Hosted VOIP centrale misbruikt - discussie kosten provider

Al jarenlang verzorgt een provider de hosted VOIP omgeving en richt deze ook in. Onlangs bleek dat er niet uitgebeld kon worden en zodoende bleek dat de VOIP account in een ander werelddeel actief was. Toen is er door de provider actie ondernomen door, vermoed ik, wachtwoord te veranderen, maar andere acties zijn mij niet bekend. Zoals begrijpelijk zijn hier (gebruikers-/bel-)kosten uit ontstaan.

Hardware op locatie
Er is dus een hosted VOIP omgeving welke door deze provider wordt ingericht en de klant gebruikt een Gigaset N510 VOIP centrale. Het Internet werd voorzien van een Draytek 2860 modem (verbinding ook vanuit dezelfde provider) met een oudere firmware, ook deze is in beheer bij deze provider.

Vraag
- De discussie bestaat nu uit, wie gaat de kosten hierbij vergoeden? Dus daarom mijn vraag hier.

- Daarnaast is mijn vraag, hoe heeft dit plaats kunnen vinden, welke maatregelen zijn er door de provider genomen, waarom is er bij excessief gebruik niet adequaat gehandeld, waarom kan er klakkeloos zo naar allerlei nummers in de wereld gebeld worden/ingebeld worden en ingelogd worden op een ander (buitenlands) IP-adres?

Laat ik bij de vraag beginnen, hoe zou het mogelijk kunnen zijn geweest?
- Gestel dat bij de klant "ingebroken" is. Dan zou er toegang tot de Gigaset N510 zijn geweest, dan wisten de hackers welk gebruikersnaam en eventueel wachtwoord (deze is gemaskt maar misschien een oude truc via HTML dat je deze zo kan achterhalen, deze telefooncentrale is wel up-to-date). Dan zijn de server gegevens ook genoteerd en dan? Dan moet je inloggen door middel bellen naar een bepaald nummer (in het Nederlands hoor je dat je moet aanmelden maar niet welk nummer) met een extensie (dat is nergens opgeslagen dus op locatie niet bekend, evenals wachtwoord/PIN) en wachtwoord (PIN).

Actie provider na de hack
De provider is reeds aangesproken, het is geëscaleerd en tot heden aan toe geen reactie gehad.
Het gaat over een klant en de reactie van de provider simpelweg is; jouw schuld maar willen wel 25% vergoeden.

Inspanning van provider
In mijn ogen is dat niet reëel, dit vanwege de provider heeft een informatie-/zorgplicht. Op basis daarvan is mijn mening:
- VOIP wachtwoord; is niet adequaat genoeg met "maar" 8 tekens, geen hoofdletters en maar één cijfer en geen speciale tekens.
- VOIP extensie; het extensienummer is "standaard" en wordt standaard voorzien van de welbekende vier standaard cijfers met de vier nullen.
- VOIP extensiewachtwoord; zie hierboven.
- Inloggen op VOIP account; niet genoeg beveiligd waardoor buiten Europa ingelogd kan worden, niet dat dit alles zal en kunnen tegenhouden, maar beter iets dan niet.
- Excessief gebruik; als binnen één uur € 100 qua verbruik is, waarom gaat er dan geen bel af/blokkade?
- Actie na provider; de hack heeft 12 uur geduurd, er is geen alarmbel bij de provider afgegaan, pas nadat de klant niet meer kon bellen, toen kwam deze hack naar boven toe.
Inloggen IP-adres; Beveiliging hierin is niet adequaat genoeg is mijn mening, dit had eventueel voorkomen kunnen worden door een blokkade buiten Europa, er is immers in dit geval vanuit India ingelogd.
- Bellen naar "dure" nummers; hierin had een blokkade kunnen zijn en zeker met zoveel keer achter elkaar?
- Schadebeperking; als het excessief gebruikt was geblokkeerd, dan was de schade misschien beperkt geweest tot € 200 en niet het tienvoudige hiervan. Dus ook hier vind ik dat de inspanning van de provider tekort schiet.
- Modem; waarom update de provider het modem niet tot de laatste firmware om "problemen" te voorkomen en is daarvoor voldoende inspanning geleverd om dit te beveiligen?
- Support/reactie na de hack; de provider heeft zowel telefonisch als schriftelijk zich 3,5 maand afzijdig gehouden en niets laten weten terwijl er maatregelen in mijn ogen had moeten plaatsvinden.
- Inspanning door provider na hack; het veranderen van het wachtwoord na de hack, vind ik persoonlijk niet een hele grote inspanning om dit niet weer te laten plaatsvinden, er is wederom gekozen voor een achttekens wachtwoord met 2 hoofdletters en 2 cijfers erin.
- Inloggen VOIP account vanuit vast IP-adres; had de provider niet een "lock" kunnen doen dat er alleen vanuit dit IP-adres ingelogd kon worden of beveiliging in deze beter kunnen doen?
- De klant heeft wel een account bij deze provider en deze is afgeschermd met MFA dus daar kon ook de gegevens niet vandaan gehaald worden.

