[ archief ] Energiedirect beveiligt wachtwoorden niet

[pano]

Het is mij opgevallen dat Energiedirect het wachtwoord die ik zelf had ingevoerd in een gewone mail naar mij heeft teruggestuurd. Niet alleen is dat erg onveilig maar het betekent ook dat ze de wachtwoorden onbeveiligd opslaan.
Ik heb ze daar op aangesproken en in plaats van het op te lossen wordt het door Energiedirect ontkend.

Dus bij deze een waarschuwing.

[energie:direct]

Hallo Pano,

Via deze weg wil ik graag op je bericht reageren.

Het klopt dat wij een e-mail sturen wanneer een klant zijn/haar gegevens wijzigt via de mijn-energiedirect.nl omgeving. Dit is over het algemeen heel gangbaar bij dit soort wijzigingen.

In onze database zijn alle klantgegevens veilig opgeslagen, deze hashen wij.
Om deze reden zijn de gegevens voor zowel onze interne medewerkers als potentiele indringers van buiten niet inzichtelijk.

Bij energiedirect.nl besteden we alle mogelijke zorgen aan het beschermen van de privacy van onze klanten.

Met vriendelijke groet,

^Dennis van energiedirect.nl

[Guardian72]

Hallo Pano,

Via deze weg wil ik graag op je bericht reageren.

Het klopt dat wij een e-mail sturen wanneer een klant zijn/haar gegevens wijzigt via de mijn-energiedirect.nl omgeving. Dit is over het algemeen heel gangbaar bij dit soort wijzigingen.

Dat kan wel zijn - maar zelfs een gratis mailprovider als Yahoo geeft niet in een plain text/HTML mail het nieuwe wachtwoord weer - wat ik van TS begrijp dat wel gebeurt is.

Daar zit dus het beveiligings lek - niet het feit dat een wachtwoord verder veilig bewaard word (wat ik direct aanneem, aangezien bij brakke beveiliging jullie aansprakelijk zijn)