Hacker had toegang tot privégegevens KPN-klanten - update

Een of meer hackers hebben bij KPN ingebroken. Privégegevens van klanten waren toegankelijk, bevestigt de provider. De hacker had een week nadat de hack werd ontdekt, nog toegang. Er is echter geen bewijs dat gegevens zijn gekopieerd.

Een of meer hackers hebben het netwerk van de telecom- en internetprovider weten binnen te dringen, al is onduidelijk hoeveel servers zijn getroffen. KPN spreekt over 'één serverdomein'. "KPN heeft onmiddellijk maatregelen getroffen om maximaal de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen", meldt KPN.

Volgens woordvoerder Patrick Mikkelsen van de provider kon de hacker bij klantgegevens. Het ging onder meer om naw-gegevens, telefoonnummers en bankrekeningnummers. "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd", zegt hij.

Toen de hack werd ontdekt, op 20 januari, werd geprobeerd om het lek te dichten. Op dat moment had de hacker waarschijnlijk al een paar dagen toegang. Uit nauwkeuriger onderzoek op 27 januari bleek echter dat de hacker nog steeds toegang had. "Maar hij heeft in die week geen activiteit vertoond", stelt Mikkelsen. Volgens Mikkelsen was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt.

Samen met ict-beveiliger Fox-IT is de dreiging opgelost, aldus het bedrijf. Waar de hackers naar op zoek waren en wat ze hebben gevonden, is onduidelijk. Ook hoe de hack heeft plaatsgevonden, is onbekend. Het bedrijf werkt samen met de politie om de zaak op te lossen.

In november staakte KPN tijdelijk de uitgifte van Getronics-ssl-certificaten nadat er mogelijk verdachte sporen waren aangetroffen. Ook werd de website van KPN-dochter Gemnet, die de aanvraag van ssl-certificaten voor de overheid ondersteunt, tijdelijk offline gehaald.

Update, 17:05: Het stuk is bijgewerkt met de informatie uit een gesprek met KPN.

Door Joost Schellevis

Redacteur

08-02-2012 • 16:44

84

Lees meer

KPN-hacker blijft langer vast
KPN-hacker blijft langer vast Nieuws van 5 april 2012
Verdachte hack KPN bekent schuld
Verdachte hack KPN bekent schuld Nieuws van 27 maart 2012

Reacties (84)

84
80
53
4
0
9
Wijzig sortering
Anoniem: 397531 8 februari 2012 18:16
KPN gebeld. KPN kan niet vertellen of:
- het actieve klanten betreft of ook data van klanten die reeds een andere aanbieder hebben maar die bewaard moet worden op last van oa belastingdienst
- het klanten betreft met diensten die zich KPN noemen of ook klanten van de dochter bedrijven die gewoon onder de KPN vlag vallen (denk oa Planet en XS4ALL)
- het particulieren betreft of ook klanten uit de zakelijke markt
KPN kan ook niet vertellen wie bij KPN dit wel kan vertellen. Kan die jongen aan de telefoon niets aan doen maar zijn baas zou best wel eens mogen zorgen dat hij antwoord kan geven op zaken waar je als klant toch recht op heb om het te weten.
Is het niet ietwat overdreven om KPN op te bellen met zo'n vraag, en dan ook nog naar een 0900-x nummer?
Ik denk niet dat ze bij de klantenservice er uberhaupt iets vanaf weten, laat staan dat ze het antwoord weten.
Maarja, de tijd zal het leren.
Bestaat altijd nog VraagAlex.nl voor, trouwens telefoonnummer van KPN als mensen nog willen bellen en het recht willen halen (gratis): 070 3434343 of 06 12001200
Ik vind het een behoorlijk legitieme vraag. Wie had hij dan moeten bellen?
De afdeling communicatie? Die moet gewoon zo snel mogelijk antwoorden formuleren op dit soort vragen en die doorspelen naar, jawel, de helpdesk.

Gezien de tijd die men al op de hoogte is had de helpdesk zelfs al lang op dit soort vragen voorbereid moeten zijn.

Toch eens met xs4all bellen of zij wel weten of hun klantgegevens zijn ingezien ^^
Bijvoorbeeld DigiD gebruikt een Getronics-ssl-certificaat. Dit certificaat is geldig vanaf 4-9-2011. In november 2011 werd bekend dat minimaal één Getronics server die een rol speelde in het SSL certificaat uitgifte proces mogelijk toegangkelijk is geweest voor hackers.

