Με default password 140.000 πελάτες Ολανδού ISP

Η Ολλανδική εταιρεία παροχής πρόσβασης στο Internet, KPN, ανακάλυψε με… τρόμο πως σχεδόν 140.000 πελάτες της χρησιμοποιούσαν τον “default” κωδικό που τους είχε δώσει κατά την εγγραφή τους!

Σχεδόν 140.000 Ολανδοί δεν μπήκαν στον κόπο να αλλάξουν τον προκαθορισμένο κωδικό που τους είχε δώσει εξαρχής η εταιρεία παροχής πρόσβασης KPN, δημιουργώντας μια πολύ σημαντική τρύπα ασφαλείας – αφού όποιος είχε τον κωδικό, είχε πρόσβαση στα προσωπικά στοιχεία όλων! Και με το “προσωπικά στοιχεία” εννοείται πως μιλάμε και για στοιχεία οικονομικών συναλλαγών, τραπεζικών λογαριασμών και πιστωτικών καρτών.

Το δε αστείο είναι πως πάντα ένας κωδικός συνοδεύεται και από ένα όνομα. Όποιος, λοιπόν, είχε τον κωδικό, θα έπρεπε να γνωρίζει και το “username” καθενός από τους 140.000 χρήστες για να αποκτήσει πρόσβαση στα στοιχεία τους. Έλα που και σε αυτό υπήρχε πρόβλημα, αφού κάθε όνομα δεν ήταν παρά συνένωση του… ταχυδρομικού κώδικα και της διεύθυνσης κάθε χρήστη! Με άλλα λόγια, για να “μπει” κανείς στο λογαριασμό του, αρκούσε μια brute force επίθεση – χρησιμοποιώντας δηλαδή ένα πρόγραμμα που να “βομβαρδίζει” την KPN με συνδυασμούς ταχυδρομικών κωδικών και διευθύνσεων, και κρατώντας σταθερό το… δεδομένο password (που, εγκυκλοπαιδικά, ήταν το “welkom01”).

Ευτυχώς, η KPN θεωρεί πως εντόπισε το πρόβλημα πριν αυτό γίνει γνωστό σε… υποχθόνιους χρήστες, μα η είδηση λειτουργεί ως μια καλή υπενθύμιση ασφαλείας για εμάς. Μήπως ήρθε η ώρα να αλλάξουμε κανέναν κωδικό; Πότε τον αλλάξαμε τελευταία φορά;

Source:

In Holland, a major ISP known as KPN has found a major security flaw for their customers. It seems that the Usernames were easy to guess because it was comprised of the persons zipcode + street address. All customers have had the same default password of ‘welkom01’. On a customers account management page there is an option to change the password, but up to 140,000 users never did. Anyone with minimal effort could log onto the account management of business ADSL subscribers.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.