Userbase

<img src="http://upload.userbase.be/upload/logo-tele2.gif" align="left">Tele2 stond de laatste tijd nogal negatief in de spotlights omdat het de instellingen van zijn Tele2Box (een router voor internet en telefonie) afsloot van zijn leden. Hierdoor waren de firewall en andere soms nodige instellingen als port forwarding niet toegankelijk voor de klanten. Er waren wel omwegen, maar die resulteerden in het verlies van de telefonie faciliteiten. Tele2 hanteert deze methode om vanop afstand de routers van zijn gebruikers te beheren.

Het grote doel van de Tele2 internet community was dus het bemachtigen van deze logingegevens om de router instellingen te kunnen aanpassen. Zo geschiede het ook dat op 16 januari de login en het paswoord publiek werden gemaakt.

Het grote probleem is dat met deze login gegevens 'in the open', elke router van een onwetende gebruiker (het merendeel van de gebruikers) toegankelijk wordt van buitenaf. Een slimme jongen kan dus eenvoudig een programma schrijven dat de Tele2 ip ranges afschuimt en bij succes de Tele2Box van een klant onklaar maakt, waardoor deze zonder internet en telefoon komt te zitten. Zo een eenvoudige 'crack' zou best wel eens de Belgische internetgeschiedenis in kunnen gaan.

Userbase raadt de Tele2 gebruikers dan ook aan contact op te nemen met de helpdesk en te vragen naar een nieuw (en hopelijk dit keer individueel) paswoord. Het zelf aanpassen van het paswoord is ook een optie, maar die kan in strijd zijn met het Tele2 reglement.

Het mag duidelijk zijn dat het Tele2 netwerk op een tikkende bom zit, hopelijk kunnen ze de lont op tijd doven.

Je hebt gelijk in wat je zegt maar ik vind dit nogal hoog VTM / Laatste Nieuws / Dag Allemaal sensatiegehalte hebben, zeker als je het op de frontpage gaat posten .

Tja, tele2 moet zijn klanten inlichten .... en zij kennen hun klanten met ip's, ze kunnen net zo goed eens alle ip's afgaan en controleren of ze nog kunnen inloggen ... en meteen die klant op de hoogte stellen dat hij dringend actie moet ondermen ?

En dit om verder problemen te vermeiden...

Mvg,

Kikker46

Ja, het heeft de neiging om zo over te komen, maar is niet zo bedoeld. Dit bericht werd pas na overleg hier geplaatst juist omdat het eigenlijk nogal gevoelig is.
Persoonlijk vind ik dit nieuws zeker frontpage waardig. Wat ik schrijf is namelijk niet uit de lucht gegrepen of teveel opgeblazen. Vele Tele2 gebruikers weten van niets terwijl ze eigenlijk erg kwetsbaar zijn!
Toen ik hier las dat je zelfs vanuit een extern netwerk kon inloggen op die routers verschoot ik toch even. Dit is werkelijk een gigantisch security gat dat dringend dicht moet! Een manier om dat wat in de hand te werken is bijvoorbeeld zo een frontpage nieuwspost.

NuKeM schreef:Een manier om dat wat in de hand te werken is bijvoorbeeld zo een frontpage nieuwspost.

Volledig correct, de provider kan minstens wat moeite doen om hier iets aan te doen.

Ik verzin hier nog een leuk gevolg voor zo'n 'open router'. Nu kan je zelf effe een port forwarding instellen naar 192.168.2.1 voor NetBIOS, zodat ik die persoon z'n shares kan benaderen!

Toch een slecht security beleid van tele2...

Als je zo iets wilt lappen moet je toch tenminste
- Verschillende wachtwoorden voor de routers gebruiken
- IP adres restrictie op remote management

Zo iets is inderdaad een tikkende tijdbom

Verder is het ook niet goed te keuren dat de gebruikers niet eens in staat zijn eigen port forwards te doen. Dat is toch de minste controle die een gebruiker zou moeten hebben...