Het artikel gaat primair over een hack waarmee klantgegevens inzichtelijk zijn geworden. Volgens KPN zijn er geen gegevens misbruikt of gekopieerd. Het lijkt mij erg lastig om daar zeker over te zijn. Deze stelling neem ik dus met een korreltje zout. Dat zet je dan aan het denken over hoe objectief KPN / Getronics om is gegaan met conclusies rondom de inbraak in hun ssl-certificaat uitgifte systeem. Als we dat ook met een korreltje zout moeten nemen dan zou je logischerwijze ook de uitgegeven certificaten niet meer moeten vertrouwen. Dit is dus het nadeel van niet transparant communiceren, buitenstaanders kunnen niet uitsluiten dat er niet meer aan de hand is.

Mochten er klantgegevens zijn buitgemaakt dan kan dat mogelijk leiden tot identiteits diefstal. Veel bedrijven stellen controle vragen als je ze belt. Grote kans dat een aantal controle vragen succesvol zijn te beantwoorden met KPN's klantbase als infobron.

Anyway een aardige smet op KPN / Getronics met hun achtergrond in IT infrastructuur...

(typo)

[Reactie gewijzigd door Patrick_P op 24 juli 2024 15:09]

Anoniem: 326972 8 februari 2012 16:46
Of er klantgegevens zijn ontvreemd, is onbekend.
lekker dan... En who knows hoeveel gegevens van oud-klanten er nog beschikbaar waren...

Ben wel benieuwd vanuit welk oogpunt de hackers dit gedaan hebben...
edit:
quote-tags vergeten,

[Reactie gewijzigd door Anoniem: 326972 op 24 juli 2024 15:09]

Als het niet bekend is, is het niet bekend en spreken ze niet meer dan de waarheid.
Het zou nog veel erger zijn als ze liegen.
Anoniem: 126610 @Vexxon8 februari 2012 18:35
Het zou nog veel erger zijn als ze liegen.
"Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd"
Zit er wel behoorlijk dicht tegenaan. Ze wekken met dit taalgebruik de suggestie dat er geen gegevens zijn misbruikt of gekopieerd. Maar als je goed leest had er natuurlijk net zo goed kunnen staan:
"Uit onderzoek is niet gebleken dat de gegevens niet zijn misbruikt of gekopieerd"

jaja, een dubbele ontkenning is ook niet alles. Het alternatief is dat "uit onderzoek niets is gebleken" :Y)
Als je de gegevens kunt lezen, kun je ze ook kopieren, dus dat is totale bullshit en bedoeld om iedereen rustig te houden. We zullen toch wel niet horen wat er precies is gebeurd want dat willen dit soort organisaties (zie diginotar) het liefste stil houden.
Ze zullen inderdaad niet alle vuile was buiten hangen, dat is een aanname die ik wel aandurf.

Ik begin mij toch wat zorgen te maken.
De grootste organisaties blijken hun digitale zaken niet afdoende te kunnen beveiligen.

Ligt dat aan de organisaties zelf, of is ze niets te verwijten met een 0-day exploit?
Als je de gegevens kunt lezen, kun je ze ook kopieren
Klopt, maar dat je genoeg rechten hebt om gegevens te lezen betekent nog niet dat je ze daadwerkelijk gelezen hebt.
Stel, iemand breekt in en maakt voor zichzelf een account aan met dezelfde rechten als de helpdesk. Dan heeft ie genoeg rechten om klantgegevens te lezen. Achteraf kun je echter in de logs (die door de helpdesk niet aangepast / gemanipuleerd / verwijderd kunnen worden) terugzien of ie dat ook daadwerkelijk gedaan heeft (en, zo ja, van welke klanten).
Blijft natuurlijk de vraag waarom iemand de moeite zou nemen om in te breken als ie, zodra ie binnen is, niks doet. Een verklaring is dat het enkel om nieuwsgierigheid / de kick ging, een andere verklaring is dat ie wel iets heeft gedaan, maar iets heel anders kan klantgegevens kopiëren. (Nog een andere verklaring is dat ie wel degelijk klantgegevens gekopieerd heeft maar dat ie dat gedaan heeft zonder dat KPN erachter is gekomen (of, inderdaad, dat ze glashard liegen).)
Anoniem: 294759 @intraxi9 februari 2012 09:46
Dit is niet altijd waar. Ligt eraan of er een superuser of een user die genoeg rechten heeft overgenomen is. Je kan wel dagenlang toegang hebben gehad maar wil nog niet zeggen dat de user die over genomen is ook daadwerkelijk iets mag doen en dat is niet duidelijk.
Anoniem: 444402 @intraxi9 februari 2012 11:24
Als het al gebeurt is......

