Userbase

Ik ben nu 4 dagen lid bij Dommel en al te maken gehad met twee bugs in het Dommel-systeem.

1e bug:
Net na mijn inschrijving kreeg ik de email met het contract niet waarvan sprake was. Na gebeld te hebben bleek dit een uur na de inschrijving aan te komen maar die boodschap moesten ze (de programmeurs) nog toevoegen aan de schermen. Enfin, nadat ik 6 uur later nog steeds niets ontvangen had belde ik nog eens en bleek er iets niet te kloppen.
Uiteindelijk lag het probleem bij mijn straatnaam die ik opgaf. Daar kwam een accent (') in voor waardoor dat programma flipte en mij de email niet wou sturen. Nu staat mijn straatnaam er zonder accent.

2e bug:
Gisteren wilde ik inloggen maar na 20 x tevergeefs geprobeerd te hebben mailde ik naar de helpdesk. Ik kreeg het bericht terug dat het hen wel lukte om met mijn paswoord in te loggen (persoonlijk vind ik het niet secure dat men zomaar je paswoord ziet maar soit). Na de mail dus gelezen te hebben probeerde ik het zelf nog eens en nog steeds lukte het niet. Misschien was de site wel FF-onvriendelijk dus even geprobeerd met IE maar nada. Uiteindelijk mijn paswoord opgevraagd met "Forgot my password?".
Een 5-tal minuten later kreeg ik mijn paswoord en wat bleek, het paswoord dat ik bij de inschrijving had opgegeven (en dat voorkomt in de emails) was lichtjes veranderd. In mijn initieel paswoord kwam een underscore (_) voor en die was in het 'nieuwe' paswoord verdwenen.
In de facturatiemails staat het correcte paswoord (clear-tekst) dat ik bij de inschrijving opgaf en in de 'I forgot my pasword'-mail staat het incorrecte veranderde paswoord, een duidelijke tegenstrijdigheid.


.... en in tussentijd is het wachten op de activatie. Nog 500 MB en ik heb mijn LaTribu/EDPNet-limiet van 15 GB overschreden. Dat wordt krap :-S

wel ik hoop dat je in de toekomst geen conflicte meer meemaakt


Ik ben nu al ff klant , en ben een tevrede klant :o) ..hier en daar wat mini problemen tegen gekomen , maar kom de wereld is ook niet 100% perfect

een probleem met '

oh boy. niet echt een klein probleempje, dat kan een kolos van een probleem zijn

Op zich inderdaad vervelend dat zoiets simpels als een ' niet goed verwerkt wordt, nog vervelender dat je zelf ingegeven wachtwoord verkeerd geinterpreteerd wordt. Toch een wat beperkte ascii-set ofzo.

Een groter problem, wat ik ook al eens zonder reactie bij Dommel heb aangekaart, is dat mijn wachtwoord maandelijks in clear text in een e-mail verzonden wordt, in combinatie zelfs met m'n username. Dat vind ik uiterst merkwaardig.

Ook het kunnen zien van je wachtwoord door de beheerders druist in tegen iedere veiligheidspolicy. Je wachtwoord resetten, dat hoort te kunnen, maar uitlezen ben ik geen voorstander van.

Jup, het is mij ook opgevallen dat Dommel heel laks met username's en paswoorden omgaat. Die komen gewoon via mail in ascii formaat binnen.

Qua veiligheid: noppes, maar jah... Ge moet ergens op inbinden om goedkoop internet te hebben zeker?

DarthDavy schreef:Jup, het is mij ook opgevallen dat Dommel heel laks met username's en paswoorden omgaat. Die komen gewoon via mail in ascii formaat binnen.

Nooit van SSL gerhoord? Je haalt je mail toch niet in clear text op zeker?
Ik kan met een packetsniffer alvast niets meelezen.

Xi schreef:een probleem met '

oh boy. niet echt een klein probleempje, dat kan een kolos van een probleem zijn

Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops...

localhost schreef:Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops...

DROP DB is zoveel leuker

devilkin schreef:

localhost schreef:Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops...

DROP DB is zoveel leuker

You get my drift...
DROP DB valt te veel op. Een database is dan gemakkelijk te restoren van backup. DROP TABLE is leuker als er veel tables zijn, en als er wel nog data geschreven wordt naar de andere tables. Begin dan maar eens een database terug te zetten, zonder gegevensverlies of zonder downtime. Muhahahahaha!!!

on4bam schreef:

DarthDavy schreef:Jup, het is mij ook opgevallen dat Dommel heel laks met username's en paswoorden omgaat. Die komen gewoon via mail in ascii formaat binnen.

Nooit van SSL gerhoord? Je haalt je mail toch niet in clear text op zeker?
Ik kan met een packetsniffer alvast niets meelezen.

