Zijn jullie gek geworden, een servicetool voor de pincode van ITV?!!


Reputatie 7
,

Tot mijn grote schrik zag ik de onderstaande tekst op het KPN blog:

Op zoek naar je iTV pincode? Geen probleem met deze Servicetool

Mag ik jullie vriendelijk doch zeer dringend verzoeken deze "servicetool" per direct off-line te halen of er voor te zorgen dat ik in "mijn KPN" kan aangeven dat deze servicetool niet op mijn KPN aansluiting gebruikt mag worden.

Doe ik angstvallig mijn best om de pincode van ITV geheim te houden voor mijn gezinsleden (en anderen die wel eens bij mij thuis de Internet verbinding gebruiken), komen jullie met een tool waarmee op basis van de laatste drie cijfers van mijn bankrekening nummer die pincode alsnog achterhaald kan worden.

Zijn jullie echt gek geworden, of denken jullie gewoon niet na!!! :@

Die laatste drie cijfers van mijn bankrekening nummer kan ik dus echt niet geheim houden voor mijn gezinsleden en nu dus ook niet meer de mogelijkheid om achter die pincode te komen.

Gevolg: Zij zijn in staat om op de TV ontvangers in te loggen en daar de betaalcode te bekijken. Dat betekent dat ze in staat gesteld worden om films te huren of betaald begin gemist te kijken, terwijl dat dus absoluut niet de bedoeling is zonder onze toestemming! De rekening zal ik dan per direct aan KPN doorsturen.


69 reacties

Reputatie 7
Het blijkt zelfs nog erger te zijn.

Als je die servicetool gebruikt, dan worden de pincode en de betaalcode gewijzigd in een nieuwe en zijn deze hetzelfde. :@

Als iemand anders dat dus bij mij thuis doet, dan weet ik dus ineens de pincode niet meer en is die ander in staat films te huren en betaald begin gemist te kijken.

Het abonnementsnummer en de nieuwe pin/betaalcode worden ook nog eens doodleuk gezamelijk op het scherm getoond. De persoon die dat dus uitvoert is daarna dus in staat misbruik te maken van mijn TV abonnement en waarschijnlijk straks ook via KPN Play.

Ik zie de spookkosten al op mijn factuur verschijnen. (Er zijn overigens al berichten op dit forum te vinden van mensen die tientallen Euro's in rekening gebracht hebben gekregen voor niet gehuurde films.)

Nee, het is rampzalig gesteld met de security bij KPN.

Die servicetools leggen de hele beveiliging van mijn router en ITV achter drie (!!!) cijfertjes die ik ook nog eens niet geheim kan houden. Het is diep triest. :@

Ik eis van KPN, harde bewoordingen maar ik meen het, dat KPN op zeer korte termijn in de mogelijkheid gaat voorzien dat die servicetools niet op mijn KPN aansluiting gebruikt kunnen worden. Dit geldt zowel voor de online servicetools als de op een PC of Mac geïnstalleerde servicetool.

Mensen die hun zomerhuisje verhuren, daar een KPN abonnement met ITV hebben en de wifi beschikbaar stellen aan gasten, wees gewaarschuwd. Gebruik altijd een apart rekening nummer voor het laten betalen van de huur en hoop dat geen enkele van jouw gasten zo volhardend is om in maximaal 999 pogingen alsnog jouw pin/betaalcode te wijzigen.

Reputatie 7
Naar aanleiding van deze bevinding heb ik nog even verder gekeken in die online servicetools en ik moet zeggen, ik ben er heel erg van geschrokken.

Zo kan iedereen (dus ook kennissen, vrienden en studiegenoten van onze kinderen), die Internet toegang heeft via ons LAN of wifi, mijn Experia Box zelfs een factory reset geven zonder dat er enige verificatie benodigd is.

(WHAT ?!?! :@)

Mijn roep (schreeuw) om de servicetools voor mijn KPN aansluiting te kunnen blokkeren is hiermee alleen nog maar sterker geworden.

Tevens zou ik graag op korte termijn een antwoord willen ontvangen op deze vraag, het waarom kunnen jullie naar aanleiding van dit topic hopelijk zelf bedenken.

Reputatie 7
, deze tool bestaat al heel lang, misschien wel langer dan een jaar. En ben er blij mee. Kon zo iemand makkelijk aan haar pincode helpen. Die we daarna op de decoder direct gewijzigd hebben.

Maar inderdaad. Als iemand jouw bankrekening weet... maar dan moeten ze ook nog je itv-abonneenummer weten om die pincode op te vragen (/wijzigen). En daar is toch véééél moeilijker achter te komen hoor.