Vergeet niet dat heel veel partijen momenteel voordeel halen door hackers in het kwade daglicht te stellen..

Zodat "Hackers" in de breedste vorm door het publiek word gezien als "BAD GUY".
En dan komt de overheid met redende regelgevingen die jou vrijheid gaan beperken, maar het is voor het "goede" doel, om de criminelende hackers tegen te gaan...

Dit bericht heeft alles van een HOAX.

Geen bewijs en in de trend dat het beschreven is, met dubbelle ontkenningen en vermoedens, maar geen feiten, erg twijfelachtig allemaal.
Anoniem: 314471 @Vexxon8 februari 2012 17:11
Het is niet gezegd dat ze niet liegen, het kan best dat ze weten dat het wel gebeurt is maar dat beleid zegt dat het ontkent moet worden.
Volgens Mikkelsen was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt.
Dit baart mij meer zorgen.. Hebben ze het over een zero-day exploit of zeggen ze eigenlijk dat ze gewoon geen benul hebben? Ik zou wel graag willen weten wat FOX-IT gedaan heeft om het op te lossen..?
Ik zou wel graag willen weten wat FOX-IT gedaan heeft om het op te lossen..?
Waarschijnlijk het advies gegeven wat je ook geeft bij rootkits die zich bijzonder diep in het systeem hebben genesteld: alle systemen die (mogelijk) zijn gehacked opnieuw installeren en je vingers kruisen dat de gebruikte exploit(s) niet meer aanwezig is/zijn in de current (en geinstalleerde) packages van de gebruikte BSD of Linux distributie.
Het is goed mogelijk dat vanwege internationale authoriteiten KPN niet mag vrijlaten wat er precies is buit gemaakt. Een tijdje terug stond in de HBR een soort gelijk verhaal over wat te doen wanneer een Amerikaans bedrijf gehacked wordt wat de consequenties kunnen zijn. Het begint alleen al als het een bedrijf is dat binnen meerdere staten opereert ze de FBI dienen in te lichten. Daarnaast hebben ze direct een advocaten partij in de nek hangen die de burgers vertegenwoordigd en zo waren nog een tal van problemen die je eigenlijk als (Europese) buitenstaander niet verwacht.

Mij verwondert het dan ook niet echt meer na het lezen van een dergelijke casus dat bedrijven soms geheimzinnig over iets doen. Het is goed mogelijk als KPN deze informatie wel publiceert dat ze zelf een misdaad begaan. We kunnen dan ook niet veel meer (waarschijnlijk net zoals de KPN) dan afwachten.

En inderdaad, wie is hier nou eigenlijk verantwoordelijk voor...
Dat vraag ik me ook af. Ben in elk geval ook benieuwd of het een Nederlandse hacker was of niet. Het lijkt er wel op dat KPN (al dan niet op advies van Fox-IT) geleerd heeft van de "houdt het onder de pet" -methode van Diginotar, aangezien ze het zelf op de site publiceren.
Anyweetjes: Kevin Mitnick had het ook altijd op telco's voorzien, misschien was Ghost in the Wires wel inspiratie voor de hacker(s) ;-) Ik vond het iig een prachtboek. Ook vooral omdat daarin heel duidelijk wordt hoe groot het belang van social enginering vaak is bij dit soort hacks. Hopelijk komt hier "ooit" nog eens veel meer info over naar buiten. KPN komt een stuk dichterbij dan de Cellular Subscribers Group oid.
Want het inbreken op de privégegevens van KPN-klanten is iets waar Anonymous baat bij heeft? Zo verlies je namelijk wel de sympathie van de bevolking.
Waar haal jij trouwens het idee vandaan dat Anonymous iets hiermee te maken heeft vandaan?
Inderdaad!

Lijkt meer een bericht om "Hackers" in het algemeen in een kwaad daglicht te stellen.
En ja veel simpele zielen denken dan ow "Hackers" dat is toch Anonymous?
Die suggestie moet dus gewekt worden...

Maar dat heeft NIETS met Anonymous te maken.
Als je niet weet hoe de hack heeft plaats gevonden, hoe kun je dan zeggen dat het probleem is opgelost?

