Inlog van buitenaf wijzigt mijn abonnement en vraagt Netflix aan

Voor de liefhebbers.

Netflix hack

Ja, maar volgens mij als je een KPN ID op het adres aanmaakt hoef je alleen rekeningnummer in te vullen. Dat is dan wel volledige 10 cijfers, maar nog steeds te zwak. 

Herstel,

Ja maar dat is ook met je e-mail adres en je wachtwoord zou je zeggen. Maar je hebt een punt. Moet dus echt een bekende zijn die meer van je weet.

Ik neem hier morgen wel even contact over op met KPN 

Dat hoeft geen bekende te zijn.Waarschijnlijk kan elke helpdesk medewerker bij deze gegevens. Deze kunnen dit zowiezo verzamelen middels de controle vragen. 

Wat in het gedeelde artikel over Netflix staat gaat ook op voor de Nederlandse providers deze waren nog niet zo lang geleden ook slachtoffer van een lek bij een derde partij

Alleen is een KPN id zover ik weet niet adres gebonden. ik wil natuurlijk niks ten nadele van de 2fa schrijven maar het is simpelweg veel te laat. 

Het is al een verbetering dat een huisgenoot niet meer zo makkelijk in de account omgeving kan komen. Omdat deze exact dezelfde gegevens nodig heeft voor toegang tot de TV  app.

​@Claire36 een kpn ID maar vooral andere klant gegevens worden hoe dan ook een bepaalde periode bewaard. Dus al ben je geen klant meer is niet alles meteen weg.

Ik zou als ex-KPN klant wel eens willen weten hoe lang KPN onze gegevens nog bewaard. Ik word er na het lezen van dit topic niet vrolijk van. Ook KPN kan gehackt worden, dan zit er dus van duizenden ex-klanten nog privacy gevoelige informatie in hun database, terwijl dat helemaal niet nodig is.

Ik heb nu wel meteen een incassoblokkade op KPN gezet, kan er iig niets geïncasseerd worden.

Er was bewaarplicht van 6 maanden voor internetgegevens, 12 maanden voor telefoniegegevens. Maar de rechtbank heeft bepaald, dat de wet moet worden aangepast. Alleen een aanpassing kwam nooit, een nieuwe wetvoorstel is nog steeds niet controversieel verklaart.

Maar van belastingwet moet betalingsgegeven 7 jaren bewaard worden. Dus jouw personengegeven zijn ook na 7 jaren nog steeds in KPN systeem te vinden.

​@TDN Bedankt voor de uitleg. Pfff, ben je wel lekker mee dan. Eén keer een hack of één keer trappen in een phishing mail of sms en er kan van alles en nog wat met je account gerommeld worden. 

Laatst ook die hack in een Rijswijks laboratorium. De Nederlander wordt op het hart gedrukt voorzichtig om te gaan met privacy gevoelige gegevens, maar ondertussen hebben honderden instanties jarenlang die gegevens in hun database en is het een kruisje slaan dat het maar goed blijft gaan.

Als het goed is kan een medewerker (aan de telefoon) dat niet. Die kunnen niet zomaar door het klanten bestaand grasduinen als het goed is. Waarschijnlijk krijgen ze zelfs het rekeningnummer nooit volledig te zien. 

Als het goed is kan een medewerker (aan de telefoon) dat niet. Die kunnen niet zomaar door het klanten bestaand grasduinen als het goed is. Waarschijnlijk krijgen ze zelfs het rekeningnummer nooit volledig te zien. 

Tsja, daar zeg je wat: als het goed is. Maar vaak is het helaas niet goed, dat weten we allemaal toch.

Hij kan wel, maar hij moet een gegrond reden om te mogen raadplegen. Dit is ook een van de reden voor de verificatievragen, de klant geeft ermee toestemming voor de KS-medewerker om naar zijn gegeven te zoeken.

Hij hoeft een volledige rekeningnummer niet te weten, als hij maar bevoegd is, de rekeningnummer te veranderen. Een criminele KS-medewerker verandert gewoon de klanten rekeningnummer naar een andere nummer.

