2min

De e-mailaccounts van provider Tele2 zijn niet goed beveiligd. Kwaadwillenden kunnen met enkel de postcode en het huisnummer van een slachtoffer al toegang krijgen tot diens e-mailadres. Er is dus weinig voor nodig om de beveiliging te omzeilen.

Dat meldt RTL Nieuws op basis van eigen onderzoek. RTL Nieuws belde met de klantenservice van Tele2 en stelde het wachtwoord van een mailaccount vergeten te zijn. Nadat de postcode en het huisnummer van dat account gegeven waren, ging de medewerker van de klantenservice overstag en werd er een nieuw wachtwoord aangemaakt. Een criminele hacker bekend bij RTL heeft aangegeven vaker van deze methode gebruik te maken. Tele2 neemt maatregelen om dit voortaan onmogelijk te maken.

Kinderlijk eenvoudig

Het opvragen van een nieuw wachtwoord was volgens RTL Nieuws erg eenvoudig. Er werd enkel gevraagd naar gegevens die online te vinden zijn. Opvallend was dat bij een van de gesprekken die RTL Nieuws met de klantenservice van Tele2 voerde, de medewerker begon te twijfelen aan de journalist. Nadat die ook de geboortedatum van de eigenaar van het mailaccount wist op te noemen, was dat echter voldoende om toch een nieuw wachtwoord te krijgen.

Dat wachtwoord werd vervolgens telefonisch opgenoemd. Daardoor kreeg RTL niet alleen toegang tot het mailaccount, maar ook tot gekoppelde diensten als sociale media en betaalsites, evenals het Tele2-account. Volgens de Autoriteit Persoonsgegevens is het een ernstig signaal en is “deze vorm van beveiliging […] volstrekt onvoldoende”. De toezichthouder gaat dan ook een gesprek aan met Tele2 om te kijken waarom het zo mis kon gaan.

Tele2 heeft 296.081 e-mailaccounts in beheer. Het gaat om accounts waarvan het adres eindigt met @tele2.nl, @zonnet.nl of @versatel.nl. Het is niet bekend hoeveel mensen daadwerkelijk gehackt zijn. In een reactie laat Tele2 weten dat het niet langer toegestaan is voor zijn medewerkers om wachtwoorden telefonisch te wijzigen. Ook voert het bedrijf per direct een strengere identiteitscontrole door, zodat hackers niet zomaar toegang kunnen krijgen tot mailaccounts.