Tele2-mailing lekt data 10.000 abonnees

Tele2 heeft ruim 10.000 abonnees een mail gestuurd met een verlengingsaanbod. Maar door slordige hashcodes konden derden alle namen en e-mailadressen achterhalen en zelfs het abonnement verlengen.


Tele2 heeft door onzorgvuldig gebruik van unieke hyperlinks in een commerciŽle mailing de privacy van klanten in gevaar gebracht. Buitenstaanders konden hierdoor de volledige naam en het e-mailadres van ruim 10.000 abonnees zien en zelfs hun abonnement verlengen. De provider heeft direct maatregelen genomen.

Het ging om een mailing die tussen 7 en 29 december is verzonden aan abonnees met een Internet & bellen pakket waarvan de contractperiode bijna was afgelopen. Elke mail bevatte een unieke url, een zogenaamde token, op basis van een hashcode, bijvoorbeeld http://www3.tele2.nl/mailings/1168/i...40dea33ebf158c.

Oplopende nummerreeks

Deze MD5-hash is echter de verhaspeling van een nummer dat onderdeel is van een oplopende reeks. Zodoende kon met behulp een hashtool of online hashtabel ook toegang worden verkregen tot de persoonlijke pagina van andere abonnees. Op die pagina stond hun volledige naam en e-mailadres en kon tevens de verlenging van het abonnement met een druk op een knop worden bevestigd. Ontwikkelaar en Tele2-klant Chris Camphuisen ontdekte het privacylek en tipte Webwereld.

In totaal hebben iets meer dan 10.000 klanten deze mail ontvangen, bevestigt Tele2 desgevraagd. De hashes zijn overigens niet rechtstreeks verbonden aan het klantnummer, maar zijn gebaseerd op een eenmalige actiecode die een oplopende reeks vormt.

"De mogelijkheid voor oneigenlijk gebruik was daardoor beperkt tot deze groep. Wij hebben bij eerdere verlengingsactie ook gebruik gemaakt van deze MD5 encryptie. Vanaf nu zullen wij echter ook voor dergelijke mailings een random string gaan gebruiken," aldus de woordvoerder van Tele2 in een reactie.

Melding datalek

De provider heeft na melding door Webwereld direct actie ondernomen en de online versie van de mails offline gehaald. "Wij vinden het zeer vervelend dat onze klanten op deze wijze uit de anonimiteit kunnen worden gehaald. Ondanks het feit dat het met de beschikbare gegevens niet mogelijk was om de identiteit van een van onze klanten direct over te nemen, hebben wij dit voorval direct gemeld bij het Agentschap Telecom als een potentiŽle databreach."

Tele2 roept klanten en ethische hackers op om beveiligingsproblemen bij het concern aan te melden, al dan niet anoniem.