Telenet-dochter Hostbasket versleutelt wachtwoorden niet
Wie een account heeft bij Hostbasket gebruikt best een uniek wachtwoord. De gegevens worden als platte tekst bewaard.
Wie een account heeft bij Hostbasket gebruikt best een uniek wachtwoord. De gegevens worden als platte tekst bewaard.
Consultant en securityspecialist Jan Guldentops merkte het probleem op bij het opvragen van een vergeten wachtwoord. Bij versleutelde wachtwoorden krijg je een link om je wachtwoord te herstellen, maar wanneer ze als als platte tekst worden bewaard dan kunnen ze gewoon worden doorgemaild naar de gebruiker. Dat was bij het hostingbedrijf van Telenet het geval.
Onbegrijpelijk: #Telenet/#Hostbasket slaat nog altijd de wachtwoorden van hun dnsklanten onversleuteld op! #fail #so1996 #zwarenalatigheid
— Jan Guldentops (@JanGuldentops) October 8, 2013
Zo lang de database niet wordt gehackt is er geen probleem, maar de aanpak strookt volgens Guldentops niet met de veiligheidsregels van vandaag. “Het wegschrijven van wachtwoorden in cleartext is gemakzucht. Zodra de database wordt gehackt kan je meteen aan de gegevens.”
Ook als reden voor het ongeëncrypteerd bewaren heeft Guldentops een vermoeden. “Het gebeurt vaak omdat het dan makkelijk is om bij migratie naar een nieuw systeem die wachtwoorden mee te nemen.”
Of een online dienst zijn wachtwoorden versleutelt kan je volgens Guldentops zelf controleren. Wanneer je het wachtwoord opvraagt en dat zomaar in je mailbox krijgt (in plaats van een link om je code te wijzigen), dan worden de gegevens onvoldoende beveiligd.
Telenet bevestigt dat de wachtwoorden niet geëncrypteerd zijn.”Hostbasket is een bedrijf dat al sinds 2000 bestaat. Sindsdien geeft Hostbasket zijn klanten in het klantenportaal (My Account) inderdaad toegang tot de niet-geëncrypteerde wachtwoorden om zo de klant gemakkelijk toegang te geven tot zijn eigen wachtwoord. Voor huidige DNS-klanten is dit dus ook het geval.”
Telenet laat verder nog weten dat de wachtwoorden bij nieuwe producten niet worden weergegeven. Al is dat voor nieuwe klantenaccounts nog wel het geval. Zo maakte onze redactie gisteren een testaccount aan bij Hostbasket, om vervolgens het wachtwoord los per mail te ontvangen.
Fout opgemerkt of meer nieuws? Meld het hier