Vandaag ben ik benaderd door een onbekend telefoonnummer over het verlengen van mijn Vodafone abonnement. Tijdens het gesprek kreeg ik een SMS met verificatiecode, of ik die even op wilde noemen. Een beetje eigenwijs, maar dat heb ik uiteindelijk niet gedaan. De SMS vermelde namelijk expliciet "Heb je de code niet zelf aangevraagd?", wat ik uiteraard niet zelf gedaan heb. Waarschijnlijk deed de salespersoon aan de andere kant van de lijn dit. Maar weet ik veel met wie ik contact heb, wie zegt dat het geen scammer was?
Daarna bij de klantenservice kreeg ik dezelfde SMS opgestuurd. Vanuit deze context (ik had zelf immers het Vodafone klantenservice nummer gebeld) wist ik in ieder geval dat het waarschijnlijk WEL okee zat, maar ik heb de code alsnog absoluut NIET zelf aangevraagd!
Persoonlijk (en vanuit een professioneel software security standpunt) vind ik dit totaal ontoereikend. We proberen iedereen ervan te overtuigen niet zomaar codes verstuurd over SMS te vertellen aan de telefoon, dat is DE perfecte manier om onder andere je tweede factor voor account veiligheid vrij te geven en ongure types toegang te verschaffen tot verschillende services. Dat is hoogstwaarschijnlijk precies waarom die tekst al in het verificatiecode bericht staat!
Graag zie ik dit aangepast zodat het ontvangen van dit bericht óf volledig vanuit een gebruiker geïnitieerd is, óf het bericht simpelweg meer inhoud krijgt om de situatie duidelijk uit te leggen (wat verifieert de code? Waarom ontvang ik de code überhaupt?) zodat een klant een goed geïnformeerde beslissing kan maken en zichzelf adequaat digitaal kan beschermen.
Een beetje een principieel verhaal, hopelijk wordt er wel wat mee gedaan.
