Website Hi.nl bleek inloggegevens als plain text te verzenden

De website van Hi.nl blijkt inlognamen en wachtwoorden onversleuteld te hebben verzonden. De inlogmodule en een Flash-banner wisselden deze gegevens als plain text uit met de server. KPN heeft de auto-inlogfunctie inmiddels uitgeschakeld.

Beveiligingsonderzoeker ObAt heeft onderzoek gedaan naar de veiligheid van de website van Hi.nl en concludeert dat deze vatbaar is voor zogenoemde man-in-the-middle-aanvallen. Hieruit blijkt dat de gebruikersnaam en het wachtwoord van een gebruiker met relatief weinig moeite achterhaald konden worden.

De auto-inlogfunctionaliteit van de website van Hi blijkt geruime tijd de inlognaam en het wachtwoord als plain text te hebben verzonden. “Bij het inloggen worden de gebruikersnaam en het wachtwoord dus onversleuteld verstuurd naar de servers van Hi, de gebruiker wordt hierna doorgelinkt naar het beveiligde deel van de site”, aldus ObAt tegenover Tweakers.net.

Hoewel een dergelijke beveiligingsfout niet direct grote gevolgen heeft, kan het lek wel door kwaadwillenden worden misbruikt als zij in staat zijn om het netwerkverkeer te bekijken, zoals bijvoorbeeld bij openbare wifi-netwerken het geval is. Met de inloggegevens kunnen klanten op een persoonlijke omgeving hun Hi-account beheren, hun telefoonrekeningen inzien en hun bundel aanpassen.

Ook ontdekte ObAt op de indexpagina van Hi.nl een Flash-uiting die dusdanig was ontworpen dat deze meermaals het wachtwoord en de gebruikersnaam van de gebruiker onversleuteld opvroeg. “Dit is onnodig, aangezien de banner ook te bekijken is voor niet ingelogde gebruikers”, aldus de beveiligingsonderzoeker.

Bron: Tweakers.net

KPN heeft na een tip van Tweakers.net de auto-inlogfunctie uitgeschakeld. “Klanten kunnen nu dus nog wel inloggen, maar niet meer automatisch”, aldus een zegsman van de telco. “In dit geval geldt dat veiligheid boven gemak gaat.” KPN heeft inmiddels ook de Flash-uiting aangepast.