Userbase

Het kan de besten overkomen: per ongeluk een berichtje op het internet plaatsen dat strikt persoonlijk bedoeld was. Dat overkwam ook T-Mobile Nederland. Het webcare team van de operator plaatste per ongeluk de gebruikersnaam en wachtwoord van één van zijn klanten op de website van de sociale netwerksite Twitter. Een blunder van formaat.

T-Mobile zegt dat er geen misbruik is gemaakt van de gegevens, al spreekt de klant dat tegen. Volgens Mark Sedney, de klant in kwestie, hebben bepaalde personen op het internet wel degelijk misbruik gemaakt van zijn gegevens. Zijn verlopen abonnement zou zijn aangepast, facturen gedownload en wordt hij gestalkt door onbekenden. Sedney is een maand gratis abonnement aangeboden.

Laat dit een waarschuwing zijn voor andere internetproviders (maar ook andere bedrijven) actief op sociale netwerksites. Ook een heel aantal Belgische providers zijn actief op Twitter, onder meer Telenet, Belgacom en EDPnet.

UB Frontpage

Toch wel erg, schandalig en schaamtelijk dat zoiets kan gebeuren. En dan een compensatie van ocharme één maand gratis abonnement is gewoonweg zielig.

Zoals op Neowin gezegd is: hoe kan het dat het webcare team zomaar toegang heeft tot niet enkel login, maar vooral paswoorden. Als er één iemand zo'n twitter profiel kraakt, hebben ze toegang tot heel veel klantengegevens, wat zeker een fiasco zou zijn.

Ik ben ook geholpen geweest door Belgacom Eva op Twitter en heb enkel mijn login moeten geven.

Sterker nog: paswoorden zouden nooit of te nimmer in een leesbaar formaat mogen worden opgeslagen! Ge kunt u inderdaad al inbeelden mocht iemand toegang krijgen tot die "database"...

cloink schreef:Sterker nog: paswoorden zouden nooit of te nimmer in een leesbaar formaat mogen worden opgeslagen! Ge kunt u inderdaad al inbeelden mocht iemand toegang krijgen tot die "database"...

Dit is waarschijnlijk ook zo, maar als ze het password resetten en het aan de klant willen doorsturen bv...

SplinterByte schreef:

cloink schreef:Sterker nog: paswoorden zouden nooit of te nimmer in een leesbaar formaat mogen worden opgeslagen! Ge kunt u inderdaad al inbeelden mocht iemand toegang krijgen tot die "database"...

Dit is waarschijnlijk ook zo, maar als ze het password resetten en het aan de klant willen doorsturen bv...

Dan moet er een nieuw paswoord worden gegenereerd dat naar de klant zijn mailadres wordt opgestuurd.

cloink schreef:Sterker nog: paswoorden zouden nooit of te nimmer in een leesbaar formaat mogen worden opgeslagen! Ge kunt u inderdaad al inbeelden mocht iemand toegang krijgen tot die "database"...

Vandaar dat ik in m'n eigen applicaties wachtwoorden opsla in salted SHA256. Dat lijkt me wel voldoende

Ik ben nog oldschool md5, hoewel ik ook wel eens durf te dubbel md5'en .

dubbel MD5'en is een VERLAGING van uw beveiliging! Je hashed een hash welke mogelijk minder 'entropie' heeft dan het originele wachtwoord!