Honderdduizenden e-mailaccounts Tele2 eenvoudig te hacken
Bijna driehonderdduizend e-mailadressen van Tele2 zijn te hacken met alleen een postcode en huisnummer. De telecomprovider verandert de wachtwoorden van zijn klanten zodra je deze twee gegevens opnoemt.
Dat blijkt uit onderzoek van RTL Nieuws. Tele2 voert naar aanleiding van onze bevindingen strengere identiteitscontroles in. Ook is het voortaan niet meer mogelijk om telefonisch een wachtwoord te verkrijgen.
Klantenservice
De klantenservice van Tele2 vraagt klanten ter controle van de identiteit hun postcode en huisnummer. Als je deze vragen goed beantwoordt, wordt het nieuwe wachtwoord via de telefoon doorgegeven. Daarna heb je toegang tot de e-mail, de daaraan gekoppelde diensten als sociale media en betaalsites, en het Tele2-account met informatie over je abonnementen.
"Deze vorm van beveiliging is volstrekt onvoldoende", zegt woordvoerder Pauline Gras van de Autoriteit Persoonsgegevens (AP). "Dit vinden wij een zeer serieus signaal." De toezichthouder gaat Tele2 om opheldering vragen.
Met deze simpele truc zijn 300.000 Tele2-accounts te hacken
"Dit is een serieus gevaar", stelt Dave Maasland, ceo van cybersecuritybedrijf ESET. "Het hacken van je e-mail, het belangrijkste online account, mag niet zo makkelijk gaan." RTL Nieuws heeft bewijs in handen dat deze hacktruc vaker succesvol is.
Zo ging RTL Nieuws te werk
We namen de proef op de som door een e-mailaccount bij Tele2 met toestemming van de eigenaar te hacken. Van het slachtoffer hadden we het woonadres en de geboortedatum paraat: beide gegevens zijn vaak makkelijk te vinden op internet. Binnen een paar minuten werd het nieuwe wachtwoord telefonisch aan ons doorgegeven.
De medewerker van de klantenservice twijfelde nog wel hier en daar. Zo wilde hij als extra controle graag de geboortedatum en het klantnummer weten, omdat we aanvankelijk het verkeerde adres noemden. Uiteindelijk was de geboortedatum voldoende. "Het mag eigenlijk niet, maar ik vertrouw je", zei hij aan de telefoon.
Aan het e-mailadres was ook een 06-nummer gekoppeld. De medewerker vroeg nog of het mogelijk was om via een sms het wachtwoord opnieuw in te stellen. Door te antwoorden dat het 06-nummer oud en niet meer in gebruik was, werd ook deze beveiligingsmaatregel omzeild.
Social engineering
De 296.081 kwetsbare e-mailaccounts bestaan uit @tele2.nl-, @zonnet.nl- en @versatel.nl-adressen. Het is onduidelijk hoeveel mensen slachtoffer zijn geworden van deze aanval. "Als je bent gehackt, weet je vaak niet hoe dat is gebeurd", stelt André Vermeulen van Fraudehelpdesk. "Soms kom je er pas maanden later achter." Verschillende criminele hackers stellen dat ze op deze manier mensen hebben gehackt.
Deze vorm van hacken wordt ook wel 'social engineering' genoemd. Bij social engineering richt de aanvaller zich niet op de computer, maar op de mens die hem bestuurt. "De aanvaller maakt dan misbruik van goede menselijke eigenschappen, zoals vertrouwen en de wil om anderen te helpen", zegt Maasland.
Ook de beruchte hacktruc 'sim swapping', waar RTL Nieuws eerder aandacht aan besteedde, werkt via deze aanval.
'Mooie praatjes'
RTL Nieuws werd door criminele hackers over deze kwetsbaarheid getipt. "Tele2 zegt altijd dat het niet kan", vertelt de 21-jarige hacker Oliver*. "Je moet nooit die mooie praatjes van ze geloven. Binnen vijf minuten heb ik een e-mailaccount van Tele2 gekraakt." Hackers kunnen dan belangrijke accounts gijzelen en losgeld vragen, of betaaldiensten als PayPal overnemen.
De criminele hacker zegt dat hij databases van bitcoin-fora opkoopt en vervolgens zoekt naar gebruikers met een e-mail van Tele2. Die mensen hackt hij om bitcoins te stelen. Dat levert volgens hem een flinke winst op. Eén bitcoin is op moment van schrijven 3400 euro waard.
Datalekken
Volgens Maasland laat de hack 'de kracht van social engineering' zien: "De klantenservice wil je graag helpen, maar vergeet de identiteit van de beller voldoende te controleren. Bedrijven moeten hun medewerkers goed trainen zodat ze niet op deze manier worden misleid. Dat gebeurt veel te weinig in Nederland."
"We lezen vaak over datalekken en dat onze adresgegevens, geboortedata en telefoonnummers op straat liggen", zegt Maasland. "Met deze aanval kunnen die gestolen gegevens door hackers worden misbruikt."
Ook moeten bedrijven niet alleen maar een woonadres of geboortedatum vragen om de identiteit telefonisch te controleren. "Je kunt ook om een IBAN- of klantnummer vragen. En als het controleren van de identiteit niet lukt, dan moet de klant met zijn of haar paspoort naar de winkel komen. Dat kost meer tijd en is minder gebruiksvriendelijk, maar het waarborgt wel de veiligheid van je klanten."
Rode vlaggen
"De manier van werken klinkt natuurlijk heel vriendelijk en klantgericht", zegt Gras van de Autoriteit Persoonsgegevens. "Maar bij de AP gaan met deze werkwijze allemaal rode vlaggen omhoog." De privacywet stelt dat bedrijven maatregelen moeten treffen om goede beveiliging te waarborgen. "Het spreekt voor zich dat dat meer moet zijn dan minimale controlevragen."
Volledige reactie Tele2
Naar aanleiding van jullie bevindingen, waarvoor we jullie willen bedanken, zijn we een intern onderzoek gestart naar de werkwijze en procedures omtrent het wijzigen van wachtwoorden van Tele2 e-mailaccounts.
Tele2 heeft hiervoor een digitaal proces ingericht dat te vinden is op de klantenservice pagina’s op tele2.nl. Via deze procedure kan een klant zelf zijn wachtwoordwijziging doorvoeren.
Voor die gevallen waarin dit digitale proces niet succesvol doorlopen kan worden, is er uit oogpunt van servicegerichtheid een mogelijkheid om persoonlijk telefonisch contact op te nemen voor een wachtwoord reset. Voordat de klant wordt geholpen, worden eerst een aantal vragen gesteld ter controle van de identiteit.
Op basis van jullie bevindingen constateren we dat die telefonische route op dit moment vatbaar is voor misbruik. Wij hebben direct gepaste maatregelen genomen, zoals een strengere identiteitscontrole die per direct wordt doorgevoerd. Dit, om te voorkomen dat andere personen dan onze klanten toegang kunnen krijgen tot klantgegevens.
Bovendien hebben wij onze klantenservicemedewerkers geïnstrueerd dat het per direct niet langer is toegestaan om verzoeken tot het wijzigen van wachtwoorden telefonisch in behandeling te nemen. Klanten worden daarvoor doorverwezen naar de procedure die op onze website vermeld staat.
Ook wordt op korte termijn een bewustwordingscampagne gestart onder de klantenservicemedewerkers om hen tot extra voorzichtigheid te manen. We waarderen het dat onze klantenservicemedewerkers onze klanten altijd goed willen helpen, maar dat kan en mag niet ten koste gaan van de bescherming van hun gegevens.
* De echte naam van Oliver is bij de redactie bekend