Reputatie 7
Badge +29
Die gebruiker is er wel, . ;)

Ik denk dat er gewoon een betere beveiliging op moet komen. Het namelijk wel handig voor sommige mensen. De tool om het kanaal te optimaliseren is erg handig voor veel mensen.

Robin
Reputatie 7
@PeterG,

PeterG schreef:
...Maar inderdaad. Als iemand jouw bankrekening weet... maar dan moeten ze ook nog je itv-abonneenummer weten om die pincode op te vragen (/wijzigen). En daar is toch véééél moeilijker achter te komen hoor.

Dat is dus niet zo, het ITV abonnementsnummer hoef je helemaal niet te weten, gebruik die tool maar eens. En dan ook nog eens "onderhands" de betaalcode mee wijzigen. :@
 

Ik ben hier dus helemaal niet blij mee, erger nog, ik vind dit echt rampzalig en getuigen van nul comma nul verstand van beveiliging.

Ik kom er dus naar aanleiding van die tekst op het KPN Blog net achter dat dergelijke "servicetools" bestaan, maar als deze tool er al zo lang is (kan dus best want ik gebruik geen servicetools), dan snap ik ook die berichten hier op het forum over spookkosten op voor niet gehuurde films.

En de gebruiker  bestaat echt.

Wat te denken van een factory reset zonder enige verificatie van de gebruiker, hoe haal je het in je hoofd! :@

Reputatie 7

RobinFlikkema schreef:
Die gebruiker is er wel, @PeterG. ;)

Ik denk dat er gewoon een betere beveiliging op moet komen. Het namelijk wel handig voor sommige mensen. De tool om het kanaal te optimaliseren is erg handig voor veel mensen.

Robin

Ja, dat ontdek ik ook net. Zin maar weggehaald.

Overigens werkt de tool voor ab.nr. en pincode iTV momenteel weer eens niet!

Misschien zijn ze geschrokken van wjb !

Reputatie 7
Overigens kan je de pincode van iTV gewoon in MijnKPN opzoeken. Daar is helemaal geen tool voor nodig. (tenzij zoals genoemde kennissen ook de inlog voor MijnKPN niet weet, omdat het via een bewindvoerder loopt).

Maar die pincode is gewoon nodig voor zelfs SIMPELE handelingen als zenders verbergen. Wat ik een beetje mallotig vind.

Reputatie 7

PeterG schreef:
Overigens kan je de pincode van iTV gewoon in MijnKPN opzoeken. Daar is helemaal geen tool voor nodig. (tenzij zoals genoemde kennissen ook de inlog voor MijnKPN niet weet, omdat het via een bewindvoerder loopt).

Kijk en dat is dus hoe het wel zou moeten, via "mijn KPN" en niet via zo'n gevaarlijke tool.

Ik ben hier echt behoorlijk boos over, dit voldoet echt niet aan de beveiligingseisen die ik en naar ik hoop KPN ook, in het vaandel hebben. Maar blijkbaar vergis ik me daar in, ik heb beveiliging blijkbaar heel wat hoger op mijn agenda staan dan KPN.

Lees ook mijn vorige bericht nog even, want het ITV-abonnementsnummer heb je dus helemaal niet nodig om die pin/betaalcode te wijzigen.

Reputatie 7

PeterG schreef:

...Overigens werkt de tool voor ab.nr. en pincode iTV momenteel weer eens niet!

Misschien zijn ze geschrokken van wjb !

Ik hoop het. ;)

Reputatie 7
Die tool voor de pincode en itv ab.nr. kun je alleen gebruiken via je eigen wifi ! ;)

Men moet dus:

  • Van je wifi gebruik kunnen maken. Daarvoor is wel die SSID (?) code nodig.
  • In het ontvangstbereik van je modem zitten
  • De laatste 3 cijfers van je bank weten. Dat weten alleen mensen met wie je betalingen uitwisseld. Maar een topbeveiliging is dat absoluut niet inderdaad!
  • Dat de pincode gelijk gemaakt wordt aan de betaalcode is onzinnig. Nog onzinniger is dat deze allebei gewijzigd worden door de tool! (de online versie doet het overigens weer niet)
Reputatie 7
Badge +29
Ik dacht dat het probleem was, dat gezinsleden dit ook konden. Het lijkt me logisch dat deze de SSID en wachtwoord hebben. Ook zitten deze waarschijnlijk binnen het wifi bereik. De laatste drie cijfers van een bankrekening nummer is ook te achterhalen want in de meeste gezinnen krijgen kinderen zakgeld of wordt er wel eens geld overgemaakt voor bijvoorbeeld kleding die zij eerst betaald hebben.

