Nul
RCN, en af de største internet og kabel-udbydere i USA, indrømmede i dag på Twitter, at det gemmer brugeres adgangskoder i klartekst, adgangskoder, som kunde support medarbejdere har adgang til på ethvert tidspunkt i løbet af anmodninger om teknisk support.
En RCN-talsmand sagde, at “[kundesupport] agenter nødt til at se denne adgangskode for at bekræfte ejerskab af kontoen, når visse ændringer, der er anmodet om.”
Denne åbenbaring kom til at være, efter at en bruger, der går på Twitter, som Lomgrim kaldet RCN støtte i løbet af weekenden. Før du ringer, Lomgrim siger, at han brugte KeePass –en password manager-programmet– til at generere en tilfældig 26-karakter-lang adgangskode for hans RCN-konto.
Han hævder, at RCN medarbejder håndtering hans opkald var i stand til at se og derefter læse dette password tilbage til ham, uden at kontrollere, at han talte til ejer kontoen.
Tale til ZDNet, Lomgrim påpegede dette journalist til et Reddit tråd åbnede han i løbet af weekenden, hvor han vented på sagen.
“Deres rep uden nogen validering var i stand til at se min adgangskode, som jeg netop havde sat online, 5 minutter tidligere, i almindelig tekst og så lige op og LÆSE DET TILBAGE TIL MIG, OVER TELEFONEN spørger ‘den adgangskode, der ser meget lang og ulige, er du sikker på, at dette er hvad du ønsker?’,” Lomgrim sagde.
Men mens Lomgrim bekræftet, at dette var første gang, det skete for ham, som andre brugere kommentere på den samme Reddit trussel hævdede at have oplevet det samme problem i fortiden.
“Jeg har lige talt med en kundeservice medarbejder, og de fortalte mig det samme. De synes ikke at forstå, hvorfor det kan være et problem,” en Reddit-bruger sagt.
Det problem, der RCN medarbejdere ikke ud til at forstå, som de bruger udtrykte det, er, at ved ikke at kontrollere identiteten på personer, der ringer, før de giver en adgangskode, dette kan føre til alvorlige krænkelser af privatlivets fred.
For eksempel, stalkere kan finde en ny måde at indgreb i privatlivets fred for deres ofre, mens svindlere og bedragere kan udnytte problemet til at få adgang til en guldgrube af personlige og finansielle oplysninger.
TechRepublic: Hvorfor 31% af brud på datasikkerheden føre til, at medarbejdere bliver fyret
Ifølge Lomgrim, dette kan føre til nogle alvorlige problemer, som RCN-konto, ligesom enhver anden konto på de fleste AMERIKANSKE INTERNETUDBYDERE, butikker ganske et væld af personlige oplysninger.
“MyRCN web-portal giver adgang til fakturering portal, samt at autopay setup,” Lomgrim fortalte ZDNet. “Bill betaling historie er tilgængelig for download for hele din levetid.
“Du kan også ændre din sikkerhed spørgsmål i portalen og konto password sig selv. Desuden MyRCN portal giver dig mulighed for at ændre din RCN Webmail password direkte uden at skulle give den gamle password først.
“Du kan også opdatere din faktureringsadresse. Efter min mening, hvis en hacker har adgang til denne konto, som de kan trække ned i alle mine indlæg, skal du nulstille min RCN e-Mail password (hvis jeg var ved hjælp af en), og sat mine fakturerings-adresse til noget andet, og deaktivere papirløse fakturering, så de kan benyttes til mine regninger til deres adresse,” Lomgrim tilføjet.
CNET: Ticketmaster hold med scalpers til at rippe dig ud, siger rapporten. Virksomheden står ingen måde
ZDNet nåede ud til RCN tidligere i dag med en række spørgsmål om virksomhedens praksis. I en e-mail, selskabet svarede, at der er ved at undersøge problemet.
“RCN tager alle vores henvendelser, spørgsmål og feedback, meget alvorligt. Vi ser i denne sag; vi er i kontakt med kunden, er at samle alle de relevante oplysninger,” Bill Sievers, Senior Vice President for Kundeservice, RCN, fortalte ZDNet via e-mail. “Vi vil levere opdateringer, efterhånden som de bliver tilgængelige.”
En hurtig Twitter search også afslører, at dette har stået på i mindst fire år. Virksomheden har været temmelig forhånd om denne politik, da 2014, ifølge en ældre tweet.
“RCN reps har adgang til din webmail password og MyRCN adgangskode, hvis du skulle glemme dem,” en RCN repræsentant skrev på den officielle Twitter-konto i 2014 svarer til en bruger, der klager over den samme ting-en RCN call center medarbejder læse ud brugerens adgangskode over telefonen.
Og der er også denne fire-årige Reddit tråden med det samme klage over RCN medarbejdere, der har adgang til kunders passwords i klartekst.
Men RCN er ikke den første eller den sidste virksomhed ved et uheld til at afsløre, på Twitter, at det gemmer kundens adgangskoder i klartekst. Blot et par måneder før, T-Mobile Austria, der er optaget til samme praksis.
Efter flere efterfølgende bruger klager og en lang strøm af online latterliggørelse og kritik, virksomheden i sidste ende gennemført adgangskode-hashing som en måde at stoppe ansatte eller hackere fra at se passwords i klartekst.
Også: Premera Blå Kors beskyldt for at ødelægge beviser i tilfælde af brud på datasikkerheden retssag
Som for Lomgrim, brugeren håber ISP forbedrer sin sikkerhed kropsholdning i forhold til sin håndtering af adgangskode, noget at beklage den mediestorm, han måtte have forårsaget.
“RCN har generelt været min ISP valg,” sagde han til ZDNet. “Deres kundeservice er jævnligt meget ansvarlig, og sjældne problemer, der opstår, har en tendens til at blive løst hurtigt og godt. De giver hurtigere og bedre service, herunder gigabit, til priser der er langt bedre end Comcast, uden at alle kontraktlige service-forpligtelser.”
Problemet med at lagre adgangskoder i klartekst, er det ikke så slemt, som andre problemer, en virksomhed som RCN kan stå over for, og det er bestemt noget, at selskabet kan rette i et hjerteslag, hvis det nogensinde har nået den rigtige beslutning. Der er mange andre måder at kontrollere en kundes identitet eller løse tekniske problemer uden at læse tilbage brugerens adgangskode, og spørger, om “dette er jeres?”.
Relaterede dækning:
AdGuard nulstiller alle brugerens adgangskoder efter credential fyld attackTwitter giver brugere besked om API fejl, der delte DMs med forkert devsWendy ansigter retssag for ulovligt at indsamle medarbejder fingerprintsCanadian forhandler ‘ s servere, lagring, der er 15 år og bruger data, der sælges på Craigslist
Relaterede Emner:
Netværk
Sikkerhed-TV
Data Management
CXO
Datacentre
0