MediaMarkt gaat nog steeds slordig om met wachtwoorden
Twee jaar na een vergelijkbaar incident blijkt MediaMarkt nog steeds slordig om te gaan met wachtwoorden waarmee de persoonsgegevens van miljoenen Nederlanders zijn beveiligd.
Beveiligingsonderzoeker Sijmen Ruwhof heeft ontdekt dat zogenoemde aansluitportals, met daarin de persoonsgegevens van miljoenen mensen die via MediaMarkt een telefoonaansluiting hebben, zijn voorzien van zwakke wachtwoorden. In zeker één MediaMarkt-vestiging waren die wachtwoorden bovendien te zien door bezoekers van de winkel.
Hoewel er bij veel van die databases extra verificatiestappen zijn ingebouwd voordat persoonsgegevens kunnen worden opgevraagd, roept dat vragen op over de beveiliging van persoonsgegevens door MediaMarkt, aldus onderzoeker Ruwhof.
Ruwhof kwam twee jaar geleden achter exact hetzelfde. MediaMarkt beloofde toen beterschap. Het bedrijf kan niet zeggen waarom het opnieuw fout is gegaan. "We hebben vestigingen destijds gevraagd om hier zorgvuldiger mee om te gaan en dat hebben we nu opnieuw gedaan", aldus MediaMarkt-woordvoerder Ruth Leijting.
"Het is schokkend dat dit na twee jaar nog steeds open blijkt te staan", zegt Ruwhof. "Blijkbaar nemen ze ict-beveiliging niet heel serieus. Dat had ik echt niet verwacht."
Wachtwoorden makkelijk lezen
Het gaat om wachtwoorden van speciale websites waarmee MediaMarkt vanuit zijn winkels telefoonabonnementen voor klanten kan afsluiten. Van daaruit kunnen in veel gevallen ook klantgegevens van mobieletelefoonklanten worden opgevraagd, zoals naam, adres, woonplaats en bankrekening. In sommige gevallen zijn zelfs rijbewijzen en paspoorten terug te vinden.
MediaMarkt blijkt in te loggen op die websites met wachtwoorden als 'maandag30', 'Libertel123' en '12345678'. Klanten die meekeken met het scherm van Media Markt-medewerkers konden die wachtwoorden makkelijk lezen. "De winkel is zo ingericht dat je kunt meekijken op die schermen", schrijft Ruwhof.
Je kunt adressen vinden van mensen die niet willen dat hun adres openbaar is.
"Je kunt op die manier adressen vinden van mensen die niet willen dat hun adres openbaar is", zegt Ruwhof. "Denk aan ondernemers of belangrijke politici." Ook zouden op naam van iemand anders telefoons kunnen worden besteld en abonnementen kunnen worden afgesloten.
Daar staat tegenover dat inloggen niet genoeg is om klantgegevens te bekijken; bij veel providers moet een extra stap worden verricht om dat te kunnen doen.
"Maar bij mij als Vodafone-klant betekende dat het mobiele nummer en mijn geboortedatum", zegt Ruwhof. "Die kun je redelijk makkelijk vinden." Vodafone tekent aan dat er nog een extra verificatiestap is.
Met alleen de onveilige wachtwoorden is een kwaadwillende niet bij alle portals meteen binnen. Sommige portals zijn alleen te bezoeken vanaf een bepaald ip-adres, of er zijn extra stappen nodig.
Er zijn echter manieren om restricties op ip-adressen te omzeilen en het is onbekend hoe sterk die extra stappen zijn. Providers willen daar niet te veel informatie over geven, uit beveiligingsoogpunt.
Onderzoek
MediaMarkt-directeur telecom Sebastiaan Rigter betreurt de zaak. "Pinpassen zijn best veilig, maar als je de pincode achterop schrijft, is het natuurlijk niet veilig", zegt hij. "We hebben alle winkels gebeld om te controleren of dit niet ook bij andere vestigingen speelde." Volgens hem was dat niet het geval. Ook belooft het bedrijf regelmatig alle winkels te controleren op hun wachtwoordbeleid.
Ook heeft het bedrijf de onveilige wachtwoorden vervangen en is medewerkers opnieuw verteld dat wachtwoorden niet zichtbaar mogen zijn voor klanten, stelt het bedrijf in een schriftelijke verklaring.
Provider KPN, kondigde na melding van het probleem aan om zijn portal met klantgegevens extra te beveiligen. T-Mobile zegt dat er via zijn portal geen gegevens van klanten zijn te zien, het zou slechts gaan om een systeem waarmee nieuwe klanten worden aangesloten. Desondanks heeft ook die provider de beveiliging opgeschroefd.
'Zeer ernstig'
De Autoriteit Persoonsgegevens wil niet op specifieke gevallen ingaan, "maar slordig omgaan met dergelijke informatie vindt de Autoriteit Persoonsgegevens zeer ernstig", meldt een woordvoerder per e-mail.
Twee jaar geleden speelde The Phone House overigens ook een rol in de kwestie: als 'shop-in-shop' bij MediaMarkt deed dat bedrijf de verkoop van telecomzaken. Na het faillissement van The Phone House heeft MediaMarkt die verkoop overgenomen.