Robin

Reputatie 7
Ik weet dat wjb het hypothetisch bedoeld. Maar toch. Als je al niet je gezinsleden kan en/of wil vertrouwen dan is er iets al goed mis binnen het gezin lijkt mij. Daar moet je toch gewoon afspraken mee kunnen maken. In de trant van "als je een film huurt, prima, maar het wordt wel op je zakgeld ingehouden of je betaalt het van je loon/krantenwijk (bij oudere kinderen 😉 )

Reputatie 7

PeterG schreef:
@wjb Die tool voor de pincode en itv ab.nr. kun je alleen gebruiken via je eigen wifi ! ;)

Men moet dus:

  • Van je wifi gebruik kunnen maken. Daarvoor is wel die SSID (?) code nodig.
  • In het ontvangstbereik van je modem zitten

Weet ik en snap ik, maar lees dan mijn voorgaande berichten nog even, die mensen zijn bij mij thuis en hebben toegang tot het netwerk.

PeterG schreef:
...

  • De laatste 3 cijfers van je bank weten. Dat weten alleen mensen met wie je betalingen uitwisseld.

Dus moet ik voor mijn kinderen hun zakgeld en kledinggeld maar vanaf een andere rekening gaan overmaken?

Dus moet ik de huurders van mijn vakantiewoning de huur maar op een aparte rekening laten overmaken?

PeterG schreef:
...

  • Dat de pincode gelijk gemaakt wordt aan de betaalcode is onzinnig. Nog onzinniger is dat deze allebei gewijzigd worden door de tool! (de online versie doet het overigens weer niet)

Dat doet de online versie dus wel.

En inderdaad moeten al mijn uitspraken generaliserend gelezen worden. 

Het gaat dus niet om mijn thuis/gezinssituatie maar om de thuis/gezinssituatie van de consument.

En daar vallen die kinderen dus ook onder. Die zou ik graag willen beschermen tegen de "verleiding" zodat ze hun zakgeld aan leuke dingen kunnen besteden i.p.v. pa en ma af te moeten betalen.

Laat onverlet dat ik dit echt onacceptabel vind. Wat te denken van die factory reset terwijl er geen verificatie van de gebruiker benodigd is.

Ben ik weer 2 uur bezig om al mijn port-forwardings in te voeren, mijn wifi instellingen te corrigeren en mijn alarminstallatie/bewakingscamera's weer online te krijgen. :@

Reputatie 7
, ook de online versie wijzigt die codes. Ik bedoelde dus dat die hele versie het weer niet doet. Die gebruik ik altijd, de online tools. Ben niet zo van de apps namelijk.

Als ik vakantiehuisjes verhuurde of kamers, zou ik daar sowieso niet mijn betaalrekening (=prive)voor gebruiken.

Reputatie 7

PeterG schreef:
@wjb, ook de online versie wijzigt die codes. Ik bedoelde dus dat die hele versie het weer niet doet. Die gebruik ik altijd, de online tools. Ben niet zo van de apps namelijk.

Schrijf dat dan ook en laat teksten niet voor tweeërlei uitleg vatbaar zijn. ;)

PeterG schreef:
Als ik vakantiehuisjes verhuurde of kamers, zou ik daar sowieso niet mijn betaalrekening (=prive)voor gebruiken.

Ook als het gewoon jouw tweede (privé) woning is?

Reputatie 7

wjb schreef:
Schrijf dat dan ook en laat teksten niet voor tweeërlei uitleg vatbaar zijn. ;)

Tja, iedereen interpreteert Nederlands weer anders. Er stond ook "doet HET niet", er stond niet "doet DAT niet". :8 ;)

En in eerdere reactie had ik al vermeld dat de online versie kaduukjes was/is.

"

Ook als het gewoon jouw tweede (privé) woning is?"

Als ik die had zou ik het inderdaad op mijn tweede priverekening bij een andere bank laten storten.

