onderwerp Re: Hoe Ziggo omgaat met beveiligingslekken (Security team) in Archief

Hoe Ziggo omgaat met beveiligingslekken (Security team)

Danny3 — Thu, 02 Jun 2022 12:15:17 GMT

Opmerking: Al het contact is via de mail met het security team geweest, en de telefoontjes via de zakelijke afdeling omdat ik het heb getest op een zakelijk abonnement.

Goedemiddag,

Aangezien ik alles heb geprobeerd, Ziggo heel vaak gebeld, klachtenformulier gehad, meerdere herinneringen bij het security team, en niemand iets kan doen omdat ze het security team niet kunnen bereiken, wil ik bij deze openbaren hoe Ziggo omgaat met beveiligingslekken.

Op 30 Januari heb ik een beveiligingslek gemeld bij het meldpunt beveiligingslekken. Via deze beveiligingslek was ik in staat om gratis producten en waarschijnlijk ook gratis diensten van Ziggo te bestellen.

Een dag later heb ik meteen reactie ontvangen of ik met screenshots de stappen kon laten zien hoe ik het heb gedaan. Slechts een paar uur later na deze mail ontving ik nog een mail met het volgende: "Naast de e-mail naar jou, hebben wij ook onze beheerafdeling benaderd om hiernaar te kijken en daar heeft men aangegeven dat dit werkt zoals het hoort.". Hierop heb ik gereageerd "Als het niet werkt volgens jullie, mag ik het dan proberen?", waarop het antwoord was: "Je kan erbij dus het staat je vrij om te kijken wat er gebeurt als je korting probeert te krijgen.".

Ik pakte het rustig aan, dus ik 'bestelde' slechts een doos met wifi boosters. Hiervan heb ik een foto gestuurd op 3 februari met wat extra informatie die ik niet kan/mag delen. Op 4 februari heb ik reactie gehad dat het werd doorgestuurd naar de verantwoordelijke afdeling. Ineens slaat het helemaal om en vanaf nu reageren ze anders, en een heel stuk slomer. Op 16 februari heb ik nog geen reactie gehad en heb ik ze een herinnering gestuurd. Enkele uren later krijg ik meteen bericht gehad met dank voor de herinnering en dat het nogmaals word doorgestuurd. Op 23 februari zijn we weer een week later zonder reactie, waarop ik ze weer een herinnering heb gestuurd. Een dag later heb ik reactie gehad met het volgende: "Wij hebben terugkoppeling ontvangen dat het offer van de Wifi boosters een geldend offer was. En dat dat de reden was waarom je ze toegestuurd gekregen hebt. Het zou niet mogelijk moeten zijn ze nog een keer te bestellen en ontvangen.".

Na deze reactie verbaasde ik me eigen en heb ik ongeveer 7 dozen wifi boosters 'besteld', met inhoud van 1/2/3/4 stuks. Hiervan heb ik een foto gestuurd toen ze binnen waren met de tekst of ik nu wel serieus genomen kan worden. Een dag later kreeg ik weer reactie:

"Hartelijk dank voor deze en natuurlijk je eerdere mails. Ze worden in goede orde ontvangen en doorgestuurd naar de juiste afdeling. Uw laatste mail is met hoge prioriteit doorgestuurd. Wij gaan ervan uit dat er ditmaal wel een reactie naar u gegeven wordt én dat er iets met uw melding wordt gedaan.

Wij bieden onze verontschuldigingen aan voor het uitblijven van een reactie op uw laatste melding. Wij hebben daarmee niet de service geboden die je van VodafoneZiggo mag verwachten."

Een week later heb ik ze weer gemaild omdat ik weer niks heb gehoord. Ik heb ze erop gewezen dat volgens de site van ziggo https://www.ziggo.nl/klantenservice/internet-wifi/veiligheid/meldpunt-beveiligingslekken hor ik binnen twee dagen een eerste reactie te krijgen, en daarna geinformeerd te worden over de beoordeling van de melding, en de mogelijke oplossing en de oplostijd.

