Wachtwoorden weggelaten bij migratie klantsysteem

Drinkwaterafnemers in Amsterdam en omgeving liepen bij hun eerste inlog op het nieuwe klantensysteem aan tegen de vereiste reset, die niet in alle gevallen goed doorgang vond. Daarbij bleek ook de telefonische helpdesk van Waternet niet goed bereikbaar. Een woordvoerster van het waterbedrijf heeft aan AG Connect laten weten dat er sprake was van een storing bij de externe provider voor de klantenservice.

'Wachtwoord vergeten'

Die storing heeft niets te maken met de migratie van het systeem, vervolgt ze. "Maar wel super vervelend dat het samenkomt." Bijkomend probleem was dat het niet voor alle klanten duidelijk was dat ze een nieuw wachtwoord moesten aanmaken voor inloggen op het nieuwe systeem. Dit moest via het 'wachtwoord vergeten' proces. "Dat was echter niet duidelijk genoeg waardoor het wachtwoord bij enkele klanten geblokkeerd werd omdat ze drie keer het oude wachtwoord invulden."

"Waternet heeft toen de informatie op de website verduidelijkt, door expliciet te stellen dat er een nieuw wachtwoord gegeven moet worden. Daardoor was dit probleem opgelost." Het resetten van de wachtwoorden voor alle klanten was een onderdeel van de migratie, antwoord de woordvoerster op vragen van AG Connect.

Vanwege security

"Vanwege security redenen zijn de wachtwoorden van klanten niet mee gemigreerd." Eind vorig jaar is aan het licht gekomen dat een stil gehouden pentest van januari 2020 onder meer uitwees dat versleutelde wachtwoorden zwak waren en met dictionary attacks vielen te kraken. AG Connect heeft vervolgvragen gesteld over de opslag en reset van wachtwoorden.

Uit de verzwegen pentest kwamen meer beveiligingsproblemen naar voren. Zo zwierven er bestanden van wachtwoordmanager KeePass rond op netwerkshares, en hebben de pentesters KeePass- en Topdesk-wachtwoorden gevonden met in laatstgenoemde (een beheerplatform) verschillende wachtwoordresetverzoeken compleet met het nieuwe wachtwoord en de wijzigingsprocedure.