Reputatie 7
Ik moet zeggen: ik ben het met wjb eens. Gezinsleden (grotere kinderen) weten vaak het bankrekeningnummer van pa en ma wel, als was het alleen al omdat zij daarmee hun zakgeld op hun junior rekening (of zoiets) gestort krijgen. Pubers en grotere "kinderen" hebben vaak zel al een soort van inkomen waarvoor ook al een bankrekeningnummer nodig is. Je hoeft als ouders maar éénmaal een bedrag daar naar toe over te maken of ze weten je nummer, net als iedereen waar je geld naar toe overmaakt. Gelukkig heb ik geen kinderen meer thuis, dus is hier het probleem eigenlijk niet aanwezig, maar dat doet niets af aan het met deze tool doorbreken van de veiligheid van je iTV PIN- en betaalcode.

MijnKPN is beveiligd met een w8woord, dat je wel geheim kunt houden, dus wijzigingen van deze codes graag alleen via MijnKPN!

Reputatie 7

PeterG schreef:
"Ook als het gewoon jouw tweede (privé) woning is?"

Als ik die had zou ik het inderdaad op mijn tweede priverekening bij een andere bank laten storten.

Nou ik niet, maar goed, gelukkig betaal ik mijn KPN abonnement vanaf een zakelijke rekening (mijn holding en één van mijn werkmaatschappijen zijn thuis gevestigd) en daarvan heeft, buiten mijzelf, niemand die ooit op mijn netwerk thuis aangesloten is het rekeningnummer.

Zo zie je maar weer, met die pin/betaalcode zal het bij mij wel loslopen 😉, maar voor de consument is dit dus wel een issue waarvoor gewaarschuwd moet worden en waar KPN wat mij betreft t.a.v. beveiliging toch echt een hele grote steek laat vallen (om het maar zachtjes uit te drukken).

Voor mij blijft het issue met die factory reset echter wel een zeer heikel punt.

Dat iedereen zonder enige vorm van verificatie mijn Experia Box een factory reset kan geven is echt not done.

Zo vraag ik ook al meer dan een jaar voor de mogelijkheid van het gebruik van sterke wachtwoorden (lang en met speciale tekens) voor mail, maar tot op heden is daar niets mee gedaan. Waarom niet vraag ik me dan af...:(

Dit topic is voornamelijk om KPN er op te wijzen dat ze op het beveiligingsvlak verkeerd bezig zijn. Prachtige service, maar verkeerd geïmplementeerd. Waarom niet gewoon inloggen om die servicetools te kunnen gebruiken. Ik hoor KPN al zeggen, ja mensen "vergeten" hun inlog. Prima, maar om dan maar op basis van drie (!!!) cijfertjes of zelfs op basis van helemaal niets dergelijke functionaliteit beschikbaar te stellen...:@

Reputatie 3
Badge
Iemand kan toch ook namens jou bellen naar de service en alsnog de pincode op te vragen? Als ik een gezin zou hebben zou ik zeker consequent genoeg zijn dat zij niet zomaar dingen bestellen.
Reputatie 7
Mijn kinderen zijn ook oud en intelligent genoeg om te weten dat je niet "zomaar" die pin/betaalcode moet aanpassen om dan films te bestellen.

Daar gaat het mij ook helemaal niet om, het gaat mij om de kinderen en op bezoek komende vriendjes van de consument en om de bescherming van de consument tegen eventueel kwaadwillenden.

Daarnaast gaat het mij om het totale gebrek aan awareness bij KPN t.a.v. de beveiliging van de omgeving van de klant bij de ontwikkeling van dergelijke tools.

Functionaliteit waarmee instellingen bij de klant gewijzigd kunnen worden stel je principieel niet beschikbaar achter een beveiliging van drie (!!!) cijfers (aanpassen pin/betaalcode) of, erger nog, zelfs zonder beveiliging (factory reset). Zelfs niet als de functionaliteit alleen vanaf het eigen netwerk gebruikt kan worden.

Als KPN denkt dat het eigen netwerk alleen door de contractant (en zijn/haar gezin) gebruikt wordt dan hebben ze het mis en dus beveilig je dergelijke functionaliteit alsof deze vanaf Internet benaderd wordt.

En dat is dus niet zoals KPN dat doet, die gaat namelijk uit van de veronderstelling dat alleen de contractant (en zelfs niet zijn/haar gezinsleden) de laatste drie cijfers van het rekeningnummer weet en dat is dus een foute veronderstelling. Wat ik daarmee dus aangeef is dat het nog steeds niet "de contractant" hoeft te zijn die de actie uitvoert, terwijl KPN toch duidelijk op het scherm aangeeft dat alleen de contractant toestemming kan geven voor wijzigingen in de instellingen van diensten.

https://

Reputatie 7
En wat denk je van deze. :@

https://

Als het vriendje van jouw zoon dus denkt, kom laat ik eens een geintje uithalen, dan is er niets en niemand die hem tegenhoudt. Dit zou dus echt niet moeten mogen kunnen!!! Ik dacht dat alleen de contractant toestemming kan geven om wijzigingen in de instellingen van diensten door te voeren en ja, een factory reset resulteert ook in de wijziging van instellingen!