Tele2 zou mogen tevreden zijn dat Userbase, dit gepost heeft op de frontpage.
Met als enig doel: "Nog meer en ergere zaken te voorkomen".

Hopelijk komt er snel een oplossing uit de bus, vóór er werkelijk gedupeerden zijn.

...en nog maar eens het bewijs dat het gras niet altijd groener is aan de overkant...

IK BEN BLIJ haha, en wees blij dat die gast geen 0900 dailers opgesteld had.. anders hadden er serieuze telefoon kosten aangekomen ! reset dus u pass en zet het terug op het oude om de geschiedenis te herhalen.

Dé enige manier hoe men zoiets kan securen is door ssl certs te gaan gebruiken om aan teloggen zoals bij ssh ! en voor iedere router een ander.. op deze manier kan iemand van de helpdesk ook niet met het paswoord ervandoor en er dan narigheid met uithalen !

Ofloo schreef:Dé enige manier hoe men zoiets kan securen is door ssl certs te gaan gebruiken om aan teloggen zoals bij ssh ! en voor iedere router een ander.. op deze manier kan iemand van de helpdesk ook niet met het paswoord ervandoor en er dan narigheid met uithalen !

Mja het zal gaan om "hoe maak ik een goedkope adsl router zonder firmwareaanpassingen bereikbaar voor de helpdesk". Maar dan nog hadden ze IP restricties & verschillende wachtwoorden kunnen gebruiken, wat het geheel toch redelijk 'safe' hadden kunnen maken.

Ik vind het goed dat userbase dit op de home-page plaatst. Toegang tot de router en tot voip is toegang tot alles.

Langs de andere kant vind ik het toch raar vinden dat Tele2 zo onbekwaam is...dit had ik echt niet verwacht van zo een multi-national. Ik schrok al van hun onwetentheid ivm het volume. Jammer, het had het BC, TN imperium kunnen omverwerpen, niet dus.

De voorpagina dient om belangrijk breedbandnieuws in de schijnwerpers te plaatsen en in mijn ogen is niet enkel een nieuw abo van e.o.a. ISP belangrijk breedbandnieuws...

Dit vind ik belangrijker nieuws, omdat als iemand echt elke standaard-tele2-box platlegt zonder dat hij/zij gepakt wordt, ons landje (en dan vooral tele2) voorpaginanieuws is in zeer veel landen. Bovendien kan je dan als klant echt wel een schadevergoeding eisen van tele2 en kan dit leiden tot een zware domper voor tele2 als ISP, aangezien ook hun imago gekelderd wordt.

Conclusie van deze post: NukeM, je hebt er goed aan gedaan om dit op de voorpagina te zetten!

Is dit ook al doorgegeven aan tele2 ?

De volledige verantwoordelijkheid van zowel het openbaar maken van de passwords, als het mogelijk hacken van de modems ligt volledig bij Tele2.
Wanneer je een systeem gebruikt van identieke passwords voor alle gebruikers, en dan zelfs ook nog passwords die de fabrikant ergens gepubliceerd heeft, kun je er rekening mee houden dat ze bekend worden.
De oproep op kontakt op te nemen met de helpdesk is m.i. niet terecht, modems van nietsvermoedende gebruikers kan Tele2 op afstand opnieuw beveiligen, bij modems waar tele2 geen toegang meer tot heeft kan Tele2 per email in kontakt treden met de gebruiker.

Eigenlijk heeft een klant in deze onveilige situatie van het Tele2 netwerk het volste recht de passwords te wijzigen om te voorkomen dat zijn modem gehacked wordt.

Limburg schreef:De volledige verantwoordelijkheid van zowel het openbaar maken van de passwords, als het mogelijk hacken van de modems ligt volledig bij Tele2.

Geloof je dat zelf nu? Precies of Tele2 heeft vrijwillig het paswoord gelekt. Als daar een rechtszaak van komt gaan ze gewoon vrijuit.

