Amerikaanse nutsbedrijven slaan wachtwoorden in plain text op

Ruim honderd Amerikaanse nutsbedrijven hebben de afgelopen jaren de wachtwoorden van hun klanten in plain text opgeslagen en doen dit mogelijk nog steeds. Een beveiligingsonderzoeker ontdekte afgelopen september dat zijn nutsbedrijf

zijn wachtwoord in plain text in de database had opgeslagen.

In plaats van een wachtwoordresetfunctie bleek het nutsbedrijf gebruikers hun bestaande wachtwoord te mailen als ze de laatste vier cijfers van hun telefoonnummer invoerden. De website was ontwikkeld door een Amerikaans it-bedrijf. Daarop besloot de onderzoeker naar meer websites van nutsbedrijven te zoeken die door hetzelfde bedrijf waren gemaakt en over dezelfde wachtwoordherstelfunctie beschikten.

Volgens Ars Technica gaat het om 139 nutsbedrijven die naar schatting meer dan 15 miljoen klanten hebben. De onderzoeker waarschuwde het it-bedrijf, maar dat negeerde de meldingen. Uiteindelijk ontving de onderzoeker zelfs een e-mail van een advocaat waarin werd gevraagd om het personeel niet meer te benaderen. Ook stelde het bedrijf dat de onderzoeker het bij het verkeerde eind had.

De afgelopen weken zijn verschillende websites inmiddels gepatcht, waarbij gebruikers een resetlink in hun e-mail ontvangen in plaats van het wachtwoord. Hoe de websites de wachtwoorden opslaan is echter niet bekend. Het risico van het opslaan van wachtwoorden in plain text is dat als een aanvaller toegang tot de database weet te krijgen, hij meteen alle wachtwoorden in handen heeft. Al jaren worden dergelijke bedrijven via de website PlainTextOffenders.com aan de schandpaal genageld.

Op deze website gebruikt VM4 cookies en vergelijkbare technieken om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt.