Userbase

Tijdens mijn overstap naar Dommel een aantal dingen vastgesteld die de wenkbrauwen doen fronsen.

1. Het gekozen paswoord voor het eigen account op https://crm.schedom-europe.net wordt open in een mail verzonden.
   Dit wil zeggen dat het paswoord ook bij Schedom opgeslagen wordt en niet enkel de hash bijgehouden wordt, dit is onveilig.
2. Als je dit paswoord wilt wijzigen kan je enkel a-z en 0-9 gebruiken en maximun 6! tekens gebruiken. Met een brute force attack is zo'n paswoord met 1 pc in minder dan een uur te hacken.

Foei!

En wat kan iemand doen met jouw Dommel paswoord?

PS - Bij Belgacom is het ook zo ...

een greep uit het menu:

- activate free .be domain
- manage backupservice
- colo/dedicated server power-control
- manage adsl website
- manage domainforwarding
- manage hostingaccount
- manage mailinglists
- manage nameservers
- manage adsl email
- manage digitel telephony-service

Met andere woorden: veel.

En wat valt daarmee te verdienen voor die hacker ?
Daar draait het uiteindelijk toch om.

Ik denk dat je nog niet alles hebt gezien, ze geven gevoon het wachtwoord plain text in de url door als je dingen gaat beheren zoals bijvoorbeeld de gsm nummers etc

Krijg je zo'n link:
include/scripts/linked/mobtel/tel.php?servid=000000&password=PASS&client_id=00000

Dus op elk netwerk push je jouw wachtwoord naar iedereen toe

MarkDM schreef:En wat valt daarmee te verdienen voor die hacker ?
Daar draait het uiteindelijk toch om.

- Via "activate free .be domain" en "manage domainforwarding" kan je eenderwelke brolsite aan een geloofwaardig .be domein koppelen.
- Via een veel te kort en veel te publiek paswoord staan mijn persoonlijke gegevens (voor faturatie etc) te grabbel.
Hoe moeilijk is het om iemands identiteit te misbruiken als je zijn vaste lijn, GSM nummer, bankrekeningnummer, adres en zelfs rijksregisternummer hebt?

Beveiliging mag niet afhangen van "hoe waardevol informatie voor een hacker zou kunnen zijn".

Schandpaal.

Dit is toch wraakroepend. Plaintext de mensen hun paswoorden bewaren.
Of erger nog, max 6 tekens. Laatst een kameraad nog horen vloeken dat een service waar hij op inschreef een max van 16 tekens gebruikte in de paswoorden. 6 is toch echt niet meer van deze tijd. Max lengtes zouden zoiezo niet gebruikt mogen worden.

[ Post made via mobile device ]

Idem bij Scarlet, een schande en al vaker aangekaart.

Plain text opslaan is naar mijn idee nog niet zo het probleem. Maar telkens je password doorgeven via een URL, dan heeft HTTPS zelfs totaal geen zin... Iemand in de buurt op je netwerk met wireshark aan en hup die is er mee weg

Tim.Bracquez schreef:Plain text opslaan is naar mijn idee nog niet zo het probleem.

Als een service wachtwoorden opslaat in plaintext dan kan je vermoeden dat de rest van hun beveiliging al even brak is. Best per dienst een eigen wachtwoord.

@Liber!: Dat zou ik niet zeggen, denk wel dat de rest goed zit bij Belgacom bijvoorbeeld.... Zolang niemand extern er aan kan, is er geen probleem... Als je het plain text zonder ssl doorgeeft dan kan iedereen die er tussen zit gewoon meesniffen

MarkDM schreef:En wat valt daarmee te verdienen voor die hacker ?
Daar draait het uiteindelijk toch om.

Ooit van identiteitsfraude gehoord, .. zelfs met een paar brieven uit uw brievenbus kan men al, veel .. denk maar eens na hoeveel sites er zijn die een zogenaamde elektricitieitsfactuur als een identiteitsbewijs aanvaarden, of althans bewijs van residentie.

Waarschijnlijk denk jij vast dat men daarmee niks kan, maar iemand die wat creatief is kan er waarschijnlijk heel veel mee.

bv, .. domein, daarmee kan ik toch wel als jij een winkel draait op je site betalingen naar andere sites laten gaan, .. met dns kan men héél veel !

manage backupservice, ..

misschien maak jij wel een backup nu en dan, misschien zit daar wel gevoelige info in ? Privacy, .. misschien !?

manage mailinglists

Al uw vrienden, worden getrackteerd op spam, .. gratis voor niks, met zijn allen op de spamlijst.

Maar telkens je password doorgeven via een URL, dan heeft HTTPS zelfs totaal geen zin...

Variabelen die via GET requests verstuurd worden, worden ook geëncrypteerd verzonden via https. Ze kunnen dus niet afgeluisterd worden.

Maar dat belet niet dat ze bijvoorbeeld in plain text in de log files van de webserver komen te staan. Dus als de webserver gekraakt wordt, liggen die wachtwoorden op straat... Daarom is wachtwoorden verzonden over GET uit den boze, zelfs niet over HTTPS.

oh oei, browser history, .. daar staat toch wel uw paswoord in, zekers, ..

Ik heb onlangs mijn Belgacom Favorite abbo gedowngrade naar Start. Enkele dagen later kreeg ik een brief van Belgacom met de bevestiging. De brief is exact dezelfde brief als de welkomstbrief voor nieuwe klanten:
Hij bevat je:

• Internet login + passwoord (plaintext)
• Paswoord voor de mail account

Het gekke was eigenlijk dat:

1. Het internet paswoord het bestaande paswoord is, dat ik zelf heb aangemaakt via e-services
2. ze ongevraagd mijn mailbox paswoord hebben gewijzigd (alsof dit een nieuwe mailbox was). Gelukkig gebruik ik deze mailbox niet om mails binnen te halen, maar er is een forward ingesteld (dit kan je via e-services managen, zonder dat je paswoord van de mailaccount nodig hebt).

Nog gekker is dat, als je je Internet paswoord niet meer kent, er geen mogelijkheid is om het paswoord te achterhalen (volgens de Helpdesk), en ze je paswoord dus moeten resetten. Nochtans kunnen ze het wel afdrukken op een brief .

Je kan ze op volgende website toevoegen aan de publieke schandpaal: http://plaintextoffenders.com/

Ik ga Dommel niet op PlainTextOFfenders plaatsen. Net dat helpt hackers weer om goeie sites te vinden voor het harvesten.
Iemand een idee of een klacht bij de Ombudsman voor Telecom een mogelijkheid is?

Een klacht bij de ombudsman telecom is slechts ontvankelijk nadat
je eerst je klacht bij de ISP maakte en deze er niets wil aan doen.

2 jaar geleden had ik hen dat al eens gemeld. Die durven dan nog discussiëren dat dit geen veiligheids issue is. Amateurs! Dit voor een bedrijf in de it sector.

[ Post made via mobile device ]