Directeur Jens Schulte-Bockum van Vodafone Nederland biedt zijn persoonlijke excuses aan voor een lek in de beveiliging van de voicemaildienst van het telecombedrijf. De aanbieder heeft direct de beveiliging van de spraakberichten aangepast. Een Vodafone-dienst waarbij vanaf een ander toestel de voicemail van een gsm kan worden afgeluisterd, was met een standaardcode beveiligd. Daardoor konden voicemailboxen eenvoudig worden afgeluisterd. Zo kwamen onder andere de berichten van politici op straat te liggen.
'Wij zijn enorm geschrokken van het bericht dat Een Vandaag de voicemails van politici heeft afgeluisterd', schrijft Schulte-Bockum. 'Toen wij het bericht kregen, hebben wij direct alles in het werk gesteld om de techniek zo aan te passen dat het niet meer mogelijk is om vanaf een andere telefoon een voicemail af te luisteren zonder persoonlijke pincode.'
'Graag wil ik aan de bewindslieden die zijn afgeluisterd persoonlijk mijn excuses aanbieden. Dat had nooit mogen gebeuren', schrijft de directeur.
Standaardcode
Tv-programma Een Vandaag legde in de uitzending van 23 maart 2011 bloot dat de voicemails van Vodafone-klanten eenvoudig af te luisteren zijn. Het telecombedrijf biedt de mogelijkheid om via een telefoonnummer in te bellen op de voicemail van een mobiele telefoon. De beller wordt gevraagd om het telefoonnummer van de voicemailbox die hij wil afluisteren te bellen en voert vervolgens een viercijferige beveiligingscode in.
Die code was standaard ingesteld op 3333. Daarmee lag de voicemailbox van iedere klant die de standaardcode niet had gewijzigd, open. Een beller moet dan natuurlijk wel op de hoogte zijn van het nummer van de Vodafone-klant.
Leverancier overheid
De redactie van het tv-programma achterhaalde voicemailberichten van politici als premier Mark Rutte, minister van Buitenlandse Zaken Uri Rosenthal en PVV-leider Geert Wilders, maar maakt die berichten uit privacy-overwegingen niet bekend.
Vodafone won in september 2010 de aanbesteding voor de levering van mobiele telefonie bij overheidsinstellingen. Ongeveer tienduizend ambtenaren hebben een contract bij de leverancier. Daaronder zijn ook De Nederlandsche Bank, rechtbanken en de Belastingdienst. Vodafone heeft in Nederland 5,1 miljoen particuliere klanten.
@Eric,
Ik ben het volledig met u ONeens. Juist uw manier van denken is de omgekeerde wereld. Het mag nooit PER DEFAULT zo zijn dat als een gebruiker niet ZELF een wachtwoord of code instelt, dat de boel dan letterlijk voor de hele wereld openstaat. Dat is echt heel, héél erg fout!
Als een belangrijke/invloedrijke dienst afhankelijk is van een persoonlijke code, dan mag die code niet al actief zijn voordat de gebruiker ook werkelijk een persoonlijke code heeft ingesteld. Dat is tegen alle veiligheidsregels en best practices in.
“Vodafone levert een dienst en heeft een keuze gemaakt om het zo te doen”
Een zondermeer 100% foute keuze.
“Als dit nergens duidelijk was uitgelegd heb je gelijk, maar in dit geval wordt de gebruiker netjes verteld hoe hiermee om te gaan.”
Dat iets uitgelegd wordt, ook al wordt het 10x uitgelegd, is op zich NIET een geldige reden om per default iets uitermate onveiligs te doen.
En je ziet trouwens ook dat Vodafone ’t direct heeft kunnen aanpassen. Dus dat stelde ook niet veel voor. Oftewel, het was puur gemakzucht van Vodafone om een default-code op de voicemails te zetten.
Belangrijke zaken waarvoor normaal gesproken authorisatie nodig is: daar mag je nimmer een standaardwachtwoord op zetten. Dat is gewoon 100% fout. Stel het als fabrikant dan minstens zo in, dat het systeem niet werkt voordat er een gebruikerswachtwoord is op gezet.