Had het voorkomen kunnen worden?
- Als de Gigaset telefooncentrale een andere pincode had dan vier nullen, had dit de hack kunnen tegenhouden? Als dit vier nullen waren, dan was het alsnog de vraag geweest, als het Draytek modem door de provider was bijgewerkt, had dan alsnog de hack kunnen plaatsvinden?

Dus vandaar de vraag, wie zou moeten opdraaien voor de kosten? Persoonlijk vind ik minimaal 60% vanwege bovenstaand, de inspanning en genomen beveiliging van de provider vind ik niet "afdoende" genoeg.

Offtopic; heb deze provider al vaker aangesproken vanwege het updatebeleid van de o.a. Draytek modems en de leeftijd, sommige zijn al ouder dan 8 jaar met de bijbehorende antieke firmware.
Ook vind ik zelf dat de provider te weinig inspanning vóór en tijdens de dienstverlening eraan doet om de veiligheid in deze te waarborgen, dit had misschien al voorkomen kunnen worden door een veiligere VOIP pincode.

[ Voor 4% gewijzigd door itsalex op 12-05-2024 12:29 ]

EvH schreef op zondag 12 mei 2024 @ 12:46:
Wat stond er in de voorwaarden tussen provider en eindgebruiker?

Misschien een dooddoener, maar tegenwoordig is het zo ontzettend makkelijk om te verwijzen naar de eindgebruiker…

Los hiervan: persoonlijk zou ik de provider er gelijk uit gooien door deze actie. Wel willen cashen maar bij problemen niet thuis geven en wijzen.

De Algemene Voorwaarden zal ik nog doorlezen en kijken welke van toepassing is op het moment dat het contract werd afgesloten.

De gebruiker krijgt altijd de schuld, laatst ook met deze provider, de gebruiker belt en krijgt te horen "ja de apparatuur is niet goed en moet vervangen worden", bel ik 3 minuten later, "ja er is een grote storing en daardoor doet de apparatuur het niet".
Deze provider werkt mij al aantal jaar op mijn zenuwen sinds een overname en mijn vingers jeuken om een review achter te laten, maar probeer netjes te blijven. Heb laatst al gevraagd wanneer ik het bericht van het faillissement kan verwachten.
De provider heeft nu wel inderdaad een hoogtepunt/irritatiepunt bereikt bij mij en eigenlijk ben ik er helemaal klaar mee. Ga ik komende maanden aan de slag om alle diensten daar z.s.m. te beëindigen. Het is klaar met die toko. Ook voor deze klant.

Verkopen en support is altijd een ander verhaal, de aanname is uiteraard dat de provider zich inspant deze dienst naar goed weten uit te voeren en daarvoor zorgdraagt voor een juiste uitvoering van de dienst.
Totdat je op dit punt komt en analyse gaat maken wat onderaan de streep allemaal misgaat. Dan is maar één conclusie van toepassing, niet dus.

@F_J_K Van de genoemde punten is genoeg bewijs en zijn feiten, heel simpel, bij iedere klant is de pincode 0000, wachtwoorden van VOIP zijn altijd 8 tekens en geen hoofdletters/speciale tekens en maar één cijfer (zie ook de andere extensie namelijk), schriftelijk is de actie van de provider te zien, heb bewijs van het bellen/IP-adressen wanneer deze zijn ingelogd, excessief gebruik is duidelijk te zien in de facturen, etc. etc.
Als ditzelfde bij KPN/Vodafone/T-Mobile had plaatsgevonden was al binnen één uur actie ondernomen, excessief gebruik wordt bij deze partijen flink gemonitord en actie ondernomen. Ook spannen deze partijen zich altijd in om misbruik te voorkomen want uit het verleden weet ik met o.a. KPN/T-mobile/Vodafone dat de veiligheid hoog stond bij VOIP/mobiele producten.

De rode vlaggen beginnen de laatste maanden erger te worden en de pijnpunten komen nu naar voren toe. Deze toko is sinds de overname steeds erger geworden en als ik heel kritisch kijk, wordt het steeds erger en niet beter.
De informatieplicht is ook overal verzaakt.