Hierop kreeg ik een reactie die me weer deed verbazen (4 april):

"Voor wat betreft uw opmerking met betrekking tot het beveiligingslek: de integriteit, beschikbaarheid en/of vertrouwelijkheid van data is in dit geval niet in het geding en is ook nooit in het geding geweest. Derhalve betreft het hier strikt genomen niet een beveiligingslek met een Security Incident als gevolg.

Het gaat om een misconfiguratie die derden kunnen misbruiken met financieel verlies voor VodafoneZiggo als gevolg. Een slordigheid/fraudegevoeligheid waar wij tot op heden niet goed op hebben gereageerd. Wij hebben je bericht wederom doorgestuurd naar de juiste afdeling. Meer kunnen wij als Security Afdeling helaas niet doen."

Hierop heb ik een half uur later gereageerd: "Het is toch een kwetsbaarheid/zwakte in jullie systeem? Of het nou om data gaat, of een zwakte in jullie systeem, volgens de website en de Gedragscode Responsible Disclosure moet ik me bij jullie melden en niet bij een andere afdeling."

Inmiddels zitten we op 19 mei zonder enige reactie (ander halve maand later). Ik heb Ziggo meerdere malen gebeld, echter is het security team een hele aparte afdeling die niemand rechtstreeks kan bereiken als ik hun moet geloven. Een iemand ging ervoor zorgen dat hij wat meer informatie kon halen bij het security team. Hierover heeft hij me een week later teruggebeld met de de terugkoppeling dat ze het niet meer gaan oplossen, maar het automatisch word opgelost zodra hun nieuwe bestelsysteem klaar is. Dit heb ik dus telefonisch gehoord en niet van het security team. Hierna heb ik het security team weer gemaild met het volgende: "Ik vroeg me af hoe het er nu mee staat en wanneer ik iets te horen krijg over het beloningsbeleid. Ik heb namelijk begrepen jullie hebben besloten het niet beter te beveiligen maar afwachten tot het nieuwe bestelsysteem er is." Een dag later (20 mei) heb ik reactie gehad met "De collega die het ticket in behandeling heeft is er maandag weer. Ik zal je bericht doorzetten en hem verzoeken begin volgende week een reactie te sturen omtrent de beloning.". En zoals verwacht, tot op heden nog steeds niks van gehoord.

Heb zojuist 70 minuten gebeld met Ziggo, 5x doorverbonden naar verschillende afdelingen en personen. Ze vinden het allemaal zeer slecht net zoals ik hoe jullie met dit probleem om gaan, en hoe jullie met mij om gaan. Ook vinden ze dat ik zeker nog beloond hoor te worden. De laatste die ik aan de telefoon heb gehad vertelde dat het ticket is gesloten en het probleem opgelost zou zijn, wat ik echter niet geloof aangezien hun het mailcontact van het security team niet kunnen inzien.

We zijn inmiddels al 6 maanden bezig, eerst word het probleem meerdere malen niet erkend, en daarna word het toegegeven maar niks mee gedaan. En nu word ik compleet genegeerd. Vorige week ook al gebeld, hebben jullie Ziggo collega’s ook al een notitie/verzoek achter gelaten bij het security team om op mij te reageren en het af te handelen. Weer helemaal niks, ik ben er een beetje klaar mee. Heb al vaker beveiligingslekken gevonden bij grote bedrijven, maar hoe Ziggo hiermee om gaat is diep triest.

Met vriendelijke groet,

Danny

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Hatolex — Thu, 02 Jun 2022 12:25:29 GMT

@Danny3 , strikt genomen is het natuurlijk geen beveiligingslek, de integriteit van de data is niet in het geding. Het is hoogstens een tekortkoming in het bestelproces. Natuurlijk ook slordig maar zolang er geen wijd verbreid misbruik van wordt gemaakt zal Ziggo niet zo hard lopen denk ik. Maar wat meer en betere reactie naar jou zo natuurlijk wel op zijn plaats zijn.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Danny3 — Thu, 02 Jun 2022 12:32:26 GMT

@Hatolex

Meldpunt beveiligingslekken

Heb je een beveiligingslek ontdekt bij Ziggo? Veilig gebruik van onze diensten en bescherming van gegevens en privacy zijn zeer belangrijk voor ons. We ontwikkelen al onze producten en diensten met een scherp oog op veiligheid en privacy. Maar we kunnen dingen over het hoofd zien die jij misschien wel ziet. Als je denkt dat je een zwakke plek in een van onze diensten hebt gevonden, dan verzoeken we je deze informatie met ons te delen. Met jouw hulp zullen we de zwakke plek zo snel mogelijk herstellen.