Deej_1977 schreef:

Limburg schreef:De volledige verantwoordelijkheid van zowel het openbaar maken van de passwords, als het mogelijk hacken van de modems ligt volledig bij Tele2.

Geloof je dat zelf nu? Precies of Tele2 heeft vrijwillig het paswoord gelekt. Als daar een rechtszaak van komt gaan ze gewoon vrijuit.

Wie heeft het over een rechtzaak tegen Tele2?
Eerder maatregelen van Tele2 uit naar gebruikers die hun modem hebben gewijzigd.
In dat geval heeft Tele2 door hun slecht beveiligd netwerk geen poot meer om op te staan.

Avenger 2.0 schreef:

Ofloo schreef:Dé enige manier hoe men zoiets kan securen is door ssl certs te gaan gebruiken om aan teloggen zoals bij ssh ! en voor iedere router een ander.. op deze manier kan iemand van de helpdesk ook niet met het paswoord ervandoor en er dan narigheid met uithalen !

Mja het zal gaan om "hoe maak ik een goedkope adsl router zonder firmwareaanpassingen bereikbaar voor de helpdesk". Maar dan nog hadden ze IP restricties & verschillende wachtwoorden kunnen gebruiken, wat het geheel toch redelijk 'safe' hadden kunnen maken.

slecht excuus tegenwoordig zijn er heel veel goedkope dsl modems met opensource firmware.. !! Er is geen excuus voor wat hier gebeurd is buiten een stom idee van de ene of andere idioot die weer dacht dé oplossing gevonden te hebben!!!

Ofloo schreef:

Avenger 2.0 schreef:

Ofloo schreef:Dé enige manier hoe men zoiets kan securen is door ssl certs te gaan gebruiken om aan teloggen zoals bij ssh ! en voor iedere router een ander.. op deze manier kan iemand van de helpdesk ook niet met het paswoord ervandoor en er dan narigheid met uithalen !

Mja het zal gaan om "hoe maak ik een goedkope adsl router zonder firmwareaanpassingen bereikbaar voor de helpdesk". Maar dan nog hadden ze IP restricties & verschillende wachtwoorden kunnen gebruiken, wat het geheel toch redelijk 'safe' hadden kunnen maken.

slecht excuus tegenwoordig zijn er heel veel goedkope dsl modems met opensource firmware.. !! Er is geen excuus voor wat hier gebeurd is buiten een stom idee van de ene of andere idioot die weer dacht dé oplossing gevonden te hebben!!!

Inderdaad, de Linksys routers (ook met VoIP FXO poort) zijn redelijk goedkoop (draait een opensource firmware) maar die heeft geen modem ingebouwd.

Dus ik kan fout zijn maar ik denk niet dat je volgende dingen al vind:
- opensource firmware (maar dan POSIX compatible)
- FXO poort voor VoIP
- ADSL modem

Limburg schreef:In dat geval heeft Tele2 door hun slecht beveiligd netwerk geen poot meer om op te staan.

Betwijfel het. Veel meer dan gedeelde verantwoordelijkheid ga je er niet uithalen. De gebruikers worden namelijk geacht als een goede huisvader met hun abonnement om te springen. Daar valt het kraken & wijzigen van een paswoord niet onder.

De ISP gaat gewoon zeggen dat alles voldoende was afgeschermd en dat er maatregelen onderweg waren om enkel het voice gedeelte af te schermen en dat de gebruiker, door de hele paswoord historie, hen het werken onmogelijk heeft gemaakt.

Hoe zeer ik ook de praktijken van Tele2 onacceptabel vind, als ze doorgaan tot op het bot hangen de consumenten die zelf er voor gezorgd hebben dat Tele2 niks meer kon doen op de modem.

Maar ze mochten wel iets ondernemen ondertussen, daar geef ik iedereen groot gelijk in.

Deej_1977 schreef:Betwijfel het. Veel meer dan gedeelde verantwoordelijkheid ga je er niet uithalen. De gebruikers worden namelijk geacht als een goede huisvader met hun abonnement om te springen. Daar valt het kraken & wijzigen van een paswoord niet onder.

