Toon posts:

Wachtwoord bij leverancier is makkelijk te kraken

Pagina: 1
Acties:

Vraag

vrijdag 6 december 2019 09:34

Acties:
  • 0 Henk 'm!
  • LankHoar
  • Registratie: April 2013
  • Laatst online: 23:56

LankHoar

Langharig tuig

Topicstarter
Na het inschakelen van een dataherstelbedrijf stuurt deze ons een link naar een portal met daar een index van alle herstelde bestanden en hun status. Daar kun je vervolgens inloggen met je ordernummer en een wachtwoord. Het viel me op dat het wachtwoord enkel uit cijfers bestaat, en er geen limiet lijkt te zitten op het aantal inlogpogingen (ik heb >15 keer met een random getal proberen in te loggen en ik kon door blijven gaan). Het lijkt me dat zoiets redelijk gevoelig is voor een brute-force aanval; ordernummers zullen logischerwijs gewoon oplopen, en met een cijferreeks van 9 getallen is het wachtwoord niet erg sterk.

Is dit problematisch? Zou ik dit het beste kunnen melden aan het bedrijf? En indien zo, hoe verwoord ik dat dan het beste? Ik ben absoluut geen cyber security expert ofzo, dit viel me gewoon op als gebruiker :)

When life throws you a curve, lean into it and have faith!

Alle reacties

vrijdag 6 december 2019 09:41

Acties:
  • +1 Henk 'm!
  • Torac
  • Registratie: Maart 2017
  • Laatst online: 10-10 12:52

Torac

@LankHoar
Gewoon zeggen waar het op staat? :)
Aangeven dat het je opviel dat er geen timeout na x gefaalde inlogpogingen zijn. Of dat klopt.
En dat je je zorgen maakt. Of het problematisch is, misschien hangt natuurlijk van de data af waar je bij komt. Als dat alleen plaatjes van tafels zijn niet. Maar medisch dossiers wel.

zondag 15 december 2019 21:57

Acties:
  • +2 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:38

Jazzy

Moderator SSC/PB

Moooooh!

Modbreak:Titel op verzoek van de TS aangepast. :)


Als gebruiker kun je dit ook prima melden, volgens mij kun je prima uitleggen wat je zorg is. :) En het gaat uiteindelijk om de toegang tot jullie data.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 24 december 2019 23:00

Acties:
  • +1 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 13-10 11:30

kodak

FP ProMod
Het eerste wat je kan doen is je probleem uitleggen aan het bedrijf. Ik neem aan dat je in ieder geval twijfels hebt of het zwakke wachtwoord en de verdere beveiliging je persoonlijke/bedrijfsgegevens wel erg makkelijk toegankelijk lijken. Bij een dataherstelbedrijf komen gewoonlijk ook datadragers langs met persoonsgegevens die niet van de eigenaar zelf zijn maar wel zorgvuldig dient te verwerken. Dat is een extra motivatie om een goede beveiliging te verlangen.

Mocht je er niet uitkomen dan kan je eventueel nog laten een melding doen bij een bemiddelaar via responsible disclosure.

Als dat niet werkt kan je hoe dan ook overwegen een klacht in te dienen bij de toezichthouder AP dat het bedrijf naar je mening de persoonlijke gegevens van jou of derden onvoldoende zou beschermen. Met een goede onderbouwing waarom je van mening bent dat het bedrijf er niet aan voldoet. Voor de AP iets meer gaat ondernemen dan je melding in ontvangst te nemen verwachten ze volgens mij wel dat je eerst zelf moeite hebt gedaan het op te lossen.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq