Al jarenlang verzorgt een provider de hosted VOIP omgeving en richt deze ook in. Onlangs bleek dat er niet uitgebeld kon worden en zodoende bleek dat de VOIP account in een ander werelddeel actief was. Toen is er door de provider actie ondernomen door, vermoed ik, wachtwoord te veranderen, maar andere acties zijn mij niet bekend. Zoals begrijpelijk zijn hier (gebruikers-/bel-)kosten uit ontstaan.
Hardware op locatie
Er is dus een hosted VOIP omgeving welke door deze provider wordt ingericht en de klant gebruikt een Gigaset N510 VOIP centrale. Het Internet werd voorzien van een Draytek 2860 modem (verbinding ook vanuit dezelfde provider) met een oudere firmware, ook deze is in beheer bij deze provider.
Vraag
- De discussie bestaat nu uit, wie gaat de kosten hierbij vergoeden? Dus daarom mijn vraag hier.
- Daarnaast is mijn vraag, hoe heeft dit plaats kunnen vinden, welke maatregelen zijn er door de provider genomen, waarom is er bij excessief gebruik niet adequaat gehandeld, waarom kan er klakkeloos zo naar allerlei nummers in de wereld gebeld worden/ingebeld worden en ingelogd worden op een ander (buitenlands) IP-adres?
Laat ik bij de vraag beginnen, hoe zou het mogelijk kunnen zijn geweest?
- Gestel dat bij de klant "ingebroken" is. Dan zou er toegang tot de Gigaset N510 zijn geweest, dan wisten de hackers welk gebruikersnaam en eventueel wachtwoord (deze is gemaskt maar misschien een oude truc via HTML dat je deze zo kan achterhalen, deze telefooncentrale is wel up-to-date). Dan zijn de server gegevens ook genoteerd en dan? Dan moet je inloggen door middel bellen naar een bepaald nummer (in het Nederlands hoor je dat je moet aanmelden maar niet welk nummer) met een extensie (dat is nergens opgeslagen dus op locatie niet bekend, evenals wachtwoord/PIN) en wachtwoord (PIN).
Actie provider na de hack
De provider is reeds aangesproken, het is geëscaleerd en tot heden aan toe geen reactie gehad.
Het gaat over een klant en de reactie van de provider simpelweg is; jouw schuld maar willen wel 25% vergoeden.
Inspanning van provider
In mijn ogen is dat niet reëel, dit vanwege de provider heeft een informatie-/zorgplicht. Op basis daarvan is mijn mening:
- VOIP wachtwoord; is niet adequaat genoeg met "maar" 8 tekens, geen hoofdletters en maar één cijfer en geen speciale tekens.
- VOIP extensie; het extensienummer is "standaard" en wordt standaard voorzien van de welbekende vier standaard cijfers met de vier nullen.
- VOIP extensiewachtwoord; zie hierboven.
- Inloggen op VOIP account; niet genoeg beveiligd waardoor buiten Europa ingelogd kan worden, niet dat dit alles zal en kunnen tegenhouden, maar beter iets dan niet.
- Excessief gebruik; als binnen één uur € 100 qua verbruik is, waarom gaat er dan geen bel af/blokkade?
- Actie na provider; de hack heeft 12 uur geduurd, er is geen alarmbel bij de provider afgegaan, pas nadat de klant niet meer kon bellen, toen kwam deze hack naar boven toe.
Inloggen IP-adres; Beveiliging hierin is niet adequaat genoeg is mijn mening, dit had eventueel voorkomen kunnen worden door een blokkade buiten Europa, er is immers in dit geval vanuit India ingelogd.
- Bellen naar "dure" nummers; hierin had een blokkade kunnen zijn en zeker met zoveel keer achter elkaar?
- Schadebeperking; als het excessief gebruikt was geblokkeerd, dan was de schade misschien beperkt geweest tot € 200 en niet het tienvoudige hiervan. Dus ook hier vind ik dat de inspanning van de provider tekort schiet.
