even in je gegevens browsen i.v.m. privacy (lijkt me). Los hiervan hebben ze wel meer debacles gehad dat kan je hier op Tweakers wel terugvinden, maar wat jij beschrijft lijkt me er geen.
Het is inderdaad zo dat ik weet met wie ik bel, maar veel mensen hebben maar 1 wachtwoord voor al een accounts op het internet. (is ook niet goed, dat weet ik, maar ze hebben dat nou eenmaal)

Mij lijkt dat ze hun systeem prima kunnen aanpassen zodat mensen van de helpdesk met 1 druk op de knop via hun account kunnen inloggen in dat van een klant. Dan is er geen wachtwoord nodig van een klant, ik vind het zelf persoonlijk niet professioneel over komen.
Toch wel zorgelijk dat het in deze tijd nog voorkomt. Ook zorgelijk dat bazen hun standaard wachtwoord niet veranderen...

Edit: Ben nog niet helemaal wakker denk ik.

[Reactie gewijzigd door Aijt op 30 april 2014 14:19]

Eerder zorgelijk dat de bazen hun standaard wachtwoord niet veranderen. Vooral bij zoiets privacygevoeligs als belgeschiedenis.
Ik vind het vooral zorgelijk dat de KPN niks heeft gedaan om het standaard wachtwoord te ontmoedigen.

Ja, die bazen zouden beter moeten weten. Maar je kunt er volgens mij maar beter vanuit gaan dat jouw klanten daar niet aan denken.

Je geeft ze een (random, ook niet voor iedereen hetzelfde :P ) wachtwoord waar ze maar 1x mee in kunnen loggen, en zodra ze dat doen verplicht je ze om hun wachtwoord te wijzigen. Klaar.

Kleine moeite, en scheelt zoveel gezeik achteraf.
Het wachtwoordbeleid van KPN wankelt tussen lachwekkend en zorgwekkend. Deze conversatie op Twitter is illustrerend:
https://twitter.com/RFC2321/status/434315142017204224

In een notendop: KPN spoort mensen in een weblog aan om vreemde karakters in wachtwoorden te gebruiken, uiteraard heel nobel. De grap zit em echter in het feit dat dit voor bijvoorbeeld "Mijn KPN" niet mogelijk is.

Op de vraag aan KPN of het niet hilarisch is dat hun eigen adviezen niet op hun eigen websites toepasbaar zijn, kwam helaas geen antwoord. 8)7
Jep... het ergste vind ik nog dat je dit soort foutjes van een klein, net beginnend bedrijf misschien zou verwachten. Zo'n bedrijfje bestaande uit 5 man ofzo, die alles zo goed mogelijk willen doen, maar nergens echt in gespecialiseerd zijn.

Van de KPN verwacht je toch op z'n minst een complete security-audit voor een product uitgerold wordt.
Idd, Lijkt me toch eenvoudig. Random password generator bij ieder nieuw account. Random password bestaat al heel lang. De vraag is waarom dit niet gebruikt is.

Je kunt brute force toepassen op de loginpagina"

Max x logins per ip per minuut dan blok voor x minuten lost al een groot deel van de problemen op.
Of login met controle per sms ook als mogelijk bij veel aanbieders
Zolang mensen daar niet toe worden verplicht zal men altijd de makkelijke weg kiezen, niet wijzigen dus...
Verder vraag ik me af wat voor zin een captcha zou hebben op de loginpagina. Dit raadt diegene die het ontdekt heeft aan, maar dit houdt tegenwoordig geen enkele bot meer tegen.

Brute-force beveiliging hoort natuurlijk wel.
We hebben op een vorige stageplaats met systemen van ASP4All gewerkt, daar kon je het (standaard) ingestelde wachtwoord niet veranderen, want dat werd elke nacht gereset. Dus iedereen had daar hetzelfde wachtwoord. :')
Dat soort systemen zouden verboden moeten worden. Letterlijk. Dus simpelweg een boete van tienduizenden euro's voor een bedrijf dat zoiets aanbiedt en/of enkele maanden celstraf voor de persoon die zoiets bedenkt (en dus niet per se voor de individuele developers, want die hebben wellicht geen keuze gehad).
Als de wet zou zeggen dat dat niet mag, dan geldt dat óók voor de individuele developers. Als hun baas zegt: "Jaja de wet, maar ik wil dat je het toch doet!" , dan is het aan de developers om van die baas een ondertekende verklaring te eisen.
Als je baas zegt dat je iemand neer moet steken doe je het toch ook niet?
Allemaal hetzelfde wachtwoord, wel zo makkelijk en lekker klantvriendelijk he? </cynicism>
Onprofessioneel gepruts...
Tjah het gebeurt wel bij meer bedrijven hoor.

