Wachtwoorden Scarlet webmail op openbare pc's makkelijk te kraken


SITTARD, 20070311 -- Klanten van Scarlet kunnen de dupe worden van een beveiligingslek in de zogenaamde webmail-software. Via webmail kunnen klanten van Scarlet op elke willekeurige pc e-mail raadplegen via webmail.scarlet.be. De webpagina waarop de webmail geopend wordt is niet beveiligd, waardoor de gebruikersgegevens ongecodeerd verstuurd worden en zichtbaar zijn voor elke volgende gebruiker van die pc.

Als een Scarlet-klant inlogt op webmail.scarlet.be wordt er in de internet-
geschiedenis van die pc een link opgeslagen die voor een volgende gebruikers van die pc te zien en dus toegankelijk is. Stel dat het wachtwoord "abacadabra" is, dan wordt de volgende link opgeslagen:
http://webmail.scarlet.be/cgi-bin/webmail.exe?Act_Login=1&LOGIN=tsj33333
&PASSWD=abacadabra
Waarbij tsj33333 in dit geval de gebruikersnaam is. Het wachtwoord staat ongecodeerd gewoon in de geschiedenis, terwijl het inlogformulier het wachtwoord "onnodig" codeert als sterretjes. Nadat iemand dus ingelogd is via webmail, kan elke volgende gebruiker de link aanklikken en zonder problemen alle mail lezen en sturen namens de Scarlet-klant. Dit allemaal zonder dat de onschuldige Scarlet-klant hiervan iets merkt.

De klantenservice van Scarlet gaf vandaag aan al geruime tijd op de hoogte te zijn van dit probleem. "Sinds een update van onze software is dit lek bekend. U begrijpt meneer, dat we dit beveiligingslek niet aan de grote klok hangen... Ook voor uw eigen privacy. We werken er met man en macht aan en we verwachten dat dit probleem eind deze maand zeker is opgelost", aldus een medewerker van de klantenservice.

De reden waarom Scarlet dit grote probleem niet snel op kan lossen is vooralsnog onduidelijk. Deskundigen geven aan dat dergelijke programmeerfouten binnen enkele uren op te lossen zijn.

Klanten van Scarlet die de afgelopen maand e-mail hebben gelezen via Scarlet Webmail, wordt aangeraden onmiddellijk het wachtwoord te wijzigen.
Mensen die op bijvoorbeeld hun wintersportvakantie in een internetcafé hun e-mail hebben bekeken via Scarlet zijn mogelijk de dupe van een grote privacyschending.

Elke gebruiker die na de Scarlet-klant gebruik maakt van de pc, kan zonder het ingeven van het wachtwoord de mailbox raadplegen en (nieuwe) mailtjes lezen.

Totdat Scarlet aangeeft het probleem te hebben opgelost is het streng afgeraden om van de webmail gebruik te maken op een pc die ook voor derden toegankelijk is. Internetcafé-houders dienen hun browsers zo in te stellen dat de geschiedenis niet bewaard blijft wanneer de browser wordt afgesloten.





Scarlet klant