[ archief ] Veiligheidslek bij Simyo!!!!

[tonse]

Als je bij Simyo je wachtwoord vergeten bent, dan kun je dit per SMS opgestuurd krijgen. Dit betekent dan het volgende als je telefoon vermist is:
- Een misbruiker typt bij wachtwoord vergeten het mobiele nummer in
- Hij krijgt een SMS met het wachtwoord.
- Hij kan inloggen met het mobiele nummer en het zojuist gekregen wachtwoord. en vanaf dat moment alles doen wat hij wil. (automatische incasso ophogen en twee uur met het buitenland bellen is geen probleem)

Vanaf dat moment weet hij ook al je persoonlijke gegevens, inclusief telefoon en bankrekeningnummer, adres, etc.... Al je accountgegevens dus.

Simyo geeft als reactie dat zij het als service ziet.??????

Het zou veilig zijn als het wachtwoord via mail verzonden wordt. Dat is namelijk onafhankelijk van de telefoon.

[edwinknight]

Als je bij Simyo je wachtwoord vergeten bent, dan kun je dit per SMS opgestuurd krijgen. Dit betekent dan het volgende als je telefoon vermist is:
- Een misbruiker typt bij wachtwoord vergeten het mobiele nummer in
- Hij krijgt een SMS met het wachtwoord.
- Hij kan inloggen met het mobiele nummer en het zojuist gekregen wachtwoord. en vanaf dat moment alles doen wat hij wil. (automatische incasso ophogen en twee uur met het buitenland bellen is geen probleem)

Vanaf dat moment weet hij ook al je persoonlijke gegevens, inclusief telefoon en bankrekeningnummer, adres, etc.... Al je accountgegevens dus.

Simyo geeft als reactie dat zij het als service ziet.??????

Het zou veilig zijn als het wachtwoord via mail verzonden wordt. Dat is namelijk onafhankelijk van de telefoon.

Opzich heb je een punt, heb ook een simcard voor simyo, maar neem aan dat je snel genoeg erachter komt dat je je gsm kwijt bent en deze laat blokken.

[tonse]

Maar in die tijd heeft iemand dus mijn naam, telefoonnummer, bankrekeningnummer adres, emailadres.
Een combinatie van gegevens die ik niet graag op straat heb liggen, en waarvan ik vindt dat een provider daar veel omzichtiger mee om dient te gaan.

[tonse]

En....

Hoe wil je dat laten blokken als iemand in de tussentijd via de zojuist verkregen code al jouw gegevens gewijzigd heeft?

[ronald g]

Ik kan niet ander zeggen dat Simyo hier grandioos fout gaat.

[Yme]

Das toch geen veiligheidslek?! Je bent zelf verantwoordelijk voor je spullen, raak je het simkaartje kwijt dan moet je het blokkeren. Maar nee, het is makkelijker om alle verantwoordelijkheid maar weer bij het bedrijf neer te leggen.

[ronald g]

Maar nee, het is makkelijker om alle verantwoordelijkheid maar weer bij het bedrijf neer te leggen

Ben ik in dit geval niet met je eens. Als je telefoon gejat wordt duurt het tijd voor dat de telefoon geblokkeerd is, de dief kan dus nare dingen uithalen en in korte tijd veel schade aanrichten.

[pima]

Zal de dief (vinder) toch eerst achter het tel. no. moeten komen.

[ronald g]

Zo moeilijk is dat niet, het eigen nummer is zo te achterhalen.

[CaptainSlow]

Das toch geen veiligheidslek?! Je bent zelf verantwoordelijk voor je spullen, raak je het simkaartje kwijt dan moet je het blokkeren. Maar nee, het is makkelijker om alle verantwoordelijkheid maar weer bij het bedrijf neer te leggen.

Natuurlijk is dat een veiligheidslek, elk bedrijf waar je je wachtwoord op kunt vragen heeft een beveiligingsvraag voordat ze het wachtwoord verstrekken.
Natuurlijk ben je verantwoordelijk voor je spullen, maar gerold, beroofd of ingebroken, dat kan allemaal gebeuren, óók als je goed oplet.

Ik heb me net aangemeld als klant bij Simyo en gebruik de sim nog niet omdat ik nog op portering van mijn eigen nummer wacht, ik heb de sim toch maar even in een reserve toestel gedaan en inderdaad, vul je nummer in en je krijgt een nieuw wachtwoord toegestuurd.
Het oude is dus meteen vervallen, de controle is per direct naar de dief.
Die kan b.v. ook het internet wat ik uitgeschakeld heb weer inschakelen en zich suf internetten tegen hoge kosten omdat ik daar geen bundel voor heb.

Dit is echt niet varantwoord!

Wat betreft je opmerking om je nummer te blokkeren, Simyo is alleen overdag bereikbaar op werkdagen, blokkeren moet je volgens de site doen door in te loggen op je account.
Daar kun je in bovenstaand geval dus niet meer in want je wachtwoord is ongeldig, een nieuw wachtwoord aanvragen per mail via de optie "wachtwoord vergeten" kan door de dief geblokkeerd worden door in te loggen en het e-mail adres aan te passen.
Het zal je op vrijdagavond gebeuren, ben je tot maandagochtend helemaal vogelvrij.