Als je bij T-mobile / Ziggo / KPN je wachtwoord laat resetten is het bijna altijd Welkom.00 / Welkom.01 / Welkom / Welkom00 / Welkom01

Door het gepush van tijden en het gedreig met ontslag wat medewerkers vaak meemaken bij dit soort bedrijven krijg je dit soort situaties. Door het "sneller" en "automatisch" maken van bepaalde handelingen zonder daarbij een randomizer in te bouwen is gewoon heel erg kwalijk.
Ik kan me zoiets hooguit voorstellen dat zoiets als 'first time login' gebruikt word,
waarna je onmiddelijk het password zult moeten veranderen.

Mee eens dat de werkdruk tegenwoordig hoger ligt, en dat fouten maken daar een
regelrecht gevolg van zal zijn. Maar mag zeker geen excuus hiervoor zijn!
Kwestie van in de procedure opnemen, dat de klant na een password reset verplicht wordt om het tijdelijke password direct te wijzigen. Als ik bijvoorbeeld mijn password voor de EMC support site kwijt ben, dan krijg ik een random password toegestuurd. Log ik daarna in op de website, moet ik hem direct aanpassen. En dat is ook wat je doet als een van je gebruikers zijn password vergeten is: resetten naar iets en aanvinken "user must change password after first logon".
Ik ken het achterliggende platform en brute force is niet mogelijk. Na een aantal keer het verkeerde wachtwoord zal het desbetreffende account geblokkeerd worden.
Deze moet vervolgens vanaf een hoger niveau weer vrijgegeven worden.

Daarnaast zijn de gebruikersnamen ook niet zomaar te verzinnen / te achterhalen.
Natuurlijk is het wel erg slordig om hetzelfde wachtwoord te gebruiken.
Als het wachtwoord voor veel accounts hetzelfde is, is brute force niet eens nodig. Het enige obstakel is dus het achterhalen van de gebruikersnamen waarmee je dit wachtwoord kunt proberen.
Wachtwoord is bekend, gebruikersnaam kun je dan brute forcen. Een blokkade gebeurt op basis van gebruikersnaam, dus daar heb je geen last van.
Blokkade account na aantal keer inloggen is instelling die gebruiker zelf moet doen. Staat dit niet aan dan kan je dus oneindig vaak proberen (brute force).
Gebruikersnamen zijn juist heel makkelijk te verzinnen. Dat zijn nl. de kpn accountnummers en die zijn gewoon ongenummerd.
Hoezo slecht ontwerp :+
Vind het ook erg slecht van bedrijven dat deze het standaard wachtwoord aanhouden. Wat voor ICT-beleid heb je dan? Ik vind daarom dat je het niet alléén KPN kan verwijten.
Gedeelde vreugd is dubbele vreugd.
Gedeelde smart is halve smart.

Gedeelde schuld is [ dubbele / halve ]* schuld.

* doorhalen wat niet van toepassing is

Ikzelf denk als 10 mensen staan te kijken hoe iemand verdrinkt, en ze zouden allemaal kunnen helpen dat de individuele schuld dan iets als een factor sqrt(10) van de "primaire" schuld.
(Maar dat is voor rechters waarschijnlijk véél te moeilijk.)
Ik hoop voor ze dat ze dat hier niet zo doen: http://www.kpn.com/zakelijk/cloud.htm :+
Daar dacht ik meteen aan: "Weet u wie er bij uw data kan?".

Nou KPN in elk geval niet!!

http://www.kpn.com/ss/Sat...jk-cloud-aanbiedingen.jpg

[Reactie gewijzigd door S0epkip op 30 april 2014 14:22]

Als je in de veronderstelling bent een uniek wachtwoord te hebben, omdat het nu niet echt klinkt als een standaardwachtwoord, word je inderdaad niet aangespoord het te veranderen.
Ik heb tijdenlang een wachtwoord op een website gehad wat me als tijdelijk wachtwoord werd toegestuurd, was zo'n bizar woord dat niemand het zou raden..
Qwerty=12 klinkt anders wel aardig als een password wat standaard gegeven word hoor. Net zoiets als welkom01. Maar dan hoor je na het inloggen natuurlijk wel naar een verplicht change password geleid te worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True