We gaan wel alle kanten op met dit topic. Ik denk dat twijfels over de veiligheid van KPN beter een eigen topic kunnen aanmaken. Dit gaat tenslotte over het kapen van een abonnement via een ander KPN ID. 

Ik ben er ook wel van overtuigd dat een klantenservice medewerker niet het ‘probleem’ is. Ze kunnen al je gegevens zien, maar mogen dat alleen bekijken als dat voor hun werk nodig is. Daar wordt intern ook vast en zeker goed op gemonitord. 

De verificatievragen zijn verder niet om de medewerker toestemming te geven om de gegevens te zien, maar om privacygevoelige informatie te mogen delen.

Ik blijf het kapen van een abonnement naar ander KPN ID niet waterdicht vinden. Hier moet KPN iets voor verzinnen, wat tegenwoordig echt wel kan. Opmerkingen als ‘dat je die gegevens niet moet delen’ of ‘over het algemeen weet niemand het’ doen er niet toe. Dat er hierover al twee recente topics lopen, zijn er in mijn ogen twee teveel. 

Ik denk dat je het zo moet maken technisch, dat je producten moet koppelen met de huidige gegevens en sms-verificatie, zodat niemand anders ooit jouw gegevens kan koppelen zonder het hoofdnummer.

SMS-verificatie kan niet als telefoon of telefoonnummer (prepaid) kwijt is. Er zijn genoeg andere mogelijkheden om te verifiëren, zoals bij Odido met ID-bewijs bij een fysieke winkel, of 1-ct betalen zoals bij e-sim van KPN of met een ID-check app zoals bij banken of overheid. Een iDIN check van banken is ook voor derden te gebruiken

​@ikheetjeff  naast die twee recente nog 10 tallen ik vind deze tot heel ver terug, bijna 10 jaar geleden al.

Kortom als de 2fa voor het belang van de klant is dan is dit echt veel te laat. Idin en DigiD zijn wat mij betreft inderdaad betere opties.

Bizar he hoe lang dit al gaande is. Vandaag naar de klantenservice gebeld omdat ook ik voor de 2e keer in 3 maanden tijd ben gehackt en ook deze klantenservice medewerker had er nog nooit van gehoord en zo ook alle andere medewerkers die ik tot nu toe gesproken heb. Belachelijk dat dit soort dingen intern niet besproken worden 

​@Claire36 er zit een grens tussen echt gehackt worden. En social engineering of phishing. Maar dat is niet aan mij om over te oordelen. Ik ken de situatie niet. 

Het probleem van ​@Elvedetto is blijkbaar opgelost, want ​@Elvedetto laat niet meer van zich horen.

Zoals helaas zo vaak gebeurt 🙁

Of de aanvaller heeft ook zijn forum account overgenomen...

Ik wil nu niet zuur doen en weet dat het goed bedoeld wordt, maar dit heeft niks te maken met het probleem van dit topic. 2FA is momenteel schijnveiligheid voor dit probleem, want zonder 2FA kan iemand (die je bankrekeningnummer weet) een abonnement gewoon kapen.

Dat is juist iets wat KPN moet fixen en met deze ‘tip’ wordt het probleem voor mijn gevoel toch onterecht weer neergelegd bij de klant. 

KPN had in ieder geval al iets verbeterd, ipv van de laatste 3 cijfers moet iemand nu 10 cijfers kennen plus klantennummer. Maar als iemand al een keer gehackt was, helpt alles niet. De hackers weet ook alles om weer aan andere KPN-ID te koppelen tenzij KPN deze mogelijkheid nieuw te koppelen onmogelijk maakt, maar dat horen we hier niks. Ook zonder gehackt te worden, kan b.v. een buurman een oude papier KPN factuur met alle nodige gegevens vinden.

Deze beste man moet gewoon een nieuw klantnummer krijgen, dan is het in dit geval opgelost.