De goede huisvader in dit geval kent niets van z'n modem... en aangezien heel de wereld dat paswoord kan veranderen zie ik niet in hoe Tele2 hier zou wegkomen met gedeelde verantwoordelijkheid.

Het is niemand anders dan Tele2 welke door z'n totale gebrek aan veiligheid verantwoordelijk is voor dit alles.

r2504 schreef:Het is niemand anders dan Tele2 welke door z'n totale gebrek aan veiligheid verantwoordelijk is voor dit alles.

Probeer dat maar eens hard te maken als er ooit een gerechtelijk dispuut over komt. Good luck.

Deej_1977 schreef:Probeer dat maar eens hard te maken als er ooit een gerechtelijk dispuut over komt. Good luck.

Heel de wereld weet ondertusen het paswoord, en kan het tevens aanpassen, alsook alle settings van je modem.

Veel "good luck" heb je dan volgens mij niet nodig.

r2504 schreef:

Deej_1977 schreef:Betwijfel het. Veel meer dan gedeelde verantwoordelijkheid ga je er niet uithalen. De gebruikers worden namelijk geacht als een goede huisvader met hun abonnement om te springen. Daar valt het kraken & wijzigen van een paswoord niet onder.

De goede huisvader in dit geval kent niets van z'n modem... en aangezien heel de wereld dat paswoord kan veranderen zie ik niet in hoe Tele2 hier zou wegkomen met gedeelde verantwoordelijkheid.

Het is niemand anders dan Tele2 welke door z'n totale gebrek aan veiligheid verantwoordelijk is voor dit alles.

En waaruit besluit gij dat het een totaal gebrek aan veiligheid van TELE2 hare kant is? Is TELE2 verantwoordelijk voor hetgene hackers publiceren op het net?

Het is helemaal niet de bedoeling geweest opdat de klanten toegang tot de TELE2 Box hadden, eens te meer omdat de klanten dan zelf hun telefonie instellingen konden veranderen en de boel naar de knoppen helpen.
Niet alleen daarom heeft TELE2 de toegang willen blokkeren, maar ook om zelf vanuit de centrale updates van de Firmware te kunnen doen.
Als klanten dan hun login in de modem gaan veranderen, kan TELE2 de firmware niet meer updaten, dus de klant verpest het ook voor zichzelf.
En inderdaad TELE2 is de laatste tijd niet al te positief in het nieuws geweest, de vraag is enorm. Maar geef ze nog een maand en alles verloopt minstens dubbel zo goed als nu.
En voor al degene die de login gebruikt hebben en in de TELE2 Box geweest zijn, hebben hun garantie onherroepelijk verloren.

Volgens mij heeft dit niks met garantiebepalingen te maken; er is nu eenmaal niks fysiek stuk.
Bovendien is het TELE2 zelf die dit paswoord heeft vrijgegeven (onbezonnen daad waarschijnlijk, maar hey, het is gebeurd). Het heeft dus niks met hacking te maken.

http://www.tele2.be/nl/tele2-all-in/frame/download/CGV_all_in_NL.pdf

Lees artikel 3.1 maar eens.

neenee, het is artikel 5.2

daydream schreef:En waaruit besluit gij dat het een totaal gebrek aan veiligheid van TELE2 hare kant is? Is TELE2 verantwoordelijk voor hetgene hackers publiceren op het net?

TN is niet verantwoordelijk voor hackers... maar wel voor paswoorden niet geencrypteerd over een netwerk te sturen, en erger nog hetzelfde bij iedereen gebruiken. Dat is dus hetzelfde als totaal gebrek aan veiligheid.

daydream schreef:En voor al degene die de login gebruikt hebben en in de TELE2 Box geweest zijn, hebben hun garantie onherroepelijk verloren.

