D9D1E2

Datalekken in Nederland

2013

Gegevens van 10.000 abonnees telecombedrijf toegankelijk door onzorgvuldig gebruik unieke hyperlinks in mailing (2013-01-02)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Tele2.

Verwerking

CommerciŽle mailing.

Betrokkenen

"[...] ruim 10.000 abonnees [...]" [WebWereld, 2013-01-02]

Soort (persoons)gegevens

"Buitenstaanders konden [...] de volledige naam en het e-mailadres van ruim 10.000 abonnees zien en zelfs hun abonnement verlengen." [WebWereld, 2013-01-02]

"Wachtwoorden en 06-nummers van 1.033 mobiele telefonieklanten van Telfort zijn online terug te vinden. Met die gegevens kon iedereen inloggen op de persoonlijke accounts op Mijn Telfort. Daar konden onder meer adresgegevens en rekeningnummers worden ingezien en gewijzigd, facturen bekeken worden en abonnementsvormen worden aangepast." [De Stentor, 2014-01-15]

Type incident

Inbreuk op de vertrouwelijkheid en potentieel de beschikbaarheid en de integriteit van de verwerkte gegevens.

Beschrijving van het incident

"Het ging om een mailing die tussen 7 en 29 december is verzonden aan abonnees met een Internet & bellen pakket waarvan de contractperiode bijna was afgelopen. Elke mail bevatte een unieke url, een zogenaamde token, op basis van een hashcode, bijvoorbeeld http://www3.tele2.nl/mailings/1168/index.php?hid=39b4650e3edb4d46e140dea33ebf158c. Deze MD5-hash is echter de verhaspeling van een nummer dat onderdeel is van een oplopende reeks. Zodoende kon met behulp een hashtool of online hashtabel ook toegang worden verkregen tot de persoonlijke pagina van andere abonnees. Op die pagina stond hun volledige naam en e-mailadres en kon tevens de verlenging van het abonnement met een druk op een knop worden bevestigd. Ontwikkelaar en Tele2-klant [...] ontdekte het privacylek en tipte Webwereld." [WebWereld, 2013-01-02]

Respons van de organisatie

"In totaal hebben iets meer dan 10.000 klanten deze mail ontvangen, bevestigt Tele2 desgevraagd. De hashes zijn overigens niet rechtstreeks verbonden aan het klantnummer, maar zijn gebaseerd op een eenmalige actiecode die een oplopende reeks vormt. 'De mogelijkheid voor oneigenlijk gebruik was daardoor beperkt tot deze groep. Wij hebben bij eerdere verlengingsactie ook gebruik gemaakt van deze MD5 encryptie. Vanaf nu zullen wij echter ook voor dergelijke mailings een random string gaan gebruiken,' aldus de woordvoerder van Tele2 in een reactie. De provider heeft na melding door Webwereld direct actie ondernomen en de online versie van de mails offline gehaald. 'Wij vinden het zeer vervelend dat onze klanten op deze wijze uit de anonimiteit kunnen worden gehaald. Ondanks het feit dat het met de beschikbare gegevens niet mogelijk was om de identiteit van een van onze klanten direct over te nemen, hebben wij dit voorval direct gemeld bij het Agentschap Telecom als een potentiŽle databreach.'" [WebWereld, 2013-01-02]

"Boosdoener is een app in de Windows Phone Store die zonder toestemming het officiŽle Telfort-logo voert. Dat zegt Telfort na onderzoek. Na een tip van deze krant heeft het telecombedrijf de omgeving van Mijn Telfort meteen afgesloten en de betreffende wachtwoorden gereset. Die accounts zijn geblokkeerd, totdat Telfort met alle slachtoffers contact heeft gehad. [...] Telfort overweegt juridische stappen tegenover de appbouwer, maar het wil eerst uitzoeken met welke doel de klantgegevens zijn verzameld." [De Stentor, 2014-01-15]

Nasleep van het incident

Onbekend.

Bronnen

2013-01-02

.