Over zorgplicht; de provider levert de hardware, dan zijn er uiteraard rechten en plichten, maar laat ik als voorbeeld Ziggo/KPN nemen, die zorgen voor de updates van het modem om zorg te dragen voor een juiste en veilige verbinding. Dan mag je dit zeker van een zakelijke verbinding op zijn minst ook ergens verwachten in een aanname, een particulier is minder belangrijk dan een zakelijk klant lijkt mij. Het beheer ligt bij de provider en daarmee mag je aannemen de zorgplicht van de provider en zeker als je onderstaand artikel leest welke de noodzaak aangeeft.
https://www.draytekusa.co...e-latest-version-required
Voor de goede orde, de provider heeft toegang tot het modem en firmwareupdates worden altijd uitgevoerd door de support van deze provider.

Er zijn nog meer "punten" geweest waarbij ook niet goed is gehandeld door deze partij. Dus het is inderdaad tijd om te handelen en op zoek te gaan naar een andere partij in deze. Het is mooi geweest want bovenstaand is niet goed voor het daglicht als dat naar buiten komt.

[ Voor 48% gewijzigd door itsalex op 12-05-2024 13:49 ]

Hugo__Boss schreef op zondag 12 mei 2024 @ 23:13:
Wat voor provider of wat voor platform is het? Zijn jullie rechtstreeks klant bij de provider en niet via een partner van deze provider?

Wellicht kan dit helpen bij het meedenken om herhaling te voorkomen. Want met enkel een wachtwoord veranderen kun je er vrij zeker van zijn dat dit op (zeer korte) termijn nogmaals gebeurt.

Het is niet preventief te voorkomen zolang de provider niet proactief gaat handelen. Apparatuur, wachtwoord en pincode zijn te zwak. Er moet gehandeld worden op basis van locatie, bestemming/herkomst telefoongesprekken, aanmeldingen, etc. Zolang er niet op netwerkniveau gehandeld gaat worden, zal de provider nooit goed en preventief het kunnen oplossen. Er is geen oplossing te vinden aan de voorkant om herhaling te voorkomen.

De provider is al diverse keren gevraagd om reactie maar ook daarin nimmer reactie geweest. Ook het veiligheidsteam heeft tot op heden geen reactie gegeven, escalatie heeft niet geholpen dus ook daarin faalt deze provider.
Ik ga geen namen noemen want deze provider faalt zelfs op MKB niveau was ik mij vanmiddag aan het bedenken, daar had ik paar jaar geleden mee te maken. Staat mij voor gek te verklaren en dat mijn apparatuur niet goed was en toen bleek uiteindelijk de xDSL apparatuur niet goed te zijn of lijn.

Update: het blijkt dus dat de provider op het moment van het afsluiten van de dienst VOIP, een document op de website heeft staan met de daarin vermeldde gegevens om in te loggen inclusief pincode/extensienummer en te bellen telefoonnummer. Soms hoeven dingen niet zo heel moeilijk te zijn, zie deze provider. Na de gebruikersnaam en wachtwoord te achterhalen, is de volgende stap dat je niet eens hoeft te hacken, nee staat keurig beschreven hoe je dan inlogt. Ga je verder de handleiding erbij pakken, kan je nog meer "leuke" trucjes doen, staat ook keurig op de website beschreven.
Als deze documenten achter een "inlog"/beschermende omgeving zouden staan, dan is er op zijn minst moeite gedaan, maar ook daar is niet eens moeite voor gedaan.

Volgens een advocaat is de provider (bijna) altijd aansprakelijk bij een hack omdat zij een dienst verlenen en dit bij wet is geregeld.

sypie schreef op zondag 16 juni 2024 @ 19:59:
Zorg er in ieder geval voor dat je kunt aantonen (schermopname o.i.d.) dat de inloggegevens open en bloot toegankelijk zijn zonder inlog. Dat maakt je zaak alleen maar sterker.

Dankjewel, die is er zeker incl naam wie dat heeft gepost. Er staat nog veel meer "gevoelige" informatie op de site.
De provider verwijst naar nu met de noodzaak wachtwoorden aan te passen, maar nog steeds geen pincode. Heb dat uiteindelijk nu vanuit mijzelf gedaan en ook voor mijn andere klanten.
Ook de gedane acties vanuit het "veiligheidsteam" is 0,0, dat gehele team mogen ze zo opdoeken, zonde van het geld. Er wordt nu "beter" naar de veiligheidseisen gekeken, had dat niet zoiets te maken van een kalf en een put dan pas dempen? Met zo'n instelling ga je het niet redden.

Krijg trouwens nu een melding bij support site: ERR_SSL_VERSION_OR_CIPHER_MISMATCH dus gaat echt goed daar.

jurroen schreef op donderdag 20 juni 2024 @ 00:03:
Met advocaten erbij zal het niet mega vlug gaan, maar ik ben uiterst benieuwd naar verdere ontwikkelingen. Zou he ons op de hoogte willen houden?

Sterkte, dit zal zeker geen pretje zijn.

