Beveiliging klantdata The Phone House en Media Markt rammelde

Raymon op 08 december 2015 3 reacties Laatste door MajorApple

De beveiliging van klantgegevens bij Media Markt en The Phone House bleek behoorlijk te rammelen, waardoor de persoonlijke gegevens van 12 miljoen klanten door iedereen met basiskennis van computers te achterhalen waren.

Beveiligingsexpert Sijmen Ruwhof heeft in een blogpost uit de doeken gedaan hoe Media Markt, The Phone House en Nederlandse providers tekortschoten bij het beschermen van portals met klantdata.

De verkoop van abonnementen en andere telecomdiensten is door Media Markt uitbesteed aan The Phone House. Het bedrijf heeft is aangesloten op het IT-systeem binnen Media Markt en kan via portals (beveiligde websites) van providers als KPN, Vodafone en T-Mobile nieuwe abonnementen aanvragen en klantgegevens wijzigen.

Basisbeveiliging niet op orde

Duwhof trof bij zijn lokale Media Markt een plakbriefje op een monitor aan met daarop het wachtwoord dat medewerkers gebruiken om Windows te ontgrendelen. Drie keer raden: media123. Daar begint het pas. Omdat medewerkers niet alle wachtwoorden kunnen onthouden, worden inloggegevens van providerportals door The Phone House in een excel sheet opgeslagen. De sheet staat in Google Docs en medewerkers openen deze rustig terwijl klanten meekijken. Het wachtwoord van dat Google Docs-account? Utrecht12345.

Medewerkers blijken bovendien de computers niet altijd te vergrendelen. Een nieuwsgierige klant kan met een simpele alt+tab snel kijken of een browservenster open staat met wachtwoorden voor providerportals. Simpele maatregelen als wachtwoorden in zwarte tekst op een zwarte achtergrond plaatsen, werden niet genomen.

So much for all the encryption effort made by Dutch telecom providers after the Edward Snowden leaks: Phone House is trusting their passwords to an American company.

mm-wachtwoorden-16x9

Super handig! Alle wachtwoorden overzichtelijk in Google Docs…

Voorspelbare wachtwoorden

Het probleem van alle medewerkers met één set inloggegevens laten werken, is dat het nooit te achterhalen is wie welke wijziging doorvoert. Als een medewerker ontslag neemt, worden ze ook niet aanpast. De wachtwoorden blijken ook redelijk voorspelbaar, enkele wachtwoorden voor portals van Vodafone, KPN, Telfort, T-Mobile, Tele2, UPC waren:

  1. m
  2. 12345678
  3. Utrecht
  4. beginnen01
  5. Utrecht12345
  6. upc12345
  7. Welkom03
  8. Mediautr03

Providers ook schuldig

Ook de providers blijken niet goed nagedacht te hebben over hun beveiliging. De portals met klankgegevens zijn vaak vrij via internet beschikbaar. Geen VPN of filtering op IP-adres. Iedereen kan naar kpnverkoopportaal.nl surfen en met de gegevens die de medewerker van Media Markt op Google Docs opzocht zijn buurman een nieuwe telefoon bezorgen. Of met een simpel script de hele klantendatabase leegtrekken.

Dealer-portals

Een lokale Phone House-vestiging zette alle links naar dealerportals online.

Beveiliging inmiddels verbeterd

Media Markt en The Phone House hebben beterschap beloofd en de afgelopen weken password managers geïnstalleerd. Ook worden schermen voortaan beter afgeschermd zodat klanten niet zomaar mee kunnen kijken. Dit gebeurde overigens pas nadat Ruwhof contact had opgenomen met de providers. In eerste instantie wilde de store manager van Media Markt Utrecht de onderzoeker aanklagen als hij zijn bevindingen zou publiceren. Dat bleek echter een overtrokken eerste reactie.

Hoe goed zou de beveiliging bij andere retailers geregeld zijn?

Raymon is vaste redacteur bij OMT, maar noemt zich liever redactieninja. Ook te volgen op Twitter en wekelijks te horen in de TechSnacks Podcast. Lees meer artikelen van Raymon.

En nu?

3 reacties

Profielfoto

Imade op 08 december 2015

LOL… als hij was aangeklaagd, dan had de rechter hem uitgelachen omdat niet die onderzoeker fout zit maar de Media Markt/Phone House de wet overtraden.
Die systemen staan btw wel vaker onbeheerd ongelockt, ook in Rotterdam Centrum.

Profielfoto

Imade op 08 december 2015

Beveiliging bij KPN is btw ook niet in orde.. toen de zaak waar ik werkte problemen had met een toestel kon ik rustig met mijn toestel van alles opvragen tot abbo gegevens aan toe en… zelfs een monteur verzoek inplannen terwijl ik belde met mijn mobiel en nee… die is NIET bekend bij KPN.

Profielfoto

MajorApple op 08 december 2015

Ik kan hier volledig over meepraten en ik kan zeggen: die wachtwoorden zijn nog steeds zo. MediaMarkt doet hier helemaal niks aan en er zijn nergens password managers geïnstalleerd. Daarnaast werken ze bij de PhoneHouse met zo’n oud systeem om hun abonnementen af te sluiten, dat ieder kind van drie dat kan hacken. Kortom het is nog altijd een zooitje bij beide bedrijven wat betreft klantengegevens.

 


Je kunt alleen reageren met een gratis OMT account.
Heb je geen OMT account? Registreer je dan nu gratis!

Inloggen

 

of Wachtwoord resetten?