Nul
RCN, één van de grootste internet en kabel-service providers in de VS, gaf vandaag op Twitter dat het slaat gebruikers wachtwoorden in leesbare vorm, wachtwoorden die bij de klantenservice medewerkers hebben toegang op elk moment tijdens de technische ondersteuning aanvragen.
Een RCN-woordvoerder zei dat “[klantenservice] agenten nodig zijn om dit te zien wachtwoord om te controleren of rekening te houden wanneer bepaalde veranderingen worden aangevraagd.”
Deze openbaring kwam na een gebruiker die gaat over Twitter als Lomgrim genoemd RCN steun in de loop van het weekend. Voorafgaande aan het bellen, Lomgrim zegt hij gebruikt KeePass –een wachtwoord manager– voor het genereren van een willekeurige 26 tekens lang wachtwoord voor zijn RCN-account.
Hij beweert dat de RCN werknemer de behandeling van zijn oproep was in staat om te bekijken en lees dan dit wachtwoord terug naar hem, zonder te verifiëren dat hij sprak van de werkelijke eigenaar van de account.
Spreekt ZDNet, Lomgrim wees verslaggever naar een Reddit thread opende hij in het weekend, waar hij wreekte zich op de zaak.
“Hun rep zonder validatie was in staat om mijn wachtwoord dat had ik gewoon online, op 5 minuten eerder, in leesbare tekst en dan recht omhoog en LEES HET TERUG NAAR MIJ VIA DE TELEFOON vragen ‘het wachtwoord ziet er erg lang en oneven, weet je zeker dat dit is wat je wilt?’,” Lomgrim zei.
Maar terwijl Lomgrim bevestigd dit was de eerste keer dat het gebeurde hem, andere gebruikers commentaar op de dezelfde Reddit bedreiging beweerde te hebben ervaren hetzelfde probleem in het verleden.
“Ik heb net gesproken met een medewerker van de klantenservice en ze vertelde me hetzelfde. Ze leek niet te begrijpen waarom het een probleem kan zijn,” een Reddit-gebruiker zei.
Het probleem dat RCN medewerkers niet lijken te begrijpen, als de gebruiker aan zet is, is dat door het niet controleren van de identiteit van bellers voor het geven van een wachtwoord, kan dit leiden tot ernstige privacy-schendingen.
Bijvoorbeeld, stalkers kan een nieuwe manier vinden om binnen te dringen op de privacy van hun slachtoffers, terwijl oplichters en fraudeurs kunnen maken van dit probleem om toegang te krijgen tot een schat aan persoonlijke en financiële informatie.
TechRepublic: Waarom 31% van de inbreuken leiden tot werknemers ontslagen
Volgens Lomgrim, dit kan leiden tot een aantal ernstige problemen, zoals de RCN-account, net als elk ander account op de meeste AMERIKAANSE ISP ‘ s, winkels nogal een schat aan persoonlijke informatie.
“MyRCN web portal bevat toegang tot de billing portal, evenals autopay setup,” Lomgrim vertelde ZDNet. “Bill payment history is beschikbaar om te downloaden voor uw gehele ambtsperiode.
“Je kunt ook het wijzigen van uw beveiliging vragen in de portal en het wachtwoord van het account zelf. Bovendien MyRCN portal kunt u uw RCN Webmail wachtwoord ronduit, zonder dat het oude wachtwoord voor het eerst.
“Kunt u ook uw facturatie-adres. In mijn ogen, als een aanvaller toegang heeft tot dit account kunnen ze trek al mijn verklaringen, reset mijn RCN wachtwoord voor e-Mail (als ik het gebruik), en mijn factuuradres naar iets anders, en het uitschakelen van het papierloze facturatie, zodat ze kunnen de route van mijn wissels aan hun adres,” Lomgrim toegevoegd.
CNET: Ticketmaster teams met scalpers om u rip off, rapport zegt. Bedrijf zegt geen enkele manier
ZDNet bereikt RCN eerder op de dag met enkele vragen over het bedrijf van de praktijk. In een e-mail, het bedrijf zei dat het onderzoeken van de kwestie.
“RCN neemt al onze klanten vragen, opmerkingen en feedback zeer serieus. Wij zijn op zoek naar deze zaak; we zijn in contact met de klant en het verzamelen van alle relevante informatie,” Bill Sievers, Senior Vice President Customer Service, RCN, vertelde ZDNet via e-mail. “Wij bieden updates zodra ze beschikbaar zijn.”
Een snelle Twitter search ook onthult dit is al ten minste vier jaar. Het bedrijf is vrij van vooraf aan dit beleid vanaf 2014, volgens een oudere tweet.
“RCN reps hebt toegang tot uw webmail wachtwoord en MyRCN wachtwoord in het geval u ooit vergeten,” een RCN vertegenwoordiger schreef op de officiële Twitter account in 2014 het beantwoorden van een gebruiker klaagt over hetzelfde ding RCN call center medewerker uitlezen van het wachtwoord van de gebruiker via de telefoon.
En er is ook dit vier-jaar-oude Reddit draad met dezelfde klacht over RCN medewerkers die toegang hebben tot klanten wachtwoorden in leesbare vorm.
Maar RCN is niet de eerste of de laatste bedrijf per ongeluk onthullen op Twitter dat het slaat klant wachtwoorden in leesbare vorm. Een paar maanden daarvoor, T-Mobile Oostenrijk toegelaten tot dezelfde praktijk.
Na meerdere volgende gebruiker klachten en een lange stroom van online spot en kritiek, het bedrijf uiteindelijk geïmplementeerd wachtwoord-hash als een manier om te stoppen met de werknemers of de hackers van het bekijken van de wachtwoorden in leesbare vorm.
Ook: Premera Blauwe Kruis beschuldigd van het vernietigen van bewijs in het data breach rechtszaak
Als voor Lomgrim, de gebruiker hoopt dat de ISP verbetert de beveiliging houding ten opzichte van zijn wachtwoord behandeling, een beetje spijt van de media storm die hij kan hebben veroorzaakt.
“RCN het algemeen is mijn ISP van de keuze,” zei hij tegen ZDNet. “Hun klantenservice is regelmatig erg verantwoordelijk, en zeldzame problemen die ontstaan hebben de neiging om te worden opgelost, snel en goed. Ze bieden beter en sneller van dienst, met inbegrip van gigabit, voor de prijzen die zijn veel beter dan Comcast, zonder contractuele verplichtingen.”
Het probleem met het opslaan van wachtwoorden in leesbare vorm is niet zo slecht als andere problemen met een bedrijf als dat van RCN kon het gezicht en is zeker iets dat de vennootschap zou kunnen oplossen in een hartslag als het ooit bereikt de juiste beslissing. Er zijn tal van andere manieren om het verifiëren van een klant van de identiteit of het oplossen van technische problemen zonder het teruglezen van het wachtwoord van de gebruiker en vragen als “is dit van jou?”.
Verwante dekking:
AdGuard zet alle wachtwoorden van de gebruiker na identificatie vulling attackTwitter worden gebruikers op de hoogte over de API-bug die gedeelde DMs met verkeerde devsWendy de gezichten van de rechtszaak voor het onrechtmatig verzamelen van werknemer fingerprintsCanadian detailhandelaar ‘ s servers opslaan van 15 jaar van gebruiker gegevens verkocht op Craigslist
Verwante Onderwerpen:
Netwerken
Beveiliging TV
Data Management
CXO
Datacenters
0