Internet- en kabelaanbieder Ziggo organiseert maandag 30 juni 2014 een hackathon. Het bedrijf daagt hackers, studenten en ict'ers uit om hun nieuwe wifi-spots te kraken. Op het hoofdkantoor van Ziggo in Utrecht worden meerdere wifi-spots opgesteld die het netwerk simuleren. Deelnemers krijgen de opdracht om in te breken in het wifi-netwerk dat gebruik maakt van de thuismodems van klanten.
Met de actie hoopt Ziggo eventuele lekken of verbeterpunten in de beveiliging te ontdekken. Het bedrijf is ervan overtuigd dat de beveiliging goed is geregeld. Het zet een grote test op omdat de wifi-spots tot nu toe alleen op kleinere schaal zijn getest.
In de zomer van 2013 zijn de thuismodems van 1,2 miljoen klanten uitgerust met ‘wifi-hotspot’. Klanten die zich buiten bereik van hun apparatuur bevinden kunnen via een extra kanaal bij andere Ziggo-abonnees toegang krijgen tot wifi. Daardoor ontstaat een groot wifi-netwerk op basis van thuis-routers.
De organisator van de hackaton rekent op ongeveer 35 deelnemers. De uitslag van de beveiligingstest moet nog dezelfde dag gecommuniceerd worden.
NCSC
Eind april 2014 was Ziggo slachtoffer van een grootschalige hack waarbij via een Duits botnet wereldwijd 18 miljoen internetadresen en wachtwoorden werden buitgemaakt. Volgens het Nationaal Cyber Security Centrum (NCSC) zijn in Nederland 50.000 internetgebruikers gedupeerd.
Bij Ziggo zouden de hackers mogelijk toegang hebben gehad tot zo’n 2000 e-mailadressen. Getroffen klanten zijn in een brief gewaarschuwd dat cybercriminelen mogelijk toegang hadden tot hun e-mail.
Ik wil absoluut niet negatief klinken maar Ziggo, hier zakt een beetje mijn broek van af. Klaarblijkelijk hebben niet veel binnen jullie ICT afdelingen het begrepen.
Je ontwikkeld een product, daarna test je het, en als laatste release je het. Ziggo released het en komt een jaar na dato met een geweldig commercieel initiatief. Je mag gaan proberen hetgeen allang is uitgerold, te hacken binnen een gesimuleerde omgeving.
Beste Ziggo, dat had je van te voren moeten optuigen en een tweede, het uiteindelijke testen doe je niet binnen een beschermde omgeving maar dat doe je tijdens een pilot wanneer je product live is. Pas dan kun je werkelijk gebruik maken van praktijk situaties en zien hoe de situatie bij mensen thuis is.
Beide punten getuigen van weinig kennis en ervaring met iets heel basaals. De gewone E2E IT keten. De basis van je IT.
Dat noem ik zorgelijk.
NumoQuest is me zoals wel vaker voor.
Het lijkt een beetje een modetrend te zijn om wat hobbyisten uit te nodigen in een gecontroleerde omgeving om zo te laten zien hoe goed ze het voor elkaar hebben.
Neen beste Ziggo…. leer eerst eens wat hackers zijn, en wat hackers doen.
Begrijp eerst dan vanzelf waarom jullie actie hooguit goed voor marketing doeleinden is.
Serieuze experts laten zich niet koeieneren!
Het huidige wifit-spots van Ziggo is vorig jaar bij lancering al eens onder de loep genomen, zie o.a. http://webwereld.nl/beveiliging/77684-ssl-fout-ziggo-maakt-stadswifi-voor-iedereen-gratis
“(..) Omdat certificaten niet worden gevalideerd, kan een valse server de wachtwoordhashes van klanten opvangen. En met een gekraakt wachtwoord, wat niet zo lastig is om te doen, is vervolgens in te loggen op andere Ziggo-hotpots van het openbare WiFi-netwerk voor Ziggo-klanten.”
Antwoord Ziggo toen:
“De woordvoerder van Ziggo meldt dat de beveiliging minder streng is, maar dat waterdichte beveiliging niet door alle devices wordt ondersteund. De provider heeft daarvoor gekozen om het netwerk toegankelijk te houden. Ziggo adviseert gebruikers die zich zorgen maken over het risico van hackers om hun wachtwoord regelmatig te resetten.”
Oftewel: ze hebben de nodige consessies gedaan aan de security kant ten bate van de gebruiksvriendelijkheid..
Zijn ze nu bezig met een veilig systeem en willen ze daar testers voor? Lijkt me idd raar als ze ruim een jaar later ineens het huidige systeem nog eens willen ’testen’.
De echte hackers hebben dat al lang geleden gedaan en gaan dat heus niet zomaar met Ziggo delen.