KPN zatvara portal nakon što je pronađeno dvije trećine korporativnih klijenata pomoću zadane lozinke

KPN je u utorak zatvorio samoposlužni portal korporativnih ADSL kupaca nakon što je otkrio da je 120.000 svojih 180.000 poslovnih klijenata još uvijek koristilo zadane lozinke, sve varijante "welkom01", rekao je glasnogovornik tvrtke u petak.

Sigurnosna ranjivost mogla bi omogućiti neovlaštenim osobama lak pristup korporacijskim računima, za koje bi se odgovarajući korisnici mogli lako izvesti iz uličnih adresa tvrtke.

KPN je izjavio da nije svjestan da je velika većina svojih 180.000 poslovnih klijenata ADSL-a još uvijek koristila zadanu lozinku za internetski portal za klijente za samopomoć.

[Daljnje čitanje: Kako o Uklanjanje zlonamjernog softvera s vašeg Windows računala]

Nizozemska internetska stranica s vijestima Webwereld upozorila je KPN u utorak nakon savjetovanja Roberta Schagena Roberta 4U IT-a koji je otkrio sigurnosnu propusnost.

Nastavljajući koristiti zadane zaporke kao što je "welkom01 , "welkom1" ili "welkom001", kupci su riskiraju da neovlaštene osobe dobiju pristup njihovim računima, rekao je KPN.

Korporativni klijenti dobili su zadanu lozinku kako bi dobili pristup mreži online self carea kao standardne prakse, ali KPN nije obavezno mijenjati lozinku, pa su mnogi njihovi klijenti nikada nisu.

Korisnička imena tvrtki sastoje se od njihovog poštanskih brojeva i broja ulice, izjavio je glasnogovornik KPN Steven Hufton. I popis korporativnih klijenata KPN-a mogao bi se lako dobiti upitavanjem baze regionalnog internetskog registra, objavio je RIPE NCC, Webwereld.

Pristup računu na portalu moguće je promijeniti adresu e-pošte i brzinu veze i uključivanje i isključivanje usluga, rekao je Hufton. Osim toga, portal također sadrži brojeve bankovnih računa i moguće je promijeniti lozinku, dajući zlonamjernim osobama mogućnost preuzimanja računa, napisao je Webwereld.

"Ovo je neprihvatljivo", rekao je Eddy Willems, evangelizator sigurnosti u G Podaci. KPN je trebao učiniti da je obvezan korisnicima promijeniti zadanu lozinku kada je račun aktiviran, rekao je, zove KPN-u korištenje zadanih zaporki "vrlo veliki sigurnosni rizik".

Druge velike tvrtke imale su slične probleme u prošlosti, rekao je Willems, iako se to događa rjeđe, jer tvrtke sve više postaju svjesne važnosti sigurnosti. Problem KPN-a vjerojatno je bio povijesni, rekao je, dodavši kako u vrijeme provedbe vjerojatno nitko nije razmišljao o posljedicama. Iako je to jednostavan problem, tvrtke trebaju misliti na dobru sigurnost prije nego što implementiraju sustav, a ne nakon toga, rekao je Willems.

Nije bilo naznaka da je bilo koja neovlaštena osoba ikada stekla pristup korporacijskom računu, rekao je KPN. Portal je preuzet izvan mreže odmah nakon što je tvrtka priopćena u utorak popodne i KPN ponovo postavio zaporku od 140.000 računa. Osim 120.000 korisnika koji su koristili zadane lozinke, KPN je otkrio da je njihovo ime za prijavu upotrijebljeno kao lozinka. Kupci su bili upozoreni putem e-pošte koja je objasnila situaciju i dala upute za stvaranje nove, sigurne lozinke, rekao je KPN. Portal je vraćen online oko podneva u četvrtak, dodao je tvrtka.

Loek pokriva sve tehničke informacije za IDG News Service. Slijedite ga na Twitteru na @loekessers ili e-mail savjete i komentare na [email protected]