@Luukje01: Om iets te kopieren moet je eerst het origineel benaderen. Om te controleren of een bestand of database record is benaderd bestaan audit tools. Doormiddel van die audit tools kun je achteraf dus vaststellen of de informatie is benaderd. Als de informatie niet is benaderd, kun je dus concluderen dat de gegevens niet zijn gekopieerd.
Dan moeten er wel logs zijn om te auditen. Als de hacker als eerste actie de log settings heeft aangepast, zodat er minder of niet gelogged werd, en vervolgens even een kopietje getrokken heeft dan gaat het heel erg lastig worden om te achterhalen of er iets gekopieerd is of niet.
als de informatie wel benaderd is, maar niet gekopieerd (lokaal op de hacker zn pc), het blijft dus gissen?

er stond ergens in het artikel (of het oude artikel) dat de methode hoe ze er in kwamen bekent was en dat ze dit met Fox-IT hebben opgelost.
Tenzij hij de logs van die audit tools heeft verwijderd.
Uit de bron van het artikel:
KPN heeft de relevante instanties geïnformeerd: het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta, het Ministerie van Economische Zaken, Landbouw & Innovatie, het Ministerie van Veiligheid & Justitie en het Openbaar Ministerie.
Waarom lees ik hier niet dat klanten waarvan deze gegevens mogelijkerwijs op straat liggen worden geïnformeerd?

edit:

Volgens het bericht van KPN heeft de hacker ook toegang gehad tot klantgegevens:
De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
Zeker in dat geval lijkt het informeren van de getroffen klanten mij toch het minste dat je kunt doen als bedrijf zijnde. Leuk dat allerlei instanties op de hoogte worden gebracht, maar diegenen die dit direct zou raken krijgen niks te horen!

[Reactie gewijzigd door Foamy op 24 juli 2024 15:09]

Anoniem: 80487 @Foamy8 februari 2012 17:00
Als het om één of andere triviale server gaat valt de schade wel mee en lijkt me er weinig toegevoegde waarde hebben paniek te zaaien.
Denk dat je eerst het zwaarst mogelijke scenario wil bepalen en aan de hand daarop kijkt wat je doet met je klanten.
Ook uit de bron:
De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
De hacker heeft dus (volgens het bericht van KPN) weldegelijk toegang gehad tot klantgegevens.
Anoniem: 126717 @Foamy8 februari 2012 18:12
Dat niet alleen: "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd".
Die gegevens zijn zijn/haar kant op gegaan, dus is er eigenlijk al een kopie gemaakt, in een cache, gedownload bestand of wat niet al.
Dat zal waarschijnlijk maar een deel zijn, puur wat er op het scherm heeft gestaan, maar toch. (Staat er in de logfiles van die servers eigenlijk goed vermeld hoeveel bytes etc en wat er naar een bepaalde verbinding gaat?)
Kamervragen!

'Er is echter geen bewijs dat gegevens zijn gekopieerd', dat is toch juist de kracht achter kopieren? geen sporen achterlaten..
Ja leuk, kopieren = lezen (access), kopieren (4us scanner checkt) en daarna schrijven.... Je laat altijd sporen na...

check van een willekeurig file system maar eens hoeveel je kan achterhalen bij bijv bestandseigenschappen.. probeer maar eens remote, met je commandline deze attribs te wijzigen.. en dan geen sporen achterlaten in de logging.. zal je niet meevallen..
Dat is wel erg naïef. Het is triviaal kopieertools te schrijven die die attributen niet wijzigen of achteraf netjes terugzetten op wat het was. Een virusscanner logt niet iedere bestandstoegang en zeker niet als het niet om executables gaat, en zelfs al deed hij dat wel, die zet ik als hacker natuurlijk uit en ik gooi de logs ook nog even weg.

Als de logging van het systeem er zo uit ziet:
* boosdoener@diepdonkerdal logged in on UNHACKABLE
* logging disabled on UNHACKABLE

Dan kun je daarna zeer weinig concluderen over wat er met de machine gebeurd is, en kopiëren (het lezen van data, waarbij het schrijven niet naar dezelfde machine gebeurt) is wel het meest ongrijpbare.

