Password tele2box bij tele2 gemeld

[Computerleek]

Beste forum gebruikers,het leek me echt te gek dat er zo veel mensen in België zijn met een tele2allin formule die niet op de hoogte zijn dat men zo in hun modem kan en op hun kosten kan bellen en surfen. Dus heb ik een mailtje naar tele2 gestuurt dat het login en password bekent is en op dit forum te vinden is. Houd jullie op de hoogte van de reactie die ik krijg.

[Tele2Tech]

Beste forum gebruikers,het leek me echt te gek dat er zo veel mensen in België zijn met een tele2allin formule die niet op de hoogte zijn dat men zo in hun modem kan en op hun kosten kan bellen en surfen. Dus heb ik een mailtje naar tele2 gestuurt dat het login en password bekent is en op dit forum te vinden is. Houd jullie op de hoogte van de reactie die ik krijg.

Hmmm, dat had ik al gemeld zo'n 13 minuten nadat het was verschenen op het forum. Kan me echter geen manier inbeelden waarop je op iemand anders' kosten kan telefoneren omdat je het wachtwoord kent van de router.

Mvg
Tele2Tech

[Computerleek]

Had mijn oud ip addres gebruikt en zat in iemand anders zijn modem leg dat eens uit.

[Tele2Tech]

Had mijn oud ip addres gebruikt en zat in iemand anders zijn modem leg dat eens uit.

Ja, en nu nog bellen op hun kosten?


Mvg
Tele2Tech

[FST]

@Tele2tech, ik zou de mensen bij wie je gaat installeren goed inlichten als ik van jou was ivm dit...

Ik was aan het twijfelen of ik dit op je vorige pas gemaakte post ging replyen of niet...

Bij deze nu het toch bekend is zal ik eens zeggen wat jij(en mischien nog anderen) over het hoofd ziet:

Je kunt degelijk inloggen op iemand anders's modem met standard password! ik heb het eens getest met een of ander IP uit zelfde range als mijne, zelfs van buiten het versatel netwerk gaat het! (telenet getest)

Wat kun je doen als je inlogged bent ?
- alles configgen op die z'n modem
- logs bekijken (als die er zijn)
- telefoonoproeplogs bekijken
- telefoon & internet login details, weliswaar zonder password maar...:
- userconfig saven en het loaden in jou modem en iemand anders' account gebruiken (zou normaal moeten gaan, ook al is het password encrypted, maar ik zelf heb het niet geprobeerd, ik ben niet zo'n iemand...)
- de modemeigenaar treiteren door z'n internet de disconnecten of andere dingen veranderen
- nog andere dingen...

Begrijp me niet verkeerd, ik had heel graag het password te weten gekomen, en de post op dit forum is heel nice, tnx daarvoor, darty (of wie was het) maar ik vind dit wel gevaarlijk voor diegenen die hier helemaal niets van afweten, er zijn prolly wel mensen met verkeerde bedoelingen die dit password nu ook in handen hebben...

Nu de vraag is; wat gaat versatele2 nu doen?...

[kaween]

Identiek dezelfde notie hier. De "safety into absurdity" rule van Tele2's "one pass to rule them all" maakt van Tele2 All-in het zonder meer onveiligste systeem op de Belgische markt. Door het feit dat het een VOIP gebeuren is, is dit nog een stuk ernstiger als de talloze mensen die een router kopen en nooit iets anders instellen als de default login.

Ik bedoel maar : ik ben stout en leg mijnheer X's telefoon lijn plat (perfect mogelijk). Mijnheer X heeft een of ander medisch probleem, en na in een Turkse Colère te zijn geschoten omdat zijn Tele2 lijn-snelheidsklachten nog steeds geen gehoor hebben gekregen buiten een wederom nietszeggend antwoord van de helpdesk, keilt die brave man achterover met een hartinfarct. Mevrouw X kan echter de hulpdiensten niet waarschuwen, want ik heb die telefoonlijk onbruikbaar gemaakt.

Tele2 is op dat moment volgens mij mogelijk mede aansprakelijk voor het overlijden van die man. Onmogelijk zeg je ? Ben daar helemaal niet zo zeker van, indien de weduwe aan kan tonen dat Tele2's ontoereikende beveiligingsmaatregelen mede tot het overlijden hebben bijgedragen, dan hang je als firma. En geef toe : onder de huidige situatie "klant mag niks veranderen, maar het wachtwoord is inmiddels gemeen goed, en Tele2 heeft nog steeds totaal niets van oplossing, zelfs niet van bevestiging van probleem aangegeven" zou het quasi onmogelijk worden om een rechter te vinden die Tele2 in dat geval NIET in gebreke zou stellen.

Dom voorbeeld ? Misschien. Maar het verbaast me met welke nonchalance Tele2 dit probleem ogenschijnlijk naast zich neerlegt !


Wat gaat Tele2 daar nu aan doen ? Als ik moet geloven wat ik her en der lees, komt er een nieuwe firmware met aparte Admin en User gedeelte. Leuk. Maar zolang je met een universeel wachtwoord zit als Admin, en je blijkbaar mensen hebt bij Tele2 die dit wachtwoord meedelen (al is het met de allerbeste bedoelingen !) zit je met een huizenhoog security probleem. Ik sluit me aan bij FST : ik ben ook heel blij met het wachtwoord, maar de mogelijke consequenties van deze situatie zijn ronduit beangstigend.

