Misbruik van Toon door buitenstaanders | Eneco Community

Misbruik van Toon door buitenstaanders


  • Doet lekker mee (level 6)
  • 3 reacties
Harstikke leuk dat Toon met een iPhone app bediend kan worden. Het enige wat je daarvoor nodig hebt is een Mijn Eneco account. Maar wat als dat gekraakt wordt? Dat zal bij veel personen kunnen gebeuren omdat Eneco er nauwelijks sterkteeisen aan stelt.

Sterker nog, het wachtwoord heeft zelfs een maximale lengte van slechts 10 karakters . Deze kan dus bij veel mensen eenvoudig te raden of te kraken zijn. Ook de gebruikersnaam zal te achterhalen zijn. Dat zal voor veel mensen het emailadres zijn. Ik kan me voorstellen dat het dievengilde het interessant vindt - hoe meer Toon in NL wordt gebruikt - om hier grip op te krijgen om te bepalen of mensen thuis zijn. Of erger nog, wanneer georganiseerde misdaad grip zou krijgen op vele accounts dan zou men een enorme piek kunnen veroorzaken in het gebruik, tot misschien zelfs het uitvallen van het gas netwerk. Heel NL in de kou of ernstiger. 

Ik begrijp dat het gebruikersgemak belangrijk is, maar vraag me af of Eneco wel de risico's overziet van deze aanpak? Zou men niet gedwongen een sterk wachtwoord moeten kiezen? En dit periodiek moeten wijzigen? Het zou ook goed zijn als het mobiele device geregistreerd zou worden bij Eneco, en dit alleen na persoonlijke verificatie van de gebruiker. Denk aan de manier waarop internet bankier apps werken. Dit is geen rocket science maar een kwestie van willen. Of wachten we tot een groot incident?

Reageren op dit topic is niet mogelijk. Heb je een vraag? Maak dan een nieuw topic aan.

15 Reacties

Reputatie 6
Badge +1
Persoonlijk vind ik het ver gezocht. Als ik kijk bij de concurrenten, met vergelijkbare software en hardware bv die slimme meters kunnen uitlezen, zijn deze op een vergelijkbare manier beveiligd.
Als het dieve gilde wil komen, dan komen ze toch. Echter ik heb een hond, alarm, een vrouw met deegroller 😉 en 2 kinderen, dus veel valt er niet te halen ;)

Met andere woorden: ik geloof het allemaal wel!
Reputatie 7
Badge +7
Persoonlijk vind ik het ver gezocht. Als ik kijk bij de concurrenten, met vergelijkbare software en hardware bv die slimme meters kunnen uitlezen, zijn deze op een vergelijkbare manier beveiligd.
Als het dieve gilde wil komen, dan komen ze toch. Echter ik heb een hond, alarm, een vrouw met deegroller 😉 en 2 kinderen, dus veel valt er niet te halen ;)

Met andere woorden: ik geloof het allemaal wel!


Zelfs bij de banken en ideal hebben ze problemen en reken maar dat die zeker ,
Een goede beveiliging hebben.
Dus wat moeten wij nou.:rolleyes:
Gewoon een normale goede beveiliging is voldoende .
En je niet te bang maken of laten maken .
Anders niet aan deze moderne dingen beginnen.
Reputatie 6
Badge +1


Zelfs bij de banken en ideal hebben ze problemen en reken maar dat die zeker ,
Een goede beveiliging hebben.


Zo goed zelfs dat je op dit moment niet bij je eigen geld kunt komen 🙂
Een wachtwoord van 10 karakters lang is prima! Je moet alleen niet overal hetzelfde wachtwoord gebruiken. En bij mij zit er geen logica in.
12 karakters is op dit moment een veilig minimum. Moet dan wel gevarieerd zijn, nl. hoofd- en kleine letters, getallen en symbolen.
Het kraken daarvan duurt 174 jaar. Een wachtwoord van 11 karakters op die manier 1,83 jaar en een wachtwoord van 10 karakters 1 week.
Zo'n wachtwoord van 8 karakters is in 1,12 minuten gekraakt.
Een wachtwoord van 8 karakters met alleen kleine letters vraagt slechts 0,00217 seconden.
12 karakters is op dit moment een veilig minimum. Moet dan wel gevarieerd zijn, nl. hoofd- en kleine letters, getallen en symbolen.
Het kraken daarvan duurt 174 jaar. Een wachtwoord van 11 karakters op die manier 1,83 jaar en een wachtwoord van 10 karakters 1 week.
Zo'n wachtwoord van 8 karakters is in 1,12 minuten gekraakt.
Een wachtwoord van 8 karakters met alleen kleine letters vraagt slechts 0,00217 seconden.


