Zijn jullie gek geworden, een servicetool voor de pincode van ITV?!!



Toon eerste bericht

69 reacties

Reputatie 7
Badge +15
Ik vindt het jammer dat dit tot de dag van vandaag nog niet is opgelost, ik vindt het nog kwalijker dat dit lek iemand, die toegang heeft tot het bankrekeningnummer(Dus niet de rekening) toegang heeft tot de betaalingsfunctionaliteit van de contractant als men maar met het netwerk verbonden is.

Het lijkt mij dat het juist goed voor KPN is om te kunnen bevestigen dat een contractant werkelijk een transactie maakt. Dit gezien alleen de contractant een betaalovereenkomst kan afsluiten(Oftewel? Hoe kan KPN, als men zelf de betaalcode weg geeft garanderen dat de contractant gekozen heeft om te betalen?)

De tools zijn voor verbetering vatbaar. Mogelijk een idee om een e-mail verificatie toe te voegen(Of men te dwingen om in te loggen in mijnKPN?). Daarnaast kan je ook een 1 eurocent transactie toevoegen om de identiteit te beschermen of een SMS verificatie. 

Reputatie 7
En wat dachten jullie hiervan, met de drie laatste cijfertjes van het bankrekeningnummer kan jij zo het wachtwoord van jouw zusje, broertje, vader of moeder wijzigen en ook nog even stiekem zijn/haar mail lezen. :@

Immers na dit scherm...

https://

...komt dit scherm en ik heb verder niet hoeven in te loggen.

https://

Nu nog even een nieuw wachtwoord ingeven en op "Wachtwoord wijzigen" drukken, een kind kan de was doen. :@

En weet je, als je het wachtwoord van het hoofd emailaccount hebt aangepast, dan kan je daarmee ook op mijnKPN inloggen. Misschien dat je daar dan ook nog wat "leuke dingen" kunt uitspoken. :@

Reputatie 7
Het is vandaag precies één jaar geleden dat ik dit topic gestart ben en ondanks de vele toezeggingen die ik van KPN heb ontvangen is er tot de dag van vandaag HELEMAAL NIETS mee gedaan.

Dat maakt mij heeeel


Er zou bijvoorbeeld een richtlijn komen dat je je alleen nog maar met KPN ID zou mogen identificeren bij willekeurige diensten van KPN, de Servicetools en iTVOnline incluis. Helaas zie ik hier nog niets van terug, die drie cijfertjes van het bankrekeningnummer worden nog steeds geaccepteerd.
KPN gaat er nog steeds vanuit dat iedereen die van de Internet verbinding bij een KPN abonnee gebruik maakt daarmee tevens de contractant is. Nou laat ik zeggen dat voor mijn Internet aansluiting geldt dat ik de contractant ben en niet mijn kinderen of een gast die wij met liefde via onze Internet aansluiting van Internet gebruik laten maken. Dit is een belangrijke constatering immers er zit dus een lacune in betrouwbaarheid van het vaststellen dat het de contractant is die via de KPN Servicetools een wijziging doorvoert. Iedereen die die drie cijfertjes kent en op jouw netwerk toegang heeft kan zich voordoen als de contractant en dat is voor mij een onaanvaardbaar gegeven.
Reputatie 7
Badge +10
Hi allemaal,

Bij dezen een langverwachte update op dit topic. Gisteren heeft wjb een bezoek gebracht aan het KPN hoofdkantoor in Den Haag. In een goed gesprek tussen wjb en KPN zijn de problemen zoals genoemd in dit topic doorgenomen. KPN heeft de problemen onderkend en oplossingen hiervoor zullen komende tijd worden meegenomen in wijzigingstrajecten. KPN heeft sinds een aantal jaren een eigen security beleid opgesteld, de KPN Security Policy. Je kunt deze policy vinden op Github. Alle innovatie bij KPN moet voldoen aan deze security policy. De authenticatie van veel diensten zal bijvoorbeeld gaan verlopen via KPN ID. Over KPN ID & TotaalTV artikel.