Ik citeer: "Als je denkt dat je een zwakke plek in een van onze diensten hebt gevonden, dan verzoeken we je deze informatie met ons te delen."

Het was mogelijk om voor 10.000e euro's apparatuur van Ziggo te bestellen, als dat geen beveiligingslek is weet ik het ook niet meer.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Pasi — Thu, 02 Jun 2022 12:40:51 GMT

Hallo,

goed en netjes dat u dit soort bugs aan Ziggo meldt.

Maar m.b.t. meldpunt beveiligingslekken verwacht ik, dat dit meer is voor privacy en AVG zaken. Als via uw gevonden lek, b.v. klanten gegevens te achterhalen was, dan was dat wel een zaak het meldpunt en is men verplicht adequaat te reageren. Maar of u nu 1 of 10 wifi sets besteld, dat interesseert ze niets.

Dat ook de andere afdelingen niet direct reageren en actie ondernemen, dat verbaasd met niets. Blijkbaar is het commercieel niet interessant, omdat daar met enige spoed op te reageren.

Ik snap uw boosheid, maar zo is Ziggo tegenwoordig, klanten zijn alleen maar lastig....

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Hatolex — Thu, 02 Jun 2022 12:40:52 GMT

@Danny3 de informatie heb je gedeeld so far so good. Nu is het dus aan Ziggo wat zij er mee doen, kennelijk niet veel zo te zien. De communicatie richting jou is wel gebrekkig natuurlijk.

En ik denk dat 10.000 Euro wel zal opvallen denk ik bij Ziggo, tenminste dat hoop ik.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Danny3 — Thu, 02 Jun 2022 12:47:35 GMT

@Pasi het is absoluut een beveiligingslek. Ik heb het klein getest omdat ik geen misbruik maak. Maar als het openbaar zou komen leid dit tot een enorm groot verlies van ziggoVodafone. Lees anders even de Gedragscode Responsible Disclosure van Ziggo om duidelijk te hebben wat een beveiligingslek inhoud.

Ik citeer definitie C: "Een beveiligingsprobleem of kwetsbaarheid is een (vermoedelijke) zwakte in of inbreuk op de beveiliging van de infrastructuur of ICT-systeem van Ziggo en/of van de klanten."

De mensen bij Ziggo Zakelijk zijn trouwens allemaal super medewerkend en vinden het allemaal net slecht als ik, maar kunnen het security team gewoon simpelweg niet direct benaderen.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Danny3 — Thu, 02 Jun 2022 12:49:38 GMT

@Hatolex een lek begint altijd bij iets wat niet zorgwekkend is, tot het misbruikt word en het te laat is. Dat is het hele punt van een meldpunt, om die 10.000e euro's voor te zijn.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Bert — Thu, 02 Jun 2022 13:53:29 GMT

@Danny3 Dat is een zeer typische reactie van de afdeling legal van een Amerikaans bedrijf.

Ooit een lek gevonden bij één van de grootste computer leveranciers van de wereld, gevestigd in de USA.

Gevonden data, na heel kort zoeken, waren al tig hardware garantie certificaten met eigenaren adressen, telefoonnummers, contactpersonen met hun adressen en telefoonnummers en de locaties en bedrijven waar deze hardware gebruikt werd met alle adressen en contactgegevens.

In 1e instantie vrijwel geen reactie, in 2e instantie vrijwel geen reactie, nadat ik hen weer gebeld had dat als ze het niet serieus op zouden pakken ik dit per direct in de pers zou brengen, werd er wel direct actie ondernomen en werd ik doorgeleid naar de directeur Benelux en de afdeling legal USA is het die hele nacht aan het onderzoeken geweest.

Hierna was er een goed contact tot het lek gedicht was.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Mariska — Thu, 02 Jun 2022 14:08:32 GMT

Hey @Danny3,

Wat een verhaal zeg! En wat heb je hier al ongelooflijk veel tijd in zitten. Ik ga voor je mailen! Als we meer info voor jou hebben/antwoorden op de vragen die je stelt dan zal ik of een andere moderator het hier laten weten. Wordt vervolgd!