Het is BEKEND dat velen de handleidingen ook helemaal niet lezen: als ’t apparaat werkt door zelf logisch na te denken, dan is men tevree: handleiding ongeopend in de kast en klaar is Kees. Dit mag als fout gezien worden, maar het is iets waar fabrikanten absoluut rekening mee moeten houden. Sterker nog, het is juist doel van veel fabrikanten dat alles direct werkt zonder dat er een handleiding aan te pas komt.
@frans:
“…en zegt dit genoeg over de incompetentie van de gebruiker, ook in dit geval de politici.”
Je doet net alsof het NIEUW is dat mensen incompetent zijn. Dat is het pertinent NIET. Elke fabrikant moet zoveel mogelijk uitgaan van zo incompetent mogelijke gebruikers. Anders krijg je de grootste rampen.
Stel dat een kerncentrale per default op internet wordt aangesloten en een default wachtwoord heeft om op afstand via internet te kunnen bedienen. De gevolgen kunnen dan natuurlijk véél erger zijn, maar het principe is exact hetzelfde.
“Vodafone hoeft zich nergens voor te verontschuldigen!”
Wel degelijk.
Een goede les dat apparaten (ook pc’s en accounts van applicaties) nooit met een standaard password ingesteld moeten worden zoals 1233, 0000, password of welkom.
Het blijkt maar al te vaak dat wanneer je deze verantwoordelijkheid aan de “gebruiker” overlaat dat deze maar al te vaak verzuimt om dit aan te passen.
Wanneer je een onwerkbare code instelt dan verandert de gebruiker deze vanzelf wel terug naar iets werkbaars voor hem/haar.
In een ander artikel staat:
” De Tweede Kamer liet weten dat het risico sinds half januari bij het parlement bekend was. Fracties en Kamerpersoneel zijn gewaarschuwd, maar kennelijk heeft niet iedereen hier gehoor aan gegeven.”
Eigen schuld! Zelfs als het niet aangekondigd was. Kamerleden dienden zich bewust te zijn van communicatiemediums waarmee ze communiceren toen ze de politiek ingingen. Geheime/ zeer vertrouwelijke documenten gaan toch ook niet zomaar over de (reguliere) post.
Motie van Wantrouwen tegen diegenen die zo onverantwoordelijk met een mobiele telefoon (en bijbehorende diensten) omgaan. Zet die voicemail uit!! Lees je contractvoorwaarden, maar geef niet de dienst (voicemail) en de leverancier de schuld.
@Leo:
“Maar onze uitstekend betaalde en voro het merendeel goed opgeleide politici? Kom op, hoe naïef en wereldvreemd kun je zijn.”
Zo werkt het vaak niet. Het uitpakken en klaarmaken van een mobieltje is niet iets wat mensen ‘hoog in de gelederen’ zelf doen: dat laten ze bijv. door een secretaresse doen.
@Sysadmin:
Het maakt voor een hacker of cracker niks uit of ’t een ‘onwerkbare code’ is of niet. En als iemand nooit voicemail gebruikt, en er staat een default onwerkbare standaardcode op, dan is ’t systeem nog steeds zo lek als een mandje. Het mag wel een onwerkbare code zijn, als ie maar in elk geval niet standaard is. (Random dus. Maar misschien bedoelde je dat ook.)
Er wordt hier en daar wat kort door de bocht gereageerd.
Ten eerste moeten we ons realiseren dat Vodafoon een klantrelatie heeft en dan is het soms nodig dat je je klant uit de wind houdt. Zoals een aantal van jullie hebben opgemerkt heeft Vodafoon genoeg redenen om de verantwoordelijkheid bij de eindgebruikers te leggen.
Ik ben van mening dat iedere eindgebruiker een eigen verantwoordelijkheid heeft. We moeten ze echter wel wijzen op de mogelijkheden. Vodafoon heeft dat in dit geval gedaan. Dit vanuit een afweging tussen klantvriendelijkheid en security. Ik denk dat de eindgebruikers zich niet altijd even bewust zijn van de risico’s die ze open. Via bluetooth kan je hun telefoons ook helemaal leeg halen. Voorwaarde is dat je beschikt over de juiste programmatuur en binnen bereik bent. Dit is laatst al gedemonstreerd in een programma van de VPRO.
