Tech glossy Bright flikt het weer!
Knap hoor van tech glossy Bright om opnieuw ‘alle’ media te halen met een sensatie-artikel in het vandaag verschenen tweede nummer.
In het artikel bekent een ex-medewerker van de externe helpdesk van Bol.com dat hij in het verleden via interne bestanden het wachtwoord van klanten achterhaalde en daarmee hun e-mailaccounts kraakte. Vervolgens begon hij hun mail mee te lezen. Veel mensen hebben namelijk de gewoonte om voor zowel online winkelen, telebankieren als e-mail hetzelfde wachtwoord te gebruiken. Als een van zijn slachtoffers noemt hij filmjournalist Rene Mioch.
“Ik kopieerde zijn adresboek dat vol zat met namen van bekende mensen zoals Johnny Depp en Harrison Ford. Ik las zijn mail ook, waaronder een afwijzing van een interview door Anton Corbijn.” Ondanks herhaalde verzoeken wilde Mioch tegenover Bright niet op de kwestie reageren. De ex-medewerker volgt nog steeds van enkele mensen mailwisselingen.
Daniel Ropers, managing director van Bol.com, reageert verbijsterd als hij geconfronteerd wordt met het verhaal van de ex-medewerker. “Dit is het ergste wat ons ooit is overkomen.” De dertig tot veertig helpdeskmedewerkers die de internetwinkel via een callcenter betrekt, hebben standaard toegang tot de geheime wachtwoorden van alle klanten. Ropers erkent dat die beschikbaarheid niet noodzakelijk is, de klant kan het geheime wachtwoord immers ook zonder verdere tussenkomst toegestuurd krijgen, en kondigt in Bright aan dat hij onmiddellijk maatregelen zal nemen om herhaling te voorkomen.
Iedereen kan e-mail hacken
Je hoeft niet bij een helpdesk te werken om e-mail te kunnen kraken. Sterker, wat Paris Hilton eind februari overkwam, kan vandaag miljoenen anderen ook overkomen. Het gaat om een verontrustend onveilig systeem dat op grote schaal wordt toegepast, zo toont Francisco van Jole aan in hetzelfde artikel.
De mobiele telefoon van Paris Hilton is gehackt via de geheime vraag die als geheugensteun dient wanneer men zijn wachtwoord is vergeten. Een juist antwoord op de vraag maakt het mogelijk het wachtwoord te wijzigen. En zoals in het geval van Hilton en van vele anderen is het antwoord op de geheime vraag veel gemakkelijker te achterhalen of te raden dan het wachtwoord zelf.
Ook webmaildiensten zoals Hotmail van Microsoft, Gmail van Google en Lycos maken gebruik van de geheime vraag. Mensen in de directe omgeving van de persoon in kwestie weten de antwoorden meestal als vanzelf. Wraakzuchtige ex-en, geborneerde familieleden of van de wijs geraakte vrienden kunnen zich uitleven.
Bright-hoofdredacteur Erwin van der Zande: “Toen dit verhaal binnen kwam heb ik het wachtwoord van mijn e-mail en Postbank account gelijk gewijzigd. Dat zouden meer mensen moeten doen.”
Bron:
Persbericht Bright
Oprichter/partner Upstream, Marketingfacts, Arnhem Direct, SportNext, TravelNext, RvT VPRO, Bestuur Luxor Live, social business, onderwijs, fotografie en vader!
Bright als de Story onder de techbladen? Vraag me af hoe ver Bright wil gaan om deze media-aandacht te krijgen. Ik zou als ik Kneppers was me gaan focussen op kwaliteit van de artikelen en me wat minder bezig houden met dit soort roddels.
Morgen is het 1 april, ik zou het dus niet al te serieus nemen 😉
Noem mij één reden waarom Bol-medewerkers de wachtwoorden van klanten zouden moeten weten. Een securityscan van je processen/systemen had dit toch boven water moeten brengen, lijkt mij.
“Noem mij één reden waarom Bol-medewerkers de wachtwoorden van klanten zouden moeten weten”
Noem mij dan ook nog maar een reden waarom het wachtwoord niet als md5 hash (of iets soortgelijks) is opgeslagen. Dan kán niemand het wachtwoord lezen.
@Vincent: Staat in het artikel, zodat een klant zijn wachtwoord kan opvragen als deze het wachtwoord is vergeten.
Zelf wil ik hier aan toevoegen dat ze voor de veiligheid beter een nieuw wachtwoord voor de klant kan generen, om zo de wachtwoorden wel als MD5 hash te kunnen opslaan.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!