'1234' leidt tot beroving Tsjechische Vodafone-klanten

De twee nu veroordeelde dieven hebben zich volgens de krant MF DNES op primitieve wijze toegang verschaft tot de mobiele accounts van onwetende consumenten. De rovers hebben namelijk handmatig willekeurige telefoonnummers ingevoerd bij de self-service klanten-app van Vodafone en daarbij telkens als wachtwoord '1234' geprobeerd. In een aanzienlijk aantal gevallen is zo succesvol ingelogd als de eigenlijke Vodafone-klant.

Verantwoordelijkheidsvraag

Vervolgens hebben de dieven met de zo verkregen toegang bij Vodafone sim-kaartduplicaten verkregen. Deze zijn benut om mobiel te betalen voor tegoeden bij online-gokdiensten als Tipsport en Chance. Het zou gaan om tientallen slachtoffers waar in totaal voor 600.000 Tsjechische kronen is buitgemaakt, meldt MF DNES. Dit komt neer op een schade van ruim 23.000 euro.

Saillant detail is dat Vodafone Tsjechië verantwoordelijkheid ontkent en het merendeel van de geroofde bedragen nu opeist bij zijn klanten. Die zouden namelijk zelf verantwoordelijk zijn voor het instellen van een veilig wachtwoord voor de self-service app. Daarlangs kunnen klanten extra belminuten aanschaffen en delen met bijvoorbeeld gezinsleden, maar dus ook extra sim-kaarten bestellen, nieuwe belbundels activeren en andere diensten afnemen.

Onwetendheid

De slachtoffers van deze roof ontkennen echter dat zij aansprakelijk zijn. Niet alleen zouden zij het onveilige ‘1234’ nooit hebben ingesteld, maar ook zouden zij helemaal geen weet hebben gehad van die log-in of de mogelijkheden van de self-service app. Dit hebben ze pas ontdekt toen de berovingen al hadden plaatsgevonden, en ze geconfronteerd werden met facturen voor onbekende kosten.

Het malafide inloggen, het bestellen van sim-kaarten en het doen van m-commerce betalingen is gedaan van april tot oktober vorig jaar. Tenminste, in het geval van de nu veroordeelde twee rovers. Er zouden echter meer van dergelijke gevallen zijn en meer gestolen tegoeden, waarmee in april dit jaar nog gokpunten zijn aangeschaft.

Tijdelijk ingesteld?

AG Connect heeft vragen over deze affaire gesteld aan Adriana Dergam, het hoofd corporate communicatie van Vodafone Tsjechië. Tot op heden is daar nog geen reactie op gekomen. De woordvoerster is door MF DNES al wel aangehaald met de mededeling dat de operator het wachtwoord ‘1234’ nooit automatisch heeft ingesteld. Het zou wel kunnen dat het is ingesteld als tijdelijke optie door Vodafone-medewerkers in telecomwinkels waar klanten dan hun account instellen.

Daarbij zou dan aan die klanten wel zijn verteld dat ze zelf een ander, krachtiger wachtwoord moeten instellen. Sinds 2012 is ‘1234’ niet meer toegestaan door Vodafone in Tsjechië. Het bedrijf antwoordt op Twitter dat het klanten informeert over de self-service, zowel direct persoonlijk als ook in meegeleverde informatie zoals de sim-kaartverpakking en de gebruiksvoorwaarden.

123456

Zodra een sim-kaart wordt geactiveerd, genereert het systeem een willekeurig wachtwoord wat dan niet ‘1234’ is, aldus de webcare van Vodafone Tsjechië. Dit wordt dan per sms verstuurd aan de klant die het dan kan gebruiken om de code te wijzigen in een eigen inlogwachtwoord.

Dit moet dan wel een combinatie van vier tot zes cijfers zijn. Letters en speciale tekens zijn dus niet toegestaan. Verder verklaart de webcare van het telecombedrijf nog dat meerdere mislukte inlogpogingen ook worden geblokkeerd. Deze beveiligingsmaatregel heeft echter geen nut gehad doordat de dieven met ‘1234’ gelijk konden inloggen.

Klanten zijn herhaaldelijk geïnformeerd over het belang van (het instellen van) een krachtig wachtwoord, tweet Vodafone Tsjechië nu nog. In sommige gevallen heeft de mobiele operator zelf het wachtwoord van klanten gewijzigd, verklaart het bedrijf, juist met het oog op beveiligingsverbetering voor hun gebruikersaccounts. “We hebben niet alleen erop vertrouwd dat de algemene voorwaarden worden gelezen.”