Reputatie 7
Waar ik voor pleit is dat de verificatie van de contractant alleen nog maar kan plaatsvinden op basis van het mijnKPN wachtwoord van de contractant en dus niet op basis van de laatste drie cijfers van het rekeningnummer.

Dus overal binnen de KPN omgeving (niet alleen bij de servicetools) waar nu om de laatste drie cijfers van het bankrekeningnummer gevraagd wordt zal om het mijnKPN wachtwoord van de contractant gevraagd moeten worden.

Ben je jouw wachtwoord vergeten, dan druk je op de knop "Wachtwoord vergeten". Er wordt dan een mail verstuurd naar het email adres van de contractant met een link (tijdelijk en éénmalig geldig) waar het wachtwoord opnieuw ingesteld kan worden. Dus niet direct een nieuw gegenereerd wachtwoord, maar zo'n link.

Kan je als contractant niet bij jouw mailbox: Pech gehad, je komt dan niet verder, maar om concessies te moeten doen aan de beveiliging van de consument omdat sommigen hun mail niet kunnen lezen is mij een brug te ver

Natuurlijk, wel zo "gemakkelijk" die drie cijfers van het rekeningnummer en "gemak dient de mens", maar wat mij betreft stelt beveiliging grenzen aan gemak. Ik moet toch ook mijn veiligheidsgordel om doen als ik auto ga rijden.

Reputatie 7
Ik neem aan dat je voor die factory reset OOK op je EIGEN wifi moet zitten.

Verder is dát natuurlijk een volslagen overbodige tool. Daar is toch het verzonken reset knopje op het modem voor?

En de pincode kun je terugvinden in MijnKPN, dus die tool... Heb je de pincode dan kun je op de decoder de betaalcode inzien (indien verschillend).

Reputatie 7

PeterG schreef:
Ik neem aan dat je voor die factory reset OOK op je EIGEN wifi moet zitten.

Ja, dat denk ik ook, maar ... jouw buren kunnen daar ook op. In Windows 10 is een functie beschikbaar gekomen (kun je uitzetten) die er in Windows Phone 8 ook al was, waarmee je bekenden (in je adresboek, Facebook etc.) toegang kan geven tot je Wi-Fi netwerk zonder dat ze daarvoor het w8woord moeten kennen. Dat kan heel handig zijn, maar ook een risico inhouden. Met Windows Phone viel de impact nogal mee omdat de meeste mensen die je in je adresboek hebt staan zelf geen Windows Phone hebben (en dat was een vereiste). Maar nu met Windows 10 is de kans groot dat ook je buren (staan vast in je adresboek) dat binnenkort hebben (gratis hé!). En als je dus ooit eens een bedrag hebt overgemaakt naar je buren (voor betaling van de gezamenlijke schutting bijvoorbeeld) hebben zij dus ook de laatste drie cijfers van je bankrekeningnummer. De combinatie van inloggen via je eigen Wi-Fi en je bankrekeningnummer is dus al voldoende om je Experiabox te resetten en de PIN-codes van iTV aan te passen. Dit is echt veel te onveilig. KPN moet hier echt wat aan gaan doen (?). Anders wordt het vast nog druk voor de Rijdende Rechter!

Service is mooi maar veiligheid is beter!

Reputatie 7
,

Denk ook even aan andere pagina's op KPN sites, dus niet alleen aan de servicetools.

Er zijn ook heel wat andere pagina's, zoals KPN Fon account beheer en vele andere, waar om die laatste drie cijfers van het rekeningnummer gevraagd wordt.

Dat is echt niet voldoende om te verifiëren of het de contractant is die de actie uitvoert.

Dus denk even niet aan het bericht wat voor mij de trigger was om dit topic te starten, maar breed over alle services van KPN.
@Henk2304,

"De combinatie van inloggen via je eigen Wi-Fi en je bankrekeningnummer is dus al voldoende om je Experiabox te resetten en de PIN-codes van iTV aan te passen. Dit is echt veel te onveilig."

Voor een factory reset zijn zelfs die laatste drie cijfers van je bankrekening niet nodig, alleen een verbinding met het eigen netwerk is al voldoende. Het is dus zelfs nog onveiliger!

Reageer