[Computerleek]

Na 7 dagen hebben ze hier dus nog niets aan gedaan,als hij dit al na 13 min had gemeld. Bravo hier mag je fier op zijn.

[kaween]

Na 7 dagen hebben ze hier dus nog niets aan gedaan,als hij dit al na 13 min had gemeld. Bravo hier mag je fier op zijn.

Erger : dit is iemand die dus verbonden is met Tele2. Een klacht die ronduit dramatisch is voor de security van het hele systeem heeft als resultaat 0-de-ballen. Dan ga je het "de technische dienst werkt aan uw probleem" echt wel HEEL anders gaan bekijken, niet ?

[Tele2Tech]

Identiek dezelfde notie hier. De "safety into absurdity" rule van Tele2's "one pass to rule them all" maakt van Tele2 All-in het zonder meer onveiligste systeem op de Belgische markt. Door het feit dat het een VOIP gebeuren is, is dit nog een stuk ernstiger als de talloze mensen die een router kopen en nooit iets anders instellen als de default login.

Ik bedoel maar : ik ben stout en leg mijnheer X's telefoon lijn plat (perfect mogelijk). Mijnheer X heeft een of ander medisch probleem, en na in een Turkse Colère te zijn geschoten omdat zijn Tele2 lijn-snelheidsklachten nog steeds geen gehoor hebben gekregen buiten een wederom nietszeggend antwoord van de helpdesk, keilt die brave man achterover met een hartinfarct. Mevrouw X kan echter de hulpdiensten niet waarschuwen, want ik heb die telefoonlijk onbruikbaar gemaakt.

Tele2 is op dat moment volgens mij mogelijk mede aansprakelijk voor het overlijden van die man. Onmogelijk zeg je ? Ben daar helemaal niet zo zeker van, indien de weduwe aan kan tonen dat Tele2's ontoereikende beveiligingsmaatregelen mede tot het overlijden hebben bijgedragen, dan hang je als firma. En geef toe : onder de huidige situatie "klant mag niks veranderen, maar het wachtwoord is inmiddels gemeen goed, en Tele2 heeft nog steeds totaal niets van oplossing, zelfs niet van bevestiging van probleem aangegeven" zou het quasi onmogelijk worden om een rechter te vinden die Tele2 in dat geval NIET in gebreke zou stellen.

Dom voorbeeld ? Misschien. Maar het verbaast me met welke nonchalance Tele2 dit probleem ogenschijnlijk naast zich neerlegt !


Wat gaat Tele2 daar nu aan doen ? Als ik moet geloven wat ik her en der lees, komt er een nieuwe firmware met aparte Admin en User gedeelte. Leuk. Maar zolang je met een universeel wachtwoord zit als Admin, en je blijkbaar mensen hebt bij Tele2 die dit wachtwoord meedelen (al is het met de allerbeste bedoelingen !) zit je met een huizenhoog security probleem. Ik sluit me aan bij FST : ik ben ook heel blij met het wachtwoord, maar de mogelijke consequenties van deze situatie zijn ronduit beangstigend.

Te weten komen van waar deze box laatst werd aangesproken (of via logs) lijkt me ook vrij realistisch. Denk je echt dat een rechter daar ook geen rekening mee houdt dat jij (hopelijk niet dus) de telefoonlijn van die persoon hebt gesaboteerd?

Tenslotte, als ik in mijn straat wandel en her en der een coaxkabel waar een trekbandje van "Telenet" rond hangt doorknip en diezelfde mens krijgt na een halfuur zonder televisie, internet en telefoon een hartinfarct, wordt Telenet dan verantwoordelijk gesteld omdat zij zo duidelijk aangeven waar hun klanten wonen?

I rest my case.

Mvg
Tele2Tech

[NickG]

Het voorbeeld met dat hartinfarct is idd mss wat overdreven. Maar ik kan me toch voorstellen dat er mensen zijn die klacht gaan indienen wanneer er door sabotage schade geleden wordt.

Aangezien volgens de algemene voorwaarden geen mens mag inloggen en wat aanpassen, kan men ook stellen dat een gebruiker zijn eigen box niet fatsoenlijk kan (mag) beveiligen.

En ja, de saboteur is ook verantwoordelijk, want hij doet iets wat hij niet mag. Maar het blijf ook een taak van Tele2 om ervoor te zorgen dat de box veilig is als ze ervoor kiezen om het beheer uit de handen van te klant te nemen.

[deej]

Misschien is het nuttig om het SIP en soft voice concept te begrijpen: om te SIP'pen heb je ten eerste een ander paswoord nodig dan dat van de admin op de box.

Indien je dit paswoord toch zou hebben van een ander user en dit ingeeft op jouw eigen systeem herkent zo'n softcall (of noem het hoe je wil) systeem dat als een andere fysieke locatie (1-op-1 mapping locatie / username) en wordt de beller automatisch afgesloten.

