De beveiliging van klantgegevens bij Media Markt en The Phone House bleek behoorlijk te rammelen, waardoor de persoonlijke gegevens van 12 miljoen klanten door iedereen met basiskennis van computers te achterhalen waren.

Beveiligingsexpert Sijmen Ruwhof heeft in een blogpost uit de doeken gedaan hoe Media Markt, The Phone House en Nederlandse providers tekortschoten bij het beschermen van portals met klantdata.

De verkoop van abonnementen en andere telecomdiensten is door Media Markt uitbesteed aan The Phone House. Het bedrijf heeft is aangesloten op het IT-systeem binnen Media Markt en kan via portals (beveiligde websites) van providers als KPN, Vodafone en T-Mobile nieuwe abonnementen aanvragen en klantgegevens wijzigen.

Basisbeveiliging niet op orde Duwhof trof bij zijn lokale Media Markt een plakbriefje op een monitor aan met daarop het wachtwoord dat medewerkers gebruiken om Windows te ontgrendelen. Drie keer raden: media123. Daar begint het pas. Omdat medewerkers niet alle wachtwoorden kunnen onthouden, worden inloggegevens van providerportals door The Phone House in een excel sheet opgeslagen. De sheet staat in Google Docs en medewerkers openen deze rustig terwijl klanten meekijken. Het wachtwoord van dat Google Docs-account? Utrecht12345.

Medewerkers blijken bovendien de computers niet altijd te vergrendelen. Een nieuwsgierige klant kan met een simpele alt+tab snel kijken of een browservenster open staat met wachtwoorden voor providerportals. Simpele maatregelen als wachtwoorden in zwarte tekst op een zwarte achtergrond plaatsen, werden niet genomen.

Super handig! Alle wachtwoorden overzichtelijk in Google Docs… Voorspelbare wachtwoorden Het probleem van alle medewerkers met één set inloggegevens laten werken, is dat het nooit te achterhalen is wie welke wijziging doorvoert. Als een medewerker ontslag neemt, worden ze ook niet aanpast. De wachtwoorden blijken ook redelijk voorspelbaar, enkele wachtwoorden voor portals van Vodafone, KPN, Telfort, T-Mobile, Tele2, UPC waren:

m 12345678 Utrecht beginnen01 Utrecht12345 upc12345 Welkom03 Mediautr03 Providers ook schuldig Ook de providers blijken niet goed nagedacht te hebben over hun beveiliging. De portals met klankgegevens zijn vaak vrij via internet beschikbaar. Geen VPN of filtering op IP-adres. Iedereen kan naar kpnverkoopportaal.nl surfen en met de gegevens die de medewerker van Media Markt op Google Docs opzocht zijn buurman een nieuwe telefoon bezorgen. Of met een simpel script de hele klantendatabase leegtrekken.

Een lokale Phone House-vestiging zette alle links naar dealerportals online. Beveiliging inmiddels verbeterd Media Markt en The Phone House hebben beterschap beloofd en de afgelopen weken password managers geïnstalleerd. Ook worden schermen voortaan beter afgeschermd zodat klanten niet zomaar mee kunnen kijken. Dit gebeurde overigens pas nadat Ruwhof contact had opgenomen met de providers. In eerste instantie wilde de store manager van Media Markt Utrecht de onderzoeker aanklagen als hij zijn bevindingen zou publiceren. Dat bleek echter een overtrokken eerste reactie.

Hoe goed zou de beveiliging bij andere retailers geregeld zijn?

De originele blogpost met nog veel meer details is het lezen waard.