Qualitysign-directeur Barry Pouwels heeft een xss-lek ontdekt op een inlogpagina van de Tele2-site, waarmee orderstatussen bekeken kunnen worden. "Als een kwaadwillende een gebruiker naar die pagina laat gaan en een post-commande meegeeft aan de gebruikersnaam, is het mogelijk om de cookie weer te geven", zo verklaart Pouwels tegenover Webwereld.

Bovendien is het volgens Pouwels daardoor ook mogelijk om uitgebreidere aanvallen uit te voeren, waarbij ook gegevens die op een inlogscherm worden ingevuld uitgelezen kunnen worden. Ten slotte kan een inlogscherm nagemaakt worden op de Tele2-website, waardoor klanten die denken in te loggen bij Tele2, hun informatie prijsgeven aan kwaadwillenden.

Pouwels trof het lek aan nadat het bedrijf verklaarde geen behoefte te hebben aan de veiligheidscontrole die hij aanbood. Volgens Tele2-Versatel was de controle niet nodig omdat het bedrijf zelf veiligheidsexperts in dient heeft. Even later trof Pouwels het lek aan.

"We hebben het lek voorlopig gedicht, maar we moeten nog een volledige code review doen om te zorgen dat het op geen enkele wijze meer kan gebeuren", zo liet woordvoerster Cilesta van Doorn van Tele2-Versatel weten. "Het lek kwam niet voor op de zakelijke website, alleen op de consumentenpagina's", aldus Van Doorn.

Vergezocht

"De verwachte oplossingstijd is een paar dagen, dan hebben we alle problemen definitief verholpen, aldus it-directeur Hein Müskens van Tele2-Versatel. Volgens Müskens was het lek aanwezig in het systeem, en niet het gevolg van een update of aanpassing.

Müskens zegt dat het lek wel 'vergezocht' is, maar is desondanks blij met de melding. "Het is vrij lastig om het lek te misbruiken, omdat je actief een script moet starten en een website na moet maken om ordergegevens van mensen te kunnen bekijken", aldus Müskens tegenover Webwereld.

"Bovendien moet je een aantal gegevens weten van mensen", legt Müskens uit. "Zo moet je soms een oud wachtwoord ingeven, en je moet de postcode en het telefoonnummer weten van een klant om een order te plaatsen of annuleren Je kunt dus niet zomaar met een paar klikken iets vervelends op de website doen."

Overigens is Pouwels niet onder de indruk van het commentaar van Tele2. Hij vindt het lek niet zo vergezocht. "Het is vrij eenvoudig om een bezoeker via een 'schreeuwende' banner te lokken naar de Tele2-site waardoor meteen het betreffende script in werking wordt gesteld. Vervolgens kan er OP de pagina van Tele2 een extern JavaScript ingeladen worden waarin opmaakelementen verwerkt zitten zodat de gehele pagina voor de ogen van de gebruiker aangepast is", aldus Pouwels.

Ook denkt Pouwels dat de gegevens zoals de postcode en het telefoonnummer eenvoudig te achterhalen zijn. "Dat makkelijk te onderscheppen door een soort registratieformulier na te maken op de website van Tele2. Dit is eenvoudig te doen en de gemiddelde gebruiker zal dit niet opmerken."

Router-lek

Security.nl meldde eerder deze week dat onderzoekers van Cytrap labs een lek in de routers van Tele2-Versatel en Vivendi hebben ontdekt. Het lek biedt kwaadwillenden toegang tot de internetverbinding en pc's van klanten, doordat ze de firewall van de router kunnen uitschakelen.

Volgens Cytrap labs zoeken hackers via Google naar Tele2-wachtwoorden en toegewezen ip-ranges. Vervolgens kan een verbinding met de router tot stand worden gebracht, zo meldt Security.nl. Het beveiligingsbedrijf zou het lek al op 15 september, en nogmaals op 28 september hebben gemeld bij Tele2-Versatel. De onderzoekers publiceerden de details over het lek, omdat actie van internetprovider uitbleef.

Het lek in de routers van Tele2-Versatel is inmiddels gedicht. Nederlandse klanten hebben geen last gehad van het lek. "Het gaat om een klein aantal Belgische klanten", zo verklaart woordvoerder Remco Meerstra van Tele2-Versatel.

Volgens Meerstra gaat het om klanten die op een nieuw systeem waren aangesloten dat verkeerd was ingesteld, waardoor de router benaderd kon worden door hackers. "Het lok ontstond doordat het inlog-wachtwoord voor de router uitlekte en door een verkeerde instelling in de access list, waardoor de routers extern te benaderen waren", aldus de zegsman van Tele2-Versatel.

Volgens Meerstra heeft het lek niet erg lang bestaan, omdat het systeem waarin het zich bevond onlangs in gebruik is genomen.