Account beveiliging ondermaats

  • 24 augustus 2018
  • 16 reacties
  • 604 keer bekeken

  • Anonymous
  • 0 reacties
Gaat Ben nog wat aan de account beveiliging doen? Die volstrekt ondermaats:
  1. 2FA is niet mogelijk bij inloggen.
  2. Ik kan geen security/controle vragen opgeven voor belangrijke wijzigingen.
  3. Er volgt geen verificatie stap om mijn email te wijzigen. De wijziging voor het nieuwe email adres gaat meteen in, zonder dat via het oude email adres te verifiëren.
Met SIM swap fraude op de loer (https://www.theguardian.com/money/2015/sep/26/sim-swap-fraud-mobile-phone-vodafone-customer) moet er nu echt een tandje bij. Doe maar twee tandjes bij. Doe eigenlijk maar drie.

BTW, dat artikel stamt uit 2015 (!) en we zijn nu drie jaar verder. En Ben zit nog steeds in de vorige eeuw.

16 reacties

Reputatie 5
Badge +7
Hi Ceaus, bedankt voor het geven van jouw feedback over de app. Zo heb ik het zelf nog nooit bekeken. Ik zal jouw bevindingen hier doorgeven.
Dit geld natuurlijk niet alleen voor de app. Maar ook voor de website! Ook daar kan ik geen 2FA instellen!

Ik kan niet genoeg benadrukken wat het belang is van deze verbeteringen. Als je de beschikking hebt over iemands telefoonnummer/simkaart, dan ben je in staat om ongelooflijk veel schade aan te richten. Dus het is echt noodzakelijk dat jullie de beveiliging op orde brengen volgens de laatste standaarden. Elk gerenomeerd bedrijf/bank biedt 2FA aan voor het inlogen de account pagina van hun klanten. Of kun jij wel bij jouw bank inloggen met alleen username/password? Nee! Daar heb je ook een pincode/identifier/token voor nodig!
En juist de telefoonmaatschappijen zouden hierin voorop moeten lopen. Met mijn telefoonnummer in handen kun je praktisch mijn halve leven overnemen...
Reputatie 5
Badge +12
Tegenwoordig zijn mobiele telefoons steeds belangrijker geworden in ons leven dus ik begrijp inderdaad dat je daar ook graag de beveiliging op aangepast ziet 🙂 We zullen jouw feedback gaan verzamelen.
Dag Ben,

Zou ik een update kunnen krijgen over het beveiligingsbeleid?

Dank!
Ceaus
Reputatie 3
Badge +2
Goedemorgen Ceaus! Bedankt voor je bericht. Ik kan me goed voorstellen dat je met smart zit te wachten op een update! Helaas kan ik je deze nog niet geven. Ik heb wel vernomen dat ze er hard mee aan het werk zijn!
Dag Ben,

Inmiddels heeft dit probleem nu.nl ook bereikt op de voorpagina (https://www.nu.nl/internet/5618606/honderden-nederlanders-slachtoffer-van-diefstal-van-06-nummers.html).
Is Ben haast aan het maken met 2FA? Kan ik hier wederom een update over krijgen?
Plus het toevoegen van controle vragen voor belangrijke account gegevens?
Dank!
Reputatie 3
Badge +2
Goedemorgen Ceaus, bedankt voor het delen van de informatie! Ben is zeker bezig met het upgraden van de beveiliging. Hoever ze daarmee zijn kan ik nog niet doorgeven.
Ik vindt "we zijn er mee bezig" wel een erg slap antwoord als het over beveiliging gaat.
Ik voel me door een dergelijk antwoord in ieder geval meteen al afgescheept en buitenspel gezet.
Daarnaast snap ik ook niet waarom Ben hier niet concreet over kan zijn.
Staat er bijvoorbeeld ook nog ergens een bericht van Ben naar de buitenwereld waarin ze aangeven hieraan te werken? Denk het niet he.....
Reputatie 5
Badge +12
Je hebt gelijk dat veiligheid erg belangrijk is, daar staan wij helemaal achter. Mijn collega's zijn er daarom ook mee bezig. Ik kan er echter op dit moment geen termijn aan koppelen wanneer dit gelanceerd gaat worden, sorry daarvoor.
Je hebt gelijk dat veiligheid erg belangrijk is, daar staan wij helemaal achter. Mijn collega's zijn er daarom ook mee bezig. Ik kan er echter op dit moment geen termijn aan koppelen wanneer dit gelanceerd gaat worden, sorry daarvoor.

