Beveiliging Ziggo WifiSpots onvoldoende

De Ziggo WifiSpots zijn onvoldoende beveiligd. Dit komt omdat het kabelbedrijf bij deze wifi-hotspots geen gebruikmaakt van SSL-certificaten. Dat heeft Webwereld vastgesteld.

Ziggo gaat in de komende maanden – na een succesvolle proef in Groningen – deze WifiSpots in het gehele verzorgingsgebied activeren. Het gebruikt hiervoor een tweede datastroom in de wifi-internetmodems van haar klanten. De Ziggo-klant kan overigens zelf bepalen of Ziggo het internetmodem als WifiSpot mag gebruiken. Ziggo verzekert haar klanten dat het persoonlijke thuisnetwerk volledig beveiligd is. De geconstateerde SSL-lek geldt alleen voor de publieke hotspotfunctionaliteit die compleet los van de router van de klant actief is.

Geen certificaten

Op redelijk eenvoudige manier zijn inloggegevens van klanten te onderscheppen. Met deze gegevens kan men op alle Ziggo WifiSpots inloggen, terwijl men helemaal geen klant bij het kabelbedrijf is. Wanneer Ziggo SSL-certificaten had gebruikt, was het authentiseren van een client nodig geweest. Op deze manier is draadloos dataverkeer beter beveiligd. Ziggo stelt dat een certificatiesysteem gebruikersonvriendelijk is en bovendien heeft het verleden bewezen dat dit systeem ook niet waterdicht is. Een beveiligingsdeskundige noemt deze argumentatie belachelijk. Ziggo zegt wel te bekijken of het in de toekomst nodig is om beveiligingscertificaten te gaan gebruiken.