KPN heeft noodgedwongen maatregelen moeten nemen om de inlogbeveiliging rondom de self care-omgeving op internet voor zakelijke adsl-klanten te verbeteren. Na een tip bleek dat 180.000 zakelijke adsl-klanten 'welkom1' of een afgeleide daarvan als standaardwachtwoord hadden gekregen. Bijna 120.000 klanten pasten dit wachtwoord niet aan. KPN heeft direct de omgeving uit de lucht gehaald en heeft alle niet gewijzigde wachtwoorden automatisch gereset.
KPN-klanten kunnen op de online self care-omgeving inloggen om zelf bepaalde administratieve taken rondom hun account te regelen. Hier vallen onder het wijzigen van het e-mailadres, wijzigen van de verbindingssnelheid en het aanvragen of opheffen van extra diensten. Een tip bracht de beveiligingskwetsbaarheid rondom de inlogprocedure aan het licht.
Standaardwachtwoord
In veel gevallen verstrekt KPN aan nieuwe zakelijke adsl-klanten bij het afsluiten van het abonnement een standaardwachtwoord voor toegang tot de online self care-omgeving (varianten op de term ‘welkom1'). Klanten kunnen dit dan zelf wijzigen in een eigen wachtwoord. Na de tip heeft KPN geconstateerd dat een kleine 120.000 van de in totaal 180.000 klanten dit standaardwachtwoord niet heeft gewijzigd. Daarnaast blijkt dat circa 20.000 klanten de gebruikersnaam óók als wachtwoord gebruikt. Klanten lopen hierdoor het risico dat onbevoegden tamelijk eenvoudig op hun self care-pagina zouden kunnen inloggen. KPN heeft geen aanwijzingen dat dit ooit is gebeurd, maar heeft meteen maatregelen genomen om de klanten te beschermen.
Op donderdag 5 juli 2012 gaat de online self care-omgeving van KPN rond 12.00 uur weer live. Klanten hebben een e-mail ontvangen met uitleg over de situatie, instructie voor het aanmaken van een nieuw wachtwoord en tips over hoe een veilig wachtwoord te kiezen. Klanten kunnen vanaf dat moment weer inloggen. Voor ongeveer 40.000 klanten is dit met hun bekende, zelfgekozen wachtwoord, de andere 140.000 klanten moeten een nieuw wachtwoord aanmaken.
KPN maakt zich zelf tevens schuldig aan computervredebreuk door alle accounts te checken op gebruikersnaam = wachtwoord. Deze wachtwoorden zijn immers door de gebruiker (of de hacker…) veranderd.
@Frank: Ik durf wel te stellen dat dit kletskoek is. Mooi woord, hoor, dat “computervredebreuk” maar het heeft hiermee niets te maken.
Ik controleer op ons bedrijfsnetwerk regelmatig de hashes van de wachtwoorden en controleer ook de laatste wijzigingsdatum. Mensen met “oude” wachtwoorden worden verplicht om hun wachtwoord te wijzigen. ALs ik zie dat meerdere mensen dezelfde hash in hun account hebben dan weet ik dat ze hun wachtwoord met elkaar delen en laat ik ze onafhankelijk van elkaar eveneens hun wachtwoord veranderen.
Een simple testje, zoals de hash over iemands usernaam uitrekenen en die vervolgens met de wachtwoord hash vergelijken heeft natuurlijk helemaal niets met computervredebreuk te maken.
Het heeft natuurlijk wel alles met het voorkomen van computervredebreuk te maken. Hèhè…
Een standaardantwoord op dit soort problemen is dat men zelf verantwoordelijk is voor het aanmaken van een goed wachtwoord.
Of dat van de klant verwacht mag worden (mag dus niet – de cijfers _bewijzen_ het), doet niks af aan het feit dat het (bij alle belangrijke zaken) _altijd_ fout is om standaardwachtwoorden uit te delen. Als er een standaardwachtwoord actief is, staat het account sowieso een tijd (en soms heel lang) open voor alle nieuwsgierigen op deze aardbol (daar waar we spreken over online accounts natuurlijk).
Bedrijven die met standaardwachtwoorden werken, hebben sowieso niet de juiste veiligheidsprotocollen in werking.
@Peter, eens, de soep wordt vaak niet zo heet gegeten, ik kan echter niet uit het artikel opmaken hoe KPN e.e.a. checkt.
Overigens had ik het slimmer gevonden dat alle accounts een nieuw wachtwoord zouden moeten krijgen. KPN weet immers niet wat er exact met de 40.000 accounts gebeurd is, waarbij “welkom1” wél werd gewijzigd (maar niet in de gebruikersnaam).
Mijn indruk is dus dat KPN welwillend is, maar blijkbaar nog steeds niet doordrongen is van de ernst en/of de juiste kennis niet aan boord heeft.
Gebruik gewoon een tool o.i.d. om goede wachtwoorden te genereren. Kijk bijvoorbeeld naar het gratis tooltje KeePass waarmee je wachtwoorden kan genereren en beveiligd opslaan.
Daarnaast kan het geen kwaad voor de zekerheid een mailtje te sturen naar het oorspronkelijk ingestelde e-mail adres zodra er iemand inlogd op de beheerpagina, zie ook Facebook dat dergelijke mails stuurt. Per wijziging zou je ook een update mailtje moeten sturen ter bevestiging.
Dat verkleint de kans op (ongemerkt) misbruik aanzienlijk.
Ik snap de discussie niet… Alle gebruikers zijn met email geregistreerd. Hoe moeilijk is het nu om alle wachtwoorden door een randomizer te laten regenereren/resetten, en de gebruikers een reset-link te sturen? Net als een ‘ik ben mijn wachtwoord vergeten’ procedure die de meeste websites hebben? Ben je van alle geneuzel af.
Nu we steeds vaker met die “Vredebreuk” te maken krijgen vraag ik me stellig af of die aardig gratis tools en randomizers ook geen handige manier is om makkelijk te kraken wachtwoorden te genereren…
Achterdocht is mogelijk de nieuwe standaard met al die sneaky zaken die er met ons uitgehaald worden.
En dit is niet de eerste blunder, lijkt mij niet zo moeilijk om een gedwongen pasword change af te dwingen, nadat de gebruiker de zaak heeft geïnstalleerd!