Als alle data die de machine kan aanspreken extern is, en de auditing van de externe data is aantoonbaar niet gecompromitteerd, dan kan ik er nog wat mee.
Heel strict genomen laat elke handeling sporen na, dus ook remote access via command-line of wat dan ook. De enige manier om dit tegen te gaan is een write-blocker aansluiten en dan kopieren (NFRkitje), maar dan is er eerder sprake van inbraak dan van hacking wegens fysieke toegang
Dan moeten ze auditting maar aan zetten, daar kun je elke file access mee loggen, maar ja, die logs worden wel erg groot als er veel access is.
Denk ik nu zo dom, of klinkt 'er zijn geen bewijzen dat er iets gekopieerd is' wel heel erg dom? Als ik de tekst van dit bericht overkopieer naar mijn notepad, ziet T.net toch ook absoluut niet dat ik deze gegevens heb gekopieerd?

Als je een dump uit een Dbase laat draaien op scherm (inzage), is het toch gewoon een ctrl-a/ctrl-c verhaal?
Maar als ik op een machine inlog en vervolgens een mysqldump draai, dan is dit (bijvoorbeeld) terug te zien in `/.bash_history, maar als de hacker deze informatie heeft verwijderd, is er dus geen bewijs meer dat dit commando is uitgevoerd.
leuk bedacht,werkt vast thuis op je putertje. Denk je niet dat ze in enterprise omgevingen iets als remote syslogging gebruiken?
Die is volledig betrouwbaar tot precies het punt waarop ik de machine heb overgenomen en remote syslogging compromitteer, want vanaf dat punt is de client niet meer te vertrouwen en de remote log dus ook niet. Als ik een beetje slim ben doe ik dat natuurlijk zo vroeg mogelijk, zodat de saillantere details ontbreken.
Uit het artikel:
Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd.
Dat betekent heel wat anders dan:
Uit onderzoek is gebleken dat de gegevens niet zijn misbruikt of gekopieerd.

[Reactie gewijzigd door Ulster Seedling op 24 juli 2024 15:09]

Ze hebben de hack al niet kunnen voorkomen en niet zelf kunnen stoppen dus het feit dat ze zeggen dat ze niet hebben kunnen ontdekken dat er geen gegevens zijn gekopieerd of oneigenlijk zijn gebruikt wil niet zeggen dat het niet zo is. Alleen hebben zij het niet kunnen ontdekken.

Mischien wilden de hats wel graag gratis bellen met onbelemmerde toegang tot de opwaardeer codes voor de prepaids.
Anoniem: 426974 @zvbhvb8 februari 2012 18:22
Mischien wilden de hats wel graag gratis bellen met onbelemmerde toegang tot de opwaardeer codes voor de prepaids.
Onmogelijk, dus waar klantgegevens staan, staan dus ook de prepaid-codes op. Prepaid werkt via een héél ander systeem.
Een ander systeem of een andewr netwerk? :Y)
Hoe zeker is dat de gegevens niet misbruikt zijn of gekopieerd?

Je kunt het nog altijd ontvreemden zonder dat iemand daar achterkomt. KPN is wel snel met het onderzoek gekomen als ze al dat durven te zeggen.

Ze moeten meer richten op het administratie, want daar begint al het puinhoop, veel klanten zullen dat wel weten, overigens ik ook. Dat ons internet afgesloten werd, omdat er een betaling niet is gedaan, terwijl het wel zo was.

Als ik het zo nu en dan lees, denk ik zo van dat KPN nog heel wat kan leren van andere aanbieders..
Ik snap niet wat jou betalingsmisser te maken heeft met de hack bij KPN? Dit gebeurt bij ALLE administraties wel eens hoor.
Anoniem: 172478 8 februari 2012 16:56
Ze (KPN) zijn volgens mij in ieder geval in overtreding omdat de Wet op de Privacy voorschrijft dat mogelijke diefstal van persoonsgegevens binnen 24 uur gemeld moet zijn bij de autoriteit (CBP). En aangezien ze maatregele genomen hebben om de hacker de toegang tot klantgegevens te ontzeggen waren die dus blijkbaar wel buit te maken binnen dat domein.
Ze (KPN) zijn volgens mij in ieder geval in overtreding omdat de Wet op de Privacy voorschrijft dat mogelijke diefstal van persoonsgegevens binnen 24 uur gemeld moet zijn bij de autoriteit (CBP).
Waar lees jij dat dat niet is gebeurd ?
Zouden er op de servers van KPN ook bestanden staan van dochterbedrijven, zoals Hi?
je zou denken van wel.. hoop het niet want zit zelf bij Hi..

Op dit item kan niet meer gereageerd worden.