Blog: Nieuws

Waarom wij de wachtwoorden van Exact Online hebben gereset

Geschreven door Jelle Zuidema op . Gepost in Nieuws

Op vrijdag 2 juni 2017 hebben we een wachtwoordreset uitgevoerd nadat is geconstateerd dat onbevoegden toegang hebben gekregen tot accounts binnen Exact Online. Wat is er gebeurd en hoe is het opgelost?

Wat is er gebeurd?
Een klant meldt op 30 mei dat er in de administratie wijzigingen zijn doorgevoerd die niet door hemzelf zijn gedaan. Ons is gevraagd om in het systeem te zoeken hoe dit is gebeurd. Hieruit blijkt dat er voor het aanpassen van de gegevens op de normale manier is ingelogd. Er is dus gebruikgemaakt van de juiste gebruikersnaam/wachtwoord-combinatie. Uit het onderzoek dat we vervolgens zijn gestart blijkt dat bij zes klanten vergelijkbare aanpassingen zijn geweest. Daarom hebben we uit veiligheidsoverwegingen een wachtwoord reset uitgevoerd voor alle gebruikers van Exact Online die via https://start.exactonline.nl inloggen. Dat betekent dat iedereen een nieuw wachtwoord heeft moeten aanvragen.

Hoe is het opgelost?
We onderzoeken samen met externe specialisten onder andere de manier waarop de gegevens verkregen zijn. Om de kans op herhaling te verkleinen, hebben we extra veiligheidsmaatregelen genomen.

  • Uitbreiding systeemmeldingen
    We hebben extra meldingen ingesteld als mogelijk verdacht verkeer wordt waargenomen. Denk aan onlogische veranderingen van het internetverkeer tijdens een sessie of het doorvoeren van een wijziging die bij ons als dubieus bekendstaat. Bij een systeemmelding nemen we contact op met de betreffende klant om na te gaan of er geen ongewenste wijzigingen zijn doorgevoerd.
  • Blokkeren van verkeer
    Vanaf enkele buitenlandse domeinen met een verhoogd risicoprofiel is het standaard niet meer mogelijk om in te loggen op Exact Online. Internationale organisaties, die legitiem gebruik maken van deze domeinen, behouden wel hun toegang.
  • In ontwikkeling
    Om het securityniveau verder te verhogen, krijg je straks proactief meldingen. Denk bijvoorbeeld aan alerts op wijzigingen in rekeningnummers, inzicht in inloglocaties en met welke apparaten dat gebeurt. Zo kan je direct actie ondernemen als een ongewenste wijziging is doorgevoerd. Als Exact kunnen we dat niet doen, aangezien we geen toegang tot en kennis hebben van klantdata.

Wat kan je nu doen om gegevens beter te beschermen?
Tweestapsverificatie is een effectief middel om misbruik van inloggegevens tegen te gaan. Toegang is dan alleen mogelijk als ook de benodigde telefoon en de extra noodzakelijke codes in bezit zijn. Lees hoe je tweestapsverificatie kunt activeren.