Groote Zeelandse abonnementen retailer onveilig.

Systemen van Zeelandse telecom wederverkoper zijn niet zo goed beveiligd als je zou hopen, het risico is dan ook dat er een mogelijkheid is om 306.000 contracten/verlengingen op te halen uit hen online database.

Ik quote:
Het systeem is matig tot slecht beveiligd, login bestaat enkel uit een voorletter + achternaam. Geen beveiliging tegen brute-force aanvallen. Wachtwoorden simpel te achterhalen!

Systeem wordt na de login enkel en alleen bescherm door middel van een PHPSESSID, simpel te verkrijgen uit de COOKIES. Met behulp van deze login kan met gemak elk contract uit RAS gehaald worden.

--
Gezien de status Onbekend bij deze case wordt de naam van de provider nog niet genoemd. Overleg zou met gepaste spoed gepleegd worden.

arjants schreef op zondag 14 februari 2016 @ 19:24:
https://secure.publeaks.nl/#/submission ?
Veilige manier om het bij bijvoorbeeld tweakers te melden

Hier ligt de angst niet, dit probleem is reeds maanden bekend. Echter tot op heden geen actie ondernomen! Slechte zaak dus, wordt tijd dat dit soort bedrijven begrijpen wat de wetgeving voor gevoelige klantgegevens is.

Echter moet hierbij de consument, de benadeelde partij, er geen last van hebben bij publicatie.

Ook ligt er reeds een rapport klaar voor dit incident met daarin uitgebreid de valkuilen en haken/ogen in de beveiliging. Of dit wordt gepubliceerd hangt compleet af van de partij en hoe hen deze info omarmen.

*Wie niet luisteren wilt, zal voelen*

arjants schreef op zondag 14 februari 2016 @ 19:48:
Wat wil je met dit topic dan bereiken? ik snap het niet helemaal denk ik
Verder kun je dit op diverse plekken melden dus wanneer het bedrijf geen actie onderneemt zijn er diverse manieren om dit te bereiken

Mensen die bekend zijn met deze partij ook wel de naam kunnen raden, als iemand de naam publiceert heb ik er geen probleem me alleen ga ik het niet zijn. (Nog niet).