- Modem; waarom update de provider het modem niet tot de laatste firmware om "problemen" te voorkomen en is daarvoor voldoende inspanning geleverd om dit te beveiligen?
- Support/reactie na de hack; de provider heeft zowel telefonisch als schriftelijk zich 3,5 maand afzijdig gehouden en niets laten weten terwijl er maatregelen in mijn ogen had moeten plaatsvinden.
- Inspanning door provider na hack; het veranderen van het wachtwoord na de hack, vind ik persoonlijk niet een hele grote inspanning om dit niet weer te laten plaatsvinden, er is wederom gekozen voor een achttekens wachtwoord met 2 hoofdletters en 2 cijfers erin.
- Inloggen VOIP account vanuit vast IP-adres; had de provider niet een "lock" kunnen doen dat er alleen vanuit dit IP-adres ingelogd kon worden of beveiliging in deze beter kunnen doen?
- De klant heeft wel een account bij deze provider en deze is afgeschermd met MFA dus daar kon ook de gegevens niet vandaan gehaald worden.
Had het voorkomen kunnen worden?
- Als de Gigaset telefooncentrale een andere pincode had dan vier nullen, had dit de hack kunnen tegenhouden? Als dit vier nullen waren, dan was het alsnog de vraag geweest, als het Draytek modem door de provider was bijgewerkt, had dan alsnog de hack kunnen plaatsvinden?
Dus vandaar de vraag, wie zou moeten opdraaien voor de kosten? Persoonlijk vind ik minimaal 60% vanwege bovenstaand, de inspanning en genomen beveiliging van de provider vind ik niet "afdoende" genoeg.
Offtopic; heb deze provider al vaker aangesproken vanwege het updatebeleid van de o.a. Draytek modems en de leeftijd, sommige zijn al ouder dan 8 jaar met de bijbehorende antieke firmware.
Ook vind ik zelf dat de provider te weinig inspanning vóór en tijdens de dienstverlening eraan doet om de veiligheid in deze te waarborgen, dit had misschien al voorkomen kunnen worden door een veiligere VOIP pincode.
Hardware op locatie
Er is dus een hosted VOIP omgeving welke door deze provider wordt ingericht en de klant gebruikt een Gigaset N510 VOIP centrale. Het Internet werd voorzien van een Draytek 2860 modem (verbinding ook vanuit dezelfde provider) met een oudere firmware, ook deze is in beheer bij deze provider.
Vraag
- De discussie bestaat nu uit, wie gaat de kosten hierbij vergoeden? Dus daarom mijn vraag hier.
- Daarnaast is mijn vraag, hoe heeft dit plaats kunnen vinden, welke maatregelen zijn er door de provider genomen, waarom is er bij excessief gebruik niet adequaat gehandeld, waarom kan er klakkeloos zo naar allerlei nummers in de wereld gebeld worden/ingebeld worden en ingelogd worden op een ander (buitenlands) IP-adres?
Laat ik bij de vraag beginnen, hoe zou het mogelijk kunnen zijn geweest?
- Gestel dat bij de klant "ingebroken" is. Dan zou er toegang tot de Gigaset N510 zijn geweest, dan wisten de hackers welk gebruikersnaam en eventueel wachtwoord (deze is gemaskt maar misschien een oude truc via HTML dat je deze zo kan achterhalen, deze telefooncentrale is wel up-to-date). Dan zijn de server gegevens ook genoteerd en dan? Dan moet je inloggen door middel bellen naar een bepaald nummer (in het Nederlands hoor je dat je moet aanmelden maar niet welk nummer) met een extensie (dat is nergens opgeslagen dus op locatie niet bekend, evenals wachtwoord/PIN) en wachtwoord (PIN).
Actie provider na de hack
De provider is reeds aangesproken, het is geëscaleerd en tot heden aan toe geen reactie gehad.
