RSA, de leverancier van de secureid tokens, gaat klanten eindelijk aanbieden om tokens waarvan de geheime seeds zijn gestolen te vervangen. Dit vertelde RSA topman Art Coviello zijn klanten deze week in een open brief die RSA op haar website heeft geplaatst.
Het netwerk van RSA werd in maart van dit jaar gekraakt door hackers. RSA deed in eerste instantie zeer geheimzinnig over de gegevens die de hackers hadden buitgemaakt. Al snel bleek dat het de hackers om de geheime seeds (de unieke tekenreeksen die gebruikt worden om de one-time passwords op het token te genereren) te doen was.
Veel klanten nemen bij RSA SecureID tokens af omdat ze zich bewust zijn van de zwakte van wachtwoordbeveiliging. Het is voor hackers eenvoudig om bij gebruikers naar wachtwoorden te phishen (1 mailtje is over het algemeen voldoende) maar veel lastiger om van diezelfde gebruikers een fysiek token te stelen.
Dat RSA haar klanten na de inbraak in eerste instantie wees op het feit dat een token alleen niet voldoende was om op een netwerk in te loggen (men had immers toch ook nog een wachtwoord) verbijsterde veel security professionals. Dezelfde leverancier die klanten al jaren op de kwetsbaarheid van wachtwoorden wijst om haar producten te verkopen, was ineens van mening dat het eigen product van onvoldoende toegevoegde waarde was om het bij onbetrouwbaarheid te vervangen. Terwijl internetbedrijven regelmatig massaal hun klanten een nieuw wachtwoord laten kiezen als de gebruikersdatabase is gestolen, besloot RSA op de stoel van de klanten te gaan zitten en te beslissen dat het blijven aanhouden van de gecompromitteerde tokens voor haar klanten een geaccepteerd risico was.
Toen afgelopen week bleek dat de gestolen RSA tokens vermoedelijk zijn gebruikt om in te breken op het netwerk van Lockheed Martin, ging RSA eindelijk overstag. Klanten die dat willen, ontvangen een nieuw token. En zo hoort dat ook.
‘Klanten die dat willen, ontvangen een nieuw token.’
En hoe weten klanten dat ook van hun gegevens gestolen zijn? RSA zou uiteraard proactief elke klant moeten aanschrijven en een nieuw token aanbieden!
Het is spijtig dat een Security-provider als RSA meent de zorgvuldigheid in de communicatie te laten varen vanwege commerciële belangen. Ik heb me, als doorgewinterde beheerder, ook altijd afgevraagd waarom een bedrijf als RSA niet wat meer tools ontwikkelt voor verlenging certificaten etcetera. Dit is een behoorlijk probleem binnen grote organisaties.
Het is natuurlijk niet zo dat dat SecurID (dus niet ‘secureID’ zoals in het artikel staat) nu meteen geheel onveilig is geworden en dat de beveiliging dus alleen nog maar afhangt van het door de gebruiker gekozen wachtwoord (de pin).
De hacker die in het bezit zo zijn van de seeds moet nog meer informatie hebben van de gebruiker om eventueel misbruik te kunnen maken van het account. Die gegevens liggen, evenals de seed, niet zomaar op straat en dus is het niet zo dat de beveiliging van het account gelijkwaardig is geworden aan de beveiliging met alleen een password.