Ter informatie: iedereen die kwetsbaarheden constateert in KPN systemen/processen kan dit aan ons melden via onze website.

@wjb; ik wil je nogmaals bedanken voor het onder de aandacht brengen van deze problemen en voor de moeite die je hebt genomen om ons te bezoeken. Ik ga ervan uit dat ik daarmee ook voor de andere forumleden in dit topic spreek :)

Hugo
Reputatie 7
Badge +15
Zeer netjes dat jullie de policies publiek plaatsen 🙂 Het is fijn dat dit serieus genomen wordt 🙂
Reputatie 7
Het heeft even geduurd, maar gisteren hebben we dan toch samen gezeten om over de in dit topic aangekaarte beveiligingsissues te praten. Ook ik vond het een goed gesprek waarin mij duidelijk is geworden dat er gelukkig werk gemaakt wordt om onze "virtuele" veiligheid te verbeteren. Zo ben ik blij vernomen te hebben dat vele toepassingen achter KPN-ID geplaatst zijn of zullen worden waaronder ook de (gewraakte :P) servicetools en bijvoorbeeld app's als iTVOnline.
Nu blijft natuurlijk de vraag op welke termijn de daad bij het woord gevoegd wordt, maar laat ik zeggen dat ik hoopvol gestemd ben. 🙂
Reputatie 1
De aanhouder wint. Goedzo wjb.
Het is even scrollen in dit oude topic maar nu schrik ik ook wel van de traagheid waarmee dit wordt afgehandeld.
Die servicetool is gewoon een webpagina en werkt nog steeds:
https://www.kpn.com/service/televisie/pincode-itv/servicetool-pincode-en-abonnementsnummer.htm

En het is inderdaad veel te simpel om zo de pincode te wijzigen. Loop met laptop even naar de tv, stop het kabeltje in de laptop, klik op de URL en verzin een nieuwe pincode, Dat doe je binnen 20 seconden. Even later kun je op kosten van een ander onbeperkt videoland kijken.
Wat voor schade kan iemand nog meer oplopen naast on-demand kosten?
Reputatie 7
Mij is, in het gesprek dat ik hierover met KPN gehad heb, toegezegd dat dit in Q1 2017 alleen nog maar met een KPN ID mogelijk zal zijn. Mocht op 1 april 2017 (geen grap) blijken dat dit niet gerealiseerd is, dan zal ik dit echt aan de grote klok gaan hangen. Het is eigenlijk schandalig dat dit nog steeds niet verholpen is, terwijl de procedures in strijd zijn met de eigen KPN Security Policy.
Die KPN Servicetools zijn ook de reden waarom wij bij ons thuis een volwaardig wifi gastnetwerk hebben ingericht waarmee onze gasten verbinding mogen maken. Via dit gastnetwerk zijn de online KPN Servicetools niet te benaderen. (URL blokkade.)
Gasten hebben je wifi niet nodig als ze even het TV-UTP-kabeltje in hun laptop stoppen. Dit geldt ook voor airbnb toeristen die je appartement huren en wat leuke zenders of films op je TV willen zien. Gelukkig is die pincode alleen maar voor TV. Dat zal toch geen grote schade opleveren.
Reputatie 7
Klopt, maar iedereen heeft wel een telefoon of tablet die via wifi werkt. Het komt vrijwel nooit voor dat er een laptop meegenomen wordt, laat staan dat ze die met een netwerkkabel aansluiten.
Reputatie 7

Dat is hoe ik er over denk!



Op 31 juli 2015 ben ik dit topic gestart omdat ik de beveiliging van de servicetools ronduit belabberd vond.
Op 29 augustus 2016 heb ik een face-to-face gesprek gehad met de verantwoordelijken binnen de KPN organisatie waarbij mij aangegeven is dat KPN het door mij gesignaleerde probleem erkent en er alles aan te zullen doen zodat na Q1 van 2017 de autorisatie alleen nog maar op basis van KPN ID zal kunnen plaatsvinden en niet meer op basis van de laatste drie cijfers van mijn bankrekening nummer.