Dat ligt er dan maar net aan welk artikel je hebt gelezen! Andere vinden dat het kraken van een wachtwoord met 10 karakters 3000 jaar duurt!

https://www.security.nl/nieuwsbrief/artikel/30/26349
Ga er maar van uit dat vel mensen het minimum van 6 hebben aangehouden en dat er weinig varieteit in zit. Dat is natuurlijk voor een deel het risico dat de gebruiker neemt, maar Eneco zou hier best de gebruiker op de risico's mogen wijzen. Er verandert namelijk nogal wat zodra je Toon activeert.

Ik begrijp gewoon niet waarom Eneco een maximum lengte aan een wachtwoord stelt. Je zou hier als gebruiker niet in gelimiteerd moeten worden. Beter nog als Eneco bij het wijzigen of aanmaken van het wachtwoord de gebruiker dwingt tot (of op zijn minst informeert over) sterke wachtwoorden. Op het moment dat mensen overstappen op Toon en met live updates gaan werken (en je dus kan inloggen met een app), zou Eneco de gebruiker moeten dwingen het wachtwoord te wijzigen. Veel mensen zullen ooit een keer een account hebben gemaakt waarop je slechts lange termijn informatie zou kunnen zien als je het misbruikt, maar zouden gewezen moeten worden op het risico als je dat wachtwoord eenvoudig zou laten.

Weet iemand of het account gelockt wordt wanneer je meermalen online een foutief wachtwoord hebt geprobeerd? Dat zou ook al een goede maatregel zijn.

@jvp, als andere energieleveranciers het op dezelfde manier doen, wil dat m.i. nog niet zeggen dat het dan dus veilig is. Zie ook het debacle van de OV chipcard ('we gebruiken een chip die al jaaaaaren door anderen wordt gebruikt'). Het risico van misbruik van je ov chipkaart kan je verder nog claimen bij het transport bedrijf, maar als er wordt ingebroken bij je kan je moeilijk een claim bij Eneco neerleggen, lijkt me.
Reputatie 6
Badge +1
Ga er maar van uit dat vel mensen het minimum van 6 hebben aangehouden en dat er weinig varieteit in zit. Dat is natuurlijk voor een deel het risico dat de gebruiker neemt, maar Eneco zou hier best de gebruiker op de risico's mogen wijzen. Er verandert namelijk nogal wat zodra je Toon activeert.


Op de Eneco site kun je zelf een gebruikersnaam kiezen en zelf een wachtwoord. Er zitten dus 2 veiligheden ingebouwd. Dat de klant deze niet volledig benut, is zijn vantwoording en dus niet Eneco aan te rekening.  Dat Eneco betere voorlichting zou kunnen geven m.b.t. die mogelijkheden, dan heb je wel een punt(je)

De rest vind ik, en blijf ik vinden,.........ver gezocht! Ik weet niet hoe je leven er uitziet, maar als Toon al z'n heet hangijzer is, ga ik er maar indirect vanuit dat je geen wifi in huis hebt, want data kan onderschept worden. Geen mobile telefoon hebt, want die kan gepolt worden zodat men weet waar je bent en zelf hoe hard je rijd of loopt. Geen áuto hebt met gps en ook geen pc hebt, want die kan ook besmet worden, zodat ze met een webcams kunnen kijken, ect ect ect. Zelfs op het moment dat je een pintransactie doet, weten ze dat je niet thuis bent en kan een moedwillige met een "mol" bij de bank jou bank uit de kamer halen.

