Paswoordpolitiek bij Dommel

Zit je met opmerkingen en een paar vragen over dommel / schedom? Post ze dan hier maar.
Plaats reactie
billyTheClit
Starter
Starter
Berichten: 9
Lid geworden op: 04 maa 2014, 08:29
Uitgedeelde bedankjes: 1 keer

Tijdens mijn overstap naar Dommel een aantal dingen vastgesteld die de wenkbrauwen doen fronsen.
  1. Het gekozen paswoord voor het eigen account op https://crm.schedom-europe.net wordt open in een mail verzonden.
    Dit wil zeggen dat het paswoord ook bij Schedom opgeslagen wordt en niet enkel de hash bijgehouden wordt, dit is onveilig.
  2. Als je dit paswoord wilt wijzigen kan je enkel a-z en 0-9 gebruiken en maximun 6! tekens gebruiken. Met een brute force attack is zo'n paswoord met 1 pc in minder dan een uur te hacken.
Foei! :nono:
philippe_d
Moderator
Moderator
Berichten: 16487
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 820 keer
Bedankt: 2998 keer

En wat kan iemand doen met jouw Dommel paswoord?

PS - Bij Belgacom is het ook zo ...
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Start (60/4 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.39-97058 BETA, profiel 100/35.
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
billyTheClit
Starter
Starter
Berichten: 9
Lid geworden op: 04 maa 2014, 08:29
Uitgedeelde bedankjes: 1 keer

een greep uit het menu:

- activate free .be domain
- manage backupservice
- colo/dedicated server power-control
- manage adsl website
- manage domainforwarding
- manage hostingaccount
- manage mailinglists
- manage nameservers
- manage adsl email
- manage digitel telephony-service

Met andere woorden: veel.
MarkDM
Elite Poster
Elite Poster
Berichten: 1872
Lid geworden op: 25 sep 2007, 20:14
Locatie: Berlare (O-Vl)
Uitgedeelde bedankjes: 33 keer
Bedankt: 119 keer

En wat valt daarmee te verdienen voor die hacker ?
Daar draait het uiteindelijk toch om.
Voip: Edpnet/Voiptiger met Linksys SPA3102
Internet: Edpnet Vdsl XL met Fritzbox 7360
TV: Telenet CI+/Digicorder en Astra op Xtrend met Open-Pli
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 451 keer

Ik denk dat je nog niet alles hebt gezien, ze geven gevoon het wachtwoord plain text in de url door als je dingen gaat beheren zoals bijvoorbeeld de gsm nummers etc

Krijg je zo'n link:
include/scripts/linked/mobtel/tel.php?servid=000000&password=PASS&client_id=00000

Dus op elk netwerk push je jouw wachtwoord naar iedereen toe ;)
billyTheClit
Starter
Starter
Berichten: 9
Lid geworden op: 04 maa 2014, 08:29
Uitgedeelde bedankjes: 1 keer

MarkDM schreef:En wat valt daarmee te verdienen voor die hacker ?
Daar draait het uiteindelijk toch om.
- Via "activate free .be domain" en "manage domainforwarding" kan je eenderwelke brolsite aan een geloofwaardig .be domein koppelen.
- Via een veel te kort en veel te publiek paswoord staan mijn persoonlijke gegevens (voor faturatie etc) te grabbel.
Hoe moeilijk is het om iemands identiteit te misbruiken als je zijn vaste lijn, GSM nummer, bankrekeningnummer, adres en zelfs rijksregisternummer hebt?

Beveiliging mag niet afhangen van "hoe waardevol informatie voor een hacker zou kunnen zijn".
ITnetadmin
Elite Poster
Elite Poster
Berichten: 8445
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 164 keer
Bedankt: 618 keer

Schandpaal.

Dit is toch wraakroepend. Plaintext de mensen hun paswoorden bewaren.
Of erger nog, max 6 tekens. Laatst een kameraad nog horen vloeken dat een service waar hij op inschreef een max van 16 tekens gebruikte in de paswoorden. 6 is toch echt niet meer van deze tijd. Max lengtes zouden zoiezo niet gebruikt mogen worden.

[Afbeelding Post made via mobile device ]
MClaeys
Elite Poster
Elite Poster
Berichten: 6018
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 377 keer
Bedankt: 343 keer

Idem bij Scarlet, een schande en al vaker aangekaart.
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 451 keer

Plain text opslaan is naar mijn idee nog niet zo het probleem. Maar telkens je password doorgeven via een URL, dan heeft HTTPS zelfs totaal geen zin... Iemand in de buurt op je netwerk met wireshark aan en hup die is er mee weg
liber!
Elite Poster
Elite Poster
Berichten: 783
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 130 keer
Bedankt: 55 keer

Tim.Bracquez schreef:Plain text opslaan is naar mijn idee nog niet zo het probleem.
Als een service wachtwoorden opslaat in plaintext dan kan je vermoeden dat de rest van hun beveiliging al even brak is. Best per dienst een eigen wachtwoord.
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 451 keer

@Liber!: Dat zou ik niet zeggen, denk wel dat de rest goed zit bij Belgacom bijvoorbeeld.... Zolang niemand extern er aan kan, is er geen probleem... Als je het plain text zonder ssl doorgeeft dan kan iedereen die er tussen zit gewoon meesniffen
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5263
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

MarkDM schreef:En wat valt daarmee te verdienen voor die hacker ?
Daar draait het uiteindelijk toch om.
Ooit van identiteitsfraude gehoord, .. zelfs met een paar brieven uit uw brievenbus kan men al, veel .. denk maar eens na hoeveel sites er zijn die een zogenaamde elektricitieitsfactuur als een identiteitsbewijs aanvaarden, of althans bewijs van residentie.