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

MR_CHIP — Mon, 20 Jun 2022 22:56:31 GMT

@tt14111 kan jij vragen aan de mods of hier nog een vervolg aan gegeven kan worden zeker na 3 weken zou je toch verwachten dat we iets te horen krijgen ?

@Danny3 of heb jij al iets vernomen van het security team vanuit ziggo ?

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

tt14111 — Mon, 20 Jun 2022 23:02:36 GMT

Ik heb zojuist het topic onder de aandacht gebracht.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Alex — Tue, 21 Jun 2022 14:14:46 GMT

Hi @Danny3,

We hebben helaas nog geen concrete terugkoppeling, we hebben hier opnieuw navraag over gedaan en hoop deze week meer te horen.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Wlmpie — Tue, 21 Jun 2022 21:47:19 GMT

@Danny3 zou je normaliter een beloning krijgen voor het vinden en melden van zo'n beveiligingslek?

Je kunt natuurlijk netjes aan Ziggo melden dat je een handeltje in wifiboosters begint en ter waarde van de beloning gratis wifiboosters bij hen besteld. Om ze dan nog wat extra incentive te geven reken je ook nog 100 euro administratiekosten voor elke uur tijd dat je hieraan inmiddels hebt besteed.

Waar kunnen we de goedkope boosters bestellen? Want als jij dit verantwoord doet is het geen diefstal en voor ons geen heling. Maar IANAL dus misschien kan een meelezende jurist hier nog over adviseren.

Maar ff serieus, idd diep triest dat Ziggo hier zo mee om gaat, weten we gelijk waarom we een prijsverhoging krijgen.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

MR_CHIP — Fri, 24 Jun 2022 20:14:51 GMT

@Danny3 ik ben erg benieuwd of ziggo heeft gereaggeerd ?

of @Alex hopelijk kan/mag jij meer zeggen hierover ? 😉

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Danny3 — Sat, 25 Jun 2022 19:08:09 GMT

@Wlmpie normaliter krijg je een beloning inderdaad, Ziggo heeft zelfs een beloning beleid voor kwetsbaarheden/beveiligingslekken. Zie https://ziggo-main.aem.aws.ziggo.io/content/dam/ziggo/klantenservice/pdf/voorwaarden/ziggo-gedragscode-responsible-disclosure.pdf. Kom hieronder terug op een nieuwsbericht van afgelopen donderdag.

@MR_CHIP Dit topic heeft verder niks bereikt, geen contact of iets dergelijke van Ziggo gehad erover. Maar dezelfde dag dat ik dit topic heb aangemaakt had ik nog een boze mail naar het security team gestuurd. Een paar uur later hadden ze er al op gereageerd:

"Hartelijk dank voor uw berichten.

Wij hebben uw melding opnieuw doorgestuurd naar de verantwoordelijke afdeling binnen VodafoneZiggo. Zoals wij reeds eerder aangegeven hebben (zie bijgaande mail van 4 april 2022) betreft dit geen security incident. Derhalve kunnen wij als afdeling niets met uw melding doen behalve deze intern doorsturen. Wat wij tot op heden ook steeds hebben gedaan.

Omdat het geen Security Incident betreft kunnen wij hier tevens geen tegemoetkoming voor toekennen. Wij hebben wel een bericht richting de zakelijke klachten afdeling gestuurd om met u in contact te treden over deze zaak. Wellicht dat men aldaar iets kan betekenen voor door u genomen inspanningen. Let op: hier kunnen geen rechten aan worden ontleend.

Toekomstige mails met betrekking tot dit onderwerp worden doorgestuurd naar de verantwoordelijke afdeling, maar hier wordt vanuit het security team geen reactie meer op gegeven.

Ten slotte zijn wij het met u eens dat deze zaak veel te lang speelt. Wij zouden graag beloven dat dit alsnog snel wordt opgepakt, maar dat ligt niet in onze handen."