Inmiddels heb ik het via het contactformulier bij Simyo neergelegd en gevraagd met een iets betere reactie te komen dat dat ze het "als een service" zien, wat het natuurlijk wel is maar niet bepaald een veilige.

[CaptainSlow]

Zal de dief (vinder) toch eerst achter het tel. no. moeten komen.

Even met jouw toestel een ander toestel bellen?

[Hatertje]

Verder is het zo dat bij de meeste providers je alleen wordt geblokkeerd voor uitgaand verbruik. Het ontvangen van sms-berichten en telefoongesprekken is wel nog mogelijk als je je simkaart hebt laten blokkeren ivm diefstal.

[CaptainSlow]

Verder is het zo dat bij de meeste providers je alleen wordt geblokkeerd voor uitgaand verbruik. Het ontvangen van sms-berichten en telefoongesprekken is wel nog mogelijk als je je simkaart hebt laten blokkeren ivm diefstal.

Wat wil je hiermee zeggen?
Dat je bij een blokkade evengoed op kosten gejaagd kan worden omdat een eventuele dief allerlei betaalde diensten kan instellen?

Ik ging er altijd van uit dat een blokkade bij diefstal totaal is, is wat jij schrijft niet van toepassing als de provider jou blokkeert wanneer je betalingsachterstand hebt?

[anXiro]

Misschien werkt de-blokkeren dan ook wel. Als alle gegevens on-line staan, kun je dan niet naar de klantenservice bellen om te vertellen dat jij je telefoon weer gevonden hebt? Ter controle even naam, adres en geboortedatum-check welke je van de persoonlijke pagina kunt aflezen.

Via e-mail lijkt mij dus een stuk veiliger.

[CaptainSlow]

Misschien werkt de-blokkeren dan ook wel. Als alle gegevens on-line staan, kun je dan niet naar de klantenservice bellen om te vertellen dat jij je telefoon weer gevonden hebt? Ter controle even naam, adres en geboortedatum-check welke je van de persoonlijke pagina kunt aflezen.
Via e-mail lijkt mij dus een stuk veiliger.

De-blokkeren kan alleen via de klantenservice, geboorte datum staat niet op de persoonlijke pagina maar hebben ze wel gevraagd bij aanmelden, als ze die dus vragen valt de dief door de mand.
Ik begrijp sowieso niet waarom je je wachtwoord per sms moet krijgen, je zit immers al op internet als je in wilt loggen en je wachtwoord niet meer zou weten, dus per mail werkt ook prima.
Alleen lijkt ook dat me niet echt veilig, nou zie ik persoonlijk niets in internetten op je mobiel, dus dat heb ik uitgeschakeld, maar voor iemand die dat wél doet staat het e-mail adres natuurlijk gewoon op de (gestolen) telefoon.

Zonder enige beveiliging zomaar het wachtwoord geven aan iedereen die het vraagt blijft gewoon ongelooflijk stom van ze.
Elke andere site doet dit met een persoonlijke vraag o.i.d. om je identiteit te verifiëren.

[CaptainSlow]

Oke, ik heb antwoord van Simyo, moet zeggen dat ze best vlot reageren.
Helaas hetzelfde afscheep-antwoord dat het een service is die veel providers bieden en dat deze niet aangepast wordt.
Ik heb daar nogmaals op gereageerd dat andere providers vaak een beveilings vraag ingebouwd hebben en verzocht dit onderwerp hogerop door te spelen, maar verwacht er niet veel van.

Zo nodig ga ik toch maar een brief aan de directie schrijven.

[dame41]

Ik kan je melden dat dit bij Vodafone ook gebeurt hoor. Als je je wachtwoord kwijt bent, even op de site je telefoonnummer intoetsen en je krijgt een nieuw wachtwoord per sms. Dus niet alleen Simyo.

[CaptainSlow]

Ik kan je melden dat dit bij Vodafone ook gebeurt hoor. Als je je wachtwoord kwijt bent, even op de site je telefoonnummer intoetsen en je krijgt een nieuw wachtwoord per sms. Dus niet alleen Simyo.

Ook geen enkele beveiliging daarop?
Misschien iets om eens te melden aan Radar en/of Kassa.
Ik vindt dit eigenlijk net zo fout als het af kunnen luisteren van voicemails van politici.

[dame41]

Nope geen enkele beveiliging. Geen veiligheidsvraag niets. Misschien een kunnen we een Poll plaatsen welke providers er nog meer geen beveiliging hebben. Denk dat je je rot schrikt

[CaptainSlow]

Ik heb een link naar dit topic doorgestuurd naar het contactadres van Radar en van Kassa.
Misschien dat ze het interessant vinden, vooral na de commotie rond de voicemails van politici.