En toch blijft het insecure.
Ik heb ooit eens het email-paswoord bemachtigd van iemand, die me nota bene de les spelde dat je paswoorden om de x-aantal tijd moet veranderen. Wel guess what, na 3 jaar is dat paswoord nog steeds onveranderd. Ik kan die persoon zijn privé-leven bijhouden, zijn bestellingen bij 3Suisses....

Je hebt ook het gegeven dat door het groot aantal systemen waar mensen mee werken, ze veel paswoorden moeten onthouden. Daardoor kiezen mensen vaak voor één of twee generale paswoorden.

Dit zou betekenen dat mensen van de helpdesk ook toegang zouden hebben tot andere systemen onder jouw naam of dat mensen die in staat zijn je emails te lezen, een extra bandbreedte pakket ofzo kunnen bestellen op jouw naam....

Verder kiezen sommige mensen voor paswoorden waar een patroon in te herkennen valt. Stel dat je bijvoorbeeld het paswoord, "toegangDommel" hebt. Dan is de kans groot dat als je een hotmail-adres hebt, het paswoord "toegangYahoo" zal zijn.


Als je in passwd doet in *nix zie je ook niet wat je typt en dat heeft een goede reden.

Maar zoals DarthDavy zei: bij een lagekosten-maatschappij moeten ze op iets inbinden dus ik maak er geen punt van. Mijn opinie is gewoon dat het niet veilig is.... en dat die bugs prutswerk zijn

Nicolas Van de Casteele <[email protected]> 18:12 (0 minuten geleden)
aan [email protected]
cc [email protected]
datum 20 Jun 2007 16:12:23 -0000
onderwerp [MB User] Tech Support Question
verzonden door gmail.com


Enkele opmerkingen i.v.m. de veiligheid van uw crm-systeem:

De passwoorden staan in clear-text in de link van de popup als je op di i of andere knoppen duwt voor meer informatie bij "my packages" <=== enorm onveilig, men kan zo onze passwoorden sniffen.

De helpdeskers kunnen blijkbaar ook in plain text onze passwoorden zien, wat ook niet echt veilig is!

Ook blijkt er een bug te zitten in uw reservatiesysteem die kan leiden tot SQL-injections, wat echt wel gevaarlijk voor uw database kan zijn!

voor meer info zie: http://www.userbase.be/forum/viewtopic.php?t=14701


[schedom crm TM .:. schedom crm system .:. version 1.0]

Ik hou jullie op de hoogte van reacties

localhost schreef:

devilkin schreef:

localhost schreef:Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops...

DROP DB is zoveel leuker

You get my drift...
DROP DB valt te veel op. Een database is dan gemakkelijk te restoren van backup. DROP TABLE is leuker als er veel tables zijn, en als er wel nog data geschreven wordt naar de andere tables. Begin dan maar eens een database terug te zetten, zonder gegevensverlies of zonder downtime. Muhahahahaha!!!

Daarom dat je per database user kan aangeven welke queries deze mag uitvoeren, drop, truncate en create zijn meestal niet aangevinkt.

Paswoorden in plaintext opslaan is idd not done.

crapiecorn schreef:Paswoorden in plaintext opslaan is idd not done.

Hier geen enkel probleem gehad met de bestellingsprocedure 2 weken geleden.
Alleen zijn die plain text wachtwoorden per e-mail inderdaad wel onveilig en ik ben er ook niet echt blij mee dat de Dommel medewerkers deze kunnen zien.
En ja ik haal alles op via SSL en/of webmail over SSL.

*** Ook is de SSL versie en het certificaat verouderd van crm.schedom... ***

Een groter probleem is : als hun database ooit "gehacked" wordt, gelijk hierboven bv. door middel van sql injection hoef je maar een select * from users te doen en daar zijn je paswoorden.

De helpdeskers kunnen blijkbaar ook in plain text onze passwoorden zien, wat ook niet echt veilig is!

Ook blijkt er een bug te zitten in uw reservatiesysteem die kan leiden tot SQL-injections, wat echt wel gevaarlijk voor uw database kan zijn!

Ehm :p Hoogst informatief zou ik zo zeggen. Ik twijfel echter dat ze hiermee iets gaan nakijken hoor :)

Die paswoorden zijn dus in cleartext in een DB opgeslagen en niet als een MD5 hash ofzo?

Wat is overigens het nut van paswoorden te bewaren in een database per gebruiker?

Het is voldoende om gekoppeld aan de account de paswoorden te encrypteren, zoals met een MD5 hash. Geraakt de klant het paswoord kwijt, geen probleem even nieuw paswoord instellen bij hun.

Goendi schreef:

De helpdeskers kunnen blijkbaar ook in plain text onze passwoorden zien, wat ook niet echt veilig is!