Zoals het security team heeft geschreven is het klachten team er inderdaad op terug gekomen op 9 juni:

"Hartelijk dank voor het melden van het lek in de Ziggo-website. Inmiddels heb ik vernomen van mijn collega’s dat zij het issue in onderzoek hebben.

Graag zou ik u tegemoet willen komen in de vorm zijn van een abonnement met een half jaar korting ofwel een presentje in de vorm van een cadeaubon of iets dergelijks. Graag hoor ik wat voor u eventueel wenselijk is!"

Enkele dagen terug heb ik een €100 euro bol.com tegoedbon gekregen. Het klachten team was het er tevens ook mee eens dat het onduidelijk staat beschreven en beweren ook dat een beveiligingslek betekend dat er persoonsgegevens op straat komen te liggen. Maar dat is en blijft natuurlijk onzin.

Afgelopen donderdag kwam er nog een nieuwsbericht naar buiten waarop iemand voor 175k euro misbruik van Ziggo had gemaakt, waarop Ziggo aangifte heeft gedaan. Dit deed me een beetje aan mijn eigen denken. De man in het artikel gebruikte valse namen en andere adressen om het werkend te krijgen, ik doe het met mijn eigen naam, eigen adres, en kan precies hetzelfde doen. Toch vind Ziggo het geen beveiligingslek, geen fout en hoort het zo te zijn. Waarom doen ze dan wel aangifte tegen de man in het nieuwsartikel? Zullen ze dan ook aangifte tegen mij doen als ik voor zoveel geld bestel? https://www.ed.nl/oss-uden-e-o/ossenaar-44-lichtte-ziggo-op-fraude-met-modems-en-routers-kostte-kabelbedrijf-meer-dan-175-000-euro~a74dfccb.

Nogmaals citeer ik definitie D uit de Gedragscode Responsible Disclosure van Ziggo: "Een beveiligingsprobleem of kwetsbaarheid is een (vermoedelijke) zwakte in of inbreuk op de
beveiliging van de infrastructuur of ICT-systeem van Ziggo en/of van de klanten". Hier zetten ze dus zelf zwart op wit neer dat het helemaal niet alleen om persoonsgegevens van klanten die op straat komen te liggen, maar net zo goed over het lek dat ik heb gevonden.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Wlmpie — Sat, 25 Jun 2022 21:54:18 GMT

Ik vind dat je gelijk hebt, maar ik vrees dat je dat niet kunt afdwingen. Je zou de methode kunnen openbaren want het is toch geen security i cident aldus Ziggo zelf, maar ik zou de gok niet nemen, want als Ziggo dan toch aangifte doet kun je alsnog problemen krijgen.

Verder is de omvang van beloningen nergens gedefinieerd, dus ook juridis h kun je hier weinig mee denk ik.

Kortom gelijk hebben is iets anders dan gelijk krijgen. Je kunt weinig meer doen dan je verhaal vertellen, zoals je hier in dit topic doet.

Een gevecht met Ziggo ga je niet winnen denk ik, dus ik zou het hierbij laten.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

MR_CHIP — Sat, 25 Jun 2022 22:05:40 GMT

al zou ik het nog wel normaal vinden als we antwoord vanuit ziggo hier op het forum krijgen @tt14111 kan jij weer de mods hierin inlichten ofdat we als community hier ook een antwoord op kunnen krijgen

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Bert — Sat, 25 Jun 2022 22:13:09 GMT

@MR_CHIP Alex van Ziggo heeft dit in behandeling en hij meld: "We hebben helaas nog geen concrete terugkoppeling, we hebben hier opnieuw navraag over gedaan en hoop deze week meer te horen."

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

Danny3 — Sat, 25 Jun 2022 22:21:11 GMT

@Wlmpie heb de moed ook al even opgegeven, vandaar dat ik dit op de community heb geplaatst zodat iedereen weet wat voor fantastisch bedrijf Ziggo is. En het gaat me ook niet eens zo zeer om de beloning, maar meer om hoe het is gegaan.

Re: Hoe Ziggo omgaat met beveiligingslekken (Security team)

MR_CHIP — Sat, 25 Jun 2022 22:25:03 GMT

dat weet ik

ik heb dat gezien echter zie ik deze week niks

en vind het schandalig hoe ziggo hiermee omgaat