Directeur Jens Schulte-Bockum van Vodafone Nederland biedt zijn persoonlijke excuses aan voor een lek in de beveiliging van de voicemaildienst van het telecombedrijf. De aanbieder heeft direct de beveiliging van de spraakberichten aangepast. Een Vodafone-dienst waarbij vanaf een ander toestel de voicemail van een gsm kan worden afgeluisterd, was met een standaardcode beveiligd. Daardoor konden voicemailboxen eenvoudig worden afgeluisterd. Zo kwamen onder andere de berichten van politici op straat te liggen.
'Wij zijn enorm geschrokken van het bericht dat Een Vandaag de voicemails van politici heeft afgeluisterd', schrijft Schulte-Bockum. 'Toen wij het bericht kregen, hebben wij direct alles in het werk gesteld om de techniek zo aan te passen dat het niet meer mogelijk is om vanaf een andere telefoon een voicemail af te luisteren zonder persoonlijke pincode.'
'Graag wil ik aan de bewindslieden die zijn afgeluisterd persoonlijk mijn excuses aanbieden. Dat had nooit mogen gebeuren', schrijft de directeur.
Standaardcode
Tv-programma Een Vandaag legde in de uitzending van 23 maart 2011 bloot dat de voicemails van Vodafone-klanten eenvoudig af te luisteren zijn. Het telecombedrijf biedt de mogelijkheid om via een telefoonnummer in te bellen op de voicemail van een mobiele telefoon. De beller wordt gevraagd om het telefoonnummer van de voicemailbox die hij wil afluisteren te bellen en voert vervolgens een viercijferige beveiligingscode in.
Die code was standaard ingesteld op 3333. Daarmee lag de voicemailbox van iedere klant die de standaardcode niet had gewijzigd, open. Een beller moet dan natuurlijk wel op de hoogte zijn van het nummer van de Vodafone-klant.
Leverancier overheid
De redactie van het tv-programma achterhaalde voicemailberichten van politici als premier Mark Rutte, minister van Buitenlandse Zaken Uri Rosenthal en PVV-leider Geert Wilders, maar maakt die berichten uit privacy-overwegingen niet bekend.
Vodafone won in september 2010 de aanbesteding voor de levering van mobiele telefonie bij overheidsinstellingen. Ongeveer tienduizend ambtenaren hebben een contract bij de leverancier. Daaronder zijn ook De Nederlandsche Bank, rechtbanken en de Belastingdienst. Vodafone heeft in Nederland 5,1 miljoen particuliere klanten.
Dit is werkelijk de omgekeerde wereld… Dat Vodafone het boetekleed aantrekt voor iets wat door de gebruiker geregeld moet worden… ongelooflijk.
Vodafone zet in ALLE documentatie die de gebruiker ontvangt dat de pincode direct gewijzigd moet worden. De goed bedoelde extra service dat voicemails op afstand en vanaf een andere telefoon beluisterd (is wat anders dan afgeluisterd) kunnen worden, komt hiermee onterecht in een kwaad daglicht te staan.
Het is duidelijk dat er weer een (politieke) zondebok gezocht wordt, voor eindgebruikers die wel moderne middelen willen gebruiken maar totaal niet weten hoe hiermee om te gaan.
Is het aanpassen van je persoonlijke pincode geen kwestie van “eigen verantwoordelijkheid” en zegt dit genoeg over de incompetentie van de gebruiker, ook in dit geval de politici. Vodafone hoeft zich nergens voor te verontschuldigen!
Ben ik het niet mee eens; ze moeten de default waarde natuurlijk niet op ‘0000’ zetten. Gewoon standaard disabelen van de functie en alleen enablen als de gebruiker zijn/haar default waarde heeft veranderd.
Als dienstverlener moet je er van op de hoogte zijn dat eindgebruikers dingen NIET doen. Vandaar dat de standaard code 3333, als deze niet gewijzigd wordt, na een bepaalde tijd – zeg, 1 week – moet vervallen. Dit moet natuurlijk wel in de gebruiksaanwijzing vermeld worden. Als de eindgebruiker dan toch van de functionaliteit gebruik wil maken moet hij/zij opnieuw een code aanvragen.
@Rogier, je mag het er niet mee eens zijn. Twee opmerkingen: 1) het is niet ‘0000’ maar een andere waarde, 2) Vodafone levert een dienst en heeft een keuze gemaakt om het zo te doen. Als dit nergens duidelijk was uitgelegd heb je gelijk, maar in dit geval wordt de gebruiker netjes verteld hoe hiermee om te gaan. Wijzigen dus.
Je kunt moeilijk alle gemaakte keuzes in het leven op deze manier ter discussie stellen of zelfs veroordelen. Juridisch gezien heeft Vodafone juist gehandeld, naar gebruiksgemak gekeken m.i. eveneens.
PS: nee, ik werk niet bij Vodafone 😉
Het is volkomen terecht dat Vodafone zo wordt aangepakt. Een dergelijke dienst hoort niet standaard aan te staan met een default ‘beveiliging’! Moeilijk is het niet: de klant moet dit zelf expliciet willen en inschakelen, en dan pas is de klant inderdaad verantwoordelijk voor een eigen code.
Naar mijn mening zou de pincode random gegenereerd moeten worden, die je vervolgens naderhand kunt wijzigen. Heel Nederland heeft destijds toch ook niet dezelfde pincode op de pinpas gekregen?
En dan te denken dat zij ook leveren bij de politie… hoe gemakkelijk wil je het tegenwoordig maken voor criminelen journalisten en sensatiezoekers… eigenverantwoordlijkheid? Beetje te simpel excuus voor dergelijke omgevingen… we hebben het hier over regeringsfunctionarissen en politiemensen.
Het ministerie mag zich dit wèl aantrekken. Bij het vertrekken van een bedrijfstelefoon (praten we hier over neem ik aan) hoort een beveiligingsbeleid wat hier minimaal op stuurt. Voor de rest: ik ben zelf Vodafone klant, bij het verstrekken van de telefoon en het installeren wordt volstrekt duidelijk dat de code standaard is ingesteld en dat je die moet wijzigen. Of die policy voor iedereen toereikend is, misschien dat mijn vader van 87 hier problemen mee heeft. Maar onze uitstekend betaalde en voro het merendeel goed opgeleide politici? Kom op, hoe naïef en wereldvreemd kun je zijn. Ik mag hopen dat ze ook een password hebben ingesteld op hun telefoon en hu n PC’s.
Om daar als directeur voor door het stof te gaan, wat mij betreft volstrekt overbodig. Dit is DOMHEId.
Ik mag toch hopen dat bewindslieden een veiligheidsbriefing krijgen en dat er iemand met verstand van techniek de communicatiemiddelen regelt?
We hoeven ministers toch ook niet te vertellen dat ze geen usb-sticks rond laten slingeren, geen vertrouwelijke stukken mailen naar hotmail en dat ze niet hardop praten in de kroeg als ze geheime plannen bespreken?