Overslaan en naar de inhoud gaan

Blunder Verizon roept vragen op over 2-factor authenticatie

Voor veel mensen is de mobiele telefoon de 'kluisdeur' die via 2-factor-authenticatie hun echt belangrijke accounts van hackers en cybercriminelen afschermt. Maar wat als je telefoon-account gekaapt wordt? Dat scenario zit er nu in voor zo'n 14 miljoen abonnees van de Amerikaanse mobiele telefonieaanbieder Verizon Wireless.
hacker
© CC0
CC0

Het beste wat zij kunnen doen is als de bliksem het service-PIN van hun Verizon-account veranderen. Dat zegt UpGuard, dat ontdekte dat het bestand met klantgegevens van Verizon Wireless minstens 2 weken open en bloot op een server stond.

De server in kwestie was van Nice Systems, een callcenter-dienstverlener die kennelijk door Verizon is ingeschakeld voor de eerstelijns contacten met klanten. Het onbeveiligde bestand bevat namen, huisadressen, e-mailadressen, telefoonnummers en persoonlijke identificatienummers van 14 miljoen klanten. Het grote gevaar van de blootstelling van deze gegevens is dat internetcriminelen niet alleen de mogelijkheid krijgen om iets te veranderen aan je telefoonabonnement, maar vooral ook dat die hen in principe in staat stelt om je telefoonnummer over te nemen en te misbruiken voor het omzeilen van de 2-factor-authenticatie die je op belangrijker services (zoals bijvoorbeeld je bankrekening) hebt ingesteld.

Doen bedrijven wel genoeg aan beveiliging? Doe mee aan het onderzoek naar de staat van beveiliging van IT, en vul de vragenlijst in

Geen hashes

Volgens directeur Chris Vickery ontdekte UpGuard de blootstelling van de data op 8 juni en meldde het dit op de 13e aan Verizon, dat daarna pas op de 22 juni adequate actie ondernam. 

Wat overigens verder nog te denken geeft is dat Verizon kennelijk de PIN's van z'n klanten kent. Dat is een werkwijze die sowieso vanuit beveiligingsoogpunt volstrekt achterhaald is. Veel veiliger is het om als dienstverlener de PIN niet te kennen en slechts te beschikken over een hash waaraan de door opbellers (of inloggers) opgegeven PIN wordt getoetst.

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in