De ‘ethische hacker’ Sijmen Ruwhof heeft aangetoond dat de elektronicaketen Media Markt en de Phone House hun beveiliging niet op orde hebben. Zo zouden de ketens slechte wachtwoorden als ‘12345678’ en ‘welkom01’ gebruiken. De wachtwoorden stonden op plakbriefjes aangegeven aan het beeldscherm van de medewerker.
Bovendien werden de wachtwoorden van verschillende dealerportals ongecodeerd opgeslagen in één Excel-document. Medewerkers liepen bij de computers weg, zonder deze af te sluiten. Klanten konden onbeheerd gebruikmaken van de computers, die eigenlijk beveiligd hadden moeten zijn. Daarmee begingen de ketens bijna elke beginnersfout die denkbaar is op het gebied van computerbeveiliging.
Slechte beveiliging
Sijmen Ruwhof is een ‘ethische hacker’, maar had geen speciale computersoftware nodig om toegang te krijgen tot de gegevens van iedere Nederlander die een mobiel abonnement bezit. Daarmee zouden gegevens van zo’n 12 miljoen Nederlanders in het geding zijn. Ruwhof beschrijft in een uitgebreide blogpost hoe de Media Markt en Phone House knullige fouten maken op het gebied van computerbeveiliging.
Ruwhof wilde begin oktober zijn telefoonabonnement verlengen bij de Media Markt. De elektronicazaak is wederverkoper van de Phone House. Ruwhof kreeg via de computer in de Media Markt ongemerkt toegang tot dealerportals. In die portals worden gegevens van nieuwe klanten bewaard. Het lukte de Utrechtse onderzoeker om mee te kijken over de schouder van een werknemer. Op die manier kreeg hij toegang tot een bestand waarin alle wachtwoorden waren verzameld. Deze wachtenwoorden waren zwak en bovendien in plain tekst – onversleuteld – opgeslagen.
Gegevens van miljoenen Nederlanders
Het probleem is groot. De dealerportals geven namelijk toegang tot aansluitsystemen van alle telecomproviders. Ruwhof stelt dat er daarmee gegevens van meer dan 12 miljoen Nederlandse bellers onveilig opgeslagen zijn. De telecombedrijven en de Phone House noemen die stelling overdreven.
In de dealerportals staan naam, adres- en woonplaats gegevens. Eveneens zijn de geboortedatum en telefoonnummer van klanten opgeslagen. Een bankrekeningnummer wordt niet opgeslagen, maar in sommige gevallen is er wel een kopie van het rijbewijs of paspoort opgeslagen. Een woordvoerder van T-Mobile zegt dat het gaat om klanten bij wie de contactaanvraag nog niet is afgerond. Het gaat dan om 15 klanten en dus niet om 12 miljoen.
Geen lek
De onderzoeker heeft de winkelketens gewaarschuwd en inmiddels hebben zowel de MediaMarkt als de Phone House hun beveiliging verbeterd. Een woordvoerder van de Phone House zegt dat er geen gegevens zijn gelekt. Zo zouden er strenge zoekcriteria zijn om tot gegevens van een klant te komen.
Ruwhof stelde een lijst van twintig kritiekpunten op. Een belangrijk kritiekpunt is dat klanten in de winkel heel gemakkelijk mee kunnen kijken. Daarbij hoeft de klant geen verstand van computers of hacksoftware te hebben. Het document met de wachtwoorden stond open en bloot op een Google Drive-account en was aan de hand van de zoekmachine te vinden. De Phone House beloofde beterschap en zegt dat er veel verbeteringen zijn doorgevoerd na ‘een prettig gesprek’ met de Utrechtse onderzoeker.