Ik vind het begrijpelijk dat je niet van de een op andere dag zaken kunt lanceren. Het vervelende vind ik echter wel dat er nergens op jullie website over wordt gesproken Jullie zijn echt niet de enige provider hierin hoor.
Het zou Ben echter wel sieren om de klanten goed te informeren / te waarschuwen voor dit soort praktijken.
Ook lees ik nergens wat Ben hier concreet in doet als ze bijvoorbeeld een NAW check uitvoeren.
Verder ook jammer dat wij als klant om deze informatie moeten vragen, waarom niet pro-actief informeren Ben?
Reputatie 5
Badge +12
Ook lees ik nergens wat Ben hier concreet in doet als ze bijvoorbeeld een NAW check uitvoeren.

Bedoel je hiermee de ID-check wanneer je contact opneemt met de klantenservice? Ik kan je namelijk in elk geval wel vertellen dat dit gebeurt :)

En via deze weg kan je ervoor kiezen om jouw Communityprofiel te koppelen aan jouw Ik Ben pagina. Zo hebben wij op die manier toestemming om jouw abonnementsgegevens te bekijken.

Ook lees ik nergens wat Ben hier concreet in doet als ze bijvoorbeeld een NAW check uitvoeren.Bedoel je hiermee de ID-check wanneer je contact opneemt met de klantenservice? Ik kan je namelijk in elk geval wel vertellen dat dit gebeurt :)

En via deze weg kan je ervoor kiezen om jouw Communityprofiel te koppelen aan jouw Ik Ben pagina. Zo hebben wij op die manier toestemming om jouw abonnementsgegevens te bekijken.

Dag Wietske,


Dat kan je mooi zeggen dat dat gebeurt. Wel grappig dat ik ondertussen al meermaals contact met jullie heb gehad door slechts mijn naam te geven plus mijn mobiel. Vervolgens kon ik laten aanpassen wat ik wilde. Ik heb voor mijn mailadres gekozen en die laten aanpassen. Puur als test. Geboortedatum werd niet gevraagd, rekeningnummer werd niet gevraagd. En wat niet standaard is is om te vragen wat je Abbo kosten zijn gewest tijdens de laatste afschrijving. Dit zou ook een goede check kunnen zijn
Lekker veilig!!!

Ik heb een filmpje. Kan ik eventueel op YouTube zetten desgewenst.
Reputatie 5
Badge +9
Hi Dikkedikkie. Ik heb vanuit jouw klantenkaart de logstream bekeken. Gek genoeg zie ik daar geen contact momenten of het wijzigen van een e-mailadres terug. Ik zou dit dan ook erg graag voor je nakijken. Zoals je weet nemen wij al onze gesprekken op voor trainingsdoeleinden. Kun je mij in een privé bericht het telefoonnummer waarmee je belde, de datum en het tijdstip versturen? Dan kunnen we dit gesprek achterhalen.
Hallo Romy,
dat hoeft niet persee voor mij.
Ik wilde hiermee gewoon aangeven dat dit niet 100% waterdicht is zodat er naar gekeken kan worden.
Reputatie 5
Badge +9
Hi Dikkedikkie. Zoals ik al aangaf in mijn vorige bericht is er geen contactmoment terug te vinden in het systeem. Je geeft aan dat je meerdere malen gebeld hebt en hierbij niet aan een ID check bent onderworpen. Aangezien mijn collega's allemaal zeer goede trainingen volgen, onder andere voor het bewaken van de veiligheid van de klanten, zou ik graag de gegevens van de gesprekken van je ontvangen. Het lijkt me namelijk bijzonder ongewoon dat je bent geholpen zonder dat we jouw adres, geboortedatum én telefoonnummer hebben gevraagd.
Hallo Romy,

Ik denk dat ik mij qua dit stukje vergist heb met mijn andere provider. Stom en excuses van mijn kant.

Reageer