Het gaat over een klant en de reactie van de provider simpelweg is; jouw schuld maar willen wel 25% vergoeden.
Inspanning van provider
In mijn ogen is dat niet reëel, dit vanwege de provider heeft een informatie-/zorgplicht. Op basis daarvan is mijn mening:
- VOIP wachtwoord; is niet adequaat genoeg met "maar" 8 tekens, geen hoofdletters en maar één cijfer en geen speciale tekens.
- VOIP extensie; het extensienummer is "standaard" en wordt standaard voorzien van de welbekende vier standaard cijfers met de vier nullen.
- VOIP extensiewachtwoord; zie hierboven.
- Inloggen op VOIP account; niet genoeg beveiligd waardoor buiten Europa ingelogd kan worden, niet dat dit alles zal en kunnen tegenhouden, maar beter iets dan niet.
- Excessief gebruik; als binnen één uur € 100 qua verbruik is, waarom gaat er dan geen bel af/blokkade?
- Actie na provider; de hack heeft 12 uur geduurd, er is geen alarmbel bij de provider afgegaan, pas nadat de klant niet meer kon bellen, toen kwam deze hack naar boven toe.
Inloggen IP-adres; Beveiliging hierin is niet adequaat genoeg is mijn mening, dit had eventueel voorkomen kunnen worden door een blokkade buiten Europa, er is immers in dit geval vanuit India ingelogd.
- Bellen naar "dure" nummers; hierin had een blokkade kunnen zijn en zeker met zoveel keer achter elkaar?
- Schadebeperking; als het excessief gebruikt was geblokkeerd, dan was de schade misschien beperkt geweest tot € 200 en niet het tienvoudige hiervan. Dus ook hier vind ik dat de inspanning van de provider tekort schiet.
- Modem; waarom update de provider het modem niet tot de laatste firmware om "problemen" te voorkomen en is daarvoor voldoende inspanning geleverd om dit te beveiligen?
- Support/reactie na de hack; de provider heeft zowel telefonisch als schriftelijk zich 3,5 maand afzijdig gehouden en niets laten weten terwijl er maatregelen in mijn ogen had moeten plaatsvinden.
- Inspanning door provider na hack; het veranderen van het wachtwoord na de hack, vind ik persoonlijk niet een hele grote inspanning om dit niet weer te laten plaatsvinden, er is wederom gekozen voor een achttekens wachtwoord met 2 hoofdletters en 2 cijfers erin.
- Inloggen VOIP account vanuit vast IP-adres; had de provider niet een "lock" kunnen doen dat er alleen vanuit dit IP-adres ingelogd kon worden of beveiliging in deze beter kunnen doen?
- De klant heeft wel een account bij deze provider en deze is afgeschermd met MFA dus daar kon ook de gegevens niet vandaan gehaald worden.
Had het voorkomen kunnen worden?
- Als de Gigaset telefooncentrale een andere pincode had dan vier nullen, had dit de hack kunnen tegenhouden? Als dit vier nullen waren, dan was het alsnog de vraag geweest, als het Draytek modem door de provider was bijgewerkt, had dan alsnog de hack kunnen plaatsvinden?
Dus vandaar de vraag, wie zou moeten opdraaien voor de kosten? Persoonlijk vind ik minimaal 60% vanwege bovenstaand, de inspanning en genomen beveiliging van de provider vind ik niet "afdoende" genoeg.
Offtopic; heb deze provider al vaker aangesproken vanwege het updatebeleid van de o.a. Draytek modems en de leeftijd, sommige zijn al ouder dan 8 jaar met de bijbehorende antieke firmware.
Ook vind ik zelf dat de provider te weinig inspanning vóór en tijdens de dienstverlening eraan doet om de veiligheid in deze te waarborgen, dit had misschien al voorkomen kunnen worden door een veiligere VOIP pincode.
[ Voor 4% gewijzigd door itsalex op 12-05-2024 12:29 ]
I hit the CTRL key, but I'm still not in control!