Nogmaals... waarom ga je ervan uit dat de persoon dit zelf zou hebben gedaan... de eerste de beste grapjas van waar ook ter wereld kan iedere Tele2 gebruiker z'n modem volledig herconfigureren... inclusief er een ander paswoord opzetten.

r2504 schreef:Nogmaals... waarom ga je ervan uit dat de persoon dit zelf zou hebben gedaan... de eerste de beste grapjas van waar ook ter wereld kan iedere Tele2 gebruiker z'n modem volledig herconfigureren... inclusief er een ander paswoord opzetten.

En het ergste, gegevens voor te telefoneren kunnen gestolen worden!

ZMD schreef:En het ergste, gegevens voor te telefoneren kunnen gestolen worden!

Bullshit. Je gegevens zijn gelinkt aan je lijnprofiel. Buiten wat pesten kan je met die login niet veel doen.

Deej_1977 schreef:

ZMD schreef:En het ergeste, gegevens voor te telefoneren kunnen gestolen worden!

Bullshit. Je gegevens zijn gelinkt aan je lijnprofiel. Buiten wat pesten kan je met die login niet veel doen.

Waarom staat er dan in de overeenkomst dat nomadisch gebruik verboden is, als het toch niet kan.

ZMD schreef:Waarom staat er dan in de overeenkomst dat nomadisch gebruik verboden is, als het toch niet kan.

Omdat er altijd wel een of andere fanatieke slimmerik er ooit eens in kan slagen om het wel aan de praat te krijgen.

In ieder geval heeft T2 voor de implementatie van het security model gezorgd waarbij de mogelijkheid werd afgenomen voor de klant om in te grijpen. Als er iets van schade geclaimed wordt bij T2 dan zal dat ook wel lukken gezien de eenvoud van het systeem. Om te bewijzen hoe krachtig of zwak het security model is wordt in een rechtzaak beroep gedaan op experten. Die zullen wel meteen aangeven wat voor een zware fouten T2 gemaakt heeft op security vlak.

Deej_1977 schreef:

ZMD schreef:En het ergeste, gegevens voor te telefoneren kunnen gestolen worden!

Bullshit. Je gegevens zijn gelinkt aan je lijnprofiel. Buiten wat pesten kan je met die login niet veel doen.

Ben je daar zeker van? Heb je daar meer details over? Het zou de eerste provider met zo een beperking zijn in Belgie...

Deej_1977 schreef:Bullshit. Je gegevens zijn gelinkt aan je lijnprofiel. Buiten wat pesten kan je met die login niet veel doen.

Vanwaar die kennis?
Ik ruik een Tele2 medewerker!

Al die zever van gaat het nu ofniet vragen....

waarom probeert er niemand eens? moet ik het zelf doen ofzo ?

Leg me eens uit hoe het kan gelinkt zijn aan je lijn profiel je logged in klaar je bent online niks houd je tegen om de gevens van een andere tele2 klant te gaan gebruiken ! Je zit tenslotte op het zelfde netwerk ! Als dit zo was had skynet dit ook kunnen doen voor hun accounts wat niet het geval is.

Als men met lijnprofiel bedoelt, dat alle tele2 klanten onderling elkaars login gegevens kunnen gebruiken dan zeg ik ja dat geloof ik.. maar dan is misbruik ook niet uitgesloten !

Limburg schreef:Ik ruik een Tele2 medewerker!

LOL nope basiskennis VOIP en een goei netwerk binnen de Telecom sector en je weet meteen hoe die systemen werken. Bovendien - als je goed gelezen had - heeft Tele2tech het al eens gepost...

Siglo schreef:Ben je daar zeker van? Heb je daar meer details over? Het zou de eerste provider met zo een beperking zijn in Belgie...

Denket wel. Als ik alles goed begrepen heb is je SIP login gekoppeld aan je lijnprofiel en blokkeert het systeem als je probeert te bellen vanop een andere lijn. Surfen zou dus wel kunnen met andermans login, bellen niet.

Volgens mij heeft dat ook te maken met het kunnen localiseren van telefoontjes gepleegd naar noodnummers.