Website telecombedrijf verzendt inlognamen en wachtwoorden als plain text (11/05/19)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

KPN.

Betrokkenen

Gebruikers van Hi.nl.

Soort (persoons)gegevens

Gebruikersnamen en wachtwoorden.

Type incident

PotentiŽle inbreuk op de vertrouwelijkheid (en de integriteit) van de verwerkte gegevens.

Omschrijving van het incident

"De auto-inlogfunctionaliteit van de website van Hi blijkt geruime tijd de inlognaam en het wachtwoord als plain text te hebben verzonden. 'Bij het inloggen worden de gebruikersnaam en het wachtwoord dus onversleuteld verstuurd naar de servers van Hi, de gebruiker wordt hierna doorgelinkt naar het beveiligde deel van de site', aldus ObAt [de beveiligingsonderzoeker die het lek heeft ontdekt] tegenover Tweakers.net. Hoewel een dergelijke beveiligingsfout niet direct grote gevolgen heeft, kan het lek wel door kwaadwillenden worden misbruikt als zij in staat zijn om het netwerkverkeer te bekijken, zoals bijvoorbeeld bij openbare wifi-netwerken het geval is. Met de inloggegevens kunnen klanten op een persoonlijke omgeving hun Hi-account beheren, hun telefoonrekeningen inzien en hun bundel aanpassen. Ook ontdekte ObAt op de indexpagina van Hi.nl een Flash-uiting die dusdanig was ontworpen dat deze meermaals het wachtwoord en de gebruikersnaam van de gebruiker onversleuteld opvroeg. 'Dit is onnodig, aangezien de banner ook te bekijken is voor niet ingelogde gebruikers', aldus de beveiligingsonderzoeker." (Tweakers.net, 11/05/19)

Respons van de organisatie

"KPN heeft na een tip van Tweakers.net de auto-inlogfunctie uitgeschakeld. 'Klanten kunnen nu dus nog wel inloggen, maar niet meer automatisch', aldus een zegsman van de telco. 'In dit geval geldt dat veiligheid boven gemak gaat.' KPN heeft inmiddels ook de Flash-uiting aangepast." (Tweakers.net, 11/05/19)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Website Hi.nl bleek inloggegevens als plain text te verzenden (11/05/19)

Zie verder:
Off-site link, opens in new window PrivacyNieuws: Website Hi.nl bleek inloggegevens als plain text te verzenden (11/05/19)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.