Blunder Verizon roept vragen op over 2-factor authenticatie

Het beste wat zij kunnen doen is als de bliksem het service-PIN van hun Verizon-account veranderen. Dat zegt UpGuard, dat ontdekte dat het bestand met klantgegevens van Verizon Wireless minstens 2 weken open en bloot op een server stond.

De server in kwestie was van Nice Systems, een callcenter-dienstverlener die kennelijk door Verizon is ingeschakeld voor de eerstelijns contacten met klanten. Het onbeveiligde bestand bevat namen, huisadressen, e-mailadressen, telefoonnummers en persoonlijke identificatienummers van 14 miljoen klanten. Het grote gevaar van de blootstelling van deze gegevens is dat internetcriminelen niet alleen de mogelijkheid krijgen om iets te veranderen aan je telefoonabonnement, maar vooral ook dat die hen in principe in staat stelt om je telefoonnummer over te nemen en te misbruiken voor het omzeilen van de 2-factor-authenticatie die je op belangrijker services (zoals bijvoorbeeld je bankrekening) hebt ingesteld.

Doen bedrijven wel genoeg aan beveiliging? Doe mee aan het onderzoek naar de staat van beveiliging van IT, en vul de vragenlijst in

Geen hashes

Volgens directeur Chris Vickery ontdekte UpGuard de blootstelling van de data op 8 juni en meldde het dit op de 13e aan Verizon, dat daarna pas op de 22 juni adequate actie ondernam. 

Wat overigens verder nog te denken geeft is dat Verizon kennelijk de PIN's van z'n klanten kent. Dat is een werkwijze die sowieso vanuit beveiligingsoogpunt volstrekt achterhaald is. Veel veiliger is het om als dienstverlener de PIN niet te kennen en slechts te beschikken over een hash waaraan de door opbellers (of inloggers) opgegeven PIN wordt getoetst.