Beheer

Security
klantsysteem

Wachtwoorden weggelaten bij migratie klantsysteem

IT-migratie bij Waternet had nog een staartje met inloggen voor klanten.

© Waternet
17 februari 2021

IT-migratie bij Waternet had nog een staartje met inloggen voor klanten.

Na uitgelopen verstoring van factuurprocessen heeft Amsterdams waterbedrijf nog inlogproblemen gezien voor klanten. Nadat het nieuwe klantsysteem uiteindelijk online is gegaan, bleek de procedure voor inloggen niet vlekkeloos te verlopen. Dit vanwege een algeheel opgelegde wachtwoordreset, omdat de wachtwoorden van klanten niet mee zijn gemigreerd.

Drinkwaterafnemers in Amsterdam en omgeving liepen bij hun eerste inlog op het nieuwe klantensysteem aan tegen de vereiste reset, die niet in alle gevallen goed doorgang vond. Daarbij bleek ook de telefonische helpdesk van Waternet niet goed bereikbaar. Een woordvoerster van het waterbedrijf heeft aan AG Connect laten weten dat er sprake was van een storing bij de externe provider voor de klantenservice.

'Wachtwoord vergeten'

Die storing heeft niets te maken met de migratie van het systeem, vervolgt ze. "Maar wel super vervelend dat het samenkomt." Bijkomend probleem was dat het niet voor alle klanten duidelijk was dat ze een nieuw wachtwoord moesten aanmaken voor inloggen op het nieuwe systeem. Dit moest via het 'wachtwoord vergeten' proces. "Dat was echter niet duidelijk genoeg waardoor het wachtwoord bij enkele klanten geblokkeerd werd omdat ze drie keer het oude wachtwoord invulden."

"Waternet heeft toen de informatie op de website verduidelijkt, door expliciet te stellen dat er een nieuw wachtwoord gegeven moet worden. Daardoor was dit probleem opgelost." Het resetten van de wachtwoorden voor alle klanten was een onderdeel van de migratie, antwoord de woordvoerster op vragen van AG Connect.

Vanwege security

"Vanwege security redenen zijn de wachtwoorden van klanten niet mee gemigreerd." Eind vorig jaar is aan het licht gekomen dat een stil gehouden pentest van januari 2020 onder meer uitwees dat versleutelde wachtwoorden zwak waren en met dictionary attacks vielen te kraken. AG Connect heeft vervolgvragen gesteld over de opslag en reset van wachtwoorden.

Uit de verzwegen pentest kwamen meer beveiligingsproblemen naar voren. Zo zwierven er bestanden van wachtwoordmanager KeePass rond op netwerkshares, en hebben de pentesters KeePass- en Topdesk-wachtwoorden gevonden met in laatstgenoemde (een beheerplatform) verschillende wachtwoordresetverzoeken compleet met het nieuwe wachtwoord en de wijzigingsprocedure.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Bop 18 februari 2021 18:50

Onder het motto: pentest, 'vet koel', maar waar heb je het over?

Hier de uitleg van deze afko*.
* Afkorting.

"A penetration test, colloquially known as a pen test, pentest or ethical hacking, is an authorized simulated cyberattack on a computer system, performed to evaluate the security of the system."

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.