Q1 2017 is voorbij en er is nog steeds NIETS veranderd!!!



Het onderstaande is dus nog steeds mogelijk, zelfs via het wifi gastnetwerk van de V10.


Dus alleen de klant weet die drie laatste cijfers... ...ik dacht het niet en dan te bedenken dat dit de enige "autorisatie" is om de pincode aan te kunnen passen. :@


Dank je voor het ook nog even melden van zowel de toegangscode (abonnementsnummer) als de pincode, ik noteer ze even zodat ik morgen via mijn tablet ook nog even TV kan kijken. :@

Het resultaat is tot overmaat van ramp dat niet alleen de pincode gewijzigd is, maar ook de betaalcode zodat de persoon die deze procedure doorlopen heeft nu mijn rekening kan plunderen door eventjes wat films te huren.


Nogmaals ik vind dit onacceptabel en verwacht dat KPN op zeer korte termijn actie zal ondernemen.

Gelukkig kan ik op ons eigen wifi gastnetwerk (niet van de V10 maar van onze EDIMAX CAP1200's) er wel voor zorgen dat die online servicetools niet benaderbaar zijn door www.kpn.com te blokkeren. :P

Bij ons thuis weet ik deze bedreiging dus nog wel te pareren, maar dat geldt vast en zeker niet voor iedereen.
Reputatie 7


En beweging lijkt op gang gekomen te zijn.
Wordt vervolgd. 🙂
Reputatie 2
Badge +1
Zat even te testen het werkt nog steeds via laatste 3 cijfers.
Reputatie 7
Ik heb het opgegeven, KPN komt haar eigen beloften niet na. Nog altijd zijn de KPN Servicetools niet achter de KPN-ID geplaatst en dat vind ik zeer teleurstellend.
In een face to face gesprek aangeven dat in Q1 2017 de KPN Servicetools achter de KPN ID geplaatst zullen worden, maar vervolgens niets meer doen en dus is er anno 2018 nog steeds niets veranderd. 😖
Dag @wjb,

Dank voor het aanmaken van dit topic.
Goed dat je dit probleem gemeld hebt.

Ik zit om die reden al ruim 2 à 3 jaar met dit probleem in de maag.
Ik heb een kleine horecazaak waar ik een gastnetwerk heb, maar ik zit steeds te overwegen om deze service te schrappen door het gastnetwerk te verwijderen, omdat de meesten toch wel goed bereik hebben met 4G.

Hoe heb jij dit probleem nu opgelost?
In een ander topic heb ik gelezen dat je een eigen router gebruikte en de websites van KPN geblokkeerd hebt voor het gastnetwerk.

Ik gebruik de Experia Box puur als modem. Ik heb hier een eigen router achter gehangen en het gastnetwerk aangezet. Vervolgens heb ik de domeinen www.interactievetv.nl en www.kpn.com geblokkeerd en ook het IP adres van de Experia Box (192.168.2.254).

Is dit voldoende denk je?

Gr. RL5
Reputatie 7
Het blokkeren van www.kpn.com is voldoende om er voor te zorgen dat de KPN servicetools niet meer gebruikt kunnen worden.
Door het blokkeren van de interactievetv.nl en itvonline.nl zorgt er voor dat men ook niet meer iTV kan gebruiken.

Zelf heb ik sinds kort geen Experia Box meer in gebruik maar een EdgeRouter Lite 3 waardoor de KPN servicetools sowieso niet meer werken.
Zie: https://forum.kpn.com/thuisnetwerk-72/gebruik-een-eigen-router-i-p-v-de-experia-box-458609
Dit topic zet deze uitspraak over het merk KPN wel in een ander licht als ik zo vrij mag zijn.
"KPN wil de onbetwiste kwaliteitsprovider zijn" echt onbetwist zal niet snel lukken ook dit hoort bij kwaliteit lijkt mij.
Wow dit is wel erg om te lezen dat een bedrijf als KPN zo meent te kunnen omgaan met "veiligheid"!

Buitengewoon teleurstellend om dan te zien dat men er gewoon niks mee doet.

Reageer