Beheer

Klantinteractie
hacker

Blunder Verizon roept vragen op over 2-factor authenticatie

PIN en naw-gegevens van 14 miljoen abonnees open en bloot op server

© CC0,  Pixabay
13 juli 2017

PIN en naw-gegevens van 14 miljoen abonnees open en bloot op server

Voor veel mensen is de mobiele telefoon de 'kluisdeur' die via 2-factor-authenticatie hun echt belangrijke accounts van hackers en cybercriminelen afschermt. Maar wat als je telefoon-account gekaapt wordt? Dat scenario zit er nu in voor zo'n 14 miljoen abonnees van de Amerikaanse mobiele telefonieaanbieder Verizon Wireless.

Het beste wat zij kunnen doen is als de bliksem het service-PIN van hun Verizon-account veranderen. Dat zegt UpGuard, dat ontdekte dat het bestand met klantgegevens van Verizon Wireless minstens 2 weken open en bloot op een server stond.

De server in kwestie was van Nice Systems, een callcenter-dienstverlener die kennelijk door Verizon is ingeschakeld voor de eerstelijns contacten met klanten. Het onbeveiligde bestand bevat namen, huisadressen, e-mailadressen, telefoonnummers en persoonlijke identificatienummers van 14 miljoen klanten. Het grote gevaar van de blootstelling van deze gegevens is dat internetcriminelen niet alleen de mogelijkheid krijgen om iets te veranderen aan je telefoonabonnement, maar vooral ook dat die hen in principe in staat stelt om je telefoonnummer over te nemen en te misbruiken voor het omzeilen van de 2-factor-authenticatie die je op belangrijker services (zoals bijvoorbeeld je bankrekening) hebt ingesteld.

Doen bedrijven wel genoeg aan beveiliging? Doe mee aan het onderzoek naar de staat van beveiliging van IT, en vul de vragenlijst in

Geen hashes

Volgens directeur Chris Vickery ontdekte UpGuard de blootstelling van de data op 8 juni en meldde het dit op de 13e aan Verizon, dat daarna pas op de 22 juni adequate actie ondernam. 

Wat overigens verder nog te denken geeft is dat Verizon kennelijk de PIN's van z'n klanten kent. Dat is een werkwijze die sowieso vanuit beveiligingsoogpunt volstrekt achterhaald is. Veel veiliger is het om als dienstverlener de PIN niet te kennen en slechts te beschikken over een hash waaraan de door opbellers (of inloggers) opgegeven PIN wordt getoetst.

 

Lees meer over
Lees meer over Beheer OP AG Intelligence
3
Reacties
Anoniem 13 juli 2017 12:31

Hashen van een pin is niet zo heel erg zinvol omdat een pin relatief makkelijk te brute forcen is. Aan de andere kant is het beter dan niets.

Daarnaast laat dit zien dat sommige vormen van 2FA dat alleen in naam zijn. Een wachtwoord en een pin maakt nog geen 2FA.

Anoniem 13 juli 2017 12:10

Nice is geen facilitair contactcenter, maar een softwareleverancier voor de contactcentersector.

Anoniem 13 juli 2017 12:03

Veriozon?
Nice Systrems?

Spelling check?

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.