Waarschijnlijk denk jij vast dat men daarmee niks kan, maar iemand die wat creatief is kan er waarschijnlijk heel veel mee.

bv, .. domein, daarmee kan ik toch wel als jij een winkel draait op je site betalingen naar andere sites laten gaan, .. met dns kan men héél veel !

manage backupservice, ..

misschien maak jij wel een backup nu en dan, misschien zit daar wel gevoelige info in ? Privacy, .. misschien !?

manage mailinglists

Al uw vrienden, worden getrackteerd op spam, .. gratis voor niks, met zijn allen op de spamlijst.
Laatst gewijzigd door Ofloo 04 maa 2014, 16:04, in totaal 1 gewijzigd.
freggy
Member
Member
Berichten: 95
Lid geworden op: 09 sep 2011, 14:22
Uitgedeelde bedankjes: 3 keer
Bedankt: 19 keer

Maar telkens je password doorgeven via een URL, dan heeft HTTPS zelfs totaal geen zin...
Variabelen die via GET requests verstuurd worden, worden ook geëncrypteerd verzonden via https. Ze kunnen dus niet afgeluisterd worden.

Maar dat belet niet dat ze bijvoorbeeld in plain text in de log files van de webserver komen te staan. Dus als de webserver gekraakt wordt, liggen die wachtwoorden op straat... Daarom is wachtwoorden verzonden over GET uit den boze, zelfs niet over HTTPS.
Laatst gewijzigd door freggy 04 maa 2014, 16:04, in totaal 1 gewijzigd.
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5263
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

oh oei, browser history, .. daar staat toch wel uw paswoord in, zekers, ..
philippe_d
Moderator
Moderator
Berichten: 16487
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 820 keer
Bedankt: 2998 keer

Ik heb onlangs mijn Belgacom Favorite abbo gedowngrade naar Start. Enkele dagen later kreeg ik een brief van Belgacom met de bevestiging. De brief is exact dezelfde brief als de welkomstbrief voor nieuwe klanten:
Hij bevat je:
  • Internet login + passwoord (plaintext)
  • Paswoord voor de mail account
Het gekke was eigenlijk dat:
  1. Het internet paswoord het bestaande paswoord is, dat ik zelf heb aangemaakt via e-services
  2. ze ongevraagd mijn mailbox paswoord hebben gewijzigd (alsof dit een nieuwe mailbox was). Gelukkig gebruik ik deze mailbox niet om mails binnen te halen, maar er is een forward ingesteld (dit kan je via e-services managen, zonder dat je paswoord van de mailaccount nodig hebt).
Nog gekker is dat, als je je Internet paswoord niet meer kent, er geen mogelijkheid is om het paswoord te achterhalen (volgens de Helpdesk), en ze je paswoord dus moeten resetten. Nochtans kunnen ze het wel afdrukken op een brief :(.
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Start (60/4 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.39-97058 BETA, profiel 100/35.
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
Gebruikersavatar
Kenw00t
Elite Poster
Elite Poster
Berichten: 1778
Lid geworden op: 28 dec 2008, 19:38
Uitgedeelde bedankjes: 346 keer
Bedankt: 250 keer

Je kan ze op volgende website toevoegen aan de publieke schandpaal: http://plaintextoffenders.com/
Afbeelding
billyTheClit
Starter
Starter
Berichten: 9
Lid geworden op: 04 maa 2014, 08:29
Uitgedeelde bedankjes: 1 keer

Ik ga Dommel niet op PlainTextOFfenders plaatsen. Net dat helpt hackers weer om goeie sites te vinden voor het harvesten.
Iemand een idee of een klacht bij de Ombudsman voor Telecom een mogelijkheid is?
tonym
Premium Member
Premium Member
Berichten: 484
Lid geworden op: 18 jan 2010, 16:56
Uitgedeelde bedankjes: 3 keer
Bedankt: 41 keer

Een klacht bij de ombudsman telecom is slechts ontvankelijk nadat
je eerst je klacht bij de ISP maakte en deze er niets wil aan doen.
reinier
Starter
Starter
Berichten: 8
Lid geworden op: 02 sep 2012, 10:41
Bedankt: 1 keer

2 jaar geleden had ik hen dat al eens gemeld. Die durven dan nog discussiëren dat dit geen veiligheids issue is. Amateurs! Dit voor een bedrijf in de it sector.

[Afbeelding Post made via mobile device ]
Plaats reactie

Terug naar “Dommel”