Dus als je geen shell code kan uitvoeren op de Thompson (maw je hacked hem) kan je geen dialers installeren en kan je enkel de ander wat pesten door zijn gegevens te veranderen.

Wat niet wegneemt dat Tele2 niet uitblinkt in communicatie rond dit heikele topic.

[NickG]

OK, dat maakt het misbruik al wat moeilijker. Still, vind toch dat ze dit nogal slecht aangepakt hebben (en nog steeds aanpakken).

Anyway, ik ben al jaaaaaaaaaaren skynet en tevreden daarover

[ubremoved_983]

Anyway, ik ben al jaaaaaaaaaaren skynet en tevreden daarover

Idem ! Nog nooit een probleem / klacht gehad

[poekie68]

De beste maatregel om te voorkomen dat iemand op jouw tele2-box kan van buitenuit, en dus er misbruik van kan maken, is de firewall aanzetten. Normaal staat die "disabled". Zet die op "standard". Dan worden alle connecties van buitenuit geblokkeerd (tenzij je remote administration aanzet). All uPnP applicaties blijven mogelijk.

[NickG]

Ja, da's een goeie oplossing. Maar zoals ik al zei: de minder technische gebruikers of gebruikers die bang hebben om de algemene voorwaarden te schenden gaan die firewall niet (willen/kunnen) enablen!

[Siglo]

Misschien is het nuttig om het SIP en soft voice concept te begrijpen: om te SIP'pen heb je ten eerste een ander paswoord nodig dan dat van de admin op de box.

Indien je dit paswoord toch zou hebben van een ander user en dit ingeeft op jouw eigen systeem herkent zo'n softcall (of noem het hoe je wil) systeem dat als een andere fysieke locatie (1-op-1 mapping locatie / username) en wordt de beller automatisch afgesloten.

Dus als je geen shell code kan uitvoeren op de Thompson (maw je hacked hem) kan je geen dialers installeren en kan je enkel de ander wat pesten door zijn gegevens te veranderen.

Wat niet wegneemt dat Tele2 niet uitblinkt in communicatie rond dit heikele topic.

Ben je zeker dat je die sip account niet op andere plaatsen kan gebruiken? Bij al mijn (standaard) sip accounts maakt het niet uit vanwaar ik ermee inlog. Zouden ze bij Tele2 wel de moeite gedaan hebben om extra veiligheid in te bouwen?

[deej]

Ben je zeker dat je die sip account niet op andere plaatsen kan gebruiken? Bij al mijn (standaard) sip accounts maakt het niet uit vanwaar ik ermee inlog. Zouden ze bij Tele2 wel de moeite gedaan hebben om extra veiligheid in te bouwen?

Goede vraag, er is maar 1 manier om dat uit te vissen zeker

[Computerleek]

Dit is de reactie op mijn schrijven,da valt vies tegen.
Geachte heer XXX

Wij danken u voor uw email die wij goed hebben ontvangen.

Hier het antwoord op uw mail.
Gratis op andermans kosten surfen en telefoneren en andermans modem
saboteren is niet mogelijk.

Hebt u nog een vraag ,aarzel niet om contact op te nemen met onze technische
dienst op het nummer 070/224464 van Maandag tot Zaterdag van 08.00 tot 22.00
uur en op Zondag van 10.00 tot 18.30 uur.

TELE2 dankt u voor het vertrouwen.
Jos

Klantendienst
België

[skindred]

Wanna proove them wrong?
Zouden we nie iets kunnen vinden da voor tele2 nadelig is maar waar de klanten zelf geen last van ondervinden?
Dan zouden ze et is weten wa voor een probleem da is!

[kaween]

Rare kwieten, die Tele2 mensen.

Een maand geleden :

"Geachte domme klant, omdat jullie zo dom zijn geven we jullie het passwoord niet van uw eigendom. U bent namelijk te dom hiervoor, en U zal zonder twijfel uw hele instellingen verneuken indien U wel toegang had tot de modem. Geloof ons, dit is het beste voor iedereen."

Nu :

"Geachte domme klant, het is helemaal niet erg dat iedereen nu toegang heeft tot uw modem, door magische interventie onzetwege is het niet mogelijk dat men misbruik kan maken van uw modem. Geloof ons, wij weten waarover we het hebben."


Ofwel liegen ze in geval 1, ofwel in geval 2, ofwel (en dit is een stuk waarschijnlijker) in beide gevallen.

[digitalservice]

Hallo,

Hebben ze U letterlijk aangesproken met domme klant ?

Heb jij die emails nog ?

[skindred]

Hallo,

Hebben ze U letterlijk aangesproken met domme klant ?

Heb jij die emails nog ?

Soms moet men wat extra saus op het vlees doen om het beter te doen smaken

[FST]

das puur sarcasme ^^

[kaween]

... yep. Ik dacht nogthans dat het er vingerdik op lag.

[dietervanb]

En die JOS toch.
Dat is volgens mij een master is het geven van onwijkende antwoorden naast de kwestie.
Heb er al een hele verzameling van.

[FST]

lol onze jos, hij bakt er niveel van