De unified messaging dienst Xoip heeft vandaag haar aanmeldprocedure voor een betaald abonnement aangepast. De vorige methode bleek onveilig.
Wie na 15 juli gebruik wil blijven maken van Xoip zal daarvoor moeten betalen. Abonnees hebben daarom de afgelopen week een mailtje ontvangen met het verzoek zich op de site van Xoip aan te melden. Klikken ze op de link in het mailtje, dan komen de gebruikers op een webpagina met hun gegevens terecht. Vervolgens kunnen ze kiezen voor een jaar- of een kwartaalabonnement.
Deze methode blijkt niet waterdicht, zo meldt de veiligheidssite Security.nl. De gegevens van andere gebruikers zijn makkelijk op te vragen. In de adresbalk staan het Xoip-nummer en een authenticatienummer. Door zowel het Xoip-nummer als het authenticatienummer met één op te hogen of te verlagen, kunnen gebruikers eenvoudig door de gegevens van anderen ‘browsen’. Een lezer van Security.nl slaagde er daardoor onder meer in om de gegevens van de jeugdige telecomexpert Ben Woldring (Bellen.com) te achterhalen. Ook konden gebruikers andere abonnees opgeven voor een betaald abonnement.
Rob Rooken, technisch directeur van Xoip, erkent het probleem. “Het was slordig, maar we hebben het probleem inmiddels verholpen.” Wie een abonnement wil hebben, moet nu ook zijn persoonlijke pincode invoeren. Abonnees die zich hebben aangemeld, zullen bovendien later nog een keer moeten bevestigen dat ze daadwerkelijk een Xoip-abonnement willen.
Rooken nuanceert de omvang van het probleem. “Het ging maar om een gedeelte van onze 200.000 abonnees. Bij een groot deel van de nummers was het niet mogelijk om de informatie van anderen te achterhalen.”
Hoeveel mensen zich tot nu toe hebben aangemeld voor de betaalde dienst van Xoip wil Rooken niet zeggen. “Het gaat redelijk. Maar uit concurrentieoverwegingen kan ik nog geen aantallen noemen.”