Maar ik geloof nooit dat met Toon, zoveel gaat veranderen, dat de staatsveiligheid in gedrang komt. Maar ik heb een beetje het gevoel, dat het zo word geschreven hier. Ik ben blij dat hij hier hangt, en ik heb totaal geen last van onveiligheid
Reputatie 6
Badge +1


Weet iemand of het account gelockt wordt wanneer je meermalen online een foutief wachtwoord hebt geprobeerd? Dat zou ook al een goede maatregel zijn.



JA, als je 3 of 4 keer het verkeerde wachtwoord invult, dan word je geblokkeerd voor de duur van 1 uur. Gaat het dan weer fout een aantal keer dan zal de blokkeertjd steeds langer worden.
...Of erger nog, wanneer georganiseerde misdaad grip zou krijgen op vele accounts dan zou men een enorme piek kunnen veroorzaken in het gebruik, tot misschien zelfs het uitvallen van het gas netwerk. Heel NL in de kou of ernstiger...

Hoeveel Toon's zijn er wel niet verkocht volgens jou? Echt, als alle Toon gebruikers massaal de kachel op 30 graden zetten dan is de impact nog steeds marginaal. Het wordt pas een problem als half Nederland aan de Toon zit, maar dat zal nog wel even duren denk ik...
Reputatie 6
Badge +1
Eneco schreef op 2mei 2012, het volgende op Tweakers over de beveiliging van Toon:

Over privacy & veiligheid

Hoe worden de opgeslagen gegevens en verbinding beveiligd (Toon en account gegevens Toon gebruiker) in verband met hacken?
Welke data wordt voor welke functie waarheen gestuurd (of juist niet natuurlijk) en, indien dat het geval is, hoe wordt er dan voor gezorgd dat dit allemaal goed/veilig gaat?
Waarom is welke communicatie nodig (beide richtingen)?

De Toon die we gaan introduceren voldoet aan onderstaande beveiligingsmaatregelen.

We hebben verbruiksgegeven gescheiden van de klant gegevens. Toon slaat verbruiksgegevens lokaal op en deze kunnen niet richting Eneco worden gestuurd.
Op het service center van Eneco worden de klant specifieke gegevens opgeslagen. Denk dan aan klantnummer en type energiecontract e.d.
De beveiligde verbinding tussen Eneco en Toon is ook enkelbaans, dus alleen van Eneco naar Toon. En alleen het service center van Eneco kan contact maken met de Toon.

Eneco heeft ook de verbinding door diverse bedrijven laten controleren waaronder professionele hackers.
De Toon onderhoudt een verbinding met het Service Center van Quby. Deze verbinding hebben we beveiligd door middel van SSL met aan beide zijden digitale certificaten. Deze verbinding is nodig om Eneco op een veilige wijze informatie te laten versturen naar het display.

De volgende informatie-uitwisseling vindt plaats:
Bij het activeren van de Toon wordt het hardware ID van Toon (of eigenlijk de common-name van het unieke digitale certificaat) gekoppeld aan het contract van de gebruiker. We moeten weten welke Toon bij welke persoon hoort, en tijdens de installatiefase wordt dat geregeld. De Toon stuurt zijn device-ID met activatiecode naar het servicecenter, en dan weet Eneco (aan de hand van de activatiecode) bij welke persoon (contract) die Toon hoort. Dit is nodig voor het volgende:
Eneco stuurt gegevens over het energiecontract naar Toon. Dit betreft het door Eneco ingeschatte jaarverbruik (wat ook de basis is voor de maandtermijnbetaling). Aan de hand hiervan kan Toon bepalen of het gemeten energieverbruik dat hij heeft gemeten, een beetje klopt met de inschatting van Eneco. Toon kan waarschuwen als dit uit de pas loopt. Er worden GEEN energiemeetgegevens naar het Service Center gestuurd. Met deze contractgegevens wordt ook de naam van de contractant meegestuurd, om het welkomstbericht wat persoonlijker te laten lijken én eigenlijk ook nog als extra controle voor het geval er iets toch mis mocht zijn gegaan.
De weer- en verkeerinformatie komt vanaf datzelfde Service Center, ook via de beveiligde verbinding.
Software updates lopen via dezelfde SSL verbinding. De software updates komen veilig en onaangetast op het display aan.


Aldus het bericht.
Reputatie 1
Badge
Het verhaal is helder (en netjes van Eneco) maar sinds toonopafstand wel achterhaald. Er moet als je toonopafstand aan hebt staan data verstuurd worden anders kan je niet zien wat je realtime verbruikt.

maar dit stukje
Eneco heeft ook de verbinding door diverse bedrijven laten controleren waaronder professionele hackers.
is de grootst mogelijke onzin.
Toon was eenvoudig om zeep te helpen met een locale ddos aanval. Is pas sinds 1 of 2 updates geleden opgelost. (Nouja, dat zou zo moeten, ik heb het niet meer getest) Tevens zijn er nog mogelijk wel wat gaten in de Toon te schieten. Professionele hobbyisten met tijd kunnen hier echt wel wat mee. (Of het interessant is voor ze is vraag 2)

Ik denk dat je eerder bang moet zijn dat het service-centre gehacked wordt of door welk lek dan ook in bijv toonopafstand een hacker toegang krijgt tot alle Toons en alle Toons even om zeep helpt. Of dat je Toon ineens laat zien: "hacked by scriptkiddy xyz" Een individuele Toon is niet zo spannend.
Reputatie 6
Badge +1
Het verhaal is helder (en netjes van Eneco) maar sinds toonopafstand wel achterhaald. Er moet als je toonopafstand aan hebt staan data verstuurd worden anders kan je niet zien wat je realtime verbruikt.


Ik ga er toch maar derhalve even vanuit dat die over hetzelfde beveiligde netwerk gaat als de informatie naat Toon toe. Dus SSL met aan beide zijde een beveiligingscertificaat. Want die structuur lag er al voordat Toon tweezijdig kon communiceren.


Ik denk dat je eerder bang moet zijn dat het service-centre gehacked wordt of door welk lek dan ......................................................Een individuele Toon is niet zo spannend.


Ik vraag me af ofdat het überhaupt spannend is om (een) thermostaat(ten) te hacken. Er is volgens mij dan ook voor hackers geen echt doel, want de info, die ze zouden krijgen, is info waar ze weinig aan hebben of mee kunnen. Losse dataservers met creditcard gegevens zijn dn veel interessanter.
Reputatie 3
Badge


Ik vraag me af ofdat het überhaupt spannend is om (een) thermostaat(ten) te hacken. Er is volgens mij dan ook voor hackers geen echt doel, want de info, die ze zouden krijgen, is info waar ze weinig aan hebben of mee kunnen. Losse dataservers met creditcard gegevens zijn dn veel interessanter.


Ik bedoelde niet het hacken van een individuele thermostaat, maar het hacken van het Service Center om toegang te krijgen tot alle gebruikers die de vakantie-instelling gebruikt hebben. Als in het Service Center is vastgelegd welke klanten op welk moment met vakantie zijn en er een koppeling gemaakt kan worden met de adresgegevens van die klanten, dan is dit een potentieel risico. Hetzelfde geldt voor medewerkers van Eneco, Quby of welke IT-outsourcing/service bureau dan ook. Hierbij maakt het niet uit of verbindingen via SSL lopen of niet. Iemand die een query kan maken op vakantieinstellingen en dit weet te koppelen aan de adresgegevens van de contractant kan daarmee een hoop narigheid veroorzaken.
Reputatie 1
Ik denk dan dag een beetje vergezocht is. Eneco moet dit volgens jou beter beveiligen. Maar als ik in mijn vriendenlijst scroll op elke random social media zetten ze daar wel vervolgens vakantie kiekjes op, op het moment dat ze op vakantie zijn. Dus ik ga ervanuit dat Eneco de boel goed beveiligd heeft en dat zoals hierboven al aangegeven is, dat een thermostaat hacken niet zoveel bijzonders is.