Noll
RCN, en av de största internet-och kabel-leverantörer i USA, erkände i dag på Twitter att det lagrar användarnas lösenord i klartext lösenord som kundtjänst medarbetare har tillgång till när som helst under förfrågningar om teknisk support.
En RCN talesman sade att “[kundtjänst] agenter måste se detta lösenord för att verifiera kontot ägande när vissa förändringar efterfrågas.”
Denna uppenbarelse kom till efter att en användare som går på Twitter som Lomgrim kallas RCN stöd under helgen. Innan du ringer, Lomgrim säger han använde KeePass-lösenord manager-för att generera ett slumpmässigt 26-tecken långa lösenord för hans RCN-konto.
Han hävdar att RCN anställd hantering hans uppmaning var att kunna visa och sedan läsa detta lösenord tillbaka till honom utan att kontrollera att han talade till den faktiska ägaren till kontot.
Sett till ZDNet Lomgrim påpekade detta för reportern att en Reddit-tråd han öppnade under helgen, där han portad på den frågan.
“Deras rep utan någon validering kunde se mitt lösenord som jag hade precis ställt in online, 5 minuter tidigare, i klartext och sedan rakt upp och LÄSA DET TILLBAKA TILL MIG, via TELEFON ber ‘lösenordet ser väldigt lång och udda, är du säker på att detta är vad du vill?”, och” Lomgrim sagt.
Men medan Lomgrim bekräftat att detta var första gången det hänt honom, andra användare kommentera på samma Reddit hot påstod sig ha upplevt samma problem i det förflutna.
“Jag pratade bara en kundtjänst rep och de sa samma sak. De verkar inte förstå varför det kan vara ett problem,” en Reddit-användare sa.
Problemet som RCN anställda inte verkar förstå, som användare uttryckte det, är att genom att inte kontrollera identiteten på den som ringer innan de ger ut ett lösenord kan detta leda till allvarliga brott mot sekretess.
Till exempel, stalkers kunde hitta ett nytt sätt att inkräkta på den personliga integriteten hos sina offer, medan svindlare och bedragare kan utnyttja detta problem för att få tillgång till en guldgruva av personlig och ekonomisk information.
TechRepublic: Varför 31% av dataintrång leda till att anställda får sparken
Enligt Lomgrim, detta kan leda till vissa allvarliga frågor, som RCN-konto, precis som alla andra konto på de flesta USA-baserade INTERNETLEVERANTÖRER, butiker hel uppsjö av personliga information.
“MyRCN web-portalen innehåller tillgång till fakturering portal, samt att autopay-inställning” Lomgrim berättade ZDNet. “Bill betalning historia är tillgängliga för nedladdning under hela din tid.
“Du kan också ändra dina säkerhets frågor i portalen och lösenordet för kontot själv. Dessutom, MyRCN portal tillåter dig att ändra din RCN Webmail lösenord direkt utan att behöva lämna den gamla lösenord först.
“Du kan också uppdatera din faktureringsadress. I min åsikt, om en angripare har tillgång till detta konto, kan de dra ner alla mina uttalanden, återställa min RCN lösenord för E-post (om jag använde ett), och ange min faktureringsadress till något annat, och inaktivera papperslös fakturering, så att de kan sträcka mina räkningar till deras adress,” Lomgrim läggas till.
CNET: Ticketmaster lag med scalpers rip du off, säger rapporten. Företaget säger något sätt
ZDNet nått ut till RCN tidigare idag med flera frågor om företagets praxis. I ett e-postmeddelande, företaget svarade att utreda frågan.
“RCN tar alla våra kunders frågor, funderingar och synpunkter på största allvar. Vi söker till denna fråga; vi är i kontakt med kunden och är att samla in all relevant information,” Bill Sievers, Senior Vice President, Customer Service, RCN, berättade ZDNet via e-post. “Vi kommer att ge uppdateringar då de blir tillgängliga.”
En snabb Twitter-sökning visar också detta har pågått i minst fyra år. Företaget har varit ganska förskott på denna politik sedan 2014, enligt en äldre tweet.
“RCN reps har tillgång till din webmail lösenord och MyRCN lösenord om du skulle glömma bort dem,” en RCN: s företrädare skrev på den officiella Twitter-konto 2014 svara för att en användare som klagar på samma sak-en RCN call center-anställda att läsa ur användarens lösenord över telefon.
Och det är också denna fyra år gamla Reddit-tråd med samma klagomål om RCN anställda som har tillgång till kunders lösenord i klartext.
Men RCN är inte den första eller den sista företaget att av misstag avslöjar på Twitter att den lagrar kundens lösenord i klartext. Bara några månader innan, T-Mobile Austria är upptagna till samma praxis.
Efter flera efterföljande användare klagomål och en lång ström av online förlöjligande, kritik, företaget så småningom genomförs lösenord-hash som ett sätt att hindra anställda eller hackare från att visa lösenord i klartext.
Också: Premera Blue Cross anklagas för att förstöra bevis i dataintrång rättegång
För Lomgrim, användaren hoppas ISP förbättrar sin säkerhet hållning i fråga om hanteringen av lösenord, något beklagligt att media storm han kan ha orsakat.
“RCN har i allmänhet varit min ISP val”, sa han till ZDNet. “Deras kundservice är regelbundet för mycket ansvar, och sällsynt problem som uppstår tenderar att lösas snabbt och bra. De ger snabbare och bättre service, inklusive gigabit, för priser som är mycket bättre än Comcast, utan avtalsenliga skyldigheter.”
Problemet med att lagra lösenord i klartext är inte lika illa som andra problem som ett företag som RCN att kunna möta och är säkert något som företaget kan åtgärda i ett hjärtslag om den någonsin når rätt beslut. Det finns många andra sätt att kontrollera kundens identitet eller för att lösa tekniska problem, utan att läsa tillbaka användarens lösenord och frågar om “är detta som är ditt?”.
Relaterade täckning:
AdGuard återställer alla användarlösenord efter referens fyllning attackTwitter meddelar användare om API bugg som delade DMs med fel devsWendy ansikten rättsprocess för att olovligen samla anställd fingerprintsCanadian återförsäljare servrar för att lagra 15 år av användardata som säljs på Craigslist
Relaterade Ämnen:
Nätverk
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0