Directeur Jens Schulte-Bockum van Vodafone Nederland biedt zijn persoonlijke excuses aan voor een lek in de beveiliging van de voicemaildienst van het telecombedrijf. De aanbieder heeft direct de beveiliging van de spraakberichten aangepast. Een Vodafone-dienst waarbij vanaf een ander toestel de voicemail van een gsm kan worden afgeluisterd, was met een standaardcode beveiligd. Daardoor konden voicemailboxen eenvoudig worden afgeluisterd. Zo kwamen onder andere de berichten van politici op straat te liggen.
'Wij zijn enorm geschrokken van het bericht dat Een Vandaag de voicemails van politici heeft afgeluisterd', schrijft Schulte-Bockum. 'Toen wij het bericht kregen, hebben wij direct alles in het werk gesteld om de techniek zo aan te passen dat het niet meer mogelijk is om vanaf een andere telefoon een voicemail af te luisteren zonder persoonlijke pincode.'
'Graag wil ik aan de bewindslieden die zijn afgeluisterd persoonlijk mijn excuses aanbieden. Dat had nooit mogen gebeuren', schrijft de directeur.
Standaardcode
Tv-programma Een Vandaag legde in de uitzending van 23 maart 2011 bloot dat de voicemails van Vodafone-klanten eenvoudig af te luisteren zijn. Het telecombedrijf biedt de mogelijkheid om via een telefoonnummer in te bellen op de voicemail van een mobiele telefoon. De beller wordt gevraagd om het telefoonnummer van de voicemailbox die hij wil afluisteren te bellen en voert vervolgens een viercijferige beveiligingscode in.
Die code was standaard ingesteld op 3333. Daarmee lag de voicemailbox van iedere klant die de standaardcode niet had gewijzigd, open. Een beller moet dan natuurlijk wel op de hoogte zijn van het nummer van de Vodafone-klant.
Leverancier overheid
De redactie van het tv-programma achterhaalde voicemailberichten van politici als premier Mark Rutte, minister van Buitenlandse Zaken Uri Rosenthal en PVV-leider Geert Wilders, maar maakt die berichten uit privacy-overwegingen niet bekend.
Vodafone won in september 2010 de aanbesteding voor de levering van mobiele telefonie bij overheidsinstellingen. Ongeveer tienduizend ambtenaren hebben een contract bij de leverancier. Daaronder zijn ook De Nederlandsche Bank, rechtbanken en de Belastingdienst. Vodafone heeft in Nederland 5,1 miljoen particuliere klanten.
En ze zijn nog steeds eenvoudig te beluisteren…
Begin jaren 90 (van het vorige decennium) had Vodafone al een standaard pincode op haar voicemail boxen. Hoe kan het zo zijn dat we anno 2011 doen alsof dit iets nieuws is?
Vodafone biedt haar excuses aan aan de ministers….. Betere reclame kun je je mijns inziens niet wensen!
Inderdaad via een nummerspoofing zonder pincode. je hebt alleen het telefoonummer nodig.
Vodafone wil niet spreken van een lek, maar van een “aanscherping van de voicemailbeveiliging in strijd tegen cybercrime”.
Zie http://webwereld.nl/nieuws/106139/vodafone-voicemail-ook-lek-via-nummerspoofing—update.html. Op een andere website geven ze nog veel meer technische informatie, maar daar wil ik niet naar verwijzen omdat het lek nog gedicht zou zijn.
Als gebruiker moet je op je klompen aanvoelen dat iedereen jouw berichten kan beluisteren als je de standaardcode niet verandert. Tenzij je niet weet waar je mee bezig bent. Voor mensen op zulke topposities vind ik deze achteloosheid onbegrijpelijk.
@Leonardo, lees de berichten niet zo achteloos. Het tweede lek, dat Vodafone pas na druk van de media wilde dichten, had helemaal geen pincode nodig!
Overigens is ook de beveiliging met een 4-cijferige cijfercode maar zeer beperkt. Het is een beveiligingsmethode uit de jaren zestig, bedoeld voor ATM’s en deurvergrendelingen waar de code handmatig moet worden ingevoerd.
Als je wilt beveiligen tegen een simpele brute force attack, dan moet je de voicemail dienst na een aantal mislukte pogingen blokkeren. En dat moet wel op een slimme wijze gebeuren, want anders kan de eigenaar van de voicemail box er zelf ook niet meer bij.
Het zou wel een blunder zijn als men de voicemail van bekende Nederlanders heel simpel kan blokkeren.