@sysadmin
Een van de meest gebruikte hackmethode is het gebruik van default passwords voor users / services met admin bevoegdheden. Het ligt dus niet alleen bij de eindgebruiker maar met name bij admins. Ben overigens benieuwd of je nu op internet zit met je admin bevoegdheden.
Inderdaad misschien iets te kort door de bocht. Hopelijk is dit voor elke bedrijf een les:
Default waarde en beveiling gaan in deze tijd niet meer samen. Dus bedenkt een oplossing zoals MM en sysadmin voorstellen (nog wel high-level).
het enige wat ik graag “standaard/default” wil zien is Voicemail default=UIT tenzij gebruiker expliciet de dienst aanvraagt en dan moet deze middels een unieke code geactiveerd worden en dan een eigen pincode opgeven. Codes zoals “0000”, “3333”, “1234” niet toestaan.
Een aantal collega’s laat zien dat ze klanten in hun waarde laten als die geen gevorderde gebruiker zijn. Zo hoort het.
Helaas spelen anderen weer eens voor arrogante nurd en katten klanten af wegens hun gebrek aan kennis van techniek en van bijvoorbeeld de door Vodafone gebruikte procedure.
Nurds, ik wed dat veel ICT-ers hun Vodafone voicemailbox niet beveiligd hadden omdat ze er niet vanuit gingen dat deze min of meer open stond tenzij je zelf een pincode opgaf.
Veel ICT-ers hebben namelijk een broertje dood aan het lezen van manuals voordat zij apparatuur en software gaan gebruiken. Het gevolg; veel datacommunicatieapparatuur en beveiligingssoftware in beheer van onze ICT-collega’s is zo te kraken, want de standaardwachtwoorden blijven gewoon in gebruik (Read The Bloody Manual).
En ook onze ICT-collega’s laten wel eens USB sticks slingeren. Heb er al tientallen gevonden en ja zelfs hele laptops en externe USB-schijven.
Natuurlijk hadden ICT-collega’s van de desbetreffende overheden bij de uitgifte van apparatuur meer aandacht aan het beveiligingsgat moeten schenken. Het primaire beheer ligt immers bij hen, net als bij de uitgifte van Laptops. En wellicht hadden andere ICT-collega’s dit al bij de tender beter kunnen en moeten regelen.
Maar de primaire oorzaak ligt bij de ICT-ers van Vodafone en hun bazen. Zoals Cavewalker, al heeft gezegd. “Heel Nederland heeft destijds toch ook niet dezelfde pincode op de pinpas gekregen?”
Domme gebruikers? Nee, eerder een beetje domme collega’s.
Opvallend:
Dat voice mail berichten, achter gelaten door personen (bewindspersonen)in de voicemail box van een ander (onduidelijk wie) ten gehore worden gebracht,
en dat vervolgens degene die de voicemail achter laat wordt aangeproken op de slechte beveiliging van de voicemailbox van de ander.
Dus het is niet zozeer dat (alleen) de bewindspersonen slordig zijn met de beveiliging van hun eigen mailbox, maar zeer zeker ook de ontvangers van het voicemail bericht.
Wel kun je je afvragen of het verstandig is vertrouwelijke mededelingen achter te laten in een voicemail box van een derde, waar je geen zicht hebt op de beveiliging etc. Als je dat (beleidsmatig) niet doet, is dit allemaal eigenlijk wel erg opgeblazen.
De beste manier om een geheim te bewaren is nog altijd door het niet (verder) te vertellen!
Het valt me wel op dat politici pas reageren op een schending van privacy als het hun eigen privacy betreft. Is het niet juist veel veiliger als hun mailbox uitgelezen kan worden? Ze hebben toch zeker niets te verbergen, want ze doen niks verkeerd? Dat is toch ook altijd het argument om inbreuk op onze privacy te maken?
Typisch gevalletje van een aanbesteding waarbij alleen op de prijs is gelet en niet op kwaliteit.
De functionarissen die dit intern hadden kunnen beoordelen waren waarschijnlijk net wegbezuinigd naar Roemenie oid.
Tsja het mot goedkoop, dan moet je ook op de blaren zitten.