Ook blijkt er een bug te zitten in uw reservatiesysteem die kan leiden tot SQL-injections, wat echt wel gevaarlijk voor uw database kan zijn!

Ehm Hoogst informatief zou ik zo zeggen. Ik twijfel echter dat ze hiermee iets gaan nakijken hoor

Idd, Skynet medewerkers, zowel als Telenet klantendienst kunnen deze opvragen. Maar wees gerust alles wat bekeken wordt, wordt ook gelogd...

Als er constraints op je tabel liggen zal die drop table ook niet zomaar doorgaan hoor.

Mijn punt was ook gewoon dat Dommel laks is met veiligheid, vandaar dat m'n paswoord bij Dommel gewoon hetzelfde is als zij mij gegeven hebben en dat verander ik niet. Ik moet wel gek zijn om mijn normaal gebruikte paswoorden daar te gebruiken.

S|N schreef:Idd, Skynet medewerkers, zowel als Telenet klantendienst kunnen deze opvragen. Maar wees gerust alles wat bekeken wordt, wordt ook gelogd...

Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

ditCh schreef:Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

Heb anders het mijne indertijd toch gekregen na lang zagen.

Petrikske schreef:

ditCh schreef:Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

Heb anders het mijne indertijd toch gekregen na lang zagen.

Dat zou mij zeer sterk verbazen. Ik heb zelf op de Telenet hel(l)pdesk gewerkt en de toepassing C@fé genaamd laat de helpdesker niet toe om het paswoord te zien. En "eigenlijk", volgens de procedures mag de helpdesker je zelf geen nieuw paswoord genereren en dien je dit zelf te doen via "paswoord vergeten" op Mijn Telenet.

ditCh schreef:Dat zou mij zeer sterk verbazen. Ik heb zelf op de Telenet hel(l)pdesk gewerkt en de toepassing C@fé genaamd laat de helpdesker niet toe om het paswoord te zien. En "eigenlijk", volgens de procedures mag de helpdesker je zelf geen nieuw paswoord genereren en dien je dit zelf te doen via "paswoord vergeten" op Mijn Telenet.

Was in Mei 2001 en de helpdesker zei inderdaad dat em mijn internet niet mocht activeren en m'n paswoord geven.
Denk dat ik toen 1 v.d. eerste Doe-Het-Zelf's was.
Ergens iets misgelopen of zo ik weet het niet, uiteindelijk toch gekregen wat ik nodig had.

Hier moet je wel een verschil maken tussen dommel crm paswoord en dommel adsl login, deze hebben niets met elkaar te maken.

Geachte,



In exact welk script hebt u een injection-bug kunnen vaststellen?

met vriendelijke groeten,

meilleures salutations,

best regards,



dommel.com servicecenter

a schedom nv/sa service

Mailtje terugsturen, ze hebben duidelijk niet geklikt op de link die erbij zat :/

Het is niet omdat het programma "flipte" op het accent, dat het daarmee kwetsbaar is voor sql injection.
Als het enkel bij de straatnaam voorkomt, heb ik al een vaag vermoeden wat het probleem gaat zijn.

Petrikske schreef:

ditCh schreef:Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

Heb anders het mijne indertijd toch gekregen na lang zagen.

Ik heb het voor een klant ooit ook kunnen regelen.. Maar mss was dat gewoon gegenereerd.

Voor zover ik weet:

Paswoord bekijken is mogelijk, maar niet door first line helpdeskers, wel door second liners.
First line kan paswoorden genereren, maar de klanten moeten wel doorverwezen worden naar de website om dit zelf te doen.

grtz

Raindog schreef:Voor zover ik weet:

Paswoord bekijken is mogelijk, maar niet door first line helpdeskers, wel door second liners.
First line kan paswoorden genereren, maar de klanten moeten wel doorverwezen worden naar de website om dit zelf te doen.

grtz

Inderdaad, voor C@fé kon de firstliner WEL degelijk alle gegevens nakijken, ook zo bij Belgacom, sinds een goed jaar is enkel genereren daar ook nog mogelijk.
Second line of Skynet zelf kan deze gegevens nog direct nakijken...

@ Ditch, iemand een leugenaar noemen is niet beleefd.

S|N schreef:Inderdaad, voor C@fé kon de firstliner WEL degelijk alle gegevens nakijken, ook zo bij Belgacom, sinds een goed jaar is enkel genereren daar ook nog mogelijk.
Second line of Skynet zelf kan deze gegevens nog direct nakijken...

@ Ditch, iemand een leugenaar noemen is niet beleefd.

Raindog bevestigd het toch ? Helpdeskers kunnen in c@fé het paswoord NIET bekijken ... en ik heb 2 jaar geleden al bij TN gezeten en zelfs toen kon je het paswoord niet bekijken ...

S|N schreef:
@ Ditch, iemand een leugenaar noemen is niet beleefd.