Vandaag besloten geen extra kosten van te maken en verdere stappen te ondernemen. Misschien dat ik het nog wel aanhangig een keer ga maken.

Deze provider wast zijn handen in onschuld zullen we maar zeggen en beroept zich op het feit van een mailing "5 Tips om het veiliger te maken" van paar jaar geleden en niet van toen de dienst werd afgesloten, maar dan praten we over alleen het wachtwoord.
Daar gaan ze aan voorbij dat het hun (zorg)plicht is (mijn mening) om wanneer de leverancier al met een pincode (dus geen wachtwoord) 0000 komt, dat deze provider ook deze pincode overneemt en dit doorgeeft, dit onder het mom, tja als je een simkaart krijgt en als tussenpartij, ga je deze ook niet veranderen en daar moet de gebruiker maar voor zorgen.
In het verlengde daarvan wordt niet aangegeven dat dit aangepast dient te worden alsmede ook voor o.a. voicemail. Daarbij spannen ze zich niet in om dit ook aan te geven en/of aanpassingen hieraan zelf te verrichten. Ook is de handleiding voor het aanpassen van deze pincode nergens vermeldt, maar wel zijn de standaard "settings" zoals een leverancier doorgeeft, wel vermeld op de website met alle gevolgen vandien. De medewerker toen, had dit tijdens het doorgeven van de desbetreffende gegevens, installatie en/of configuratie moeten doorgeven bij het opleveren van de dienst schriftelijk. Immers zij verzorgen de dienst en niet ik. Dan is dit alleen maar een pincode en welke 4 cijferige combinatie kent ofwel makkelijk te kraken kan zijn. Er is immers nergens een waarschuwing te lezen dat het gebruik van deze combinatie en dat deze zo snel mogelijk aangepast moet worden, zelfs na 10 jaar is er nog geen melding hierover geweest.
Dan heb ik het nog niet over de overige randzaken die hierbij ook tellen, denk aan het gelijktijdige inloggen/excessief gebruik/MAC restrictie/landrestrictie/bellen naar o.a. satelliet telefonie en ga zo maar door. Ook daar is niet voldoende ingespannen om dit "goed" op de rails te krijgen.

Deze provider faalt op teveel punten en ik kan er wel een zaak van maken en acht de kans op winnen groot, dit omdat er ook naar de wederverkoper aan geschutterd worden naar alle kanten en alles rammelt, maar dan is de vraagstelling, is het waard om hier bij wijze van spreken € 25.000 tegenaan te zetten, voor wat de energie/ellende/beerput die je gaat opentrekken? Wat win je ermee? Je weet dat het faalt en trek al de diensten zoveel mogelijk weg daar.
Op zowel de diensten Internet/VOIP (zowel de 3CX/mobiel/Xelion en andere platforms) gaat het mis.

Nog steeds word ik niet teruggebeld/beantwoord en genegeerd. Daarom weet ik nog niet of ik het erbij laat zitten of toch nog verder ga om juridische stappen te ondernemen want immers er is geen conflict, althans voor nu dan.

Update: zwaai maar naar deze provider. De support is zo verergerd dat pas volgende week een storing op een ADSL lijn opgelost kan worden. Dan kan iemand er een keer naar kijken, dacht het niet goed te horen en dit verwacht ik bij een naai-/brei-/hobbyclubje maar niet met een professionele partij welke een middelgrote speler is in Nederland. De schuld maar naar mij schuiven dat ik misschien wel dit of dat had kunnen doen en zolang er niets aan de hand is, prima en xDSL doen we niet meer aan, neem maar een glasvezel draadje. Is KPN bang dat het antiekgereedschap stuk gaat of moeten ze in de archief-/antiekbak gaan graaien naar handboeken en gereedschap voor die koperlijn?

De support documenten zijn ondertussen van de site af met daarin de informatie. De supportinformatie is nu zo summier geworden dat je helemaal niets meer aan hebt.

Update:
Het blijkt dat er nu (wel) een blokkade op internationaal bellen aanwezig is, of dit voorheen ook was, wordt nu nog uitgezocht. Mocht dat desondanks toen ook erop zijn, dan heeft de provider flink geblunderd en dan is er kans dat de kosten volledig worden vergoed. Deze blokkade zou "standaard" aanwezig moeten zijn. De klant heeft niet eerder aangegeven om deze blokkade van de lijn af te willen halen. Dus dat kan wel eens positief zijn.

De gehele supportsite is ook bij de provider eraf gehaald en zeer summier opgezet, alsof er opzet was. Er zijn ook andere maatregelen genomen voor de veiligheid, mijn vermoeden is en blijft dat er nog wel wat naar boven gaat komen.

Er is dus goede kans dat alsnog de kosten worden vergoed.