De Tweede Kamer is al vanaf halverwege januari 2011 op hoogte van de risico's van het afluisteren van voicemails van politici. Een externe adviseur wees op die gevaren. De Kamer waarschuwde de fracties en medewerkers en riep hen via intranet en een persoonlijke mail op om de code voor toegang tot de spraakberichten te wijzigen. Dat vertelt een woordvoerder van de Tweede Kamer aan Computable. Over het afluisteren van voicemails van politici worden binnenkort in een spoeddebat Kamervragen gesteld.
Wanneer het spoeddebat plaatsvindt, is op dit moment nog niet bekend. Na de uitzending van tv-programma Eén Vandaag op woensdag 23 maart 2011 ontstond commotie. Het tv-programma stelde aan de kaak dat voicemails van politici eenvoudig afgeluisterd kunnen worden. Via een Vodafone-dienst kan met een ander toestel de voicemail van een gsm worden afgeluisterd. De gebruiker belt in op een nummer, toetst het telefoonnummer in van de voicemailbox die het wil bereiken en vervolgens moet een beveiligingscode ingetoetst worden. Die code bestond standaard uit de cijfercombinatie 3333. Bellers die beschikten over het 06-nummer van een Vodafone-klant konden zo de spraakberichten afluisteren als de pincode ongewijzigd was.
Procedure aangepast
Inmiddels is de procedure aangepast en werkt de dienst niet voordat een gebruiker de standaardcode heeft aangepast. De Tweede Kamer-woordvoerder stelt dat sinds de risico's met de voicemail bekend werden, geen nieuwe abonnementen uitgereikt zijn met een standaardpincode. De directeur van Vodafone Nederland schreef 23 maart 2011 dat direct na het bekendworden van het door Eén Vandaag blootgelegde risico de pincode-procedure is aangepast.
Het gevaar voor het afluisteren van de spraakberichten gelde overigens niet alleen voor politici. Ook de vijf miljoen particuliere klanten van Vodafone liepen het risico afgeluisterd te worden als zij de standaard beveiligingscode niet hadden aangepast.
‘Politici zijn nalatig’
Verschillende politici verklaarden in de tv-uitzending dat ze niet op de hoogte waren van het beveiligingsrisico. Veel Computable-lezers vinden het onterecht dat leverancier Vodafone door het stof moet. Ze stellen dat de politici nalatig zijn geweest in het beveiligen van hun voicemails.
Vodafone won in september 2010 de aanbesteding voor mobiele telefonie bij de overheid.
T-mobile heeft het in mijn geval nog bonter gemaakt. Bij mij was de code voor het afluisteren van voicemail gereset naar 000 of 0000 zonder dat ik het wist. Mogelijk is dit gebeurd bij verlenging van mijn abonnement. Ook bij mij en mogelijk vele andere t-mobile gebruikers was de voicemail beveiliging dus lek. Een ander punt is dat een code van een paar getallen wel erg makkelijk te kraken is.
Als je maar ook een greintje verstand hebt van beveiliging bij ICT dan weet je dat je de gebruiker tegen zichzelf moet beschermen. En in die zin is Vodafone gewoon laakbaar en verdienen een fikse boete.
*grinnik* Met veel plezier dit soort dingen gelezen de afgelopen week. Wat een onzin, “Voicemail Vodafone lek” dit soort grappen maakte wij in de vorige eeuw al: het welkomstbericht van collega’s aanpassen door gebruik te maken van de standaard code. En daar kan je veel plezier mee hebben.
Ik zou mij kunnen voorstellen dat je de VM laat activeren vanaf de juiste SIM-kaart en de mensen zelf een PIN-code laat kiezen. Maar laten we wel wezen. DIt is geen fout van Vodafone, dit is een gebruikersgrapje. Je klaagt toch ook niet bij Opel als je vergeet te sturen en tegen een boom aan rijdt?
Geen fout van Vodafone? Het is wel degelijk een ontwerpfout.
Je biedt als bedrijf een “extra” dienst aan, waar nog geen 1% van de klanten gebruik van maakt (en men dus niet bewust van is). Vervolgens maak je de klassieke fout om daar een standaard pincode aan te hangen.
Dat klinkt alsof er een App voor een bank op de markt wordt gebracht, waar je om je saldo te checken alleen een rekeningnummer in hoeft te vullen en standaard het wachtwoord op “geheim” staat. Bovendien zet de bank de toegang voor die App alvast even open voor de hele wereld.
Je kunt van eindgebruikers niet verwachten dat ze “extra diensten” kunnen overzien, als ze het bestaan ervan nauwelijks kennen.
Dat is net als Windows vroeger, waarbij standaard alle poorten open stonden. Gesloten, tenzij… bleek toch beter te werken, nietwaar?
@Lex: Ik vind deze “eigen schuld dikke bult” mentaliteit volkomen misplaatst. Er zijn werkelijk nul goede redenen om een dergelijke dienst uit te rusten met een default code.
Ook de commentaren op het voorgaande artikel die suggereren dat het aan luiheid of gebrek aan competentie en/of intellect van de gebruiker ligt getuigen van een behoorlijk gebrek aan realiteitszin. Men lijkt te willen zeggen: “ik ben slim genoeg om dit te begrijpen, dus kennelijk is die ander te dom”.
Mis.
Het uitgangspunt bij het ontwerpen van dit soort diensten, maar ook gebruiksvoorwerpen, software etc zou moeten zijn: “Don’t make me think”. Niet omdat gebruikers lui of te dom zouden zijn – integendeel. De meerderheid van de mensen hebben iets beters te doen dan te moeten denken aan het zichzelf beschermen tegen dit soort brakke ontwerpfouten.
Als er iemand lui of dom is, dan zijn dat diegenen die een dergelijke ontwerpfout maken of verzuimen te repareren. De provider is overigens ook de enige logische plek om dit soort dingen op te laten lossen – zij kunnen door een relatief simpele aanpassing het generiek voor iederen oplossen in plaats van alle gebruikers zich te laten inspannen om zich individueel te beschermen.
Uit de beknopte handleiding van Vodafone Voice Mail:
Buitenland
• bel +31654501233 met een mobiele of een vaste
telefoon. U kunt gevraagd worden om uw tiencijferig
mobiele nummer en pincode in te toetsen.
Dat is alles wat er over de pincode staat…
Voor kritische GSMs als deze zou voicemail ‘by policy’ afgezet/verboden moeten zijn..
Maar ergens is het wel leuk: de politici zitten er ook niks mee om de privacy van de gewone burger met voeten te treden. Kijk maar naar het aantal telefoontaps in ons kikkerlandje.
Ze hebben toch niks te verbergen in Den Haag…. ?
In de IT branch wordt over het algemeen een produkt als ‘onveilig’ bestempelt als het product een standaard wachtwoord heeft. Een veilig produkt heeft dat niet.
Je mag best de telefoondienst van Vodafone als onveilig bestempelen omdat het een standaard wachtwoord/pincode heeft. En het is ook onveilig als het de pincode 1234 accepteert. Leveranciers horen te weten dat er hackers en criminelen zijn die willen inbreken op telefoons.
En natuurlijk zijn de politici die hun standaard wachtwoord niet hebben gewijzigd zelf verantwoordelijk voor de problemen. Iedereen ontvangt bij een nieuwe chip/telefoon de instructies om de pincode te wijzigen end at moet je dan ook gewoon doen. Verantwoordelijkheid afschuiven op een ander is zoooooooooooooon vies spelletje.
@Marcus: een beveiligingscode is iets anders dan een voice mail code.