Blunder Verizon roept vragen op over 2-factor authenticatie
Het beste wat zij kunnen doen is als de bliksem het service-PIN van hun Verizon-account veranderen. Dat zegt UpGuard, dat ontdekte dat het bestand met klantgegevens van Verizon Wireless minstens 2 weken open en bloot op een server stond.
De server in kwestie was van Nice Systems, een callcenter-dienstverlener die kennelijk door Verizon is ingeschakeld voor de eerstelijns contacten met klanten. Het onbeveiligde bestand bevat namen, huisadressen, e-mailadressen, telefoonnummers en persoonlijke identificatienummers van 14 miljoen klanten. Het grote gevaar van de blootstelling van deze gegevens is dat internetcriminelen niet alleen de mogelijkheid krijgen om iets te veranderen aan je telefoonabonnement, maar vooral ook dat die hen in principe in staat stelt om je telefoonnummer over te nemen en te misbruiken voor het omzeilen van de 2-factor-authenticatie die je op belangrijker services (zoals bijvoorbeeld je bankrekening) hebt ingesteld.
Geen hashes
Volgens directeur Chris Vickery ontdekte UpGuard de blootstelling van de data op 8 juni en meldde het dit op de 13e aan Verizon, dat daarna pas op de 22 juni adequate actie ondernam.
Wat overigens verder nog te denken geeft is dat Verizon kennelijk de PIN's van z'n klanten kent. Dat is een werkwijze die sowieso vanuit beveiligingsoogpunt volstrekt achterhaald is. Veel veiliger is het om als dienstverlener de PIN niet te kennen en slechts te beschikken over een hash waaraan de door opbellers (of inloggers) opgegeven PIN wordt getoetst.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee